Documentos de Académico
Documentos de Profesional
Documentos de Cultura
decisiones correspondientes.
Actualmente, y dados los avances tecnolgicos que han venido surgiendo, se constata que
cada vez es ms prioritario para los proveedores, legisladores, auditores, usuarios y
accionistas el contar con elementos que permitan controlar y evaluar los diferentes
aspectos de la tecnologa de la informacin, principalmente lo relacionado con la seguridad,
ya que se reconoce como factor crtico para el xito y la supervivencia de las
organizaciones, que su infraestructura en tecnologas de informacin sea administrada
efectivamente. Lo anterior, debido a que la disposicin de la informacin sin restricciones de
tiempo, distancia y velocidad, hacen que se genere una creciente dependencia en
informacin en los sistemas que la proporcionan; que exista una gran vulnerabilidad,
amenazas y ataques que estn dirigidos a bloquear la informacin que se produce y una
gran escala y el costo de las inversiones actuales para la generacin y seguridad de la
informacin.
En todo el mundo y principalmente para la mayora de las empresas, la informacin y la
tecnologa que la soporta, representan los activos ms valiosos, ya que verdaderamente la
informacin y sus sistemas se encuentran incrustados en las mismas, desde los usuarios
finales, hasta su infraestructura tecnolgica.
En este sentido, las empresas tanto del sector pblico como del privado, han venido
reconociendo los beneficios potenciales que la tecnologa puede brindar, y se ha creado
una carrera desenfrenada en la que el xito de las organizaciones, depende de cmo se
comprenden, administren, regulen y controlen los riesgos asociados con la implementacin
de recursos de tecnologa y su vinculacin con los procesos de negocios de las
organizaciones.
Por lo anterior, los administradores se encuentran atados al paradigma de determinar la
inversin razonable en tecnologa y su control, y la forma en la cual se debe equilibrar la
relacin de riesgo e inversin controlada en un ambiente tecnolgico, el cual es
absolutamente impredecible.
Con el fin de contar con elementos que permitan mantener la relacin de riesgo e
inversiones controladas y en equilibrio, el concepto de control y regulacin ha generado en
la actualidad conceptos confusos en la tarea ardua de implementar buenos controles en
tecnologas de informacin, los cuales soporten exitosamente la cadena de valor de cada
una de las organizaciones.
Par lograr determinar una evaluacin adecuada con respecto a los controles en
tecnologas de informacin, de manera sustancial, los auditores han tenido que tomar
liderazgo en estos esfuerzos, ya que se enfrentan cotidianamente a la necesidad de
soportar y sustentar sus opiniones frente a la administracin, acerca de los controles
internos que garantizan razonablemente la confiabilidad de la informacin que en ellos se
Identificar todos los posibles accesos a las instalaciones, por ej. Techos, ventanas
no necesarias etc.
Determinar si estos accesos son restringidos por el uso de llaves, tarjetas otros
dispositivos de seguridad.
Si se usa una clave o cualquier otro medio que active un cdigo interno, verificar
que ste se cambie peridicamente.
Visitar la sala de cmputo y verificar que no existen seales exteriores que indiquen su
ubicacin a extraos.
Revisar el directorio telefnico y la documentacin emitida por la organizacin, para
asegurarse de que la ubicacin la sala de cmputo no es identificable a travs de ella.
Acceso a las instalaciones
Determinar si las medidas de seguridad implementadas para regular el acceso a las
instalaciones son adecuadas. Verificar el procedimiento, tales como los que se describen a
continuacin, para regular el acceso a las instalaciones:
Requerir que todas las personas autorizadas a efectuar operaciones dentro del
rea de computadoras se registren en una bitcora, en donde indiquen su nombre,
firma, propsito y hora de entrada y de salida.
de acceso.
Verificar que el acceso al equipo del centro de cmputo slo lo realice el personal
autorizado.
Visitas Guiadas
Asegurar que cualquier persona con acceso temporal, pote su identificacin y se encuentre
debidamente acompaada por un miembro del personal autorizado.
Verificar que existan procedimientos para identificar y acompaar a los visitantes durante
el tiempo que permanezcan en las instalaciones.
Verificar que se supervisen estrechamente las visitas autorizadas, mediante mecanismos de
control tales como :
Todos los visitantes a los cuales se les otorg permiso para realizar una visita por
el centro de cmputo, deben ser acompaados por personal autorizado.
Que la parte inferior del piso falso se encuentre en buen estado y libre de polvo.
de las
para
Contemplan polticas de cambio frecuente de stos Por ejemplo, usar una fecha
de expiracin asociada a los passwords o limitar su uso a un nmero determinado
de accesos para obligar su cambio.
Direccin anterior
Acceso a la informacin
Asegurar que el acceso a la informacin est restringido con la adecuada estratificacin
de niveles de acceso. Determinar si los procedimientos prevn que las claves asignadas a
los usuarios consideren el nivel de acceso para:
Equipos
Archivos
Perfiles
los sistemas.
transacciones.
- Todas las modificaciones de datos crticos o programas
Verificar que:
- Existan procedimientos para detectar las posibles violaciones
- La seguridad de la bitcora est protegida
- Peridicamente se revise la bitcora por el supervisor indicado
Dentro de este tipo de auditora, se pueden considerar los siguientes tipos de anlisis, los
cuales realizan diferentes empresas en el mercado, entre las que se destacan:
Diagnsticos
Anlisis completo de los sistemas desde internet (o test de intrusin) identificando las
vulnerabilidades crticas, as como recomendaciones de seguridad, instrucciones para
arreglar las vulnerabilidades adjuntando parches de seguridad necesarios, o recomendando
versiones apropiadas del software que usa el cliente.
Monitoreo en lnea
Instalacin en los sistemas del cliente de un software propio para el seguimiento remito
diario de las posibles incidencias de seguridad, as como la propuesta de planes de
accin de emergencia.
Forenses
Anlisis de la superficie del disco duro programados, aleatorios o puntuales (balo sospecha
de anormalidad),con el fin de asegurar la integridad de los registros y de que estos no
han sido manipulados por un intruso; es decir, rastrear el uso autorizado de los datos
almacenados en diferentes tipos de dispositivos.
Sistemas de alertas y vigilancia tecnolgica
Si vigilan las vulnerabilidades que afectan sistemas en operacin y en caso de algn
acceso no autorizado, se generan reportes de alertas a diferentes niveles descriptivos.
Conclusin
Para lograr determinar una evaluacin adecuada con respecto a los controles en
tecnologas de informacin y en particular lo relacionado con la seguridad, de manera
sustancial, los auditores han tenido que tomar el liderazgo en estos esfuerzos, ya que se
enfrentan cotidianamente a la necesidad de soportar y sustentar sus opiniones frente a la
administracin, acerca de los controles internos que garantizan razonablemente la
confiabilidad de la informacin que en ellos se genera y por ende el cumplimiento de
sus metas y objetivos.