AUDITORA

Seguridad de los sistemas

Porqu estudiarlo? Introduccin y objetivo general del tema
Para qu hacerlo? Objetivos de los controles y medidas
Qu hacer? Descripcin de medidas y controles a aplicar
Cmo hacerlo? Descripcin de tareas a realiar !metodolog"a#
Seguridad de los sistemas (tiempo real)
Di$erencias relevantes con respecto a otros modos de operacin
Controles espec"$icos de este tipo de modalidad%
Introduccin y objetivo general
Podemos de$inir la seguridad como aquella actividad encaminada a dar al procesamiento de datos la
proteccin raonable% & decimos raonable porque nunca e'iste certea absoluta% (l tema es $undamental pues
hoy en d"a) el *mbito de sistemas constituye el punto donde se concentra la mayor parte de la in$ormacin de la
empresa%
(s evidente que la in$ormacin utiliada por los entes en general ha variado en la +ltimas dcadas% Del mismo
modo lo han hecho las necesidades de generacin de esa in$ormacin y los medios de procesarlas% ,unque se
observan ciertas di$erencias entre los sistemas computariados y los convencionales puede a$irmarse que el
procesamiento electrnico de datos no a$ecta a los objetivos del control interno) la responsabilidad de la direccin
y las limitaciones inherentes al sistema de control interno) pero s" a$ecta el en$oque para la evaluacin del mismo y
el tipo de evidencia de auditor"a que se obtiene%
-os en$oques de auditor"a que se utilian en ambientes en los que una parte signi$icativa de los procesos
administrativos son procesados electrnicamente han evolucionado con el tiempo% .e pueden clasi$icar as"/
en$oque tradicional o e'terno
consiste en realiar los procedimientos de veri$icacin utiliando los datos de entrada al sistema y someter
estos datos al proceso lgico que se realia en esa etapa espec"$ica de procesamiento% Con estos
elementos se obtienen datos de salida procesados manualmente0 se comparan con los generados por el
sistema y se concluye si el procesamiento electrnico llega a resultados raonables !por muestreo#%
en$oque moderno
consiste en realiar los procedimientos de veri$icacin del correcto $uncionamiento de los procesos
computariados 1utiliando la computadora2 se seleccionan tcnicas de auditor"a que controlan la
$orma en que la aplicacin contable computariada $unciona% -as tcnicas son variadas pero todas ellas
tienen en com+n que no consideran el procedimiento como una 1caja negra% Consisten en revisar pasos
de programas) la lgica del lenguaje utiliado) re3procesar una serie de operaciones a travs del propio
sistema computariado) etc%
(l auditor pondr* los objetivos del trabajo !evaluacin de riesgos#) identi$icar* procedimientos de auditor"a que se
aplicar*n y avaluar* los resultados de la aplicacin de los mismos%3
(l Objetivo es) entonces) la seguridad de esa in$ormacin) por lo que debemos implementar controles para
disminuir o evitar los riesgos% Dichos controles) determinar*n el grado de con$iabilidad de la in$ormacin
suministrada%
-as organiaciones) sobre todo las peque4as y medianas) carecen de documentacin) est*ndares para la
elaboracin) como as" tambin de controles internos%
5o deber"a di$erenciarse la estructura de controles internos a evaluar de acuerdo al tama4o de la
empresa% -a di$erencia radica en la intensidad de algunos controles) en especial los de/
.eparacin de $unciones
,rchivos
.eguridad $"sica
Debe tenerse siempre presente el principio de econom"a de procesamiento !el costo de los controles debe
ser in$erior al bene$icio del proceso) y los controles 6su magnitud3 debe estar relacionada con los riesgos a
evaluar#%
Por +ltimo) los avances en tecnolog"a de comunicaciones han ocasionado una nueva $uente de control/ las
l"neas de comunicacin%
7odos estos aspectos con$luyen en un +nico objetivo/
(valuar el control interno de $orma tal de asegurar que la informacin que se procesa sea toda la que se debe
procesar) sea debidamente autoriada) que se atienda a la conservacin y mantenimiento de los recursos de
sistemas y que e'ista una per$ecta de$inicion de la separacin de responsabilidades por las operaciones
ejecutadas
Conceptos de auditor"a y control interno
Definicin de Control Interno
(st* incorporado a la estructura de la organiacin) esto asegura la continuidad del control !no es
espor*dico#% (s preventivo% Que se controle antes de los procesos hace m*s probable que las cosas salgan mejor)
que mejore notablemente la calidad de lo producido% 8*sicamente busca la prevencin y no la deteccin posterior%
.i los Controles internos son buenos) no har* $alta trabajar con toda la in$ormacin) bastar* con una muestra
signi$icativa%
9na de$inicin acertada ser"a/ 1es el conjunto de normas procedimientos e'istentes en el ente auditado)
implementados con el $in de alcanar los objetivos para los cuales se creo el ente2%
Definicin de Auditoria
-a auditoria la de$inimos como un control destinado a evitar errores por negligencia y:o irregularidades
dentro del $uncionamiento de los distintos entes u organiaciones% Por ello cuando se habla de auditoria en un
sentido general se entiende que implica e'aminar o revisar determinado objeto o atributo% 7odo ente u
organiacin) ya sea con $in de lucro o sin l) posee ciertos controles o par*metros preestablecidos para permitir
su habitual $uncionamiento% -a auditoria controla dichos par*metros) ran por la cual) en $orma rudimentaria) se
suele decir que la auditoria es el control de los controles o un control de los controles ya e'istentes en el ente
auditado%
Pasos de la Auditoria
(n cuanto a las etapas la ;esolucin 7cnica 5< = aprobada por la >ederacin ,rgentina de Consejos
Pro$esionales de Ciencias (conmicas nos da una pauta de los pasos a seguir al momento de llevar a cabo una
auditoria% 8*sicamente son tres/
a% Plani$icacin !Predetermina tareas#
b% (jecucin !,plica procedimientos y los soporta#
c% Conclusin !(mite un in$orme#
Concepto y tipos de Pruebas.
,l de$inir las pruebas o procedimientos de auditoria) estamos de$iniendo los tipos de tareas a e$ectuar%
('isten dos tipos de pruebas%
De Cumplimiento .ustantivas
.innimo De control Interno De valide
Objetivo >uncionamiento de los
procedimientos internos del
ente%
?alidar la in$ormacin y los
datos%
Objeto auditado @estin del ente .istema de in$ormacin%
Riesgos
('isten tipos y clases de riesgos) es decir) se puede hacer una di$erenciacin de los errores y omisiones
en los cuales se puede incurrir%
;iesgo inherente
(s el riesgo innato o de origen que posee un dato por el simple hecho de su e'istencia y estar*
dado por las caracter"sticas de lo auditado% .e podr"a decir que todo objeto de auditoria lleva
adjunto su riesgo inherente%
;iesgo de Control
(ste riesgo estar* dado por la ine$iciencia de los procedimientos de control%
;iesgo de Deteccin%
(l riesgo de deteccin a$ecta directamente a la $igura del auditor como sujeto ejecutante de la
auditoria% (s decir este riesgo se presenta por la propia $alta de capacidad del auditor para
detectar o percibir un error u omisin%
Aedidas y controles a aplicar
(l control interno en el procesamiento electrnico de datos se puede dividir en/
A. Controles en la administracin del servicio del centro de cmputos
B. Controles en el desarrollo de los sistemas
C. Controles en los sistemas de in$ormacin
D. Controles en la entrada de datos
E. Controles en los archivos y las 8ases de datos
A. Controles en la administracin del servicio del centro de cmputos
Dado el ambiente de trabajo en que se desempe4a el *rea de sistemas) y su in$luencia en todos los sectores de la
empresa) se reconoce la necesidad de implantar normas administrativas para un control e$ica% .in embargo) en
la realidad se olvida dictar y hacer cumplir normas de control interno) destac*ndose debilidades tales como/
Inadecuada segregacin de $unciones
>*cil acceso al hardBare : so$tBare
(scasa supervisin de las actividades
NORMAS GENERALES A CUMPLIR PARA ASEGURAR UN BUEN FUNCIONAMIENTO
O;@,5IC,CID5 / (l dpto de sistemas debe estar organiado
Debe e'istir segregacin de $unciones entre sistemas y otros dptos
.upervisin competente y completa) revisin de tareas por gerencia
Deben e'istir procedimientos administrativos y de operacin
Objetividad e independencia de los usuarios
.(@9;ID,D / Proteccin de equipo) so$tBare) documentacin
E,;DF,;( / Aantenimiento del equipo en buen $uncionamiento
,CC(.O / ;estringido a personal autoriado !Eard) documentos) archivos#
P;OC(.,AI(57O / Procesamiento r*pido y e'acto de la in$ormacin
Controles internos en la operacin de .I
Instrucciones de operacin
Programas de ejecucin !schedule#
-ista de mensajes y paradas programadas !acciones ligadas#
Procedimientos de recupero y reinicio
7iempos est*ndar:estimados
COA95IC,CIO5(. / Control y supervisin de las operaciones y los dispositivos de comunicacin
(n cada uno de los componentes de un .I deben e'istir controles internos% Como
objetivo principal de todo control interno) lo primordial es tratar de disminuir
riesgos% (n las comunicaciones de un .I deben establecerse controles en/
Hardare! debe haber controles que impidan el $*cil acceso $"sico a las
terminales y al equipamiento de la red !instalaciones) modems) hubs) cables)
etc%#
"oftare! deben utiliarse protocolos para controlar la calidad de los
mensajes y la no presencia de errores en cualquier transmisin de
in$ormacin% Deben controlarse el acceso a las aplicaciones y datos que
residan en el:los servidores de la organiacin
Datos! deben utiliarse tcnicas de encriptacin !procedimiento generalmente
p+blico que logra convertir un te'to claro en un te'to con$uso o desordenado
slo desci$rable con una clave) un mtodo criptoanal"tico o a $uera bruta#% (j
de algoritmos de encriptacin/ D(.) GD(.) ;.,) ID(, !se di$erencian seg+n
la cantidad de bytes de las claves de encriptacin y los algoritmos utiliados#%
PO-I7IC,. / Control e'terno que asegure el seguimiento de pol"ticas y procedimientos
$ijados
-os controles del departamento de sistemas involucran a m*s de una aplicacin% ('isten G tipos de riesgo/
#structura organi$ati%a y procedimientos operati%os no confia&les
;iesgo/ cambios no autoriados en programas o en archivos de datos% -as medidas de prevencin se
tornan cr"ticas para asegurar la con$iabilidad de la in$ormacin
Aedios de Control/ separar las principales responsabilidades de las actividades de operacin y
programacin% Di$erentes personas deben desempe4ar las $unciones de/ @erencia del departamento)
an*lisis 3 dise4o y programacin de aplicaciones) mantenimiento de so$tBare de sistemas)
operaciones) control de datos) seguridad de datos% Controles sobre acceso $"sico y sobre el desarrollo
de los programas%
'rocedimientos no autori$ados para cam&ios en los programas
;iesgo/ los programadores pueden realiar cambios incorrectos en el so$tBare de aplicacin%
Aedios de Control/ los posibles controles son/ los cambios deben ser iniciados y aprobados por los
usuarios) las modi$icaciones deben ser revisadas y aprobadas por la superioridad%
Acceso general no autori$ado a los datos o programas de aplicacin
;iesgo/ personas no autoriadas pueden tener acceso directo a los archivos de datos o programas de
aplicacin utiliados para procesar transacciones permitindoles realiar cambios no autoriados a los
datos o programas%
Aedios de Control/ los posibles controles son/ so$tBare de seguridad) registro de operaciones
!consola#) in$ormes gerenciales especiales%
B. Controles en el desarrollo y mantenimiento de los sistemas
(s de suma importancia la participacin activa del auditor en el ciclo de desarrollo y mantenimiento de los
sistemas0 no slo en la veri$icacin del cumplimiento de las etapas previstas) sino tambin para el asesoramiento
respecto de los controles internos a considerar en el nuevo sistema% (sto es muy importante) $undamentalmente
por dos raones/
H% 5o se puede esperar que un sistema quede determinado para luego auditarlo% -os auditores deben
aprovechar para introducir controles
I% (l auditor puede sugerir y participar en el dise4o de controles en los sistemas
NORMAS A CONSIDERAR EN LOS DESARROLLOS DE LOS SISTEMAS
CO57;O- & (>ICI(5CI, / (standariar tcnicas de programacin y procedimientos de
operacin de los sistemas%
($ectuar controles en caso de cambios a programas
DOC9A(57,CID5 / Documentacin adecuada que describa los sistemas y los
procedimientos para llevar a cabo su procesamiento
@(5(;,-(. / Aetodolog"a $ormal de desarrollo
(speci$icaciones de dise4o
Documentacin en la construccin
Dise4o de archivos y tablas
Documentacin de pruebas y resultados
Diagramaciones
PROCESO DE SELECCIN PARA LA ADQUISICIN DEL SOFTWARE
,nte la necesidad de adquirir alg+n tipo de so$tBare se debe cumplir el siguiente procedimiento
H% ;ealiar tareas previas relacionadas a la de$inicin de requerimientos e invitacin a los proveedores
I% -levar a cabo el proceso de seleccin teniendo en cuenta las caracter"sticas del proveedor) las caracter"sticas
de el:los productos que o$rece) las caracter"sticas del proyecto de trabajo que propone y la composicin de los
costos o$recidos
G% Proceder a la evaluacin $inal) realiando de ser posible una matri comparativa de los di$erentes proveedores
ponderando cada una de las caracter"sticas relevadas y seleccionando el proveedor que m*s satis$aga las
necesidades planteadas !matri de objetivos m+ltiples#
C. Controles en los sistemas de in$ormacin
Riesgos de Aplicaci!
Podemos identi$icar cuatro categor"as de los riesgos) y medios de control/
Acceso no autori$ado al procesamiento y registro de datos
;iesgo/ se puedan leer) modi$icar) agregar o eliminar in$ormacin de los archivos de datos o
ingresar sin autoriacin transacciones para su procesamiento
Aedios de Control/ ,cceso slo otorgado a quienes no desempe4an $unciones incompatibles)
prohibicin de accesos no autoriados%
Datos no correctamente ingresados al sistema
;iesgo/ datos pueden ser imprecisos) incompletos o ser ingresados m*s de una ve%
Aedios de Control/ controles sobre la precisin e integridad de los datos ingresados para el
procesamiento !programas# Otros controles de validacin/ que cada campo responda al $ormato
de$inido !numrico) al$abtico) al$anumrico# Cantidad de datos% 7odos los campos de datos
importantes deben estar completos) los datos deben ser compatibles con los datos permanentes)
identi$icacin de los nros de documentos o lotes procesados) saldos de transacciones deben
balancear
Datos rec(a$ados y en suspenso no aclarados
;iesgo/ perder datos) partidas en suspenso que no se identi$ican) analian y:o corrigen en
$orma oportuna% -as alternativas pueden ser/ 7ransacciones aceptadas por el sistema y se4aladas en
un in$orme de e'cepcin) 7ransacciones destinadas a una cuenta 1en suspenso2 del sistema en lugar
de ser procesadas) 7ransacciones completamente rechaadas% (l Riesgo es que estas transacciones
no sean adecuadamente resueltas y procesadas%
Aedios de Control/ controles sobre transacciones rechaadas y partidas en suspenso% .e
deber* crear un registro que los incluya para que su posterior correccin y procesamiento pueda ser
controlado%
'rocesamiento y registracin de transacciones incompletos y)o inoportunos
;iesgo/ las transacciones ingresadas o generadas pueden perderse o ser procesadas o
registradas en $orma incompleta o ine'acta o en el per"odo contable incorrecto% (l riesgo est* dado por
incorrecta actualiacin de los registros%
Aedios de Control/ (n los procesamientos por lote/ 7otales de Control0 en otros
procesamientos/ controles de balanceo programados) de transmisin de datos) de re3enganche y
recuperacin) de corte programados) sobre los datos generados por el sistema%
D. Controles en los archivos y las 8ases de datos
-os principales riesgos son/ a# las destrucciones b# los accesos no autoriados c# la revelacin a terceros
a# Implica el riesgo de destruccin tanto del soporte como del contenido de los mismos% Deben implementarse
controles que se conocen en su conjunto como seguridad $"sica%
Deben e'istir pol"ticas de resguardo y recupero de in$ormacin !8,CJ39P. que deben plani$icarse% -o ptimo
ser"a un bacK3up total de $orma diaria pero no es econmicamente viable% -os soportes utiliados deben ser
inventariados y etiquetados de $orma clara y deben ser adecuadamente custodiados% Para saber si los bacK3
ups $uncionan) peridicamente deben realiarse pruebas de recupero de in$ormacin
b# (stos riesgos se atacan con controles relacionados con la seguridad lgica% (s necesario contar con controles
de acceso y per$iles de usuario% (l control de acceso implica la identi$icacin y la autenticacin del usuario% (l
per$il de usuario asegura que un usuario slo pueda realiar las operaciones para las que est* autoriado%
Para que un usuario se autentique ser* necesario contar con Lalgo que uno sabe !ej% passBord #) algo que uno
tiene !ej% tarjeta# o algo que uno es !tcnicas biomtricas#2
c# debe aplicarse la criptogra$"a !aunque la in$ormacin pueda ser visualiada no ser* entendible#
7ambin se debe tener en cuenta el control de concurrencia !acceso simult*neo a los datos# y el control de
transacciones !asegurando que una transaccin pueda completarse totalmente o volverse hacia atr*s luego de
producido un $allo#
E. Controles en la entrada de datos
n cual!uier sistema de informacin si entra basura sale basura""%
(l costo de detectar y corregir los errores una ve que ingresaron al .I es mucho mayor que el costo de
establecer controles internos adecuados para prevenir esos errores% -a in$ormacin debe cumplir con todas sus
caracter"sticas $undamentales !e'actitud) completitud) pertinencia) legitimidad) con$idencialidad) oportunidad) no
duplicacin) etc%#
-a captura de los datos puede dividirse en tres momentos/ la captura en s") la validacin de los mismos y
el almacenamiento% -os problemas pueden presentarse en cualquiera de estos tres momentos% (n la entrada de
datos se tiende a la introduccin de tecnolog"a para reducir errores% (n la validacin de los datos ser* $undamental
la e'actitud en las reglas de programacin !rangos) tipos de datos) contadores) sumadores) d"gito veri$icador#%
.i bien se trata de automatiar la captura) debe e'istir un medio alternativo ante cualquier contingencia%
Descripcin de 7areas a ;ealiar !Aetodolog"a#
.on los aspectos a ser tenidos en cuenta por el auditor) desde los siguientes puntos de vista/
Am&iente de sistema
;ecabar in$ormacin sobre el grado de utiliacin del procesamiento electrnico de datos en
aquellas aplicaciones $inancieras signi$icativas% Principales temas a considerar para adquirir
conocimientos sobre el ambiente) son los siguientes/
Conocimiento de la estructura organiativa de los sistemas
Conocimiento de la naturalea de la con$iguracin de sistemas
,lcance del procesamiento computariado de la in$ormacin
Am&iente de *ontrol
Conjunto de condiciones dentro de las cuales operan los sistemas de control% (st* re$erido al en$oque
que tiene la gerencia superior y el directorio con respecto al objetivo de control y el marco en que
ejerce ese control% -os aspectos a considerar para evaluar la e$ectividad del ambiente de control son/
(l en$oque de control por parte del directorio y la gerencia superior
-a organiacin gerencial/ posicin del gerente de sistemas
(l gerente de sistemas tiene como $uncin crear y mantener un adecuado ambiente de control%
Eecha la plani$icacin estratgica) se documentan las decisiones preliminares para cada uno de los componentes
con un en$oque tentativo de auditor"a
Plani$icacin detallada
(s la seleccin de los procedimientos de auditor"a) que comunmente se traducen en la preparacin de los
programas de trabajo% (l auditor se concentra en obtener y documentar una comprensin sobre los controles
directos y generales para los componentes signi$icativos de los estados $inancieros3
Seg"#idad de sis$e%as co! p#ocesa%ie!$o e! $ie%po #eal
-os controles vistos anteriormente) deben aplicarse tambin en procesos en tiempo real) pero adem*s deben
agregarse otros que son propios de este tipo de procesamiento%
Problemas que pueden presentarse en procesamiento en tiempo real
(n cuanto al proceso .e puede encarecer una aplicacin) por no precisar sta
necesariamente de actualiacin en tiempo real !.ueldos#
(n cuanto al manejo administrativo (s m*s di$"cil detectar errores) ya que la actualiacin modi$ica el
archivo en el momento
(n cuanto al uso Desarrollo e implantacin son m*s costosos
(s m*s di$"cil implementar control interno) pues se minimia la
documentacin del procesamiento) entrada
;elacin directa entre el usuario y el equipo
Aedidas de seguridad que demanda el proceso en tiempo real
7cnicas de control $"sico Dispositivos de proteccin para terminales !cerraduras) lectoras#
9bicacin de terminales en *reas supervisadas
Descone'in de terminales en determinado horario
,cceso a archivos en determinado horario
Descone'in autom*tica de terminales no usadas
7cnicas de control lgico Contrase4as para el acceso
5o3display de contrase4as
(stablecer par*metros de niveles de autoriacin
Descone'in autom*tica de terminales ante 1M2 intentos in$ructuosos de
acceso
7cnicas de control de
telecomunicaciones
7ransmisiones ci$radas o codi$icadas
9sar detectores de intercepcin de in$ormacin
Distribucin y control de n+mero tele$nico para estaciones de llamada
Control y validacin de la
entrada
Instrucciones escritas para guiar a operadores
?alidacin de la entrada !pruebas programadas#
(l operador debe revisar los datos ingresados
.e concilian totales de control !manuales vs computador#
Aarcas de tiempo y $echa de entrada de la transaccin
Controles de
archivo
Aantenimient
o
Quien ejecuta o aprueba el mantenimiento no rinde cuenta de los hechos
Controlar el acceso para mantenimiento
In$orme del 1era y es2 sobre los archivos maestros
Integridad In$orme de 1era y es2 revisado por personal apropiado
8alanceo de conteo de registros y totales de control
Controles de
Procesamiento
Control del
balanceo de
las
transacciones
- conteo de registros) totales de control
- in$orme de datos que no balancean
- esos errores deben corregirse antes de reprocesar
,ptitud de
procesamient
o
- $amiliariacin del operador con los procedimientos del sistema
- $amiliariacin del operador con los procedimientos alternativos
- registro de $echa y hora en las transacciones
Controles de la
.alida
Pruebas de
resultado de
procesos
comprobaciones de raonabilidad de resultados!por programa#
utiliar in$ormes de gerencia para detectar errores importantes
identi$icar e in$ormar desbordamientos de capacidad
Prueba de
salida
in$ormes dise4ados para evitar errores de interpretacin
?(;I>IC,CID5
&a de$inidos cu*les deben ser los controles que una organiacin debe aplicar en cada uno de los
componentes de sus .I) debemos analiar los di$erentes circuitos que e'istan para comprobar que esos controles
sean cumplidos%
.e pasa entonces a las etapas de %erificacin en las cuales se debe obtener evidencia comprobatoria)
v*lida y su$iciente de que los controles $uncionan adecuadamente% .on las denominadas pruebas de
cumplimiento) que determinar*n la naturalea) el alcance y oportunidad de los procedimientos de auditor"a a
aplicar en la in$ormacin almacenada en el sistema de in$ormacin%
Debe comprobarse la e'istencia de una estructura organiativa adecuada) mediante inspeccin de
manuales) per$iles de usuario) entrevistas) etc%
Debe comprobarse la e'istencia escrita y correcta actualiacin de normas y procedimientos de
programacin y tecnolog"a%
Debe veri$icarse la continuidad del procesamiento !planes de contingencia) pol"ticas de bacK3up) etc#
Deben veri$icarse los controles del teleprocesamiento !$unciones del administrador de red) criptogra$"a#
-os controles en las aplicaciones pueden veri$icarse a travs de medidas de
documentacin) niveles medios de $allas) calidad de dise4o) cantidad de usuarios)
complejidad) cantidad de transacciones) modalidades del procesamiento) estabilidad)
escalabilidad) etc !para re$lejar estas medidas puede usarse una matri de riesgo con sus
respectivas ponderaciones#%
Para llevar a cabo las pruebas de cumplimiento de un sistema puede o no utiliarse una computadora% -as
pruebas de cumplimiento con el uso de una computadora pueden clasi$icarse en/
'O"TO'#RA*I+, !si se veri$ican los controles luego del procesamiento#
H# Puede usarse el sistema real con transacciones reales/ se comparan resultados predeterminados con
resultados reales
I# Puede usarse el sistema real con transacciones simuladas/ en este caso se comparan resultados
predeterminados con resultados simulados% -a tcnica se denomina lote de prue&a- .e podr* utiliar el
mismo lote para probar todas las $uncionalidades del sistema pero el mismo tendr* que estar actualiado y
debe ser pensado de tal $orma que represente todas las condiciones de posible ocurrencia
G# Puede usarse un sistema simulado construyendo un sistema paralelo al real con las $uncionalidades que se
desean probar% -a tcnica se denomina simulacin en paralelo y se comparan resultados de transacciones
reales en el sistema real con resultados de transacciones reales en el sistema simulado% (ste mtodo permite
saber si la in$ormacin resultante del sistema real $ue modi$icada 1por el costado2 del sistema pero tiene como
desventaja que slo se pueden realiar pruebas parciales y que requiere la su$iciente pericia tcnica para
construir el sistema simulado%
#, .A O'#RA*I+, !pruebas concurrentes#
(n el sistema real se ingresan transacciones reales y transacciones simuladas% -a tcnica se denomina IT/
!integrated test $acilities o minicompa4"a#%
.e generan registros especiales de auditor"a dentro de los registros principales del procesamiento !debiendo
estar debidamente identi$icados#%
-a tcnica slo es aplicable en organiaciones que cuentan con organismos de superintendencia que lo
permiten) de otro modo podr"a ser considerada como $raude#%
;equiere baja pericia tcnica y le aporta al auditor el $actor sorpresa pero puede tener inconvenientes en su
implementacin o en su control si las transacciones simuladas no son debidamente identi$icadas
P;9(8,. .9.7,57I?,.
9na ve realiadas las pruebas de cumplimiento se debe analiar la in$ormacin almacenada en el .I% .i la misma
se encuentra en soportes in$orm*ticos puede ser analiada en su totalidad !el alcance ser* total# puesto que ello
puede hacerse r*pidamente% -a in$ormacin que no es encuentre almacenada digitalmente puede ser muestreada
seg+n el diagnstico hecho sobre los controles generales y los controles particulares%
.e pueden encontrar las siguientes herramientas para la realiacin de pruebas sustantivas/
Programa o sistema especial de auditor"a
Paquete o so$tBare de auditor"a
,plicativos en general !ej planillas de c*lculo#
-enguajes de consulta
.(@9;ID,D >N.IC, & -D@IC,
-a seguridad $"sica y la seguridad lgica se relacionan con medidas preventivas de impactos en la organiacin%
-a in$ormacin debe ser clasi$icada de acuerdo a sus principales caracter"sticas y se debe plantear el impacto de
distintos acontecimientos !en lo posible de $orma cuantitativa#% ,dicionalmente se debe plantear la probabilidad de
ocurrencia de cada hecho $ortuito a los e$ectos de tratar de minimiar todos los riesgos%
.eguridad $"sica 6 ;I(.@O.
Propios de la ona geogr*$ica/ incendios) inundaciones) tormentas) epidemias) terremotos
Propios de la vecindad/ pueden ser permanentes !por ej% que la organiacin se encuentre lindando a una
estacin de servicio# o transitorios !por ej% que e'istan obras en la cercan"a de la organiacin#
Propios del ente/ son los riesgos del edi$icio) como los materiales con los que est* construido) la disposicin
$"sica del equipamiento elctrico) la insonoriacin) etc%
Controles/ construcciones adecuadas) desagOes aptos) bombas de desagote) sensores de l"nea) generadores
propios) instalaciones antiincendios) 9P.) grupos electrgenos) utiliacin de cable canal) cableado elctrico
adecuado) realiacin de bacK3ups) separacin $"sica de copias de seguridad y equipos de contingencia)
identi$icacin del personal a$ectado y no a$ectado al *rea de sistemas) etc%
.eguridad lgica
-os datos pueden su$rir consultas y modi$icaciones no autoriadas) adem*s de destrucciones%
Por ello se deben implementar medidas de seguridad lgica que hacen a la/
Identi$icacin/ de la persona que quiere acceder a esos datos
,utenticacin/ de esa persona% .e debe certi$icar que quien se identi$ica es quien dice ser !1algo que
uno sabe) algo que uno tiene) algo que uno es2#% .i se utilian claves las mismas deben ser +nicas)
$*ciles de memoriar) e'pirables luego de un lapso determinado y deben aceptar una cantidad m"nima
de intentos $allidos% (s recomendable contar con un sector que se encargue de la administracin de
todas las claves%
,utoriacin/ se deben limitar las autoriaciones en el uso de los recursos del .I !tanto de los datos
como de las $unciones que puedan realiarse con esos datos#
Documentacin/ se deben llevar registros de todos los acontecimientos para tareas de vigilancia y
seguimiento estad"stico%
P-,5 D( CO57I5@(5CI,
-a organiacin debe estar preparada para la ocurrencia de hechos accidentales) desastres naturales o actos
intencionales que pongan en peligro su normal operatoria% .iempre se debe asegurar el CO8 ! continuity o$
business#% -as principales causas de la $alta de prevencin son/
15o nos puede pasar a nosotros2
,pat"a en los cargos jer*rquicos
Desconocimiento de cmo preparar un plan
Di$"cil cuanti$icacin de bene$icios
.e deben analiar todos los riesgos) establecer los recursos cr"ticos) elaborar un proyecto) desarrollar el plan y
realiar las pruebas pertinentes
>ase de emergencia/ si se produce alg+n hecho grave) se debe establecer el ambiente de reconstruccin y
recuperacin y minimiar los da4os ocurridos !las medidas de prevencin ser*n $undamentales para evitar da4os
graves#%
>ase de enlace/ se deben brindar alternativas de procesamiento para mantener la capacidad operativa y se deben
$acilitar las tareas de recuperacin del ambiente%
>ase de bacK3up/ es necesario continuar operando con el procesamiento alternativo proveyendo los sets de copias
de resguardo necesarios para ello%
>ase de recupero/ se debe restaurar totalmente el .I a su normal $uncionamiento) discontinuando la operacin con
el procesamiento alternativo y convirtiendo las operaciones y archivos del modo de enlace al modo normal