Metodologa para realizar auditoras informticas.

Metodologa es una secuencia de pasos lgica y ordenada de proceder

para llegar a un resultado. Generalmente existen diversas formas de obtener
un resultado determinado, y de esto se deriva la existencia de varias
metodologas para llevar a cabo una auditoria informtica.
El contenido de este documento tratara en forma general las mismas, as
como de manera particular CRMR (Computer Resource Management Review)
El objetivo del trabajo prctico se divide en dos partes. En primer lugar,
describir las metodologas de auditora informtica en forma general. En
segundo lugar profundizar sobre una metodologa en particular, CRMR.
En la primera parte se darn a conocer los puntos o fases que toda
auditora debe tener en cuenta. En la segunda parte se har un estudio de la
metodologa elegida para corroborar las conclusiones obtenidas en la primera
parte de la investigacin.
El trabajo constar con el anlisis detallado de tan solo una metodologa,
la misma debe ser usada extensamente y estar disponible para su estudio.
Planificacin de la auditoria informtica.
Como todo proyecto implantado dentro de una organizacin, el proyecto
de auditora informtica debe iniciar con una fase de planeacin en la cual
participen todas las reas de la organizacin para identificar los recursos
necesarios que permitirn llevar a cabo este proyecto, como son, objetivos que
se pretenden alcanzar con el proyecto, anlisis costo/beneficio, personal
humano que intervendr en el proyecto, marco de referencia de Auditora
Informtica que se va a utilizar, basndose en varios objetivos fundamentales
que son:
* Evaluacin de los sistemas y procedimientos
* Evaluacin de los equipos de cmputo
* Evaluacin del proceso de datos
Lo cual se resume en obtener un conocimiento inicial de la organizacin
a evaluar, con especial nfasis en sus procesos informticos basados en
evaluaciones administrativas realizadas a los procesos electrnicos, sistemas y
procedimientos, equipos de cmputo, seguridad y confidencialidad de la
informacin, y aspectos legales de los sistemas y la informacin.
Una vez que se ha obtenido un conocimiento inicial de la organizacin
se procede a establecer metas, programas de trabajo de auditora, personal
que intervendr en el proyecto, presupuesto financiero, y las fechas y la
manera como se presentarn los informes de las actividades de cumplimiento
del proyecto, basados en la realidad de la organizacin evaluada.
Definicin de pruebas, Pasos para realizar las pruebas.
Es un grupo de herramientas que permite reproducir la funcionalidad de
una Aplicacin informtica mediante el uso de guiones o "scripts", tanto en la
interfaz grfica de usuario como en la comunicacin de la aplicacin con otras,
como puede ser entre una aplicacin que se ejecuta en un navegador y el
servidor web que le atiende y entre ste y una base de datos.
La ejecucin de la auditora Informtica consiste principalmente en la
recoleccin de informacin y evidencias suficientes, para fundamentar los
comentarios, conclusiones y recomendaciones con respecto a la
Administracin de Tcnica de Informacin, lo cual se realiza utilizando diversas
tcnicas como las siguientes:
* Entrevistas.
* Simulacin.
* Cuestionarios.
* Anlisis de la informacin documental entregada por el auditado.
* Revisin y Anlisis de Estndares.
* Revisin y Anlisis de la informacin de auditoras anteriores.
Tipos de pruebas: pruebas altas, prueba de enlace, prueba de aceptacin,
prueba de caja blanca, prueba de caja negra, prueba de sensibilidad, prueba
de avance, prueba de huracn, prueba en paralelo, prueba ascendente y
descendente, entre otras.
Prueba en Paralelo.
Las pruebas en paralelo involucran probar productos en paralelo o
subcomponentes de forma simultnea. Una estacin de prueba en paralelo
comparte un conjunto de equipos de prueba a travs de mltiples interruptores
de prueba, pero, en algunos casos, puede tener un conjunto de hardware por
separado para cada UUT. La mayora de los sistemas de prueba no paralelos
prueban solo un producto o subcomponente a la vez, dejando inactivas las
pruebas de hardware costosas ms de 50 por ciento del tiempo de prueba. Por
tanto, con las pruebas en paralelo, usted puede incrementar el procesamiento
de las pruebas de manufactura sin gastar mucho dinero en duplicar o descartar
sistemas de prueba adicionales.

Prueba en Huracn.
Se utilizan para simular efectos cclicos dentro de una tarea, sea hacen
referencias a algunos tipos de pruebas en sistemas en forma de ciclos
repetitivos para contemplar el diagnostico. El espcimen puede ser cualquier
tipo de elemento usado en cualquier tipo de subcomponente o modulo del
sistema auditado. Normalmente las pruebas de huracanes se hacen en
mdulos, submodulos y partes de o componentes de un sistema.
Pruebas de Aceptacin.
El objetivo de las pruebas de aceptacin es validar que un sistema
cumple con el funcionamiento esperado y permitir al usuario de dicho sistema
que determine su aceptacin, desde el punto de vista de su funcionalidad y
rendimiento.
Las pruebas de aceptacin son definidas por el usuario del sistema y
preparadas por el equipo de desarrollo, aunque la ejecucin y aprobacin final
corresponden al usuario.
La validacin del sistema se consigue mediante la realizacin de
pruebas de caja negra que demuestran la conformidad con los requisitos y que
se recogen en el plan de pruebas, el cual define las verificaciones a realizar y
los casos de prueba asociados. Dicho plan est diseado para asegurar que se
satisfacen todos los requisitos funcionales especificados por el usuario
teniendo en cuenta tambin los requisitos no funcionales relacionados con el
rendimiento, seguridad de acceso al sistema, a los datos y procesos, as como
a los distintos recursos del sistema.
Pruebas de Caja Blanca.
Su objetivo es probar las lneas de falla ms probables de la aplicacin.
Para realizar pruebas de caja blanca, primero se desglosa el diseo de la
aplicacin en busca de trayectorias y otras particiones de control y datos.
Despus se disean pruebas que recorran todas o algunas de estas
trayectorias y se ejecutan todas las partes o elementos.
Pruebas de Caja Negra.
Comprueba el correcto funcionamiento de los componentes del sistema
de informacin, analizando las entradas y salidas y verificando que el resultado
es el esperado.
Pruebas descendentes y ascendentes.
La estrategia de pruebas descendentes y ascendentes refleja diferente
enfoques de la integracin del sistema. En la integracin descendente, los
componentes de los niveles altos de un sistema se integran y prueban antes de
que se complete su diseo e implementacin. En la integracin ascendente, los
componentes de los niveles bajos se integran y prueban antes de que se
desarrollen los componentes de los niveles altos.
Las pruebas descendentes son una parte integral del proceso de
desarrollo descendente en el cual este ltimo inicia con los componentes de los
niveles altos y descienden en la jerarqua de los componentes. Estos tienen la
misma interfaz que los componentes pero funcionalidad muy limitada. Despus
de que se programa y prueba el primer componente de nivel alto, se implantan
y prueban sus subcomponentes, de la misma forma. Este proceso contina
hasta que los componentes de nivel bajo se implanten. De esta forma queda
completamente probado el sistema completo.
En contraste, las pruebas ascendentes comprenden integrar y probar los
mdulos en los niveles bajos de la jerarqua, y despus asciende por la
jerarqua de los mdulos hasta que el mdulo final se prueba. Este enfoque no
requiere que el diseo arquitectnico del sistema este completo por lo que se
puede comenzar en una etapa inicial del proceso de desarrollo. Se emplea
donde el sistema reutiliza y modifica componentes de otros sistemas.















Repblica Bolivariana de Venezuela
Ministerio del Poder Popular Para la Educacin Universitaria
Fundacin Misin Sucre
Aldea Ana Mara Campos
PNF: Sistemas e Informtica
Seccin: 0701-IS
U.C: Auditoria y Mantenimiento de Sistema.






Metodologa para realizar auditoras
Informticas.



Autores:
T.S.U Manuel Rodrguez
C.I: 18374436
T.S.U Leivy Arteaga
C.I: 19404199



San Carlos de Zulia, Abril de 2014.
INTRODUCCIN.

El uso de la computadora trajo consigo un cambio en la forma en que
se hacen muchas actividades en nuestro mundo, prcticamente casi todo lo
que hacemos o usamos se asisten en el uso de las computadoras; los carros,
aviones, centrales telefnicas, satlites, medicina, arquitectura, administracin
de negocios; slo constituyen una pequea parte de una gran gama de usos
que se les puede dar a las computadoras.
Situaciones distintas existan quince aos atrs y no sabemos en que
situaciones estaremos dentro de diez aos, es increble el cambio tecnolgico
que han vivido las ltimas tres generaciones; el ser humano ha avanzado
tecnolgicamente en los ltimos cuarenta aos ms que lo que sus
antecesores avanzaron en los ltimos mil aos. Y es que con el pasar del
tiempo la computadora se ha vuelto tecnolgicamente mejor, avanzando en la
rapidez de procesos, cantidad de almacenamiento, perfeccionando sonidos y
formas de la informacin y por su parte ha pasado de ser un bien de lujo a un
bien necesario en el que prcticamente es inconcebible no tenerlo como parte
de los activos de una empresa o en un hogar.
Como parte de dicho cambio en la forma de tratar la informacin, se
hace sumamente importante guardar la integridad de los datos que en los
diferentes sistemas se pueden procesar, as el auditor de sistemas de
informacin viene a desempear un rol importante el cual consiste en disminuir
el riesgo que pueda causar el mal uso accidental o intencional en contra de la
informacin, teniendo como objetivos que la informacin sea ntegra, segura y
confiable para las personas.
El presente trabajo titulado Metodologias para realizar auditorias
informaticas tiene como objetivo presentar en una forma clara y concisa un
proceso general y tentativo de la aplicacin que se le puede dar a la auditora
en cualquier sistema de informacin que utilice computadoras.