La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

SISTEMAS DE INFORMACIÓN

Publicada porGaspar Alfaro Modificado hace 10 años

Presentaciones similares

Presentación del tema: "SISTEMAS DE INFORMACIÓN"— Transcripción de la presentación:

1 SISTEMAS DE INFORMACIÓN
AUDITORIA Y SEGURIDAD de los SISTEMAS DE INFORMACIÓN Bolilla IV

2 TEMARIO INTRODUCCIÓN * Vulnerabilidad acarreada por los computadores
* Impacto de los computadores en auditoría * Adecuación de las normas de auditoría a un entorno electrónico * Concepto de auditoría en informática y su planificación CONTROL INTENO ELECTRÓNICO * El control interno electrónico * Enfoque metodológico para el relevamiento y evaluación de los SCIE * Relevamiento y evaluación del SCIE EMPLEO DEL COMPUTADOR PARA LAS VERIFICACIONES O PRUEBAS DE PROCEDIMIENTOS * La confiabilidad del software * Los errores del software. Causas * La prueba del software AUDITORÍA DE LA INFORMACIÓN PROCESADA POR EL SISTEMA * Obtención de elementos de prueba válidos y suficientes * Programas especiales de auditoría * Paquetes de auditoría

3 SEGURIDAD DE LOS SISTEMAS DE COMPUTACIÓN
* El problema general de la seguridad en computación * Funciones o finalidades de la seguridad * Análisis de riesgos * Seguridad de riesgos * Seguridad lógica y confidencial * Seguridad en el personal * Seguridad física EL DELITO INFORMÁTICO * Los nuevos activos informáticos * Tipificación del delito informático * El computador como instrumento del delito * Perfil de un delincuente informático * Conclusiones LA PERICIA TÉCNICA DEL AUDITOR. PAPELES DE TRABAJO * La pericia técnica del auditor * La formación de un auditor de computación * Conclusiones finales

4 ADVENIMIENTO DEL PROCESAMIENTO ELECTRÓNICO
Manual Mecánico Electromecánico Electrónico

5 Sistema de Información
Sistema de procesamiento de información basado en el computador que apoya las funciones de operación, administración y toma de decisiones de una organización.

6 IMPACTO DE LOS COMPUTADORES
Cambio en las pistas de Auditoría Necesidad de adecuación de las normas Pericia técnica del auditor El delito informático La privacidad

7 ACTIVIDADES OPERACIONALES VS. DÍAS SIN COMPUTADOR

8 COMPUTADORA ELECTRÓNICA DIGITAL
ESQUEMA GENERAL DE UNA COMPUTADORA ELECTRÓNICA DIGITAL

9 AUDITORÍA EN INFORMÁTICA
Es la revisión y evaluación de los controles, sistemas, procedimientos de Informática, de los equipos de cómputos, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Se deberán evaluar los sistemas de información ene general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Su campo de acción será: * La evaluación administrativa del departamento de procesos electrónicos. * La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la información. * La evaluación del proceso de datos y de los equipos de cómputo. * La seguridad.

10 CONTROL INTERNO El CONTROL consiste en la creación de relaciones adecuadas entre las diversas funciones del negocio y los resultados finales de operación. El CONTROL tiene por objeto evitar que se produzcan desviaciones de los planes elaborados por la empresa, es decir que se impida que los subordinados de la misma, sigan un camino no previsto en los planes de la dirección, es esencial de que obligue a los subalternos a realizar las tareas como fueron diseñadas. La forma de lograrlos lo que es mediante el CONTROL ADMINISTRATIVO INTERNO, utilizando como medio para ejercer el control, los informes, manuales de procedimientos u otros instrumentos de control comodatos estadísticos, balances de comprobación, conciliaciones bancarias, inventarios, etc. No permitir desviaciones del plan de la dirección. Proteger activos de la empresa. Promocionar el buen desempeño de los subordinados. Obtención de información: Veraz Confiable Oportuna Eficiencia en la operación de la empresa

11 CONTROL INTERNO ELECTRÓNICO
Parte de la definición del Control Interno de la Contabilidad Tradicional, agregando el relevamiento y evaluación del control interno del computador y del sistema de procesamiento electrónico de la información.

12 INFORMÁTICA INFORMAción automáTICA

13 Consecuencias de la Informatización Empresarial
Concentración de la información Falta de registros visibles Posibilidad de alterar los programas y/o la información sin dejar huellas o rastros visibles. Factibilidad de hacer desaparecer la información con extremada rapidez. Los sistemas “En Línea – Tiempo Real” presentan a menudo el problema de armonizar la eficiencia operativa con los aspectos de control. Complejidad de la operatoria. Dificultades de la seguridad física de los archivos, especialmente los archivos maestros (o la Base de Datos) Concentración de funciones. Falta de un enfoque u óptica orientados especialmente hacia el control en la etapa de diseño del sistema. Necesidad de emplear personal altamente calificado por su formación y conocimientos técnicos

14 Bit de Paridad Representación de la información Así se transmitiría:
Sistema Decimal Sistema Binario 0-1 (Señal – No Señal) Equivalencias entre Sistemas 0000 = 0 0001 = 1 0010 = 2 0011 = 3 0100 = 4 0101 = 5 0110 = 6 0111 = 7 1000 = 8 1001 = 9 Si se transmite información, por ejemplo el número 7, el binario correspondiente sería A esta expresión se le agrega un 0 si tiene par cantidad de 1, 1 si tiene impar cantidad de 1. Así se transmitiría: DIGITO DE CONTROL + INF. EN BINARIO Si en la recepción se detectaría El sistema debería solicitar retransmisión ya que no corresponde el dígito de control. Este es un método básico que no detecta la transposición de valores del tipo: con los mismos valores de transmisión. Existen métodos para controlar la transposición en el bit de paridad

15 Dígito de Control Suma Simple y 2-1-2
Comenzar con el número de cuenta: Sumar los dígitos: = 27 Sustraer el resultado de la suma anterior del próximo número superior múltiplo de = 3 La diferencia precedente es el dígito de control, 3 que se añade como sufijo al número base. El ejemplo anterior permite establecer rápidamente que esta fórmula no detectaría una forma común de error como es la transposición (Ej ) 2 – 1 – 2 Comenzar con el número de cuenta: Multiplicar cada dígito alternadamente por 1 o por 2, comenzando con 2 como multiplicador del dígito de las unidades x c) Sumar los resultados de las multiplicaciones: = 39 d) Sustraer el resultado anterior del próximo número superior múltiplo de 10 40 – 39 = 1 e) Emplear dicha diferencia como dígito de control Este método si controla la transposición de valores. Así como el segundo método controla más la posibilidad de detectar un error, existen otros con mayo grado de seguridad.

16 Ciclo de vida del Desarrollo de los Sistemas

17 Esquema General para la Solución Algorítmica de un Problema

18 PRINCIPIOS FUNDAMENTALES DE LA AUDITORÍA DE UNA COMPUTADORA
Automatismo Determinismo

19 Enfoque Metodológico para el Relevamiento y Evaluación
Pautas Básicas - Controles internos del equipo - Controles de procedimientos - Controles programados Entrevistas - Entrevistas iniciales – Gerencia de Sistemas - Planeación de temas a tratar - Tipo: escrita / oral - Duración CONTROL INTERNO ELECTRÓNICO - Control interno del equipo (bit par) - Controles de firmware - Procedimientos de revisión - Organigramas - Análisis y Programación - Analista de Software - Biblioteca de archivos magnéticos - Operación - Control - Controles Programados - Validación de información de entrada, fechas, códigos existentes, fórmulas de dígitos de control 1-2-1, 1-3-1, etc. - Procesamiento

20 Macromodelo del Desarrollo del Software

21 Organigrama “ideal” de una Gerencia de Sistemas

22 SOFTWARE Confiabilidad y Error
Confiabilidad del Software: es la probabilidad que el mismo se comportará dentro de un lapso determinado sin fallas, ponderada por el costo que representará para el usuario cada falla producida. Error del Software: un error de software se presenta cuando el mismo no realiza algo que coincida con las expectativas razonables del usuario. Una falla de software es una consecuencia de un error del software.

23 Confiabilidad del Software
DISEÑO ACCIONES PREVENTIVAS 1 – Minimización de la complejidad. 2 – Mayor precisión. 3 – Mejorar la transmisión de información. 4 – Detección y corrección de errores en cada etapa del diseño. B) DETECCIÓN DE ERRORES C) CORRECCIÓN DE ERRORES D) TOLERANCIA DE ERRORES

24 Según su criterio, el programa, está libre de errores?
El Problema del Triángulo Al programa ingresan tres números enteros que representan las dimensiones de los lados de un triángulo. El programa examina la información de entrada e imprime un mensaje indicando si se trata de un triángulo escaleno, isósceles o equilátero. Consigna: Desarrollar los datos de prueba a efectos de probar adecuadamente el programa. Según su criterio, el programa, está libre de errores?

25 El Programa del Triángulo

26 Los Problemas del Software

27 Definición 1: La prueba consiste en el proceso de confirmar que un programa es correcto. Consiste en la demostración que no existen errores. Definición 2: Prueba es el proceso de ejecución de un programa con la intención de hallar errores. La Prueba del Software

28 Datos de Prueba Definición: El conjunto de datos de prueba consiste en un lote de transacciones preparadas por el autidor, procesadas mediante el empleo de los programas de aplicaciones de la entidad, con la finalidad de verificar el funcionamiento efectivo de los controles programados previstos. Planificación de la Prueba Establecer los pasos a seguir. Orientar y supervisar a los colaboradores encargados de la ejecución del plan. Observación Reejecución del procesamiento * Manual * Lotes de prueba * Instalaciones de prueba integrada o “Minicompañía” * Técnicas de “pistas de transacciones” * Simulación en paralelo * Comparación de programas

29 Datos de Prueba Diagrama Tablas de Decisión
TÉCNICAS Diagrama Tablas de Decisión Ejemplo: Reserva de un pasaje de avión El viajero se presenta en el mostrador de Aerolíneas Argentinas y solicita un pasaje para viajar a la ciudad de Nueva York. Si requiere un pasaje de primera clase y hay plazas disponibles para el vuelo deseado se le vende el pasaje de primera clase. En el caso de no resultar posible lo anterior por hallarse reservados todos los pasajes de primera clase, se le interroga si aceptaría un pasaje en clase turística, caso de disponerse de tal plaza; obviamente, de contestar afirmativamente, se le vende el pasaje de clase turística. Puede ocurrir que no acepte cambiar de clase, o que todos los asientes de clase turística estén reservados, en cuyo caso se lo registra en lista de espera de primera clase. Si el viajero requiere un pasaje de clase turística y hay plaza disponible se le vende un pasaje de esa clase; caso contrario se le interroga si está dispuesto a adquirir un pasaje de primera clase; de no ser así, se lo ubica en lista de espera de la clase turística.

30 Ejemplo de la Tabla de Decisión de la Venta del Pasaje de Avión

31

32 Esquema General de la aplicación del “Conjunto de Datos de Prueba”

33 GUÍA PRÁCTICA NO EXCLUYENTE
Datos de Prueba GUÍA PRÁCTICA NO EXCLUYENTE Verificación de caracteres numéricos, alfabéticos y especiales Comprobación de validez (fechas no válidas, códigos inexistentes) Overflow Límites Verificación de totales Incluir condiciones lógicas

34 Esquema General de la Prueba de un Programa
A Ser Probado Información de entrada (X, Y) Información de salida (Z)

35 AXIOMAS DE MYERS Un buen conjunto de datos de prueba es el que posee una gran probabilidad de detectar un error no descubierto, no aquel que muestra que el programa se comporta correctamente. Uno de los problemas más difíciles con que se tropieza en una prueba es saber cuándo detenerse. Es imposible que usted pruebe su propio programa. La descripción de la información de salida o de los resultados esperados, es un elemento imprescindible de todo conjunto de datos de prueba. Evite las pruebas no repetibles o reproducibles. Desarrolle datos de prueba que contengan información de entrada relativa a condiciones válidas o inválidas. Examine y revise cuidadosamente los resultados de cada prueba. Con el incremento del número de errores encontrados en un programa, aumenta igualmente la probabilidad de la existencia de errores no descubiertos. Asigne la tarea de prueba a los programadores con mayor creatividad. Asegúrese que se hallan contemplado en el diseño y estructura del programa, las facilidades para una prueba adecuada. El diseño del sistema debería contemplar y asegurar que cada módulo sea integrado con el sistema una sola vez. No altere nunca el programa para que la prueba resulte más fácil. La prueba, como cualquier otra actividad, debe comenzar con el establecimiento de los objetivos pertinentes.

36 AUDITORÍA DE LA INFORMACIÓN PROCESADA POR EL SISTEMA
Empleo del computador para la obtención de “evidencia” necesaria LISTADOS DISPONIBLES MEDIOS MAGNÉTICOS PANTALLAS DE TRABAJO

37 Generalized Audit Software (G.A.S.)
PAQUETES DE AUDITORÍA Generalized Audit Software (G.A.S.) Definición: Consiste en un programa o una serie de programas de computación, desarrollados para llevar a cabo ciertas funciones de procesamiento electrónico con finalidades de auditoría. Dichas funciones incluyen, normalmente, la lectura de la información contenida en medios magnéticos, selección de datos, realización de cálculos, e impresión de listados de acuerdo con las especificaciones del auditor.

38 Permiten una post – auditoría del sistema.
PAQUETES DE AUDITORÍA Limitaciones de un G.A.S. Permiten una post – auditoría del sistema. No compatibilidad de Hardware – Software. No determinan la propensión del error de los sistemas. En el caso de estructuras complejas de datos, la extracción de la información se complica. Etc.

39 Funciones Típicas de un G.A.S.
PAQUETES DE AUDITORÍA Funciones Típicas de un G.A.S. Creación de un Archivo de Trabajo de auditoría. Actualización de un Archivo de Trabajo. Resumen de registro de trabajo. Clasificación del Archivo de Trabajo. Cálculo de un Archivo de Trabajo. Impresión de un Archivo de Trabajo. Grabación de un Archivo de Trabajo. Borrado de un Archivo de Trabajo.

40 1 – Confirmación 2 – Comparación 3 – Razonabilidad
Auditoría de la información procesada por el sistema Obtención de elementos de prueba válidos y suficientes

41 Un Ejemplo clásico de empleo de la computadora por parte del Auditor para la obtención de la evidencia comprobatoria válida y suficiente, mediante el desarrollo de un programa especial

42 Características Fundamentales de un programa de Auditoría
Sencillez Diseño de archivos realizado por el Centro de Cómputos Análisis del contenido del archivo No es necesario utilizar el mismo lenguaje que el programa auditado.

43 SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN
Desastres naturales Errores u omisiones humanos Actos intencionales

44 FINALIDADES DE LA SEGURIDAD
Recuperar y Corregir Evitar Disuadir Prevenir Detectar

45 Sistemas de Información
Seguridad Física Riesgo de Incendio * Ubicación física * Disposición física * Protección contra incendios * Biblioteca Interferencias de Señales de Radar * En el procesamiento electrónico * En los circuitos lógicos

46 Boletín Oficial Nº 27.825 (1º Sección)
PROPIEDAD INTELECTUAL. DECRETO 165/94

47 Boletín Oficial Nº 27.825 (1º Sección)
PROPIEDAD INTELECTUAL. DECRETO 165/94

48 Perfil del Delincuente Informático
Delito Informático Perfil del Delincuente Informático Finalidad: satisfacción de necesidades urgentes Sin antecedentes Más hombres que mujeres Edad: entre 18 a 30 años Factores coadyuvantes No son delincuentes comunes Conocimientos especializados Síndrome de Robin Hood Escrupulosos en cuanto a los damnificados Objeto de ataque: La Entidad Desafío a su inteligencia

49 SOFTWARE Y BASES DE DATOS
Propiedad Intelectual Decreto 165/94 SOFTWARE Y BASES DE DATOS Diseño del Software Global Detallado Programas Códigos Fuentes Códigos Objetos Documentación Bases de Datos

50 Papeles de Trabajo del Auditor Relevamiento y evaluación del SCIE
Información extraída de los manuales del equipo sobre los controles de Hardware y Software de Base Organigrama Descripciones narrativas, diagramas, etc. del flujo de la información contable Explicaciones de los diversos controles existentes en el sistema Detalle y diseño de los archivos maestros más significativos Documentación y análisis de las pruebas de procedimientos llevadas a cabo Modelos de formularios e impresos de computadora Resúmenes de entrevistas mantenidas con el personal Conclusiones acerca del grado de confiabilidad del SCI

51 PRE – AUDITORÍA DE LOS S.I. Etapa de Diseño
Revisión de los objetivos del sistema propuesto Determinar el impacto del sistema sobre el régimen contable Documentación adecuada del sistema Determinar la “filosofía” de control del sistema Identificar las pistas de auditoría del sistema Determinar la naturaleza de la evidencia que para auditoría dejarán las transacciones procesadas Examinar los procedimientos de programación y prueba a seguirse Revisión de los procedimientos y controles propuestos para la etapa de conversión del sistema Determinar la naturaleza de cualquier programación especial con finalidades de auditoría PRE – AUDITORÍA DE LOS S.I. Etapa de Diseño

52 PAPELES DE TRABAJO DEL AUDITOR
Obtención de elementos de juicio válidos y suficientes Programas especiales de auditoría: Documentación completa del programa Fechas de utilización y archivos maestros utilizados Programas utilitarios – programas producto: Detalle y descripción de los programas utilizados Fechas de procesamiento Archivos maestros empleados “Paquetes” de auditoría (G.A.S.) Descripción general del G.A.S. Fechas de utilización Diagrama general de cada aplicación planeada Hojas de codificación confeccionadas Pruebas de la aplicación Para cada una de las tres variantes anteriores, incluir: Listados de computadora Resultados del procesamiento Seguimiento de las excepciones encontradas

53 Es momento de ver cuanto conocimiento has adquirido de la bolilla IV
Auto-Evaluación

Descargar ppt "SISTEMAS DE INFORMACIÓN"

Presentaciones similares

INTRODUCCIÓN A LA VERIFICACION Y VALIDACION

INTRODUCCIÓN A LA VERIFICACION Y VALIDACION
Unida III Software para la administración de proyectos

Unida III Software para la administración de proyectos
Para desarrollar esta parte debemos de: 1

Para desarrollar esta parte debemos de: 1
Planeación de la Auditoría

Planeación de la Auditoría
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
También conocido como Diseño Lógico Rodrigo Salvatierra Alberú.

También conocido como Diseño Lógico Rodrigo Salvatierra Alberú.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.

Auditoría. Concepto Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre.
AUDITORIA DE SISTEMAS.

AUDITORIA DE SISTEMAS.
TEMA 3: EL RIESGO Y LA EVIDENCIA

TEMA 3: EL RIESGO Y LA EVIDENCIA
UNIVERSIDAD TECNICA DE AMBATO

UNIVERSIDAD TECNICA DE AMBATO
Metodología de Trabajo de Auditoría Informática

Metodología de Trabajo de Auditoría Informática
LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4

LA PLANIFICACIÓN DE LA AUDITORÍA TEMA 4
Planeación de la Auditoría en Informática

Planeación de la Auditoría en Informática
AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS

AUDITORIA DE LA ADMINISTRACIÓN DE RECURSOS HUMANOS
Ciclo de desarrollo del software

Ciclo de desarrollo del software
CONCEPTO DE AUDITORIA EN INFORMÁTICA Y DIVERSOS TIPOS DE AUDITORIA

CONCEPTO DE AUDITORIA EN INFORMÁTICA Y DIVERSOS TIPOS DE AUDITORIA
CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS

CONCEPTOS DE CONTROL EN LOS SISTEMAS COMPUTARIZADOS
AUDITORIA DE SISTEMAS Conceptos introductorios

AUDITORIA DE SISTEMAS Conceptos introductorios
Administración de Procesos de Pruebas

Administración de Procesos de Pruebas

Presentaciones similares

Anuncios Google