Porqu estudiarlo? Introduccin y objetivo general del tema Para qu hacerlo? Objetivos de los controles y medidas Qu hacer? Descripcin de medidas y controles a aplicar Cmo hacerlo? Descripcin de tareas a realiar !metodolog"a# Seguridad de los sistemas (tiempo real) Di$erencias relevantes con respecto a otros modos de operacin Controles espec"$icos de este tipo de modalidad% Introduccin y objetivo general Podemos de$inir la seguridad como aquella actividad encaminada a dar al procesamiento de datos la proteccin raonable% & decimos raonable porque nunca e'iste certea absoluta% (l tema es $undamental pues hoy en d"a) el *mbito de sistemas constituye el punto donde se concentra la mayor parte de la in$ormacin de la empresa% (s evidente que la in$ormacin utiliada por los entes en general ha variado en la +ltimas dcadas% Del mismo modo lo han hecho las necesidades de generacin de esa in$ormacin y los medios de procesarlas% ,unque se observan ciertas di$erencias entre los sistemas computariados y los convencionales puede a$irmarse que el procesamiento electrnico de datos no a$ecta a los objetivos del control interno) la responsabilidad de la direccin y las limitaciones inherentes al sistema de control interno) pero s" a$ecta el en$oque para la evaluacin del mismo y el tipo de evidencia de auditor"a que se obtiene% -os en$oques de auditor"a que se utilian en ambientes en los que una parte signi$icativa de los procesos administrativos son procesados electrnicamente han evolucionado con el tiempo% .e pueden clasi$icar as"/ en$oque tradicional o e'terno consiste en realiar los procedimientos de veri$icacin utiliando los datos de entrada al sistema y someter estos datos al proceso lgico que se realia en esa etapa espec"$ica de procesamiento% Con estos elementos se obtienen datos de salida procesados manualmente0 se comparan con los generados por el sistema y se concluye si el procesamiento electrnico llega a resultados raonables !por muestreo#% en$oque moderno consiste en realiar los procedimientos de veri$icacin del correcto $uncionamiento de los procesos computariados 1utiliando la computadora2 se seleccionan tcnicas de auditor"a que controlan la $orma en que la aplicacin contable computariada $unciona% -as tcnicas son variadas pero todas ellas tienen en com+n que no consideran el procedimiento como una 1caja negra% Consisten en revisar pasos de programas) la lgica del lenguaje utiliado) re3procesar una serie de operaciones a travs del propio sistema computariado) etc% (l auditor pondr* los objetivos del trabajo !evaluacin de riesgos#) identi$icar* procedimientos de auditor"a que se aplicar*n y avaluar* los resultados de la aplicacin de los mismos%3 (l Objetivo es) entonces) la seguridad de esa in$ormacin) por lo que debemos implementar controles para disminuir o evitar los riesgos% Dichos controles) determinar*n el grado de con$iabilidad de la in$ormacin suministrada% -as organiaciones) sobre todo las peque4as y medianas) carecen de documentacin) est*ndares para la elaboracin) como as" tambin de controles internos% 5o deber"a di$erenciarse la estructura de controles internos a evaluar de acuerdo al tama4o de la empresa% -a di$erencia radica en la intensidad de algunos controles) en especial los de/ .eparacin de $unciones ,rchivos .eguridad $"sica Debe tenerse siempre presente el principio de econom"a de procesamiento !el costo de los controles debe ser in$erior al bene$icio del proceso) y los controles 6su magnitud3 debe estar relacionada con los riesgos a evaluar#% Por +ltimo) los avances en tecnolog"a de comunicaciones han ocasionado una nueva $uente de control/ las l"neas de comunicacin% 7odos estos aspectos con$luyen en un +nico objetivo/ (valuar el control interno de $orma tal de asegurar que la informacin que se procesa sea toda la que se debe procesar) sea debidamente autoriada) que se atienda a la conservacin y mantenimiento de los recursos de sistemas y que e'ista una per$ecta de$inicion de la separacin de responsabilidades por las operaciones ejecutadas Conceptos de auditor"a y control interno Definicin de Control Interno (st* incorporado a la estructura de la organiacin) esto asegura la continuidad del control !no es espor*dico#% (s preventivo% Que se controle antes de los procesos hace m*s probable que las cosas salgan mejor) que mejore notablemente la calidad de lo producido% 8*sicamente busca la prevencin y no la deteccin posterior% .i los Controles internos son buenos) no har* $alta trabajar con toda la in$ormacin) bastar* con una muestra signi$icativa% 9na de$inicin acertada ser"a/ 1es el conjunto de normas procedimientos e'istentes en el ente auditado) implementados con el $in de alcanar los objetivos para los cuales se creo el ente2% Definicin de Auditoria -a auditoria la de$inimos como un control destinado a evitar errores por negligencia y:o irregularidades dentro del $uncionamiento de los distintos entes u organiaciones% Por ello cuando se habla de auditoria en un sentido general se entiende que implica e'aminar o revisar determinado objeto o atributo% 7odo ente u organiacin) ya sea con $in de lucro o sin l) posee ciertos controles o par*metros preestablecidos para permitir su habitual $uncionamiento% -a auditoria controla dichos par*metros) ran por la cual) en $orma rudimentaria) se suele decir que la auditoria es el control de los controles o un control de los controles ya e'istentes en el ente auditado% Pasos de la Auditoria (n cuanto a las etapas la ;esolucin 7cnica 5< = aprobada por la >ederacin ,rgentina de Consejos Pro$esionales de Ciencias (conmicas nos da una pauta de los pasos a seguir al momento de llevar a cabo una auditoria% 8*sicamente son tres/ a% Plani$icacin !Predetermina tareas# b% (jecucin !,plica procedimientos y los soporta# c% Conclusin !(mite un in$orme# Concepto y tipos de Pruebas. ,l de$inir las pruebas o procedimientos de auditoria) estamos de$iniendo los tipos de tareas a e$ectuar% ('isten dos tipos de pruebas% De Cumplimiento .ustantivas .innimo De control Interno De valide Objetivo >uncionamiento de los procedimientos internos del ente% ?alidar la in$ormacin y los datos% Objeto auditado @estin del ente .istema de in$ormacin% Riesgos ('isten tipos y clases de riesgos) es decir) se puede hacer una di$erenciacin de los errores y omisiones en los cuales se puede incurrir% ;iesgo inherente (s el riesgo innato o de origen que posee un dato por el simple hecho de su e'istencia y estar* dado por las caracter"sticas de lo auditado% .e podr"a decir que todo objeto de auditoria lleva adjunto su riesgo inherente% ;iesgo de Control (ste riesgo estar* dado por la ine$iciencia de los procedimientos de control% ;iesgo de Deteccin% (l riesgo de deteccin a$ecta directamente a la $igura del auditor como sujeto ejecutante de la auditoria% (s decir este riesgo se presenta por la propia $alta de capacidad del auditor para detectar o percibir un error u omisin% Aedidas y controles a aplicar (l control interno en el procesamiento electrnico de datos se puede dividir en/ A. Controles en la administracin del servicio del centro de cmputos B. Controles en el desarrollo de los sistemas C. Controles en los sistemas de in$ormacin D. Controles en la entrada de datos E. Controles en los archivos y las 8ases de datos A. Controles en la administracin del servicio del centro de cmputos Dado el ambiente de trabajo en que se desempe4a el *rea de sistemas) y su in$luencia en todos los sectores de la empresa) se reconoce la necesidad de implantar normas administrativas para un control e$ica% .in embargo) en la realidad se olvida dictar y hacer cumplir normas de control interno) destac*ndose debilidades tales como/ Inadecuada segregacin de $unciones >*cil acceso al hardBare : so$tBare (scasa supervisin de las actividades NORMAS GENERALES A CUMPLIR PARA ASEGURAR UN BUEN FUNCIONAMIENTO O;@,5IC,CID5 / (l dpto de sistemas debe estar organiado Debe e'istir segregacin de $unciones entre sistemas y otros dptos .upervisin competente y completa) revisin de tareas por gerencia Deben e'istir procedimientos administrativos y de operacin Objetividad e independencia de los usuarios .(@9;ID,D / Proteccin de equipo) so$tBare) documentacin E,;DF,;( / Aantenimiento del equipo en buen $uncionamiento ,CC(.O / ;estringido a personal autoriado !Eard) documentos) archivos# P;OC(.,AI(57O / Procesamiento r*pido y e'acto de la in$ormacin Controles internos en la operacin de .I Instrucciones de operacin Programas de ejecucin !schedule# -ista de mensajes y paradas programadas !acciones ligadas# Procedimientos de recupero y reinicio 7iempos est*ndar:estimados COA95IC,CIO5(. / Control y supervisin de las operaciones y los dispositivos de comunicacin (n cada uno de los componentes de un .I deben e'istir controles internos% Como objetivo principal de todo control interno) lo primordial es tratar de disminuir riesgos% (n las comunicaciones de un .I deben establecerse controles en/ Hardare! debe haber controles que impidan el $*cil acceso $"sico a las terminales y al equipamiento de la red !instalaciones) modems) hubs) cables) etc%# "oftare! deben utiliarse protocolos para controlar la calidad de los mensajes y la no presencia de errores en cualquier transmisin de in$ormacin% Deben controlarse el acceso a las aplicaciones y datos que residan en el:los servidores de la organiacin Datos! deben utiliarse tcnicas de encriptacin !procedimiento generalmente p+blico que logra convertir un te'to claro en un te'to con$uso o desordenado slo desci$rable con una clave) un mtodo criptoanal"tico o a $uera bruta#% (j de algoritmos de encriptacin/ D(.) GD(.) ;.,) ID(, !se di$erencian seg+n la cantidad de bytes de las claves de encriptacin y los algoritmos utiliados#% PO-I7IC,. / Control e'terno que asegure el seguimiento de pol"ticas y procedimientos $ijados -os controles del departamento de sistemas involucran a m*s de una aplicacin% ('isten G tipos de riesgo/ #structura organi$ati%a y procedimientos operati%os no confia&les ;iesgo/ cambios no autoriados en programas o en archivos de datos% -as medidas de prevencin se tornan cr"ticas para asegurar la con$iabilidad de la in$ormacin Aedios de Control/ separar las principales responsabilidades de las actividades de operacin y programacin% Di$erentes personas deben desempe4ar las $unciones de/ @erencia del departamento) an*lisis 3 dise4o y programacin de aplicaciones) mantenimiento de so$tBare de sistemas) operaciones) control de datos) seguridad de datos% Controles sobre acceso $"sico y sobre el desarrollo de los programas% 'rocedimientos no autori$ados para cam&ios en los programas ;iesgo/ los programadores pueden realiar cambios incorrectos en el so$tBare de aplicacin% Aedios de Control/ los posibles controles son/ los cambios deben ser iniciados y aprobados por los usuarios) las modi$icaciones deben ser revisadas y aprobadas por la superioridad% Acceso general no autori$ado a los datos o programas de aplicacin ;iesgo/ personas no autoriadas pueden tener acceso directo a los archivos de datos o programas de aplicacin utiliados para procesar transacciones permitindoles realiar cambios no autoriados a los datos o programas% Aedios de Control/ los posibles controles son/ so$tBare de seguridad) registro de operaciones !consola#) in$ormes gerenciales especiales% B. Controles en el desarrollo y mantenimiento de los sistemas (s de suma importancia la participacin activa del auditor en el ciclo de desarrollo y mantenimiento de los sistemas0 no slo en la veri$icacin del cumplimiento de las etapas previstas) sino tambin para el asesoramiento respecto de los controles internos a considerar en el nuevo sistema% (sto es muy importante) $undamentalmente por dos raones/ H% 5o se puede esperar que un sistema quede determinado para luego auditarlo% -os auditores deben aprovechar para introducir controles I% (l auditor puede sugerir y participar en el dise4o de controles en los sistemas NORMAS A CONSIDERAR EN LOS DESARROLLOS DE LOS SISTEMAS CO57;O- & (>ICI(5CI, / (standariar tcnicas de programacin y procedimientos de operacin de los sistemas% ($ectuar controles en caso de cambios a programas DOC9A(57,CID5 / Documentacin adecuada que describa los sistemas y los procedimientos para llevar a cabo su procesamiento @(5(;,-(. / Aetodolog"a $ormal de desarrollo (speci$icaciones de dise4o Documentacin en la construccin Dise4o de archivos y tablas Documentacin de pruebas y resultados Diagramaciones PROCESO DE SELECCIN PARA LA ADQUISICIN DEL SOFTWARE ,nte la necesidad de adquirir alg+n tipo de so$tBare se debe cumplir el siguiente procedimiento H% ;ealiar tareas previas relacionadas a la de$inicin de requerimientos e invitacin a los proveedores I% -levar a cabo el proceso de seleccin teniendo en cuenta las caracter"sticas del proveedor) las caracter"sticas de el:los productos que o$rece) las caracter"sticas del proyecto de trabajo que propone y la composicin de los costos o$recidos G% Proceder a la evaluacin $inal) realiando de ser posible una matri comparativa de los di$erentes proveedores ponderando cada una de las caracter"sticas relevadas y seleccionando el proveedor que m*s satis$aga las necesidades planteadas !matri de objetivos m+ltiples# C. Controles en los sistemas de in$ormacin Riesgos de Aplicaci! Podemos identi$icar cuatro categor"as de los riesgos) y medios de control/ Acceso no autori$ado al procesamiento y registro de datos ;iesgo/ se puedan leer) modi$icar) agregar o eliminar in$ormacin de los archivos de datos o ingresar sin autoriacin transacciones para su procesamiento Aedios de Control/ ,cceso slo otorgado a quienes no desempe4an $unciones incompatibles) prohibicin de accesos no autoriados% Datos no correctamente ingresados al sistema ;iesgo/ datos pueden ser imprecisos) incompletos o ser ingresados m*s de una ve% Aedios de Control/ controles sobre la precisin e integridad de los datos ingresados para el procesamiento !programas# Otros controles de validacin/ que cada campo responda al $ormato de$inido !numrico) al$abtico) al$anumrico# Cantidad de datos% 7odos los campos de datos importantes deben estar completos) los datos deben ser compatibles con los datos permanentes) identi$icacin de los nros de documentos o lotes procesados) saldos de transacciones deben balancear Datos rec(a$ados y en suspenso no aclarados ;iesgo/ perder datos) partidas en suspenso que no se identi$ican) analian y:o corrigen en $orma oportuna% -as alternativas pueden ser/ 7ransacciones aceptadas por el sistema y se4aladas en un in$orme de e'cepcin) 7ransacciones destinadas a una cuenta 1en suspenso2 del sistema en lugar de ser procesadas) 7ransacciones completamente rechaadas% (l Riesgo es que estas transacciones no sean adecuadamente resueltas y procesadas% Aedios de Control/ controles sobre transacciones rechaadas y partidas en suspenso% .e deber* crear un registro que los incluya para que su posterior correccin y procesamiento pueda ser controlado% 'rocesamiento y registracin de transacciones incompletos y)o inoportunos ;iesgo/ las transacciones ingresadas o generadas pueden perderse o ser procesadas o registradas en $orma incompleta o ine'acta o en el per"odo contable incorrecto% (l riesgo est* dado por incorrecta actualiacin de los registros% Aedios de Control/ (n los procesamientos por lote/ 7otales de Control0 en otros procesamientos/ controles de balanceo programados) de transmisin de datos) de re3enganche y recuperacin) de corte programados) sobre los datos generados por el sistema% D. Controles en los archivos y las 8ases de datos -os principales riesgos son/ a# las destrucciones b# los accesos no autoriados c# la revelacin a terceros a# Implica el riesgo de destruccin tanto del soporte como del contenido de los mismos% Deben implementarse controles que se conocen en su conjunto como seguridad $"sica% Deben e'istir pol"ticas de resguardo y recupero de in$ormacin !8,CJ39P. que deben plani$icarse% -o ptimo ser"a un bacK3up total de $orma diaria pero no es econmicamente viable% -os soportes utiliados deben ser inventariados y etiquetados de $orma clara y deben ser adecuadamente custodiados% Para saber si los bacK3 ups $uncionan) peridicamente deben realiarse pruebas de recupero de in$ormacin b# (stos riesgos se atacan con controles relacionados con la seguridad lgica% (s necesario contar con controles de acceso y per$iles de usuario% (l control de acceso implica la identi$icacin y la autenticacin del usuario% (l per$il de usuario asegura que un usuario slo pueda realiar las operaciones para las que est* autoriado% Para que un usuario se autentique ser* necesario contar con Lalgo que uno sabe !ej% passBord #) algo que uno tiene !ej% tarjeta# o algo que uno es !tcnicas biomtricas#2 c# debe aplicarse la criptogra$"a !aunque la in$ormacin pueda ser visualiada no ser* entendible# 7ambin se debe tener en cuenta el control de concurrencia !acceso simult*neo a los datos# y el control de transacciones !asegurando que una transaccin pueda completarse totalmente o volverse hacia atr*s luego de producido un $allo# E. Controles en la entrada de datos n cual!uier sistema de informacin si entra basura sale basura""% (l costo de detectar y corregir los errores una ve que ingresaron al .I es mucho mayor que el costo de establecer controles internos adecuados para prevenir esos errores% -a in$ormacin debe cumplir con todas sus caracter"sticas $undamentales !e'actitud) completitud) pertinencia) legitimidad) con$idencialidad) oportunidad) no duplicacin) etc%# -a captura de los datos puede dividirse en tres momentos/ la captura en s") la validacin de los mismos y el almacenamiento% -os problemas pueden presentarse en cualquiera de estos tres momentos% (n la entrada de datos se tiende a la introduccin de tecnolog"a para reducir errores% (n la validacin de los datos ser* $undamental la e'actitud en las reglas de programacin !rangos) tipos de datos) contadores) sumadores) d"gito veri$icador#% .i bien se trata de automatiar la captura) debe e'istir un medio alternativo ante cualquier contingencia% Descripcin de 7areas a ;ealiar !Aetodolog"a# .on los aspectos a ser tenidos en cuenta por el auditor) desde los siguientes puntos de vista/ Am&iente de sistema ;ecabar in$ormacin sobre el grado de utiliacin del procesamiento electrnico de datos en aquellas aplicaciones $inancieras signi$icativas% Principales temas a considerar para adquirir conocimientos sobre el ambiente) son los siguientes/ Conocimiento de la estructura organiativa de los sistemas Conocimiento de la naturalea de la con$iguracin de sistemas ,lcance del procesamiento computariado de la in$ormacin Am&iente de *ontrol Conjunto de condiciones dentro de las cuales operan los sistemas de control% (st* re$erido al en$oque que tiene la gerencia superior y el directorio con respecto al objetivo de control y el marco en que ejerce ese control% -os aspectos a considerar para evaluar la e$ectividad del ambiente de control son/ (l en$oque de control por parte del directorio y la gerencia superior -a organiacin gerencial/ posicin del gerente de sistemas (l gerente de sistemas tiene como $uncin crear y mantener un adecuado ambiente de control% Eecha la plani$icacin estratgica) se documentan las decisiones preliminares para cada uno de los componentes con un en$oque tentativo de auditor"a Plani$icacin detallada (s la seleccin de los procedimientos de auditor"a) que comunmente se traducen en la preparacin de los programas de trabajo% (l auditor se concentra en obtener y documentar una comprensin sobre los controles directos y generales para los componentes signi$icativos de los estados $inancieros3 Seg"#idad de sis$e%as co! p#ocesa%ie!$o e! $ie%po #eal -os controles vistos anteriormente) deben aplicarse tambin en procesos en tiempo real) pero adem*s deben agregarse otros que son propios de este tipo de procesamiento% Problemas que pueden presentarse en procesamiento en tiempo real (n cuanto al proceso .e puede encarecer una aplicacin) por no precisar sta necesariamente de actualiacin en tiempo real !.ueldos# (n cuanto al manejo administrativo (s m*s di$"cil detectar errores) ya que la actualiacin modi$ica el archivo en el momento (n cuanto al uso Desarrollo e implantacin son m*s costosos (s m*s di$"cil implementar control interno) pues se minimia la documentacin del procesamiento) entrada ;elacin directa entre el usuario y el equipo Aedidas de seguridad que demanda el proceso en tiempo real 7cnicas de control $"sico Dispositivos de proteccin para terminales !cerraduras) lectoras# 9bicacin de terminales en *reas supervisadas Descone'in de terminales en determinado horario ,cceso a archivos en determinado horario Descone'in autom*tica de terminales no usadas 7cnicas de control lgico Contrase4as para el acceso 5o3display de contrase4as (stablecer par*metros de niveles de autoriacin Descone'in autom*tica de terminales ante 1M2 intentos in$ructuosos de acceso 7cnicas de control de telecomunicaciones 7ransmisiones ci$radas o codi$icadas 9sar detectores de intercepcin de in$ormacin Distribucin y control de n+mero tele$nico para estaciones de llamada Control y validacin de la entrada Instrucciones escritas para guiar a operadores ?alidacin de la entrada !pruebas programadas# (l operador debe revisar los datos ingresados .e concilian totales de control !manuales vs computador# Aarcas de tiempo y $echa de entrada de la transaccin Controles de archivo Aantenimient o Quien ejecuta o aprueba el mantenimiento no rinde cuenta de los hechos Controlar el acceso para mantenimiento In$orme del 1era y es2 sobre los archivos maestros Integridad In$orme de 1era y es2 revisado por personal apropiado 8alanceo de conteo de registros y totales de control Controles de Procesamiento Control del balanceo de las transacciones - conteo de registros) totales de control - in$orme de datos que no balancean - esos errores deben corregirse antes de reprocesar ,ptitud de procesamient o - $amiliariacin del operador con los procedimientos del sistema - $amiliariacin del operador con los procedimientos alternativos - registro de $echa y hora en las transacciones Controles de la .alida Pruebas de resultado de procesos comprobaciones de raonabilidad de resultados!por programa# utiliar in$ormes de gerencia para detectar errores importantes identi$icar e in$ormar desbordamientos de capacidad Prueba de salida in$ormes dise4ados para evitar errores de interpretacin ?(;I>IC,CID5 &a de$inidos cu*les deben ser los controles que una organiacin debe aplicar en cada uno de los componentes de sus .I) debemos analiar los di$erentes circuitos que e'istan para comprobar que esos controles sean cumplidos% .e pasa entonces a las etapas de %erificacin en las cuales se debe obtener evidencia comprobatoria) v*lida y su$iciente de que los controles $uncionan adecuadamente% .on las denominadas pruebas de cumplimiento) que determinar*n la naturalea) el alcance y oportunidad de los procedimientos de auditor"a a aplicar en la in$ormacin almacenada en el sistema de in$ormacin% Debe comprobarse la e'istencia de una estructura organiativa adecuada) mediante inspeccin de manuales) per$iles de usuario) entrevistas) etc% Debe comprobarse la e'istencia escrita y correcta actualiacin de normas y procedimientos de programacin y tecnolog"a% Debe veri$icarse la continuidad del procesamiento !planes de contingencia) pol"ticas de bacK3up) etc# Deben veri$icarse los controles del teleprocesamiento !$unciones del administrador de red) criptogra$"a# -os controles en las aplicaciones pueden veri$icarse a travs de medidas de documentacin) niveles medios de $allas) calidad de dise4o) cantidad de usuarios) complejidad) cantidad de transacciones) modalidades del procesamiento) estabilidad) escalabilidad) etc !para re$lejar estas medidas puede usarse una matri de riesgo con sus respectivas ponderaciones#% Para llevar a cabo las pruebas de cumplimiento de un sistema puede o no utiliarse una computadora% -as pruebas de cumplimiento con el uso de una computadora pueden clasi$icarse en/ 'O"TO'#RA*I+, !si se veri$ican los controles luego del procesamiento# H# Puede usarse el sistema real con transacciones reales/ se comparan resultados predeterminados con resultados reales I# Puede usarse el sistema real con transacciones simuladas/ en este caso se comparan resultados predeterminados con resultados simulados% -a tcnica se denomina lote de prue&a- .e podr* utiliar el mismo lote para probar todas las $uncionalidades del sistema pero el mismo tendr* que estar actualiado y debe ser pensado de tal $orma que represente todas las condiciones de posible ocurrencia G# Puede usarse un sistema simulado construyendo un sistema paralelo al real con las $uncionalidades que se desean probar% -a tcnica se denomina simulacin en paralelo y se comparan resultados de transacciones reales en el sistema real con resultados de transacciones reales en el sistema simulado% (ste mtodo permite saber si la in$ormacin resultante del sistema real $ue modi$icada 1por el costado2 del sistema pero tiene como desventaja que slo se pueden realiar pruebas parciales y que requiere la su$iciente pericia tcnica para construir el sistema simulado% #, .A O'#RA*I+, !pruebas concurrentes# (n el sistema real se ingresan transacciones reales y transacciones simuladas% -a tcnica se denomina IT/ !integrated test $acilities o minicompa4"a#% .e generan registros especiales de auditor"a dentro de los registros principales del procesamiento !debiendo estar debidamente identi$icados#% -a tcnica slo es aplicable en organiaciones que cuentan con organismos de superintendencia que lo permiten) de otro modo podr"a ser considerada como $raude#% ;equiere baja pericia tcnica y le aporta al auditor el $actor sorpresa pero puede tener inconvenientes en su implementacin o en su control si las transacciones simuladas no son debidamente identi$icadas P;9(8,. .9.7,57I?,. 9na ve realiadas las pruebas de cumplimiento se debe analiar la in$ormacin almacenada en el .I% .i la misma se encuentra en soportes in$orm*ticos puede ser analiada en su totalidad !el alcance ser* total# puesto que ello puede hacerse r*pidamente% -a in$ormacin que no es encuentre almacenada digitalmente puede ser muestreada seg+n el diagnstico hecho sobre los controles generales y los controles particulares% .e pueden encontrar las siguientes herramientas para la realiacin de pruebas sustantivas/ Programa o sistema especial de auditor"a Paquete o so$tBare de auditor"a ,plicativos en general !ej planillas de c*lculo# -enguajes de consulta .(@9;ID,D >N.IC, & -D@IC, -a seguridad $"sica y la seguridad lgica se relacionan con medidas preventivas de impactos en la organiacin% -a in$ormacin debe ser clasi$icada de acuerdo a sus principales caracter"sticas y se debe plantear el impacto de distintos acontecimientos !en lo posible de $orma cuantitativa#% ,dicionalmente se debe plantear la probabilidad de ocurrencia de cada hecho $ortuito a los e$ectos de tratar de minimiar todos los riesgos% .eguridad $"sica 6 ;I(.@O. Propios de la ona geogr*$ica/ incendios) inundaciones) tormentas) epidemias) terremotos Propios de la vecindad/ pueden ser permanentes !por ej% que la organiacin se encuentre lindando a una estacin de servicio# o transitorios !por ej% que e'istan obras en la cercan"a de la organiacin# Propios del ente/ son los riesgos del edi$icio) como los materiales con los que est* construido) la disposicin $"sica del equipamiento elctrico) la insonoriacin) etc% Controles/ construcciones adecuadas) desagOes aptos) bombas de desagote) sensores de l"nea) generadores propios) instalaciones antiincendios) 9P.) grupos electrgenos) utiliacin de cable canal) cableado elctrico adecuado) realiacin de bacK3ups) separacin $"sica de copias de seguridad y equipos de contingencia) identi$icacin del personal a$ectado y no a$ectado al *rea de sistemas) etc% .eguridad lgica -os datos pueden su$rir consultas y modi$icaciones no autoriadas) adem*s de destrucciones% Por ello se deben implementar medidas de seguridad lgica que hacen a la/ Identi$icacin/ de la persona que quiere acceder a esos datos ,utenticacin/ de esa persona% .e debe certi$icar que quien se identi$ica es quien dice ser !1algo que uno sabe) algo que uno tiene) algo que uno es2#% .i se utilian claves las mismas deben ser +nicas) $*ciles de memoriar) e'pirables luego de un lapso determinado y deben aceptar una cantidad m"nima de intentos $allidos% (s recomendable contar con un sector que se encargue de la administracin de todas las claves% ,utoriacin/ se deben limitar las autoriaciones en el uso de los recursos del .I !tanto de los datos como de las $unciones que puedan realiarse con esos datos# Documentacin/ se deben llevar registros de todos los acontecimientos para tareas de vigilancia y seguimiento estad"stico% P-,5 D( CO57I5@(5CI, -a organiacin debe estar preparada para la ocurrencia de hechos accidentales) desastres naturales o actos intencionales que pongan en peligro su normal operatoria% .iempre se debe asegurar el CO8 ! continuity o$ business#% -as principales causas de la $alta de prevencin son/ 15o nos puede pasar a nosotros2 ,pat"a en los cargos jer*rquicos Desconocimiento de cmo preparar un plan Di$"cil cuanti$icacin de bene$icios .e deben analiar todos los riesgos) establecer los recursos cr"ticos) elaborar un proyecto) desarrollar el plan y realiar las pruebas pertinentes >ase de emergencia/ si se produce alg+n hecho grave) se debe establecer el ambiente de reconstruccin y recuperacin y minimiar los da4os ocurridos !las medidas de prevencin ser*n $undamentales para evitar da4os graves#% >ase de enlace/ se deben brindar alternativas de procesamiento para mantener la capacidad operativa y se deben $acilitar las tareas de recuperacin del ambiente% >ase de bacK3up/ es necesario continuar operando con el procesamiento alternativo proveyendo los sets de copias de resguardo necesarios para ello% >ase de recupero/ se debe restaurar totalmente el .I a su normal $uncionamiento) discontinuando la operacin con el procesamiento alternativo y convirtiendo las operaciones y archivos del modo de enlace al modo normal