Este documento trata sobre la auditoría de sistemas. Explica la misión de la auditoría de sistemas, los estándares que se aplican, el análisis de riesgos y controles, los tipos de auditoría de sistemas, la auditoría de bases de datos y desarrollo, auditorías de redes, objetivos e instrumentos de evaluación, campos de aplicación, etapas, implementación de RAS, licenciamientos de software e inventario de software.
Generalidades de Auditoria de Sistemas Ana Rosa GT
1. UNIVERSIDAD DE SAN CARLOS DE GUATEMALA
CENTRO UNIVERSITARIO DE JUTIAPA –JUSAC-
LICENCIATURA EN CONTADURIA PÚBLICA Y AUDITORÍA
CURSO: PROCESAMIENTO ELECTRONICO DE DATOS
DOCENTE: Ing. René Marcelo Chinchilla Marroquín.
SEPTIMO CICLO 2020
ALUMNA: ANA ROSA GUDIEL TEJADA.
201745832.
2. INDICE
INTRODUCCION ..................................................................................................................i
GENERALIDADES DE LA AUDITORIA DE SISTEMAS ...........................................1
MISION DE LA AUDITORIA ...........................................................................................1
ESTANDARES PARA AUDITORIA DE SISTEMAS...................................................2
ANALISIS DE RIESGO, CONTROLES ........................................................................4
Objetivo del análisis de riesgos .....................................................................................4
CONCEPTOS SOBRE CONTROLES ..........................................................................4
Definición...........................................................................................................................5
2. Control interno..............................................................................................................5
3. Controles en un centro de computo..........................................................................5
4. Controles Administrativos...........................................................................................6
5. Controles en la entrada de datos..............................................................................6
TIPOS DE AUDITORIA DE SISTEMAS.......................................................................7
1. Auditoría con la computadora ....................................................................................7
2. Auditoria sin la computadora .....................................................................................8
3. Auditoría de la gestión informática............................................................................9
4. Auditoría alrededor de la computadora ..................................................................10
5. Auditoría de seguridad de sistemas .......................................................................11
6. Auditoría a los sistemas de redes...........................................................................11
AUDITORIA DE BASES DE DATOS ..........................................................................12
AUDITORIA DE DESARROLLO ..............................................................................12
1. Procedimientos de auditoría ....................................................................................13
2. Pasos:..........................................................................................................................13
AUDITORIAS DE REDES.............................................................................................14
1. Etapas..........................................................................................................................14
OBJETIVOS E INSTRUMENTOS DE EVALUACIÓN .........................................15
1 Evaluación....................................................................................................................15
2. Inspección...................................................................................................................15
3. 3. Confirmación...............................................................................................................16
4. Comparación ..............................................................................................................16
5. Revisión Documental ................................................................................................16
6. Matriz de Evaluación .................................................................................................17
7. Matriz DOFA ...............................................................................................................17
CAMPOS DE APLICACIÓN DE LA AUDITORIA INFORMATICA.......................17
7. OTRAS APLICACIONES..........................................................................................19
ETAPAS. DE LA AUDITORIA DE SISTEMAS........................................................19
IMPLEMENTACIÓN DE R.A.S. ...................................................................................20
1. Manejadores de bases de datos .............................................................................21
2. Elaboración de estructuras de archivos .................................................................21
3. Creación de rutinas de auditoría de sistemas......................................................22
Características del programa de auditoria .................................................................22
Contenido de los programas de auditoria ..................................................................23
LICENCIMIENTOS DE SOFTWARE ..........................................................................23
INVENTARIO DE SOFTWARE....................................................................................35
Diferentes estrategias para diferentes tipos de software.........................................37
Contrastar la información de los inventarios..............................................................38
Recopilar la información de los derechos de uso .....................................................39
Información complementaria para conformar el inventario .....................................40
Interpretar la información sobre cómo hacer un inventario de software ...............41
CONCLUSIONES.............................................................................................................ii
GLOSARIO.......................................................................................................................iii
E-GRAFÍA…………………………………………………………………………………
4. i
INTRODUCCION
En el presente trabajo conoceremos la importancia de la auditoria de sistemas ya
que los datos y la información generada en las empresas a día de hoy son
infinitos. La información que se procesa y trata dentro de una empresa es
incalculable. Las empresas, cada vez en mayor medida, necesitan la tecnología
para trabajar, precisando complejos software y equipos informatizados para
desarrollar su actividad de manera optimizada y eficiente. Esa presencia
imperante de software y tecnología, provoca la necesidad de la auditoría de
sistemas.
La auditoría de sistemas tiene como principal objetivo validar la integridad de la
información y datos almacenados en las bases de datos de los sistemas de
información y su procesamiento. Se trata de uno de los tipos de auditoría que van
más allá del factor económico.
La auditoría de sistemas supone la revisión y evaluación de los controles y
sistemas de informática, así como su utilización, eficiencia y seguridad en la
empresa, la cual procesa la información. Gracias a la auditoría de sistemas como
alternativa de control, seguimiento y revisión, el proceso informático y las
tecnologías se emplean de manera más eficiente y segura, garantizando una
adecuada toma de decisiones.
5. 1
GENERALIDADES DE LA AUDITORIA DE SISTEMAS
MISION DE LA AUDITORIA
El deber ser de un proceso de auditoría de sistemas se enmarca en estas
finalidades, con las cuales se pretende llevarlo a cabo (Betanzos Rodríguez,
2011):
1. Dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado
control interno en ambientes de tecnología informática, con el fin de lograr
eficiencia operacional y administrativa.
2. Participación en el desarrollo de nuevos sistemas buscando una evolución
en coordinación con las nuevas tecnologías.
3. Evaluación de la seguridad informática, desde la entrada de los datos hasta
la concentración de la información.
4. Evaluar la suficiencia de los planes de contingencia, basándose en su
capacidad de reacción y de adaptación.
5. Prever a través de sus respaldos que va a pasar si se presentan fallas.
6. Opinión acerca de uso de los recursos informáticos en base a las políticas
de la empresa y según el criterio del auditor.
7. Resguardo y protección de activos.
8. control de fraudes y modificaciones a aplicaciones y programas.
6. 2
ESTANDARES PARA AUDITORIA DE SISTEMAS
Según (Brito, Suarez, & Pineda, s.f.) En el proceso de auditoría de sistemas
podemos aplicar los siguientes estándares:
Estándares Generales Estándares Específicos
Directrices generales de COBIT: Son
un marco internacional de referencias
que abordan las mejores prácticas de
auditoría de sistemas, permiten que la
gerencia incluya y administre los
riesgos relacionados con la tecnología,
los aspectos técnicos y la necesidad
de los controles.
Iso 27001: Contiene los requisitos del
sistema de gestión de seguridad de la
información, especifica los requisitos
para la implementación y mejora de
este sistema en el contexto del riesgo
y controles de seguridad.
The Management of the Control of
data Information Technology: Este
modelo se basa en los roles y
establece responsabilidades
relacionadas con la seguridad y
controles correspondientes en 7
grupos: administración general,
gerentes de sistemas, dueños,
agentes, usuarios de sistemas de
información, así como proveedores de
servicios, desarrollo y operaciones de
servicios y soporte de sistemas.
Iso 15504: Permite la evaluación de
procesos de software en las
organizaciones que realicen
actividades del ciclo de vida del
software.
Estándares de administración de
calidad y aseguramiento de calidad
ISO 9000: Estos estándares permiten
Iso 12207: Tiene como objetivo
principal proporcionar una estructura
común para que compradores,
7. 3
a la empresa crear sistemas de calidad
efectivos
proveedores, desarrolladores, personal
de mantenimiento, operadores,
gestores y técnicos involucrados en el
desarrollo de software usen un
lenguaje común. Contiene procesos,
actividades y tareas para aplicar
durante la adquisición de un sistema
que contiene software, un producto
software puro o un servicio software, y
durante el suministro, desarrollo,
operación y mantenimiento de
productos software.
Sys Trust- Principios y criterios de
confiabilidad de sistemas: Pretende
aumentar la confianza de la gerencia a
través de la confiabilidad de los
sistemas de información, siendo
confiable cuando funcionas sin errores
significativos.
Iso /IEC 17799 (denominada también
como ISO 27002): Tiene por objeto
desarrollar un marco de seguridad
sobre el cual trabajen las empresas
como guía para la implementación del
sistema de administración y seguridad
de la información.
Modelo de Evolución de
Capacidades de software
(CMM): Hace posible evaluar las
capacidades de la organización para
ejecutar el desarrollo y mantenimiento
de sus sistemas.
Administración de sistemas de
información: Permite a las entidades
gubernamentales comprender la
implementación estratégica de las TIC
Ingeniería de seguridad de sistemas
– Modelo de madurez de
8. 4
capacidades (SSE – CMM): describe
las características de una arquitectura
de la seguridad organizacional, para
las TIC electrónicas de acuerdo con
las prácticas generalmente aceptadas
que tenga la organización.
Cuadro 1 Estándares de la auditoría de sistemas Fuente: propia
ANALISIS DE RIESGO, CONTROLES
Para empezar a hablar del análisis de riesgo debemos empezar por conocer
dentro de la auditoría informática que es un riesgo, según (Crespo Rin, 2013) se
define como la estimación del grado de exposición a que una amenaza se
materialice sobre uno o más activos causando daños o perjuicios a la
Organización.
Luego entonces definimos el análisis de riesgo un proceso sistemático para
estimar la magnitud de los riesgos a que está expuesta una organización. El
análisis de riesgos clasifica los riesgos identificados y proporciona datos para la
evaluación y el tratamiento de los mismos.
Objetivo del análisis de riesgos
Identificar, evaluar y manejar los riesgos de seguridad.
Estimar la exposición de un activo a una amenaza determinada.
Determinar cuál combinación de medidas de seguridad proporcionará un
nivel de seguridad razonable a un costo aceptable.
Tomar mejores decisiones en seguridad informática.
Enfocar recursos y esfuerzos en la protección de los activos.
CONCEPTOS SOBRE CONTROLES
9. 5
Definición
Según (anaranjo, 2000), definimos los controles como un conjunto de
disposiciones metódicas cuyo fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo se realiza conforme a los programas
adoptados, órdenes impartidas y principios admitidos.
2. Control interno
3. Controles en un centro de computo
Según (anaranjo, 2000), los controles internos se clasifican en dos tipos:
10. 6
4. Controles Administrativos
Son un esfuerzo sistemático para establecer normas de desempeño con objetivos
de planificación, para diseñar sistemas de re información, para comparar los
resultados reales con las normas previamente establecidas, para determinar si
existen desviaciones y para medir su importancia.
Control Definición
Preinstalación Previo a la adquisición e instalación de
un equipo de cómputo.
Organización y planificación Definición clara de funciones y
responsabilidades.
Desarrollo y producción Justificar que los controles han sido la
mejor opción para la empresa respecto
de la relación costo-beneficio.
De procesamiento Ciclo que sigue la información desde la
entrada hasta la salida.
De Operación Abarcan todo el ambiente de la
operación del equipo central de
computación.
Uso del microprocesador Garantizar la integridad y
confidencialidad de la información.
Cuadro 2 Controles administrativos
5. Controles en la entrada de datos.
Según (Rivera Samboní, s.f.) podemos definirlos como el control de ingreso para
asegurar que cada transacción a ser procesada cumpla con los siguientes
requisitos:
1- Se debe recibir y registrar con exactitud e íntegramente.
2- Se deben procesar solamente datos válidos y autorizados.
11. 7
3- Se deben ingresar los datos una vez por cada transacción
Dentro del área de control de entrada de datos se localizan los siguientes Puntos
de Control
1- Transacciones en línea.
2- Usuario y operador.
3- Terminal o dispositivo de entrada de datos.
TIPOS DE AUDITORIA DE SISTEMAS.
Según (s.a., Auditoría de sistemas, 2012), tenemos los siguientes tipos de
auditorías de sistemas:
1. Auditoría con la computadora
Es la auditoria que se realiza con el apoyo de los equipos de cómputos y sus
programas para evaluar cualquier tipo de actividades y operaciones no
necesariamente computarizadas, pero si susceptibles de ser automatizadas; dicha
auditoria se realizara también a las actividades del centro de sistemas y a sus
componentes.
12. 8
La principal característica de este tipo de auditoria es que, sea en un caso o en
otro caso, o en ambos, se aprovecha la computadora y sus programas para la
evaluación de las actividades a realizar, de acuerdo a las necesidades concretas
del auditor, utilizando en cada caso las herramientas especiales del sistema y las
tradicionales de la propia auditoría.
2. Auditoria sin la computadora
Es la auditoria cuyos métodos, técnicas y procedimientos están orientados
únicamente a la evaluación tradicional del comportamiento y valides de la
transacciones económicas, administrativas y operacionales de un área de
computo, y en si de todos los aspectos que afectan a las actividades que se
utilizan sistemas informáticos, pero dicha evaluación se realiza sin el uso de
sistemas computacionales.
Es también la evaluación tanto la estructura de organización, funciones y
actividades de funcionarios de personal de un centro de cómputo, así como a los
perfiles de sus puestos,
Como el de los reportes, informes y bitácoras de los sistemas, de la existencia y
aplicación de planes, programas y presupuestos en dichos centro así como del
uso aprovechamientos informáticos para la realización de actividades, operaciones
13. 9
y tareas. Así mismo en la evaluación de los sistemas de actividad y prevención de
contingencia de la adquisición y el uso hardware, software y personal informático,
y en si en todo lo relacionado con el centro de cómputo, pero sin el uso directos
computacionales.
3. Auditoría de la gestión informática
Es la auditoría cuya aplicación se enfoca exclusivamente a las revisiones de las
funciones y actividades de tipo administrativo que se realizaran dentro de un
centro de cómputo, tales como la planeación, organización, dirección de dicho
centro. Esta auditoria se realizara también con el fin de verificar el cumplimiento de
las funciones asignadas a los funcionarios, empleados y usuarios de las tareas de
sistematización, así como para revisar y evaluar las evaluaciones de sistemas.
El uso y protección de los sistemas de procesamiento, los programas y la
información.
Se aplica también para verificar el correcto desarrollo, instalación, mantenimiento
y explotación de los sistemas de computo así como sus equipos e instalaciones.
14. 10
Todo esto se lleva a cabo con el propósito de dictaminar sobre la adecuada
gestión administrativa de los sistemas computacionales de una empresa y del
propio centro informático.
4. Auditoría alrededor de la computadora
Es la revisión específica que se realiza a todo lo que está alrededor de un equipo,
como son sus sistemas, actividades y funcionamiento. Haciendo una evaluación
de sus métodos y procedimientos de acceso y procesamiento de datos, la emisión
y almacenamiento de datos, las actividades de planeación y presupuestario del
equipo del centro de cómputo, los aspectos operacionales y financieros, la gestión
administrativa de accesos al sistema, la atención a sus usuarios y el desarrollo de
nuevos sistemas, las comunicaciones internas y externas, y en sí , a todos
aquellos aspectos que contribuyan al buen funcionamiento de una área de
sistematización.
15. 11
5. Auditoría de seguridad de sistemas
Es la revisión exhaustiva, técnica y especializada que se realiza a todo lo
relacionado con la seguridad de un sistema de cómputo, sus áreas y personal así
como a las actividades, funciones y acciones preventivas y correctivas que
contribuyan a salvaguardar la seguridad de sus equipos computacionales las
bases de datos, redes, instalaciones y usuarios de los sistemas.
Es también la revisión de los planes de contingencia y medida de protección para
la información, los usuarios y los propios sistemas computacionales, en si para
todos aquellos aspectos que contribuyen a la protección y salvaguardar en el buen
funcionamiento del área de sistematización, sistemas de redes o computadoras
personales, incluyendo la prevención y erradicación de los virus informáticos.
6. Auditoría a los sistemas de redes
16. 12
Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas
de redes de una empresa considerando en la evaluación los tipos de redes,
arquitectura, topología, su protocolo de información las conexiones, accesos,
privilegios, administración y demás aspectos que repercuten en su instalación,
administración, funcionamiento y aprovechamiento.
Es también la revisión del software institucional de los recursos informáticos e
información de las operaciones, actividades y funciones que permiten compartir
las bases de datos, instalaciones, software y hardware de un sistema de red.
AUDITORIA DE BASES DE DATOS
Existen dos tipos de metodologías para esta auditoría, más sin embargo cada
organización puede diseñar la suya propia, entre las metodologías encontramos:
Metodología tradicional: El auditor revisa el entorno y para ello se ayuda de un
check list con una serie de cuestiones a verificar.
Metodología de evaluación de riesgos: Este tipo de metodología, conocida
también por risk oriented approach, es la que propone la ISACA, y empieza
fijando los objetivos de control que minimizan los riesgos potenciales a los que
está sometido el entorno.
AUDITORIA DE DESARROLLO
Como se trata de la auditoria operacional al área de informática, este estudio debe
hacerse sobre la base de comprobar la aplicación permanente de los siguientes
parámetros: economicidad, eficiencia y efectividad, lo cual implica una evaluación
evidentemente con visión gerencial. (Rodríguez, 2009).
17. 13
1. Procedimientos de auditoría
Con base en los resultados de la evaluación del sistema de control interno,
definirán los procedimientos de pruebas de auditoría de tipo cumplimiento,
sustantivas y de doble finalidad que se consideran pertinentes en las distintas
circunstancias.
2. Pasos:
a. Estudio preliminar
* Participación de la gerencia
* Definición del proyecto
* Equipo de trabajo
* Requerimiento de información
* Aprobación del proyecto.
b. Estudio de factibilidad
* Alternativas de acción
* Factibilidad tecnológica
* Factibilidad económica
* Aprobación del proyecto
* Plan maestro
* Control de costos
c. Diseño detallado del sistema
* Especificaciones de salida
* Especificaciones de entrada
* Especificaciones de los archivos
* Especificaciones de procesamiento
* Documentos fuente
* Diseño de controles
* Pistas de auditoría
* Documentación de los programas
18. 14
d. Desarrollo e implementación
* Objetivo y descripción de la programación
* Software estandarizado
* Programación por contrato
* Manual de operaciones y de usuarios
AUDITORIAS DE REDES
Según (Ochoa Correa, 2011), estas auditorías son una serie de mecanismos
mediante los cuales se prueba una red informática, evaluando su desempeño y
seguridad logrando una utilización más eficiente y segura de la información.
1. Etapas
a. Análisis de vulnerabilidad: de este análisis depende el curso de acción que se
vaya a tomar en las demás etapas.
b. Estrategia de saneamiento: Parchea la red después de haber encontrado
brechas, las reconfigura o reemplaza por unas más seguras.
c. Plan de contingencia: Replantear la red, reconfigurar el software, reportar
nuevos fallos de seguridad.
d. Seguimiento continuo: Se debe estar pendiente para detectar las nuevas
brechas y prevenir el ataque de programas intrusos.
· Auditoría de red física
Se debe comprobar la seguridad de los equipos de comunicaciones, separar los
cableados eléctrico y telefónico, y la seguridad física de estos equipos.
· Auditoría de comunicaciones
19. 15
Gestionar y monitorizar muy bien las comunicaciones, revisar costos y analizar
muy bien los proveedores.
· Auditoría de la red lógica
Tiene por objetivo evitar un daño interno en la red lógica cuyas recomendaciones
son la creación de protocolos de seguridad para salvaguardar los accesos a
software y hardware y proteger los datos sensibles.
· Auditoría de seguridad informática
Abarca los conceptos de seguridad física y seguridad lógica, la física protege
hardware y soportes de datos y la lógica es la seguridad del uso de software.
OBJETIVOS E INSTRUMENTOS DE EVALUACIÓN
1 Evaluación
Consiste en analizar mediante pruebas de calidad y cumplimiento de funciones,
actividades y procedimientos que se realizan en una organización o área. Las
evaluaciones se utilizan para valorar registros, planes, presupuestos, programas,
controles y otros aspectos que afectan la administración y control de una
organización o las áreas que la integran. La evaluación se aplica para investigar
algún hecho, comprobar alguna cosa, verificar la forma de realizar un proceso,
evaluar la aplicación de técnicas, métodos o procedimientos de trabajo, verificar el
resultado de una transacción, comprobar la operación correcta de un sistema de
software entre otros muchos aspectos.
2. Inspección
La inspección permite evaluar la eficiencia y eficacia del sistema, en cuanto a
operación y procesamiento de datos para reducir los riesgos y unificar el trabajo
hasta finalizarlo. La inspección se realiza a cualquiera de las actividades,
operaciones y componentes que rodean los sistemas.
20. 16
3. Confirmación
El aspecto más importante en la auditoria es la confirmación de los hechos y la
certificación de los datos que se obtienen en la revisión, ya que el resultado final
de la auditoria es la emisión de un dictamen donde el auditor expone sus
opiniones, este informe es aceptado siempre y cuando los datos sean veraces y
confiables. No se puede dar un dictamen en base a suposiciones o emitir juicios
que no sean comprobables.
4. Comparación
Otra de las técnicas utilizadas en la auditoria es la comparación de los datos
obtenidos en un área o en toda la organización y cotejando esa información con
los datos similares o iguales de otra organización con características semejantes.
En la auditoria de sistemas de software, se realiza la comparación de los
resultados obtenidos con el sistema y los resultados con el procesamiento manual,
el objetivo de dicha comparación es comprobar si los resultados son iguales, o
determinar las posibles desviaciones y errores entre ellos.
5. Revisión Documental
Otra de las herramientas utilizadas en la auditoria es la revisión de documentos
que soportan los registros de operaciones y actividades de una organización. Aquí
se analiza el registro de actividades y operaciones plasmadas en documentos y
archivos formales, con el fin de que el auditor sepa cómo fueron registradas las
operaciones, resultados y otros aspectos inherentes al desarrollo de las funciones
y actividades normales de la organización. En esta evaluación se revisan
manuales, instructivos, procedimientos, funciones y actividades. El registro de
resultados, estadísticas, la interpretación de acuerdos, memorandos, normas,
políticas y todos los aspectos formales que se asientan por escrito para el
cumplimiento de las funciones y actividades en la administración de las
organizaciones.
21. 17
6. Matriz de Evaluación
Es uno de los documentos de mayor utilidad para recopilar información
relacionada con la actividad, operación o función que se realiza en el área
informática, así como también se puede observar anticipadamente su
cumplimiento. La escala de valoración puede ir desde la mínima con puntaje 1
(baja, deficiente) hasta la valoración máxima de 5 (superior, muy bueno,
excelente). Cada una de estas valoraciones deberá tener asociado la descripción
del criterio por el cual se da ese valor. Esta matriz permite realizar la valoración del
cumplimiento de una función específica de la administración del centro de
cómputo, en la verificación de actividades de cualquier función del área de
informática, del sistema software, del desarrollo de proyectos software, del servicio
a los usuarios del sistema o cualquier otra actividad del área de informática en la
organización.
7. Matriz DOFA
Este es un método de análisis y diagnóstico usado para la evaluación de un centro
de cómputo, que permite la evaluación del desempeño de los sistemas de
software, aquí se evalúan los factores internos y externos, para que el auditor
pueda conocer el cumplimiento de la misión y objetivo general del área de
informática de la organización.
CAMPOS DE APLICACIÓN DE LA AUDITORIA INFORMATICA
Según (Sayvict, 2006), la auditoría de sistemas tiene los siguientes campos de
aplicación:
1. Investigación científica y humanística: Se usan la las computadoras para la
resolución de cálculos matemáticos, recuentos numéricos, etc. Algunas de estas
operaciones:
• Resolución de ecuaciones.
• Análisis de datos de medidas experimentales, encuestas etc.
22. 18
• Análisis automáticos de textos.
2. Aplicaciones técnicas: Usa la computadora para facilitar diseños de ingeniería
y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones:
• Análisis y diseño de circuitos de computadora.
• Cálculo de estructuras en obras de ingeniería.
• Minería.
• Cartografía.
3. Documentación e información: Es uno de los campos más importantes para
la utilización de computadoras. Estas se usan para el almacenamiento de grandes
cantidades de datos y la recuperación controlada de los mismos en bases de
datos. Ejemplos de este campo de aplicación son:
• Documentación científica y técnica.
• Archivos automatizados de bibliotecas.
• Bases de datos jurídicas.
4. Gestión administrativa: Automatiza las funciones de gestión típicas de una
empresa. Existen programas que realizan las siguientes actividades:
• Contabilidad.
• Facturación.
• Control de existencias.
• Nóminas.
5. Inteligencia artificial: Las computadoras se programan de forma que emulen el
comportamiento de la mente humana. Los programas responden como
previsiblemente lo haría una persona inteligente. Aplicaciones como:
• Reconocimiento del lenguaje natural.
• Programas de juego complejos (ajedrez).
6. Instrumentación y control: Instrumentación electrónica, electromedicina,
robots industriales, entre otros.
23. 19
7. OTRAS APLICACIONES
Otros campos de aplicación no vistos anteriormente: video-juegos, aplicaciones en
el arte, procesamiento de imágenes.
ETAPAS. DE LA AUDITORIA DE SISTEMAS.
Según (Angel, 2015), un proceso de auditoría de sistemas comprende las
siguientes etapas:
1. Etapa de la planeación de la auditoría
Cómo se va a ejecutar la auditoría, donde se debe identificar de forma clara las
razones por las que se va a realizar la auditoría, la determinación del objetivo de la
misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla a
cabo, siguiendo con la elaboración de planes y presupuestos.
2. Etapa de Ejecución de la Auditoría
La siguiente etapa después de la planeación de la auditoría es la ejecución de la
misma, y está determinada por las características propias, los puntos elegidos y
los requerimientos estimados en la planeación.
3. Etapa de Dictamen de la Auditoría
La tercera etapa luego de la planeación y ejecución es emitir el dictamen, que es
el resultado final de la auditoría, donde se presentan los siguientes puntos: la
elaboración del informe de las situaciones que se han detectado, la elaboración
del dictamen final y la presentación del informe de auditoría.
Dentro de las etapas está enmarcado el paso a paso que incluye la realización de
cada una en el proceso auditor, para lo cual se ilustra en el siguiente cuadro
ETAPAS PASOS A REALIZAR
Planeación de
la Auditoria de
Sistemas
1. Identificar el origen de la auditoría.
2. Realizar una visita preliminar al área que será evaluada.
3. Establecer los objetivos de la auditoría.
24. 20
4. Determinar los puntos que serán evaluados en la
auditoría.
5. Elaborar planes, programas y presupuestos para realizar
la auditoría.
6. Identificar y seleccionar los métodos, herramientas,
instrumentos y procedimientos necesarios para la auditoría.
7. Asignar los recursos y sistemas computacionales para la
auditoría.
Ejecución de la
Auditoria de
Sistemas
1. Realizar las acciones programadas para la auditoría.
2. Aplicar los instrumentos y herramientas para la auditoría.
3. Identificar y elaborar los documentos de oportunidades
de mejoramiento encontradas.
4. Elaborar el dictamen preliminar y presentarlo a discusión.
5. Integrar el legajo de papeles de trabajo de la auditoría
Dictamen de la
Auditoria de
Sistemas
1. Analizar la información y elaborar un informe de
situaciones detectadas.
2. Elaborar el Dictamen final.
3. Presentar el informe de auditoría.
Cuadro 3 Etapas y paso a paso de la auditoría de sistemas Fuente: (Angel, 2015)
IMPLEMENTACIÓN DE R.A.S.
El RAS controla las líneas de módem y otros canales de comunicación de la red,
para que establezca conexión con otra red remota responden llamadas telefónicas
entrantes o reconocen la petición de la red y realizan los chequeos necesarios de
seguridad y otros procedimientos necesarios para registrar a un usuario en la red.
25. 21
1. Manejadores de bases de datos
Según (Power Data, 2015), los manejadores de bases de datos se conocen
también como Los Sistemas Gestores de Bases de Datos (SGBD) son un conjunto
de programas o software de aplicación general, que permite crear y manipular una
cantidad variable de bases de datos computarizada, a partir de utilizar un
diccionario de datos o catálogo que es donde se definen los datos, la estructura de
estos y las restricciones de los datos que se almacenarán en la base de datos.
Cabe aclarar que no siempre es necesario usar un SGBD de aplicación general
para crear una Base de Datos computarizada (el cual requerirá siempre de un
catálogo), también se podría crear a partir de escribir una serie de programas en
un lenguaje de programación, como el Turbo Pascal, para manipular una base de
datos especifica creando así nuestro propio SGBD de aplicación específica (no
requiere de catálogo).
2. Elaboración de estructuras de archivos
Para crear una estructura organizada y eficiente deberíamos seguir unos criterios
fundamentales:
· No crear estructuras de carpetas de más cuatro niveles.
· No duplicar archivos.
· Imitar el orden de trabajo de nuestra organización.
· Determinar quién debe acceder a las carpetas.
· Distinguir los archivos de uso inmediato de los antiguos.
Criterios para organizar las carpetas
Proponemos tres formas fundamentales para organizar las carpetas.
* Según los departamentos o subdivisiones de la empresa o grupo de trabajo.
* A partir del flujo de trabajo del grupo.
26. 22
* A partir del acceso de los clientes o usuarios.
3. Creación de rutinas de auditoría de sistemas.
El programa de Auditoría, es el procedimiento a seguir, en el examen a realizarse,
el mismo que es planeado y elaborado con anticipación y debe ser de contenido
flexible, sencillo y conciso, de tal manera que los procedimientos empleados en
cada Auditoría estén de acuerdo con las circunstancias del examen.
El programa de Auditoría, es la línea de conducta a seguir, las etapas a franquear,
los medios a emplear; es una especie de cuadro anticipado en el cual los
acontecimientos próximos se han previsto con cierta precisión, según la idea que
uno se ha formado de ellos. El método a emplearse en la elaboración del plan o
programa de Auditoría, según apreciación de los Contadores Públicos Colegiados
que se dedican a la Auditoría, debe ser preparado especialmente para cada caso,
ya que no existen dos casos de Auditoría exactamente iguales, así como es
imprescindible dar a cada Programa de Auditoría la autonomía necesaria.
En la preparación del programa de Auditoría se debe tomar en cuenta:
· Las Normas de Auditoría.
· Las Técnicas de Auditoría.
· Las experiencias anteriores.
· Los levantamientos iniciales.
· Las experiencias de terceros.
Características del programa de auditoria
El programa de Auditoría, envuelve en su elaboración todo lo que será realizado
durante el proceso de la Auditoría. Por esta razón tiene un campo de acción tan
dilatado que requiere evidentemente una disciplina mental y una capacidad
profesional apreciable.
Entre las características que debe tener el programa de Auditoría, podemos
anotar:
27. 23
1. - Debe ser sencillo y comprensivo.
2. - Debe ser elaborado tomando en cuenta los procedimientos que se utilizarán
de acuerdo al tipo de empresa a examinar.
3. - El programa debe estar encaminado a alcanzar el objetivo principal.
4. - Debe desecharse los procedimientos excesivos o de repetición.
5. - El programa debe permitir al Auditor a examinar, analizar, investigar, obtener
evidencias para luego poder dictaminar y recomendar.
6. - Las Sociedades Auditoras, acostumbran tener formatos pre establecidos los
cuales deben ser flexibles para que puedan ser adecuados a un determinado tipo
de empresa.
7. - El programa debe ser confeccionado en forma actualizada y con amplio
sentido crítico de parte del Auditor.
Contenido de los programas de auditoria
El programa de Auditoría, presenta en forma lógica las instrucciones para que el
Auditor o el personal que trabaja una Auditoría, pueda seguir los procedimientos
que debe emplearse en la realización del examen, incluye los procedimientos
específicos para la verificación de cada tipo de activo, pasivo y resultados, en el
orden normal que aparecen en los estados económicos y financieros de la
empresa.
El programa no debe ser rígido, sino flexible para adaptarse a las condiciones
cambiantes que se presenten a lo largo de la Auditoría que se está practicando.
LICENCIMIENTOS DE SOFTWARE
Una licencia se define como una forma de contrato mediante la que el usuario
puede utilizar un determinado programa informático. Cuando se refiere a
programas informáticos, el contrato se realiza entre el creador del programa y las
personas que lo van a utilizar.
28. 24
Licencia de software de propietario
El Software propietario es aquel cuya copia, redistribución o modificación están, en
alguna medida, prohibidos por su propietario. Para usar, copiar o redistribuir, se
debe solicitar permiso al propietario o pagar.
Licencia de software de dominio público
El Software con dominio público es software sin copyright. Algunos tipos de copia
o versiones modificadas pueden no ser libres si el autor impone restricciones
adicionales en la redistribución del original o de trabajos derivados.
Licencia de software de semi libre
Aquél que no es libre, pero viene con autorización de usar, copiar, Distribuir y
modificar para particulares sin fines de lucro.
Licencia de software libre
Proporciona la libertad de
• Ejecutar el programa, para cualquier propósito;
• Estudiar el funcionamiento del programa, y adaptarlo a sus necesidades;
• Redistribuir copias;
• Mejorar el programa, y poner sus mejoras a disposición del público, para
beneficio de toda la comunidad.
Licencia de software de libre no protegido con copyleft
El software libre no protegido con copyleft viene desde el autor con autorización
para redistribuir y modificar así como para añadirle restricciones adicionales. Si un
programa es libre pero no protegido con copyleft, entonces algunas copias o
29. 25
versiones modificadas pueden no ser libres completamente. Una compañía de
software puede compilar el programa, con o sin modificaciones, y distribuir
el archivo ejecutable como un producto privativo de software.
El sistema X Windows ilustra esto.
Licencia de software de Copyleft
El software protegido con copyleft es software libre cuyos términos
de distribución no permiten a los redistribuidores agregar ninguna restricción
adicional cuando éstos redistribuyen o modifican el software. Esto significa que
cada copia del software, aun si ha sido modificado, debe ser software libre.
Copyleft es un concepto general; para proteger actualmente un programa con
copyleft, necesita usar un conjunto específico de términos de distribución.
Licencia de software de GPL
La Licencia Pública General Reducida de GNU, o GNU LGPL para abreviar. Es
una licencia de software libre, pero no tiene un copyleft fuerte, porque permite que
el software se enlace con módulos no libres.
Entre la versión 2 y la 2.1, la GNU LGPL cambió su nombre de "Licencia Pública
General para Bibliotecas de GNU" a "Licencia Pública General Reducida de GNU",
pues no es sólo para bibliotecas.
Licencia de software de Debian
La licencia Debian es parte del contrato realizado entre Debian y la comunidad de
usuarios de software libre, y se denomina Debian Free Software Guidelines
(DFSG). En esencia, esta licencia contiene criterios para la distribución que
incluyen, además de la exigencia de publicación del códigofuente:
30. 26
La redistribución libre
El código fuente debe ser incluido y debe poder ser redistribuido
Todo trabajo derivado debe poder ser redistribuido bajo la misma licencia
del original
Puede haber restricciones en cuanto a la redistribución del código fuente, si
el original fue modificado
La licencia no puede discriminar a ninguna persona o grupo de personas,
así como tampoco ninguna forma de utilización del software
Los derechos otorgados no dependen del sitio en el que el software se
encuentra
La licencia no puede contaminar a otro software.
Licencia de software de BSD
La licencia BSD cubre las distribuciones de software de Berkeley Software
Distribution, además de otros programas. Ésta es una licencia considerada
permisiva, ya que impone pocas restricciones sobre la forma de uso, alteraciones
y redistribución del software. El software puede ser vendido y no
hay obligaciones de incluir el código fuente. Esta licencia garantiza el crédito a los
autores del software pero no intenta garantizar que las modificaciones futuras
permanezcan siendo software libre.
Licencia de software de MPL y derivadas
Este tipo de licencias de Software libre son muy parecidas a las BSD, pero son
menos permisivas.
31. 27
Licencia de software con copyleft
El termino Copyleft se puede interpretar como Copia permitida, en contraposición
a Copyright, o Copia reservada (derechos de autor).
Se refiere a la autorización por parte del propietario de la licencia para su copia,
modificación y posterior distribución, contrariamente a lo que ocurre con el
software licenciado bajo los términos de los derechos de autor.
El propietario de la licencia bajo términos de Copyleft puede desarrollar una
versión de dicho software bajo licencia sujeta a Copyright y vender o ceder este
software bajo cualquiera de estas licencias, pero sin afectar a las licencias
Copyleft ya otorgadas.
El propietario de estas licencias puede retirar la autorización de uso de una
licencia Copyleft si lo cree oportuno, pero en ese caso está obligado a indemnizar
a los poseedores de las licencias en uso de este tipo.
Licencia de software de Freeware
Se trata de un tipo de licencia en el que se autoriza el uso del software de forma
libre y gratuita, aunque esta sesión pueda ser bajo determinadas condiciones,
como por ejemplo que el software incluya algún tipo de publicidad o limitación
referente al tipo de usuario al que va destinada. Un ejemplo de esto sería que se
autoriza su uso a particulares, pero no a empresas o a organismos oficiales.
Este tipo de licencia suele incluir una cláusula en la que se especifica la
prohibición de la venta de dicho software por parte de terceros.
32. 28
El software distribuido bajo este tipo de licencia puede ser software libre, pero no
tiene por qué serlo.
Licencia de software de Postcardware
Es un tipo de licencia muy similar al Freeware, sólo que suele pedirse el envío de
una postal como confirmación de su utilización, aunque la utilización del programa
no suele estar supeditada al envío de esta.
Licencia de software de Donationware
Al igual que las licencias Postcardware, la licencia Donationware se puede
considerar como una variante de la licencia Freeware.
En este tipo de licencia se le pide al usuario el envío de un donativo para sufragar
el desarrollo del programa, si bien no se supedita ni el uso de este ni sus opciones
al envío de dicho donativo.
Licencia de software de Shareware
Es un tipo de distribución en el que se autoriza el uso de un programa para que el
usuario lo evalúe y posteriormente lo compre. El software con licencia Shareware
tiene unas limitaciones que pueden ser de varios tipos. O bien una limitación en
el tiempo de utilización o bien una limitación en el funcionamiento de
sus funciones y opciones, pero suele tratarse de software operativo.
Los programas que exigen registrarse para poder utilizarse plenamente se
consideran Shareware, aunque esta licencia no implique un pago en metálico.
33. 29
Licencia de software de Demo
Más que de un tipo de licencia, en este caso se trata de la sesión de un programa
para su evaluación, pero con unas fuertes limitaciones en sudesempeño. Un claro
ejemplo de esto es un programa que nos permite ver qué se puede hacer con él,
pero que no permite llevar estas acciones a su término o bien juegos que no
permiten guardar las partidas o bien programas de gestión que no permiten
guardar los datos al cerrarse.
Licencia de software de Abandonware
Se trata de software, normalmente con bastante antigüedad, sobre el que sus
creadores han liberado el copyright o los derechos de autor. El software afectado
por este tipo de licencia suele estar descatalogado y no disponible en tiendas ni
otros canales de distribución y venta.
Este tipo de licencia se aplica sobre todo a juegos. Existen webs especializadas
en este tipo de software, hay que aclarar que NO se trata de software pirata, ya
que cuentan con la autorización de los propietarios de dichas licencias para
distribuir estos programas.
Licencia de software de X.org
El Consorcio X distribuye X Windows System bajo una licencia que lo hace
software libre, aunque sin adherirse al copyleft. Existen distribuciones bajo la
licencia de la X.org que son software libre, y otras distribuciones que no lo son.
Existen algunas versiones no-libres del sistema de ventanas X11 para estaciones
de trabajo y ciertos dispositivos de IBM-PC que son las únicas funciones
disponibles, sin otros similares que sean distribuidos como software libre.
34. 30
Licencia de software de fuentes abiertas / o código abierto
Según la filosofía de la Open Source Initiative, y en el que la licencia cumple los
siguientes criterios:
Libre distribución.
Distribución del código fuente.
La licencia debe permitir la modificación del código fuente, los desarrollos
derivados y su redistribución en las mismas condiciones que el software
original.
Integridad del código fuente del autor. La licencia puede imponer que los
desarrollos derivados se redistribuyan con un nombre diferente o con un
número de versión diferente de aquél del software original.
La licencia no debe ser discriminatoria de persona alguna o grupos de
personas.
La licencia no debe restringir la utilización del software a campos de
dominio o actividad.
Los derechos otorgados al programa deben ser aplicables a todos aquellos
a quienes el software es redistribuido sin imponer condiciones (licencias)
complementarias.
Los derechos otorgados a un programa no deben depender del hecho de
que forme parte de una distribución de software específica.
La licencia no debe imponer restricciones en otro software que se distribuya
junto con la distribución licenciada
La licencia debe ser neutral en relación con la tecnología.
Licencia de software de código abierto permisivas
Se puede crear una obra derivada sin que ésta tenga obligación de protección
alguna. Muchas licencias pertenecen a esta clase, entre otras:
35. 31
Academic Free License v.1.2.
Apache Software License v.1.1.
Artistic License v.2.0
Attribution Assurance license.
BSD License.
MIT License.
University of Illinois/NCSA Open Source License.
W3C Software Notice and License.
Zope Public License v.2.0
Open LDAP License v.2.7
Perl License.
Academic Free License v.3.0
Python License v.2.1
PHP License v.3.0
Q Public License v.1.0
Licencia de software de código abierto robustas
Estas licencias aplican algunas restricciones a las obras derivadas, haciendo que
según el grado de aplicación se puedan dividir a su vez en dos subcategorias:
Licencias de software de código abierto robustas fuertes
Las licencias de software de código abierto robustas fuertes o con copyleft fuerte,
contienen una cláusula que obliga a que las obras derivadas o modificaciones que
se realicen al software original se deban licenciar bajo los mismos términos y
condiciones de la licencia original.
36. 32
Entre las licencias de esta categoría están:
Common Public License v.1.0.
GNU General Public License v.2.0.
GNU General Public License v.3.0.
Eclipse Public License.
eCos License v.2.0
Sleepycat Software Product License.
Affero License v.1.0
Affero License v.2.0
OpenSSL License.
Licencias de software de código abierto robustas débiles
Las licencias de software de código abierto robustas débiles, con copyleft
débil/suave o híbridas, contienen una cláusula que obliga a que las modificaciones
que se realicen al software original se deban licenciar bajo los mismos términos y
condiciones de la licencia original, pero que las obras derivadas que se puedan
realizar de él puedan ser licenciadas bajo otros términos y condiciones distintas.
Entre las licencias de esta categoría están:
GNU Lesser General Public License v.2.1.
Mozilla Public License
Open Source License.
Apple Source License v.2.0
CDDL.
EUPL.
37. 33
Licencia de software de código cerrado
Estas licencias también se conocen con el nombre de software propietario o
privativo. En ellas los propietarios establecen los derechos de uso, distribución,
redistribución, copia, modificación, cesión y en general cualquier otra
consideración que se estime necesaria.
Este tipo de licencias, por lo general, no permiten que el software sea modificado,
desensamblado, copiado o distribuido de formas no especificadas en la propia
licencia (piratería de software), regula el número de copias que pueden ser
instaladas e incluso los fines concretos para los cuales puede ser utilizado. La
mayoría de estas licencias limitan fuertemente la responsabilidad derivada de
fallos en el programa.
Los fabricantes de programas sometidos a este tipo de licencias por lo general
ofrecen servicios de soporte técnico y actualizaciones durante el tiempo de vida
del producto.
Algunos ejemplos de este tipo de licencias son las llamadas CLUFs: Contrato de
Licencia para Usuario Final o EULAs: End User License Agreement, por sus siglas
en Inglés.
Licencia de software de privativo
El software privativo es software que no es libre ni semilibre. Su uso, redistribución
o modificación está prohibida, o requiere que usted solicite autorización o está tan
restringida que no pueda hacerla libre de un modo efectivo.
38. 34
Licencia de software de Comercial
El software comercial es software que está siendo desarrollado por una entidad
que tiene la intención de hacer dinero del uso del software. Comercial y privativo
¡no son la misma cosa! La mayoría del software comercial es privativo, pero hay
software libre comercial y hay software no libre no comercial.
Licencia de software de OEM
Se trata de un tipo de licencia que supedita su venta a que esta debe ser como
parte de un equipo nuevo, estando prohibido venderlos si no es bajo esta
condición. Aunque afecta más que nada a sistemas operativos, también puede
afectar a otro tipo de software.
Aunque el software comprado bajo este tipo de licencia implica la propiedad del
mismo por parte del que la compra los fabricantes pueden poner ciertas
limitaciones a su uso, como el número máximo de veces que se puede reinstalar.
Se trata de software plenamente operativo y exactamente igual a las versiones
Retail del mismo, aunque en el caso de que se ofrezca algún extra en la versión
Retail en concepto de Bonus pack los fabricantes no están obligados a ofrecerlo
también en las versiones OEM. Los programas adquiridos bajo este tipo de
licencia NO se pueden vender ni ceder a terceros, salvo en las mismas
condiciones en las que se compraron (es decir, como parte de un equipo).
Licencia de software de Retail
Son las versiones de venta de software. En este caso el programa es de la entera
propiedad del usuario, pudiendo este cederlo libremente a terceros o venderlo.
39. 35
Licencia de software de volumen
Es un tipo de licencia de software destinado grandes usuarios (empresas),
normalmente bajo unas condiciones similares a las de las licencias OEM, aunque
sin estar supeditadas a equipos nuevos.
Básicamente se trata de estipular un determinado número de equipos que pueden
utilizar el mismo código de licencia, quedando el fabricante de dicho software
autorizado para hacer las comprobaciones que considere oportunas para ver que
las licencias que se están utilizando son las adquiridas.
Normalmente estas licencias se venden en paquetes de x número de licencias, por
ejemplo en paquetes de 25 licencias como mínimo.
Este tipo de licencia NO se puede ceder a terceros ni total ni parcialmente.
INVENTARIO DE SOFTWARE
“Conozco perfectamente todo el software instalado en mi empresa”. “Como mis
usuarios no son administradores de sus ordenadores, solo pueden utilizar lo que
les he instalado”. “Mi equipo de Administradores de Sistemas es muy profesional,
confío plenamente en él”.
Es habitual escuchar estas frases en incontables organizaciones, siempre dichas
desde el más absoluto convencimiento y confianza. Por desgracia, la realidad más
habitual es que en las empresas hay mucho más software instalado del que
imaginamos. Y para saber cómo hacer un inventario de software adecuado, hay
que tenerlo en mente.
40. 36
Así pues, existen múltiples razones por las que se puede llegar a tener software
no controlado:
Entornos de prueba que no se gestionan con el mismo rigor que los
productivos.
Migraciones o actualizaciones de productos.
Cambios de equipamiento entre distintos usuarios.
Pruebas temporales de productos.
Diseño no óptimo de las autorizaciones en los sistemas.
Pruebas de concepto para el desarrollo de software.
Como consecuencia de lo anterior, pueden existir productos que han quedado
“olvidados” en los sistemas. Asimismo, estos productos pueden haberse instalado
sin que el responsable correspondiente tenga conocimiento de ello.
Y esta situación es ideal para algunos fabricantes que basan gran parte de su
actividad comercial en auditorías agresivas, como Oracle, IBM, SAP, Micro Focus,
Microsoft, Software AG, VMware - Dell, McAfee, Adobe, Autodesk, BMC o TIBCO.
En consecuencia, cuando una empresa llega al convencimiento de la necesidad
de recopilar información acerca del software instalado y tener un óptimo control de
inventarios, tiene que resolver la siguiente cuestión: ¿cómo hacer un inventario de
software? El concepto resulta similar, en cierto modo, a un control de almacén con
su correspondiente software.
41. 37
Diferentes estrategias para diferentes tipos de software
No se puede abordar la problemática acerca de cómo hacer un inventario de
software sin tener en cuenta los diferentes ámbitos que existen.
Resulta habitual apoyarse en una herramienta de inventario de hardware y
software (con funcionalidades de Network Discovery, Network Inventory, Network
Monitor, Asset Tracking, Inventory Software, etc.). Aquí empieza nuestra primera
elección: ¿centrarse en análisis de servidores o en análisis de puestos de trabajo?
Si bien generalmente los puestos de trabajo tienen un sistema operativo estándar
(Windows, Linux o Mac OS), en el mundo de los servidores podemos encontrar
soluciones “propietarias” que restringen las posibilidades de elección del software
de inventario.
La siguiente elección será escoger entre un programa de inventario cuyo
funcionamiento se base en agentes o que funcione sin ellos. Generalmente,
podemos dar por supuesto que las herramientas basadas en agentes
proporcionan una mayor inmediatez para obtener la información. Cuando se
instala, desinstala o se modifica un producto existente, éstos informan de la
variación ocurrida.
En cambio, con las herramientas sin agentes, es necesario ejecutar un
“descubrimiento” o “escaneo” para obtener la información y saber bien cómo hacer
un inventario de software.
Pero la rapidez de las herramientas basadas en agentes se contrarresta con la
problemática derivada de instalar los propios agentes. ¿Están instalados en todos
42. 38
los equipos, incluidos los de prueba, desarrollo, test, etc.? ¿Está actualizada su
configuración? Un fallo en este componente puede generar una situación negativa
si se presenta un fabricante para ejecutar una auditoría.
Igualmente, otra elección que debemos llevar a cabo es entre programas para
inventarios que solo realicen inventarios de lo existente u otra herramienta que
permita contrastar la información de los inventarios con las licencias adquiridas.
A continuación desarrollaremos más ampliamente este aspecto sobre cómo hacer
un inventario de software.
Contrastar la información de los inventarios
Tener un buen control de inventarios con el software de gestión de inventarios que
se hubiera seleccionado, es solo resolver la primera parte del problema.
En consecuencia, podemos tener una gestión de inventarios excelente, obtenidos
con la mejor aplicación de inventario y, aunque ésta permita conocer todo el
software instalado y tener un inventario de red completo, podría no resolver el
problema principal.
En realidad, este problema consiste en asegurar que nuestra empresa utiliza
correctamente el software instalado. De este modo, ante una auditoría no habrá
ningún riesgo que se traduzca en una elevada reclamación económica.
Así, para determinar cómo hacer un inventario de software que sea lo más útil
posible, hemos de tener siempre presente que uno de los principales objetivos es
43. 39
el reseñado en el párrafo anterior. Por tanto, la información del inventario se debe
completar con los datos sobre las licencias adquiridas por nuestra organización, e
incluso con las licencias de software libre utilizadas. Es decir, con los derechos de
uso de software efectivos que pueden disfrutar nuestros usuarios.
Recopilar la información de los derechos de uso
Muchas veces resulta terriblemente complejo recopilar esta información. Hay
muchos motivos por los que su localización es complicada o, a veces,
directamente imposible. A continuación señalamos algunos ejemplos a tener en
cuenta para saber cómo hacer un inventario de software:
Adquisiciones realizadas hace muchos años.
Adquisiciones gestionadas por personas que ya no están en la empresa.
Derechos de uso provenientes de otras empresas pertenecientes al mismo
grupo empresarial.
Derechos de uso provenientes de empresas con las que se ha producido
una fusión.
Derechos de uso adquiridos conjuntamente o dentro de la licencia de
software de otro producto.
Existen otras muchas situaciones que convierten la tarea de recopilar
la información de los derechos de uso en un proceso arduo, complicado y, a
44. 40
veces, imposible. Por tanto, deben tenerse muy en cuenta para saber cómo hacer
un inventario de software.
También hay que considerar que, probablemente, cada empresa adquiere, elimina
y modifica muchos productos a lo largo del tiempo. La tarea de recopilar esta
información y alimentar la herramienta correspondiente, suele implicar la
dedicación completa de alguna persona. Ha de tenerse inevitablemente en cuenta
este coste a la hora de tomar la decisión de poner en marcha un sistema de
inventario.
Información complementaria para conformar el inventario
No es conveniente auto engañarse pensando que, aunque no hayamos localizado
dicha información, el fabricante la tendrá. Cuando un fabricante realiza
una auditoría de software, parte de la base de que el cliente tiene que demostrar
los derechos de uso que posee, de manera que todo aquello que no se pueda
demostrar, sencillamente, no existe.
En este sentido, y centrándonos en cómo se hace un inventario de software, las
herramientas que permiten incorporar las licencias adquiridas a la información del
inventario informático añaden una visión interesante. Proporcionarán información
de las licencias necesarias según el inventario de hardware y configuraciones
existentes simultáneamente.
Para tener claro cómo hacer un inventario de software no hay que quedarse en
una mera recopilación de información, es necesario también saber interpretarla.
45. 41
Interpretar la información sobre cómo hacer un inventario de software
La herramienta de Network Discovery proporcionará la información de
los productos instalados en determinadas máquinas con sus configuraciones. La
misma herramienta podría determinar que estamos haciendo un uso de 200
licencias de dicho producto. Incluso hemos podido introducir en la herramienta que
nuestra empresa dispone de 250 licencias de ese producto.
¿Tranquilidad? ¿Seguridad?
Poco tiempo después, el fabricante del producto realiza un proceso de auditoría
que afrontamos con total confianza. Al finalizar este proceso, el fabricante nos
presenta un informe en el que se nos exige la adquisición de 200 licencias del
producto, al precio de lista y con dos años de mantenimiento retroactivo.
¿Qué ha fallado? ¿Qué no hemos tenido en cuenta sobre cómo hacer un
inventario de software?
Sencillamente, no se ha interpretado adecuadamente la información de la que
disponíamos.
46. ii
CONCLUSIONES
En la auditoria de sistemas hoy en día es de vital importancia para las empresa
modernas con visión de futuro, sobre todo inmersas enel mundo globalizado, porque si no se
prevé los mecanismos de control, seguridad y respaldo de la información dentro
de una institución se verá sumida a riesgos lógicos, físicos y humanos, que
conlleven a fraudes no solamente económicos sino de información, es decir,
pérdidas para la empresa. Deberá comprender no sólo la evaluación de los equipos
de cómputo de un sistema o procedimiento específico, sino que además habrá
de evaluar los sistemas de información en general desde sus entradas,
procedimientos, controles. En la mayoría de empresas existe una constante
preocupación por la presencia ocasional de fraudes económicos y de información,
sin embargo, muchos de estos podrían prevenirse. En algunos países de América
latina, donde normalmente los salarios son bajos, las crisis recurrentes y las
necesidades de los trabajadores no se ven del todo satisfechas; y si a esto
agregamos fallas en el control interno, poco conocimiento en la educación de
sistemas y la falta de vigilancia adecuada en las operaciones, entonces las
posibilidades de sufrir un fraude son grandes. Evitar fraudes es responsabilidad de
todos los empleados, y la responsabilidad es de las empresas el poder darle la
información, capacitación y conocimiento adecuada a su personal para que la
tecnología en nuestra empresa y servicios profesionales sea de éxito.
47. iii
GLOSARIO
Auditoria
Inspección o verificación de la contabilidad de una empresa o una entidad,
realizada por un auditor con el fin de comprobar si sus cuentas reflejan el
patrimonio, la situación financiera y los resultados obtenidos por dicha empresa o
entidad en un determinado ejercicio.
Auditorias de Redes
Son una serie de mecanismos mediante los cuales se prueba una red informática,
evaluando su desempeño y seguridad logrando una utilización más eficiente y
segura de la información.
Controles
Como un conjunto de disposiciones metódicas cuyo fin es vigilar las funciones y
actitudes de las empresas y para ello permite verificar si todo se realiza conforme
a los programas adoptados, órdenes impartidas y principios admitidos.
Controles Administrativos
Son un esfuerzo sistemático para establecer normas de desempeño con objetivos
de planificación, para diseñar sistemas de re información, para comparar los
resultados reales con las normas previamente establecidas, para determinar si
existen desviaciones y para medir su importancia.
Hardware
Conjunto de elementos físicos o materiales que constituyen una computadora o un
sistema informático.
Licencia
48. iv
Forma de contrato mediante la que el usuario puede utilizar un determinado
programa informático. Cuando se refiere a programas informáticos, el contrato se
realiza entre el creador del programa y las personas que lo van a utilizar.
Licencia de software de propietario
Es aquel cuya copia, redistribución o modificación están, en alguna medida,
prohibidos por su propietario. Para usar, copiar o redistribuir, se debe solicitar
permiso al propietario o pagar.
Software
Conjunto de programas y rutinas que permiten a la computadora realizar
determinadas tareas.
Inventario
Lista ordenada de bienes y demás cosas valorables que pertenecen a una
persona, empresa o institución.