metodología de auditoria de una aplicación
DESCRIPTION
Metodología de Auditoria de Una AplicaciónTRANSCRIPT
Metodología de Auditoria de una Aplicación
1. Identificar el área a revisar
Área de Matrícula
2. Identificar información necesaria para la auditoría
La auditoría sobre el área de matrícula solo se va limitar con las carreras de
Ingenierías (Sistemas, Ambiental, Civil, Industrial), que cuentan con ocho (8)
máquinas para este proceso; es decir, dos (2) por carrera y cada máquina
tiene instalado una aplicación llamada Seus para la matrícula; con el objetivo
de poder visualizar si los controles de la aplicación se ejecutan de la manera
correcta además de verificar si se cumplen algunas características de calidad
del sistema.
3. Obtener información general sobre el sistema operacional
El Proceso de matrícula actualmente se realiza en la oficinas de la
Universidad César Vallejo - Lima Este (específicamente 5to piso pabellón B),
el cual se es delegado a un personal en específico de cada escuela de la
facultad de Ingenierías, el cual se encarga de definir los horarios para realizar
la matrícula de los alumnos que se presentan a las oficinas, ya que también
existe la facilidad de darle al alumno un (1) registro de matrícula online en su
cuenta de usuario del campus universitario, cuando se requiera alguna
modificación estos alumnos tendrán que presentarse a las instalaciones del
área de matrícula, posteriormente entran en sesión con el encargado de
registrar/modificar su ficha matrícula, armando un horario dependiendo la
disponibilidad de cursos y turnos para su respectivo ciclo, apoyándose del
aplicativo que tiene reglas como mandar avisar cuando un curso ingresado
entra en conflicto con otro por el horario de estos, luego de estas
comprobaciones y ya finalizado el armado del horario, el alumno se encuentra
matriculado, y podrá revisarlo en su campus universitario en la sección ficha
de matrícula.
4. Obtener una comprensión detallada de la aplicación/sistema.
APLICACIÓN DE MATRICULA
Flujo Principal:
1. Programar el pago del alumno asignando si posee algún convenio o
categorización.
2. Confirmar si el alumno ha realizado el pago de la matrícula y la primera
cuota.
3. Generar el registro o reserva de los cursos del alumno.
4. Revisar la media de créditos a matricular para determinar el tipo de
matrícula a realizar.
5. Validar si hay la disponibilidad de alumnos en dichos cursos
6. Comprobar que cada alumno cumpla con los requisitos previos de cada
curso al cual se matriculará.
7. Grabar y generar la ficha de matrícula de cada alumno confirmando su
inscripción en cada curso seleccionado bajo las condiciones previas revisada.
Flujos Alternos:
2.1 Si el alumno aún no realiza los siguientes pagos no podrá realizar su
matrícula.
4.1 Si la media de créditos de los cursos matriculados esta en lo
recomendable por el alumno no habrá cambios en su pensión.
4.2 Si la media de créditos de los cursos matriculados supera a los créditos
del alumno se le agregara a su pensión normal 25 soles por crédito a partir
de la 2da cuota.
4.3 Si la media de créditos de los cursos matriculados es igual o menor a
doce se realizará la siguiente fórmula.
Pensión = créditos por llevar * 100 / 4
5.1 El alumno podrá pedir la extensión de un cupo más al encargado al
momento de matricular.
5.2 El alumno deberá presentar los documentos (constancia de trabajo u
otros) válidos para poder confirmar la apertura de un cupo más en el curso.
5.3 Posteriormente se apertura un cupo más para el alumno: sin embargo
que no ocurra alguna irregularidad en los documentos presentados, caso
contrario se denegará dicha solicitud.
6.1 Si el alumno no cumple con algún requisito previo al curso, no podrá
matricularse en dicho curso.
7.1 En caso de no generar la ficha de matrícula se podrá visualizarla desde
su campus virtual - ficha de matrícula.
5. Identificar los puntos de control crítico en el sistema operacional
Acceso a través de un Login con permisos establecidos para cada usuario.
La matrícula web solo se puede dar una vez; para algún cambio o
actualización se hace de modo personal en cada escuela.
Para extender las vacantes de algún curso sólo el director de escuela tiene
el privilegio de realizarlo.
La información a utilizar se va tomar en tiempo real desde la Base de Datos
de la Universidad para asegurar la disponibilidad e integridad de la
información.
Los usuarios, cursos, horarios y créditos están validados desde el servidor al
momento de generar la ficha de matrícula.
6. Diseño y elaboración de los procedimientos de auditoría.
Establecimiento del contrato con el gerente general (Brayan Romero Torres).
Entrevista con los responsables de TI o encargados del área (Brayan Romero
Torres).
Recolección de inventario de activos (software) y los requisitos Funcionales
y No Funcionales (Luis Enrique Marin Puris)
Recolección de información operativa del proceso de matrícula (Luis Enrique
Marin Puris).
Realización de Check List del sistema de matrícula con respecto a los
factores de calidad [Caja Blanca (Código) y Negra (Interfaz)] (Jhonny Barrios
Salazar).
Pruebas de estrés para medir la cantidad de usuarios puede soportar a través
de la matrícula Online. (Jhonny Barrios Salazar)
Verificar si el envío y recepción de datos del matriculado se da de modo
encriptado para establecer la continuidad y seguridad de la información.
(Alfredo Alexander Tornero Carlos).
7. Ejecución de pruebas en los puntos críticos de control.
Acceso a través de un Login con permisos establecidos para cada usuario.
o Verificar la accesibilidad de cada cuenta de usuario así como los
privilegios con los que le pertenecen.
La matrícula web solo se puede dar una vez; para algún cambio o
actualización se hace de modo personal en cada escuela.
o Verificar si una muestra de usuarios se pueden matricular de manera
online una (1) sola vez y poder rectificar su horario en las oficinas de
matrícula de la universidad.
Para extender las vacantes de algún curso sólo el director de escuela tiene
el privilegio de realizarlo
o Chequear que exista el control correspondiente o la orden
(documento) para la apertura de un cupo adicional en un curso.
La información a utilizar se va tomar en tiempo real desde la Base de Datos
de la Universidad para asegurar la disponibilidad e integridad de la
información.
o Generar reportes por parte del cliente y servidor para constatar que
las solicitudes, peticiones y envíos de información sea equivalente en
ambas partes de la aplicación.
Los usuarios, cursos, horarios y créditos están validados desde el servidor al
momento de generar la ficha de matrícula.
o Comprobar conexiones al servidor desde cada ejecución del aplicativo,
su encriptación de los datos, y la veracidad de la transferencia de los
mismos.
8. Evaluación de la revisión y los resultados de pruebas.
Verificar la accesibilidad de cada cuenta de usuario así como los privilegios
con los que le pertenecen.
o Se comprobó que efectivamente cada usuario tiene ciertos privilegios
establecidos y que se cumplen al ingresar al aplicativo; sin embargo,
fuera de ello un usuario no debería prestar su cuenta cosa que
actualmente sucede para proteger la información.
Verificar si una muestra de usuarios se pueden matricular de manera online
una (1) sola vez y poder rectificar su horario en las oficinas de matrícula de
la universidad.
o Algunos de los usuarios de la muestra se pudo matricular una (1) sola
vez; pero hay algunos que no se pudieron matricular por el hecho de
que el sistema colapsará por saturación de usuarios.
Chequear que exista el control correspondiente o la orden (documento) para
la apertura de un cupo adicional en un curso.
o Constatamos que cualquier usuario que tenga acceso al sistema de
matrícula (Seus) tiene permisos para poder agregar o eliminar cupos
de distintos cursos.
Generar reportes por parte del cliente y servidor para constatar que las
solicitudes, peticiones y envíos de información sea equivalente en ambas
partes de la aplicación.
o Escogimos una muestra de reportes y comparamos para ver la
fiabilidad de la información y hemos observado que los resultados se
actualizan en el servidor dos (2) horas después de cada transacción
del cliente o usuario.
Comprobar conexiones al servidor desde cada ejecución del aplicativo, su
encriptación de los datos, y la veracidad de la transferencia de los mismos.
o Verificamos que las conexiones entre el cliente servidor en cada
transacción se efectúa de manera efectiva pero esto depende del
número de transacciones que se realicen, además no hay ningún tipo
de encriptación para él envió o recepción de información para el
sistema de matrícula.
9. Recomendaciones.
Llevar un control adecuado de cada cuenta de acceso perteneciente a un
determinado usuario, y un también establecer el procedimiento para la solicitud
de nuevas cuentas de acceso a la aplicación.
Tener mayores recursos de base de datos para el acceso a la información
evitando su colapso.
Se debe controlar y establecer permisos para la función de poder agregar o
eliminar cupos para los cursos; además validar que solo el encargado de este
procedimiento es el director de cada escuela.
Sincronizar las bases de datos mediante hilos en tiempos cortos y precisos
para mantener la información en tiempo real.
Establecer un procedimiento de encriptado de datos durante la transferencia
de los mismos desde el servidor al cliente y viceversa, mejorando el nivel de
respuesta a números de solicitudes mayores, para asegurar la disponibilidad
e integridad de los datos.
Controles:
ENTRADA Control de acceso en línea.
Contraseñas únicas.
Identificación de terminales.
TRATAMIENTO Y
ACTUALIZACIÓN
DE DATOS
Control de secuencia (límites)
Control de rango (validez)
Control de razonabilidad (búsqueda en tablas)
Doble de introducción
Carácter de control (completitud)
Control de duplicación (lógica)
SALIDA Registro de las salidas en tablas auditadas.
Manipulación de errores de salida.
Retención de informes producidos.
Verificación de la recepción de informes.
DOCUMENTACIÓN Informes con imagen previa y posterior
actualización.
Informes y manipulación de errores de actualización
y mantenimiento.
Seguridad de archivo de datos (acceso).
Transacciones históricas.
BACKUP Y
RESTAURACIÓN
Generación de Backups durante ciertos tiempos de
rango (2 veces al día o cada 12 horas).
Los backups de realizarán en distintos lugares que
no sea la universidad (Por ejm. en provincia).
SATISFACCIÓN
DE USUARIOS
Web Site atractivo y amigable.
Acceso a la información personal en tiempo real
(cursos, notas, horarios, etc.).
Transacciones en tiempos más cortos (Visualización
de notas, información del curso, etc.).