Apuntes Auditoria A

Auditora en Informtica
Equipo No. 7
TEMARIO.
I. INTRODUCCIN A LA AUDITORIA INFORMTICA................................................................................. 4 I.I CONCEPTOS DE AUDITORIA INFORMTICA ........................................................................................... 4 I.II TIPOS DE AUDITORIA ............................................................................................................................. 5 I.III CAMPO DE LA AUDITORIA INFORMTICA ......................................................................................... 6 I.IV CONTROL INTERNO ........................................................................................................................... 7 I.V MODELOS DE CONTROL ......................................................................................................................... 8 I.VI PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS .................................................................... 10 I.VII RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR ................................................... 12 II. II.I PLANEACIN DE LA AUDITORIA INFORMTICA ................................................................................. 15 FASES DE LA AUDITORIA ......................................................................................................................... 15 La Planeacin ........................................................................................................................................... 15 Revisin preliminar .................................................................................................................................. 15 Revisin detallada .................................................................................................................................... 15 Examen y evaluacin de la informacin. ................................................................................................. 16 Pruebas sustantivas. ................................................................................................................................ 16 II.II EVALUACIN DE LOS SISTEMAS DE ACUERDO AL RIESGO ............................................................................... 16 II.III. INVESTIGACIN PRELIMINAR .......................................................................................................... 22 II.IV PERSONAL PARTICIPANTE. .............................................................................................................. 28 III. AUDITORIA DE LA FUNCIN INFORMTICA. ...................................................................................... 31 III.I. INTRODUCCIN .......................................................................................................................................... 31 III.II. RECOPILACIN DE INFORMACIN ORGANIZACIONAL. ........................................................................................ 31 III.III. EVALUACIN DE RECURSOS HUMANOS. ........................................................................................................ 33 III.IV. ENTREVISTAS CON PERSONAL DE INFORMTICA. ............................................................................................. 36 III.V. ENTREVISTAS CON EL PERSONAL USUARIO. ..................................................................................................... 37 III.VI. SITUACIN PRESUPUESTAL Y FINANCIERA EN LA AUDITORIA INFORMTICA............................................................ 38 Presupuestos Auditoria Informtica ........................................................................................................ 39 Recursos Financieros y Materiales Auditoria Informtica ....................................................................... 39 IV. EVALUACIN DE LA SEGURIDAD.................................................................................................... 42
IV.I. GENERALIDADES DE SEGURIDAD AREA FSICA ...................................................................................... 42 IV.II SEGURIDAD LGICA Y CONFIDENCIAL ................................................................................................... 43 IV.III SEGURIDAD EN EL PERSONAL. ...................................................................................................................... 46 IV.IV CLASIFICACIN DE LOS CONTROLES DE SEGURIDAD. .......................................................................................... 48 IV.V SEGURIDAD DE DATOS Y SOFTWARE DE APLICACIN. ......................................................................................... 50 IV.VI. CONTROLES PARA EVALUAR SOFTWARE DE APLICACIN ................................................................... 51 IV.VII. CONTROLES PARA PREVENIR FRAUDES INFORMATICOS.................................................................... 52 IV.VIII. PLAN DE CONTINGENCIA Y PROCEDIMIENTOS DE RECUPERACIN DE DESASTRES .......................... 54 IV.IX TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FSICA Y PERSONAL. ..................... 57 IV.X TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD EN DATOS Y SOFTWARE DE APLICACIN. ................................................................................................................................................. 58 V. AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMTICA .................................................................. 63 V.I. GENERALIDADES DE LA SEGURIDAD DE LA TELEINFORMATICA .............................................................. 64 V.II. OBJETIVOS Y CRITERIOS DE AUDITORIA PARA TELEINFORMATICA ........................................................ 65 V.III. SINTOMAS DE RIESGOS EN TELEINFORMATICA............................................................................... 67 V.IV. TECNICAS Y HERRAMIENTAS DE AUDITORIA RELACIONADAS CON LA SEGURIDAD EN LA TELEINFORMATICA ....................................................................................................................................... 68
Equipo No. 7
Pgina 1
VI. INFORME DE LA AUDITORIA INFORMATICA ......................................................................................... 71 VI.I. GENERALIDADES DE LA SEGURIDAD DEL AREA FISICA.. ........................................................................ 71 VI.II CARACTERISTICAS DEL INFORME .......................................................................................................... 72 VI.III. ESTRUCTURA DEL INFORME ............................................................................................................... 74 VI.IV. FORMATO PARA EL INFORME ............................................................................................................. 75
Equipo No. 7
Pgina 2
UNIDAD I
Equipo No. 7
Pgina 3
I.
INTRODUCCIN A LA AUDITORIA INFORMTICA
CONCEPTO DE AUDITORIA: La Auditora puede definirse como un proceso sistemtico para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades econmicas y otros acontecimientos relacionados, cuyo fin consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, as como establecer si dichos informes se han elaborado observando los principios establecidos para el caso. La auditora es el examen crtico y sistemtico que realiza una persona o grupo de personas independientes del sistema auditado. Funcin a desarrollar de una Auditoria Investigacin constante de planes y objetivos Estudio de las polticas y sus prcticas Revisin constante de la estructura orgnica Estudio constante de las operaciones de la empresa Analizar la eficiencia de la utilizacin de recursos humanos y materiales Revisin del equilibrio de las cargas de trabajo Revisin constante de los mtodos de control.
I.I
CONCEPTOS DE AUDITORIA INFORMTICA
Proceso metodolgico ejecutado por especialistas del rea de auditora y de informtica. Orientado a la verificacin y aseguramiento de que las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa de informacin, se lleven a cabo de manera oportuna y eficiente. Que operen en un ambiente se seguridad y control para generar confiabilidad, integridad, exactitud, etc. en los datos. Debe generar un informe que indique las observaciones, recomendaciones y reas de oportunidad para el mejoramiento y optimizacin de las Tecnologas de Informacin. Los objetivos de la auditora Informtica son: El control de la funcin informtica El anlisis de la eficiencia de los Sistemas Informticos La verificacin del cumplimiento de la Normativa en este mbito La revisin de la eficaz gestin de los recursos informticos.
La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como: Eficiencia Pgina 4
Equipo No. 7
Eficacia Rentabilidad Seguridad
I.II
TIPOS DE AUDITORIA
AUDITORIA INFORMATICA o o AUDITORIA INTERNA AUDITORIA EXTERNA
La auditora interna Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento. La auditora interna nace de la prctica sin unos principios generales o un cuerpo terico general. Por ello se puedes distinguir tres etapas: La primera de ellas comprende la necesidad de obtener precisin en las cuentas y la prevencin del fraude. La segunda etapa como consecuencia de la depresin (despus de la segunda guerra mundial) la comisin de valores y bolsa hizo responsable a los gerentes financieros de la fiabilidad de sus estados financieros, surgiendo la necesidad de implantar en las empresas un control financiero y contable, as como a intervenir en cuestionar las tomas de decisiones, la salvaguarda de activos y el profundizar en aspectos relativos a la gestin empresarial.
La auditora externa Es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados. Aplicando el concepto general, se puede decir que la auditora Externa es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un Contador Pblico sin vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir una opinin independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinin independiente tiene trascendencia a los terceros, pues da plena validez a la informacin generada por el sistema ya que se produce bajo la figura de la Fe Pblica, que obliga a los mismos a tener plena credibilidad en la informacin examinada.
Equipo No. 7
Pgina 5
La Auditora Externa examina y evala cualquiera de los sistemas de informacin de una organizacin y emite una opinin independiente sobre los mismos, pero las empresas generalmente requieren de la evaluacin de su sistema de informacin financiero en forma independiente para otorgarle validez ante los usuarios del productode este, por lo cual tradicionalmente se ha asociado el trmino Auditora Externa a Auditora de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir Auditora Externa del Sistema de Informacin Tributario, Auditora Externa del Sistema de Informacin Administrativo, Auditora Externa del Sistema de Informacin Automtico etc. La Auditora Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella informacin producida por los sistemas de la organizacin. Una Auditora Externa se lleva a cabo cuando se tiene la intencin de publicar el producto del sistema de informacin examinado con el fin de acompaar al mismo una opinin independiente que le d autenticidad y permita a los usuarios de dicha informacin tomar decisiones confiando en las declaraciones del Auditor. La Auditoria Interna: El auditor tiene relacin con la empresa. La relacin con la empresa puede influir en la emisin del juicio sobre la evaluacin de las reas de la empresa. Informe para uso interno. Permite detectar problemas y desviaciones. Puede actuar peridicamente como parte de su Plan Anual. Los auditados conocen estos planes y se habitan a las Auditoras. Las Recomendaciones habidas benefician su trabajo. La Auditoria Externa El auditor no tiene relacin con la empresa Revisin independiente con total libertad de criterio sin ninguna influencia Realizadas por despachos de auditores Generalmente solicitado por instituciones gubernamentales
I.III
CAMPO DE LA AUDITORIA INFORMTICA
Algunos campos de aplicacin de la informtica son las siguientes: Investigacin cientfica y humanstica: Se usan las computadoras para la resolucin de clculos matemticos, recuentos numricos, etc. Algunas de estas operaciones: Resolucin de ecuaciones. Anlisis de datos de medidas experimentales, encuestas etc. Anlisis automticos de textos.
Equipo No. 7
Pgina 6
Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones: Anlisis y diseo de circuitos de computadora. Clculo de estructuras en obras de ingeniera. Minera. Cartografa.
Documentacin e informacin: Es uno de los campos ms importantes para la utilizacin de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Ejemplos de este campo de aplicacin son: Documentacin cientfica y tcnica. Archivos automatizados de bibliotecas. Bases de datos jurdicas. Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa. Existen programas que realizan las siguientes actividades: Contabilidad. Facturacin. Control de existencias. Nminas.
Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo hara una persona inteligente. Aplicaciones como: Reconocimiento del lenguaje natural. Programas de juego complejos (ajedrez). Instrumentacin y control:Instrumentacin electrnica, electromedicina, robots industriales, entre otros.
I.IV
CONTROL INTERNO
Se puede definir el control interno como "cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos. Los controles internos se clasifican en los siguientes: Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Equipo No. 7 Pgina 7
Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc. Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad. Para la implantacin de un sistema de controles internos informticos habr que definir: Gestin de sistema de informacin: polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los controles correspondientes. Administracin de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes. Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestin del cambio: separacin de las pruebas y la produccin a nivel del software y controles de procedimientos para la migracin de programas software aprobados y probados.
I.V
MODELOS DE CONTROL
En la actualidad existen una gran cantidad de modelos de control interno. Los modelos de control interno COSO y COBIT son los dos modelos ms difundidos en la actualidad. COSO esta enfocado a toda la organizacin, contempla polticas, procedimientos y estructuras organizativas adems de procesos para definir el modelo de control interno. Mientras que COBIT (Control Objectives for Information and Related Technology, Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas) se centra en el entorno IT, contempla de forma especfica la seguridad de la informacin como uno de sus objetivos, cosa que COSO no hace. Adems el modelo de control interno que presenta COBIT es ms completo, dentro de su mbito. Existen otros tipos de modelos los cuales se mencionan a continuacin: OECD (Organization for Economic Cooperation and Development) GAPP (Generaly Accepted Principles and Practices). National Institute of Standards and Technology (NIST) BS 7799 (British Standard Institute) SAC (Security Auditability and Control). The Inst. of Internal Audit. COSO (Internal Control Integrated Framework. Committee of Sponsoring Organizations) SSE CMM (Systems Security Engineering Capability Maturity Model) National Security Agency (NSA) Defense- Canada. CoCo (Criteria of Control Board of The Canadian Institute of Chartered Accountants.)
Equipo No. 7
Pgina 8
ITCG (Information Technology Control Guidelines). Canadian Institute of Chartered Accountants (CICA) GASSP (Generaly Accepted System Security Principles). International Information Security Foundation (IISF) Cobit (Control Objectives for Information and Related Technologies) FISCAM (Federal Information Systems Controls Audit Manual). GAO SysTrust (AICPA/CICA SysTrust Principles and Criteria for System Reliability) SSAG (System Self-Assessment Guide for Information Technology Systems). NIST DEFINICION DE COBIT Es un marco de control interno de TI. Parte de la premisa de que la TI requiere proporcionar informacin para lograr los objetivos de la organizacin. Promueve el enfoque y la propiedad de los procesos.
Apoya a la organizacin al proveer un marco que asegura que: La Tecnologa de Informacin (TI) est alineada con la misin y visin. LA TI capacite y maximice los beneficios. Los recursos de TI sean usados responsablemente. Los riesgos de TI sean manejados apropiadamente
ESTRUCTURA DE COBIT
COBIT INFORMACIN Requerimientos Calidad. Costo.
REQUERIMIENTOS DE LA DEL NEGOCIO de Calidad
Oportunidad. Requerimientos Financieros (COSO) Efectividad y eficiencia operacional. Equipo No. 7 Pgina 9
Confiabilidad de los reportes financieros Cumplimiento de leyes y regulaciones. Requerimientos de Seguridad Confidencialidad. Integridad. Disponibilidad. Efectividad: Informacin relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable Eficiencia: Empleo ptimo de los recursos. Confidencialidad: Proteccin de la informacin sensitiva contra divulgacin no autorizada Integridad: Informacin exacta y completa, as como vlida de acuerdo con las expectativas de la organizacin. Disponibilidad: accesibilidad a la informacin y la salvaguarda de los recursos y sus capacidades. Cumplimiento: Leyes, regulaciones y compromisos contractuales. Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo COBIT PROCESOS DE TI TRES NIVELES
I.VI
PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS
PRINCIPIO DE BENEFICIO DE AUDITADO En este principio el auditor debe conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, no debe de ningn modo obtener beneficio propio. PRINCIPIO DE CALIDAD En el auditor debern prestar sus servicios conforme las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. PRINCIPIO DE CONFIANZA El auditor deber facilitar e incrementar la confianza del auditora en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos. PRINCIPIO DE CAPACIDAD El auditor debe estar plenamente capacitado para la realizacin de la auditora encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas. PRINCIPIO DE COMPORTAMIENTO PROFESIONAL El auditor, tanto en sus relaciones con el auditado como con terceras personas, deber, en todo momento, actuar conforma a las normas, implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal. PRINCIPIO DE CRITERIO PROPIO
Equipo No. 7
Pgina 10
El auditor durante la ejecucin deber actuar con criterio propio y no permitir que est subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo. PRINCIPIO DE CONCENTRACION EN EL TRABAJO El auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas a l encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente controlada, provocar la conclusin de los mismos sin las debidas garantas de seguridad. PRINCIPIO DE DISCRECIN El auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria. PRINCIPIO DE ECONOMA El auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad. PRINCIPIO DE FORMACIN CONTINUADA Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta. PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIN La defensa de los auditados pasa por el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de las auditorias. PRINCIPIO DE INDEPENDENCIA Este relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informtica, a exigir una total autonoma e independencia en su trabajo. PRINCIPIO DE INFORMACIN SUFICIENTE Este principio obliga al auditor a aportar, en forma pormenorizada, clara, precisa e inteligible para el auditado, informacin de los puntos y conclusiones relacionados con la auditoria. PRINCIPIO DE INTEGRIDAD MORAL Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad. PRINCIPIO DE LEGALIDAD La primaca de esta obligacin exige del auditor un comportamiento activo de oposicin a todo intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto integrado en el derecho positivo. PRINCIPIO DE LIBRE COMPETENCIA La actual economa de mercado exige que el ejercicio de la profesin se realice en el marco de la libre competencia siendo rechazables, por tanto, las prcticas colusorias tendentes a impedir o limitar la legtima competencia de otros profesionales. PRINCIPIO DE NO DISCRIMINACIN El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia. PRINCIPIO DE NO INJERENCIA Equipo No. 7 Pgina 11
El auditor, deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma, deber igualmente evitar aprovechar los datos. PRINCIPIO DE PRECISIN Este principio exige del auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas. PRINCIPIO DE PUBLICIDAD ADECUADA La oferta y promocin de los servicios de auditoria debern en todo momento ajustarse a las caractersticas, condiciones y finalidad perseguidas. PRINCIPIO DE RESPONSABILIDAD El auditor deber, como elemento intrnseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje. PRINCIPIO DE SECRETO PROFESIONAL La confidencia y confianza entre el auditor y el auditado e imponen al primero la obligacin de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional. PRINCIPIO DE SERVICIO PBLICO La aplicacin de este principio debe incitar al auditor a hacer lo que este en su mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales. PRINCIPIO DE VERACIDAD El Auditor en sus comunicaciones con el auditado deber tener siempre presente la obligacin de asegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto, correccin, y secreto profesional.
I.VII RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

El auditor informtico debe ser una persona con un alto grado de calificacin tcnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar las siguientes actividades: Verificacin del control interno tanto de las aplicaciones como de los SI, perifricos, etc. Anlisis de la administracin de Sistemas de Informacin, desde un punto de vista de riesgo de seguridad, administracin y efectividad de la administracin. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del anlisis de aplicaciones. Auditora del riesgo operativo de los circuitos de informacin Anlisis de la administracin de los riesgos de la informacin y de la seguridad implcita. Verificacin del nivel de continuidad de las operaciones. Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las consecuencias empresariales que un desfase tecnolgico puede acarrear. Diagnstico del grado de cobertura que dan las aplicaciones a las necesidades estratgicas y operativas de informacin de la empresa. Equipo No. 7 Pgina 12
RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR Organizacin de la funcin de Auditora Informtica La funcin de la auditora informtica se ha convertido en una funcin que desarrolla un trabajo ms acorde con la importancia que para las organizaciones tienen los SI, que son su objeto de estudio y anlisis. El auditor informtico pasa a ser auditor y consultor de empresas en materias de: Seguridad Control interno operativo Eficiencia y eficacia Tecnologas de Informacin Continuidad de operaciones Administracin de riesgos Su localizacin puede estar ligada a la auditora interna operativa y financiera (aunque exista una coordinacin lgica entre ambos departamentos), con independencia de objetivos, planes de formacin y presupuestos. Debe ser un grupo independiente del de auditora interna, con acceso total a los SI y dems tecnologa, que depende de la misma persona que la auditora interna (Director General o Consejero). La dependencia debe ser del mximo responsable de la organizacin, nunca del departamento de sistemas o del financiero. Esto es para que no se pueda sospechar que existe sesgo al momento de realizar el trabajo de auditora y ofrecer conclusiones y recomendaciones. Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada de personas con formacin en auditora y organizacin y con perfil informtico (especialidades).
Equipo No. 7
Pgina 13
UNIDAD II
Equipo No. 7
Pgina 14
II. II.I PLANEACIN DE LA AUDITORIA INFORMTICA
Fases de la auditoria
La Planeacin En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. Con ello podremos determinar el nmero y caractersticas del personal de auditora, las herramientas necesarias, el tiempo y costo, as como definir los alcances de la auditora para, en caso necesario, poder elaborar el contrato de servicios. Cmo acta en la etapa de planeacin? Anlisis en los grados de preparacin tcnica, experiencia y capacidad profesional de los auditores. Revisin del plan general del trabajo, definicin de objetivos. Discusin del plan de trabajo. Discusin y fijacin del presupuesto del tiempo. Revisin preliminar El objetivo de esta fase es revisar la instalacin para obtener informacin sobre como llevar a cabo la auditoria. Al finalizarla, el auditor puede proceder de tres maneras: No continuar con la auditoria. Pasar a la siguiente fase para realizar la revisin detallada de los controles internos, esperando poder confiar en ellos, y reducir los Test de Apoyo. Pasa directamente a la fase de pruebas de sustantivas. Revisin detallada El objetivo de esta fase es obtener informacin necesaria para tener un conocimiento detallado (profundo) de los controles utilizados en la instalacin. Al finalizarla, el auditor puede tomar una de las siguientes decisiones: No continuar con la auditoria. Pasar a la fase pruebas de controles de usuario, esperando poder confiar en los controles internos. Equipo No. 7 Pgina 15
Pasar directamente a la fase de pruebas sustantivas. Examen y evaluacin de la informacin. Consiste en el examen y evaluacin peridica de los recursos informativos. Su objetivo es conocer la utilizacin que se hace de la informacin, las barreras que se le impone y el establecimiento de procesos de mejora. Mediante una revisin adecuada de los recursos informticos, y el uso de formatos bien diseados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente. Pruebas sustantivas. Qu es una prueba sustantiva? Son aquellas pruebas que disea el auditor como el objeto de conseguir evidencia que permita opinar sobre la integridad, razonabilidad y validez de los datos producidos por el sistema contable de la empresa auditada. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin De que dependen las pruebas sustantivas? Dependern del tipo de volumen de errores que pudieran ocurrir en los procesos contables de la empresa que no fueron descubiertos por los procedimientos de control interno empleados. A menor cantidad de errores de importancia que pudieran ocurrir, mayor ser la limitacin del alcance de las pruebas sustantivas.
II.II
Evaluacin de los sistemas de acuerdo al riesgo
Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que se dan, son las races de la incertidumbre y el riesgo que las organizaciones confrontan. La administracin de riesgos en un marco amplio implica que las estrategias, procesos, personas, tecnologa y conocimiento estn alineados para manejar toda la incertidumbre que una organizacin enfrenta. Por el otro lado los riesgos y oportunidades van siempre de la mano, y la clave es determinar los beneficios potenciales de estas sobre los riesgos.
Equipo No. 7
Pgina 16
Generalmente se habla de Riesgo y conceptos de Riesgo en la evolucin de los Sistemas de Control Interno, en los cuales se asumen tres tipos de Riesgo: Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de las actividades de la empresa y puede generar deficiencias del Sistema de Control Interno. Riesgo de Deteccin: Es aquel que se asume por parte de los auditores que en su revisin no detecten deficiencias en el Sistema de Control Interno. Riesgo Inherente: Son aquellos que se presentan inherentes a las caractersticas del Sistema de Control Interno. Metodologa es una secuencia de pasos lgica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologas para llevar a cabo una auditoria informtica. Las metodologas son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. Objetivos Contar con una herramienta que le permita realizar el trabajo de forma eficiente. Contar con los formatos e indicadores, para las diferentes fases de los procesos. Ser lo suficientemente flexible para adaptarse a las necesidades y requerimientos de cada revisin, de acuerdo a las condiciones concretas de cada dependencia. Como deben de ser las metodologas? La metodologa usada por el auditor interno debe ser diseada y desarrollada por el propio auditor -Se basa en su grado de experiencia y habilidad -Se deben crear las metodologas necesarias para auditar los distintos aspectos definidos en el plan auditor informtico. Partes que conforman el plan de auditoria: Funciones. Procedimientos. Tipos de auditoras que realiza. Sistema de evaluacin. Nivel de exposicin. Lista de distribucin de informes. Seguimiento de acciones correctoras. Plan de trabajo.
Todas las metodologas existentes desarrolladas y utilizadas en la auditora y el control informtico, se puede agrupar en dos grandes familias: Cuantitativas Equipo No. 7 Pgina 17
Metodologas de los auditores internos
Estn formuladas por recomendaciones de plan de trabajo , nmeros , historiales, indicadores. Cualitativas Controles generales El objetivo aqu es dar una opinin sobre la fiabilidad de los datos del computador Dependen en gran medida de la experiencia de los profesionales que las usan. Cuantitativas: Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo. Estn diseadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el nmero de incidencias tiende al infinito. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Basadas en mtodos estadsticos y lgica borrosa, que requiere menos recursos humanos / tiempo que las metodologas cuantitativas. Ventajas: Enfoque lo amplio que se desee. Plan de trabajo flexible y reactivo. Se concentra en la identificacin de eventos. Desventajas Depende fuertemente de la habilidad y calidad del personal involucrado. Identificacin de eventos reales ms claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia profesional. En la actualidad existen tres tipos de metodologas de auditoria informtica: R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestin de base de Datos DB2; paquete de seguridad RACF, etc.). CRMR son las siglas de Computer resource management review, su traduccin ms adecuada, Evaluacin de la gestin de recursos informticos. En cualquier caso, esta terminologa quiere destacar la posibilidad de realizar una evaluacin de eficiencia de utilizacin de los recursos por medio del management.
Equipo No. 7
Pgina 18
Una revisin de esta naturaleza no tiene en s misma el grado de profundidad de una auditora informtica global, pero proporciona soluciones ms rpidas a problemas concretos y notorios. Supuestos de aplicacin En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms a deficiencias organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre cualquier rea de un Centro de Procesos de Datos. El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan: Se detecta una mala respuesta a las peticiones y necesidades de los usuarios. Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios en el momento oportuno. Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicacin sealadas en punto anteriores: Gestin de Datos Control de Operaciones Control y utilizacin de recursos materiales y humanos Interfaces y relaciones con usuarios Planificacin Organizacin y administracin.
Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisicin de nuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos crticos o las holguras de un Proyecto complejo. OBJETIVOS CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos. Las Recomendaciones que se emitan como resultado de la aplicacin del CRMR, tendrn como finalidad algunas de las que se relacionan: Identificar y fijar responsabilidades. Mejorar la flexibilidad de realizacin de actividades. Aumentar la productividad. Disminuir costes. Mejorar los mtodos y procedimientos de Direccin.
Se fijarn los lmites que abarcar el CRMR, antes de comenzar el trabajo. Se establecen tres clases: 1. Reducido. El resultado consiste en sealar las reas de actuacin con potencialidad inmediata de obtencin de beneficios. Equipo No. 7 Pgina 19
2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y como se hace en la auditora informtica ordinaria. 3. Amplio. El CRMR incluye Planes de Accin, aportando tcnicas de implementacin de las Recomendaciones, a la par que desarrolla las conclusiones. Supuestos de aplicacin En funcin de la definicin dada, la metodologa abreviada CRMR es aplicable ms a deficiencias organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre cualquier rea de un Centro de Procesos de Datos. El mtodo CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan: Se detecta una mala respuesta a las peticiones y necesidades de los usuarios. Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios en el momento oportuno Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso. Existen sobrecargas frecuentes de capacidad de proceso. Existen costes excesivos de proceso en el Centro de Proceso de Datos. Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra con mayor frecuencia. Aunque pueden existir factores tcnicos que causen las debilidades descritas, hay que convenir en la mayor incidencia de fallos de gestin. reas de Aplicacin Las reas en que el mtodo CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicacin sealadas en punto anteriores: Gestin de Datos Control de Operaciones Control y utilizacin de recursos materiales y humanos Interfaces y relaciones con usuarios Planificacin Organizacin y administracin
Informacin necesaria para la evaluacin del CRMR Se determinan en este punto los requisitos necesarios para que esta simbiosis de auditora y consultora pueda llevarse a cabo con xito. 1. El trabajo de campo del CRMR ha de realizarse completamente integrado en la estructura del Centro de Proceso de Datos del cliente, y con los recursos de ste. 2. Se deber cumplir un detallado programa de trabajo por tareas. Pgina 20
Equipo No. 7
3. El auditor-consultor recabar determinada informacin necesaria del cliente.
Se tratan a continuacin los tres requisitos expuestos: 1.- Integracin del auditor en el Centro de Procesos de Datos a revisar. No debe olvidarse que se estn evaluando actividades desde el punto de vista gerencial. El contacto permanente del auditor con el trabajo ordinario del Centro de Proceso de Datos permite a aqul determinar el tipo de esquema organizativo que se sigue. 2. - Programa de trabajo clasificado por tareas. Todo trabajo habr de ser descompuesto en tareas. Cada una de ellas se someter a la siguiente sistemtica: Identificacin de la tarea Descripcin de la tarea Descripcin de la funcin de direccin cuando la tarea se realiza incorrectamente. Test para la evaluacin de la prctica directiva en relacin con la tarea Posibilidades de agrupacin de tareas Ajustes en funcin de las peculiaridades de un departamento concreto Registro de resultados, conclusiones y Recomendaciones.
El cliente es el que facilita la informacin que el auditor contrastar con su trabajo de campo. Se exhibe a continuacin una Checklist completa de los datos necesarios para confeccionar el CRMR: Datos de mantenimiento preventivo de Hardware Informes de anomalas de los sistemas Procedimientos estndar de actualizacin. Procedimientos de emergencia. Monitoreo de los Sistemas. Informes del rendimiento de los Sistemas. Mantenimiento de las Libreras de Programas. Gestin de Espacio en disco. Documentacin de entrega de Aplicaciones a Explotacin. Documentacin de alta de cadenas en Explotacin. Utilizacin de CPU, canales y discos. Datos de paginacin de los Sistemas. Volumen total y libre de almacenamiento. Ocupacin media de disco. Manuales de Procedimientos de Explotacin.
Equipo No. 7
Pgina 21
II.III. INVESTIGACIN PRELIMINAR
Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin. Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas.
Objetivos de una evaluacin Comparar alternativas, para encontrar la mejor. Determinar el impacto de una nueva caracterstica, por ejemplo, aadir un disco duro nuevo. Sintonizar el sistema, hacer que funcione mejor segn algn punto de vista. Identificar prestaciones relativas entre diferentes sistemas. Depuracin de prestaciones, identificar los fallos del sistema que hacen que vaya ms lento. Poner unas expectativas sobre el uso del sistema, por ejemplo, cuntas conexiones es capaz de soportar una base de datos simultneamente, o cuntas peticiones un sitio web.
Evaluacin en un sistema informtico es realizada en: Diseadores, usuarios y administradores de un sistema informtico. Para obtener el mejor rendimiento con los menores costes. Los sistemas deben ser evaluadas con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratgico para la elaboracin de los sistemas o si se estn elaborados sin el adecuado sealamiento de prioridades y de objetivos. El proceso de planeacin de sistemas deber asegurarse de que todos los recursos requeridos estn claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos (hardware, software y comunicaciones) debern ser compatibles con la arquitectura y la tecnologa, conque se cuenta actualmente. En lo referente a la consulta a los usuarios, el plan estratgico debe definir los requerimientos de informacin de la dependencia. Qu estudios van a ser realizados al respecto? Qu metodologa se utilizar para dichos estudios? Quin administrar y realizar dichos estudios? Equipo No. 7 Pgina 22
En el momento de hacer la planeacin de la auditora, debemos evaluar que pueden presentarse las siguientes situaciones. Se solicita la informacin y se ve que: No tiene y se necesita. No se tiene y no se necesita. Se tiene la informacin pero: No se usa. Es incompleta. No esta actualizada. No es la adecuada. Se usa, est actualizada, es la adecuada y est completa.
En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la informacin pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est completa. El plan estratgico deber establecer los servicios que se presentarn en un futuro contestando preguntas como las siguientes: Cules servicios se implementarn? Cundo se pondrn a disposicin de los usuarios? Qu caractersticas tendrn? Cuntos recursos se requerirn? La estrategia de desarrollo deber establecer las nuevas aplicaciones, recursos y la arquitectura en que estarn fundamentados: Qu aplicaciones sern desarrolladas y cuando? Qu tipo de archivos se utilizarn y cuando? Qu bases de datos sern utilizarn y cuando? Qu lenguajes se utilizarn y en que software? Qu tecnologa ser utilizada y cuando se implementar? Cuantos recursos se requerirn aproximadamente? Cul es aproximadamente el monto de la inversin en hardware y software? En el rea de auditora interna debe evaluarse cul ha sido la participacin del auditor y los controles establecidos. Por ltimo, el plan estratgico determina la planeacin de los recursos. Equipo No. 7 Pgina 23
Contempla el plan estratgico las ventajas de la nueva tecnologa? Cul es la inversin requerida en servicios, desarrollo y consulta a los usuarios? Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: 1.=Requerimientos del usuario. 3.=Anlisis de riesgo 5.=Anlisis 7.=Desarrollo fsico 9.=Implementacin 11.=Modificaciones 13.=Mejoras. 2.=Estudio de factibilidad. 4.=Diseo general. 6.=Diseo lgico 8. =Pruebas. 10.=Evaluacin. 12.=Instalacin
Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad. 1=Requerimientos del usuario 1). Investigacin Preliminar: La solicitud para recibir ayuda de un sistema de informacin puede originarse por varias razones: sin importar cuales sean estas, el proceso se inicia siempre con la peticin de una persona. 2). Determinacin de los requerimientos del sistema: El aspecto fundamental del anlisis de sistemas es comprender todas las facetas importantes de la parte de la empresa que se encuentra bajo estudio. Los analistas, al trabajar con los empleados y administradores, deben estudiar los procesos de una empresa para dar respuesta a las siguientes preguntas clave: Qu es lo que hace? Cmo se hace? Con que frecuencia se presenta? Qu tan grande es el volumen de transacciones o decisiones? Cul es el grado de eficiencia con el que se efectan las tareas? Existe algn problema? Qu tan serio es? Cul es la causa que lo origina? 2=Estudio de factibilidad La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cul es su relacin costo/beneficio y si es recomendable elaborarlo. Se deber solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operacin, as como los que estn en la fase de anlisis para evaluar si se considera la disponibilidad y caractersticas del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilizacin de los sistemas, el costo y los beneficios que reportar el sistema, el efecto que producir en quienes lo usarn y el efecto que stos tendrn sobre el sistema y la congruencia de los diferentes sistemas. En el caso de sistemas que estn funcionando, se deber comprobar si existe el estudio de factibilidad con los puntos sealados y compararse con la realidad con lo especificado en el estudio de factibilidad. Equipo No. 7 Pgina 24
Por ejemplo en un sistema que el estudio de factibilidad seal determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema. Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operacin, cosa que en la prctica son costos directos, indirectos y de operacin. Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operacin, la reduccin del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejora en los procedimientos de control, mayor confiabilidad y seguridad. 3.Anlisis riesgo RIESGO Planificacin insuficiente EJEMPLO Cuando los desarrolladores de software superan en tiempo establecido para la terminacin del software. CONTROL Debe analisarse minuciosamente la planeacin del desarrollo del programa para un desarrollo rpido. RIESGO Cambio de requerimientos EJEMPLO Este caso se presenta cuando no se definieron claramente los requerimientos del software y al desarrollador, analista le toca redisearan y volver a programar CONTROL Realizar cuidadosamente el estudio antes de comenzar el desarrollo, aplicando los diferentes mtodos obtencin de requerimientos RIESGO Tiempo de desarrollo EJEMPLO Cuando los desarrolladores de software su pera en tiempo establecido para la terminacin del software. CONTROL Debe analizarse minuciosamente la planeacin del desarrollo del programa RIESGO Prdida de manuales EJEMPLO En una empresa que se necesite la actualizacin de un sistema CONTROL Proteger los manuales en lugares seguros en donde los operadores, analistas, desarrolladores tengan acceso; y no se daen. RIESGO Diseo inadecuado EJEMPLO En el proceso de desarrollo los diseadores no escatiman el tiempo necesario para la creacin del diseo por la rapidez de completar la planeacin. CONTROL Determinar en la planeacin el tempo justo para el desarrollo de diseo y darle su importancia. 4. Diseo El diseo de un sistema de informacin produce los detalles que establecen la forma en la que el sistema cumplir con los requerimientos identificados durante la fase de anlisis. Los especialistas en sistemas se refieren, con frecuencia, a esta etapa como diseo lgico en contraste con la del desarrollo del software, a la que denominan diseo fsico. Equipo No. 7 Pgina 25
5. Anlisis. Hemos de estudiar las tareas realizadas por cada uno de estos elementos del sistema y determinar cules de estas funciones se pueden automatizar, por ejemplo, si deseamos realizar una aplicacin para gestionar una empresa, hemos de ver qu funciones realiza la empresa, cules de stas se realizan manualmente por personas y cules estn automatizadas, se realizan mediante ordenador, se intentar automatizar el mayor nmero de funciones posible. Antes de comenzar a disear el software hemos de especificar ciertos aspectos del mismo, como son, funciones que debe realizar, interaccin con el resto de los elementos del sistema, rendimiento, fiabilidad, etc., en cada una de las dos fases mencionadas se genera unos documentos que nos permiten fijar la estructura funcional de la organizacin y todos los requerimientos que se exigirn al software que se va a desarrollar, los documentos, tanto del anlisis del sistema como del software, se revisan con el cliente hasta que realmente reflejen la realidad de la organizacin y sus necesidades. 6. Diseo lgico. Traduce los escenarios de uso creados en el diseo conceptual en un conjunto de objetos de negocio y sus servicios. Se convierte en parte en la especificacin funcional que se usa en el diseo fsico. Es independiente de la tecnologa. Refina, organiza y detalla la solucin de negocios y define formalmente las reglas y polticas especficas de negocios. En el diseo lgico conceptualmente se divide en tres niveles de servicios con el fin de que la aplicacin resulte flexible ante los cambios de requerimientos y/o de tecnologa cambiando nicamente la capa o capas necesarias. Los tres niveles son: servicios de usuario, servicios de negocio y servicios de datos. 7. Desarrollo fsico Plasmamos el diseo de la fase anterior en programas escritos en un lenguaje de programacin adecuado, dependiendo del tipo de aplicacin, si el diseo se ha hecho correctamente y de forma detallada, la codificacin puede realizarse mecnicamente, es decir, sera un simple proceso de traduccin, de cambio de representacin. El diseo fsico traduce el diseo lgico en una solucin implementable y costo-efectiva o econmica. El componente es la unidad de construccin elemental del diseo fsico. Las caractersticas de un componente son: Se define segn cmo interacta con otros. Encapsula sus funciones y sus datos. Es reusable a travs de las aplicaciones. Puede verse como una caja negra. Puede contener otros componentes. Pgina 26
Equipo No. 7
El diseo fsico debe involucrar: El diseo para distribucin debe minimizarse la cantidad de datos que pasan como parmetros entre los componentes y stos deben enviarse de manera segura por la red. El diseo para multitarea debe disearse en trminos de la administracin concurrente de dos o ms tareas distintas por una computadora y el multithreading o mltiples hilos de un mismo proceso) El diseo para uso concurrente el desempeo de un componente remoto depende de si est corriendo mientras recibe una solicitud. 8. Pruebas Consiste en comprobar si hemos construido el software que se deseaba, es decir, comprobar que los programas se corresponden con el diseo, realizan correctamente sus funciones, y satisfacen los requisitos indicados. 9. Implementacin La implantacin es el proceso de verificar e instalar nuevo equipo, entrenar a los usuarios, instalar la aplicacin y construir todos los archivos de datos necesarios para utilizarla. Una vez instaladas, las aplicaciones se emplean durante muchos aos. Sin embargo, las organizaciones y los usuarios cambian con el paso del tiempo, incluso el ambiente es diferente con el paso de las semanas y los meses. 10. Evaluacin Ocurre a lo largo de cualquiera de las siguientes dimensiones: *Evaluacin operacional: Valoracin de la forma en que funciona el sistema, incluyendo su facilidad de uso, tiempo de respuesta, lo adecuado de los formatos de informacin, confiabilidad global y nivel de utilizacin. Impacto organizacional: Identificacin y medicin de los beneficios para la organizacin en reas tales como finanzas, eficiencia operacional e impacto competitivo. Tambin se incluye el impacto sobre el flujo de informacin externo e interno. Opinin de loa administradores: evaluacin de las actividades de directivos y administradores dentro de la organizacin as como de los usuarios finales. Desempeo del desarrollo: La evaluacin de proceso de desarrollo de acuerdo con criterios tales como tiempo y esfuerzo de desarrollo, concuerdan con presupuestos y estndares, y otros criterios de administracin de proyectos. Tambin se incluye la valoracin de los mtodos y herramientas utilizados en el desarrollo. Las caractersticas que deben evaluarse en los sistemas son: Dinmicos (susceptibles de modificarse). Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo) Equipo No. 7 Pgina 27
Integrados (un solo objetivo). En l habr sistemas que puedan ser interrelacionados y no programas aislados. Accesibles (que estn disponibles). Necesarios (que se pruebe su utilizacin). Comprensibles (que contengan todos los atributos). Oportunos (que est la informacin en el momento que se requiere). Funcionales (que proporcionen la informacin adecuada a cada nivel). Estndar (que la informacin tenga la misma interpretacin en los distintos niveles). Modulares (facilidad para ser expandidos o reducidos). Jerrquicos (por niveles funcionales). Seguros (que slo las personas autorizadas tengan acceso). nicos (que no duplique informacin).
11. Modificaciones Es la ltima etapa del ciclo de vida de los sistemas, consiste en realizar todas las actividades necesarias a fin de mantener el sistema trabajando adecuadamente, respetando los niveles de calidad establecidos. 12. Instalacin Es la actividad FINAL. Existen varias estrategias de INSTALACION: Gradual, distribuida, completa. Un aspecto importante de esta actividad es la CAPACITACION 13. Mejoras El software sufrir cambios despus de que se entregue al cliente debidos fundamentalmente a la existencia de errores, la necesidad de adaptar el software, nuevo Sistema Operativo, nueva mquina especfica, etc., nuevas necesidades del cliente que requiere aumentos funcionales o de rendimiento del software.
II.IV PERSONAL PARTICIPANTE.

Una de las partes ms importantes en la planeacin de la auditoria en informtica es el personal que deber participar, ya que se debe contar con un equipo seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado. Nmero de persona que debern participar Esto depende de las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber considerar son exactamente las caractersticas que debe cumplir cada uno del personal que habr de participar en la auditoria. Uno de los esquemas generalmente aceptados para tener un adecuado control es: Equipo No. 7 Pgina 28
Que el personal que intervenga capacitado. Que tenga un alto sentido de moralidad. Exija la optimizacin de recursos (eficiencia). Se le retribuya o compense justamente por su trabajo.
Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal que intervendr en la auditoria. Primeramente, debemos pensar que hay personal asignado por la organizacin, que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Se deben tener personas con las siguientes caractersticas: 1. 2. 3. 4. 5. 6. Tcnico en informtica. Conocimientos de Admn., contadura y finanzas. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos y experiencias en psicologa industrial. Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar. 7. Conocimientos de los sistemas ms importantes. Se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Conocimientos de Admn., contadura y finanzas. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos y experiencias en psicologa industrial. Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar. Conocimientos de los sistemas ms importantes. En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencias en reas especficas como base de datos, redes y comunicaciones, etctera. Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias sealadas, pero si que deben intervenir una o varias personas con las caractersticas apuntadas. Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta la carta (convenio de servicios profesionales en el caso de auditores externos -) y el plan de trabajo.
Equipo No. 7
Pgina 29
UNIDAD III
Equipo No. 7
Pgina 30
III.
AUDITORIA DE LA FUNCIN INFORMTICA.
III.I. Introduccin
Toda la informacin tiene un valor en s misma, el mtodo de obtencin de informacin est directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad depender del objetivo que se busque y los medios para llevar acabo esa recoleccin de datos en tiempo y forma para su posterior anlisis. Cualquier empresa, en algn momento, se encuentra inmersa en cierta fase de lo que he llamado ciclo de crecimiento competitivo, dentro del cual la informtica juega un papel protagnico y definitivo. Dependiendo de la fase por la cual la empresa este pasando, la informtica se puede aprovechar de manera preponderante, siempre y cuando se est preparado para hacerlo. En este punto radica una gran deficiencia del rea de informtica, pues al encontrarse aislada y ajena a los objetivos de negocio de la empresa, generalmente no puede actuar de manera oportuna ni efectiva, y aunque apoya, en esencia esto no es solo lo que se quiere de ella. El rea de informtica debe estar activa durante todo ese ciclo, no solo cuando su apoyo sea urgente para resolver algn problema. Mientras la estructura organizacional interna del rea de informtica se encuentre centralizada, vista como un simple apoyo (aunque ahora se acepte como un apoyo fundamental) y no diseminada en toda la organizacin de manera descentralizada, contempla como una funcin vital, sta deficiencia permanecer irremediablemente de manera indefinida.
III.II. Recopilacin de informacin organizacional.

Informacin organizacional. La informacin organizacional se refiere a la Informacin canalizada por la funcin de Comunicacin Externa, la Informacin de contenidos puramente Operativos, y la Informacin procedente en su mayor parte de la funcin de Recursos Humanos o Personal. Cmo se divide? Horacio Andrade hace un anlisis de la Informacin en la organizacin encuadrndola en tres grandes grupos que, en su conjunto, nos facilitan recopilar la informacin organizacional en una auditoria informtica: La Informacin relacionada con la organizacin. La Informacin acerca del trabajo. La Informacin sobre asuntos que afectan la vida personal.
Equipo No. 7
Pgina 31
Anlisis de la informacin corporativa de las primeras empresas y estudio del aprovechamiento de los portales corporativos en estrategias de imagen empresarial.
Personal involucrado en la recopilacin de la informacin
En una auditoria informtica se recopila la informacin organizacional para hacer una evaluacin objetiva de problemas que se presenten en la misma.
Equipo No. 7
Pgina 32
El desarrollo de nuevas tecnologas, principalmente a travs de la implantacin de Intranets en las empresas, ha multiplicado exponencialmente los defectos tpicos de nuestra Comunicacin empresarial.
Para que un proceso de D.O. tenga xito debe comenzar por obtener un diagnostico con
informacin verdadera y a tiempo de lo que sucede en la organizacin bajo anlisis, esta obtencin de la informacin debe ser planeada en forma estructurada para garantizar una generacin de datos que ayuden posteriormente su anlisis. Es un ciclo continuo en el cual se planea la recoleccin de datos, se analiza, se retroalimentan y se da un seguimiento. La recoleccin de datos puede darse de varias maneras: Cuestionarios Entrevistas Observacin Informacin documental (archivo)
Toda la informacin tiene un valor en si misma, el mtodo de obtencin de informacin esta directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad depender del objetivo que se busque y los medios para llevar acabo esa recoleccin de datos en tiempo y forma para su posterior anlisis.
III.III. Evaluacin de recursos Humanos.

La evaluacin est presente en todo momento de la ejecutoria de un empleado dentro de una organizacin. Desde la entrevista inicial, la valoracin del desempeo, hasta la carta de recomendacin cuando se desea mover a otro empleo, las personas estn siendo evaluadas. Las organizaciones suelen realizar una valoracin del rendimiento con fines administrativos y de desarrollo. Proceso tcnico a travs del cual, en forma integral, sistemtica y continua realizada por parte de los jefes inmediatos. Se valora el conjunto de actitudes, rendimientos y comportamiento laboral del colaborador en el desempeo de su cargo y cumplimiento de sus funciones, en trminos de oportunidad, cantidad y calidad de los servicios producidos. La informacin obtenida de la evaluacin de los colaboradores, sirve tambin para determinar las necesidades de formacin y desarrollo, tanto para el uso individual como de la organizacin. Otro uso importante de la evaluacin del personal, es el fomento de la mejora de resultados. En este aspecto, se utilizan para comunicar a los colaboradores como estn desempeando sus puestos y proponer los cambios necesarios del comportamiento, actitud, habilidades, o conocimientos. La evaluacin se hace por una razn. La enciclopedia mediana y pequea empresa enfatiza una serie de objetivos sobre la evaluacin, como: 1. Mejorar el desarrollo y comunicacin de los trabajadores. 2. Desarrollar y mejorar el conjunto de los sistemas de la organizacin.
Equipo No. 7
Pgina 33
3. Logra un mayor ajuste persona/puesto y en el conocimiento profesional del propio evaluado. Los criterios de evaluacin son de importancia consideracin para ser aplicados en las diversas organizaciones: Se sugieren que se pueden establecer segn dos modelos: 1. En funcin de los objetivos: Consiste en la identificacin por parte del jefe y empleado de las reas de responsabilidad y los indicadores para medir resultados. 2. En funcin de los factores de valor: Se trata de evaluar el desempeo segn el perfil socioprofesional (habilidades, capacidades, actitudes, organizacin, resolucin de problemas, toma de decisiones, etc.) de cada puesto de trabajo. Existen varios mtodos para evaluar, como: 1. Clasificacin: Se trata de elaborar una lista de los evaluados en orden de sucesin segn su mbito profesional. 2. Comparacin: Una vez agrupados los empleados segn puestos de trabajo o reas, se efecta un anlisis comparativo entre los individuos del mismo grupo. 3. Curva de rendimiento: Se ubica a los empleados segn su rendimiento en la parte correspondiente de una curva. 4. Listados de caractersticas: Se confecciona una lista con las caractersticas y los objetivos de cada puesto de trabajo y grado de ejecucin de los empleados. 5. Evaluacin abierta: Consiste dejar abierto el campo de los aspectos que se deben evaluar. 6. Evaluacin del personal jerrquico: Puede hacerse de manera directa, a travs de un protocolo de preguntas que los empleados contestarn. 7. Autovaloracin: Puede ser estructurada o abierta. En el primer caso se pasar un protocolo que el empleado deber cumplimentar, mientras que en el segundo caso ste tendr que exponer cules son a su parecer sus logros y cules son sus puntos dbiles. 8. Evaluacin entre reas: Cada miembro de los sectores dentro de una organizacin evaluar a los empleados del otro departamento. Existen tambin varios obstculos para medir eficazmente el rendimiento, entre estos: 1. Los errores y el sesgo de la persona que realiza la evaluacin. 2. La influencia de los gustos. 3. La poltica de la organizacin. 4. El enfoque hacia el individuo o hacia el grupo. 5. Las cuestiones legales. Equipo No. 7 Pgina 34
Existen varias claves para los directivos sobre como informar a los empleados de su rendimiento, entre estas: Documentar el rendimiento del empleado. Solicite la participacin del empleado. Cntrese en los comportamientos. Sea especfico y de tiempo. Dirija su informacin slo a facetas de la situacin de rendimiento que el empleado puede cambiar. Informe a los trabajadores sobre cualquier deficiencia. Desarrolle un plan de accin y otro de seguimiento. Revise su propio rendimiento. (Como se ha relacionado con el empleado)
Presenta varias claves que el empleado puede utilizar para obtener informacin sobre su rendimiento personal, entre estas: En el momento oportuno pida a su director y a los dems que contribuyan a valorar su rendimiento. Mantenga un registro de sus logros y de sus fallos. Invite a su director/evaluador a ofrecer sus sugerencias para mejorar. Si recibe comentarios crticos no discuta ni se ponga sensible. Analice como puede mejorar. Distinga entre accin e informacin. Escuche la informacin y aprenda todo lo que pueda de ella. Distinga entre usted y su rendimiento. Recuerde que su valor como ser humano no est puesto en duda. Gestin del rendimiento: Como punto final se puede mencionar la valoracin de la gestin del rendimiento. El objetivo de la evaluacin radica en gestionar y mejorar el rendimiento de los empleados. Este hecho enfatiza el que los directivos tienen que analizar las causas de los problemas relacionados al rendimiento, dirigir la atencin a esas causas, desarrollar planes de accin y facilitar el que los empleados encuentren soluciones, as como utilizar una comunicacin centrada en el rendimiento. Para mejorar el rendimiento se recomienda: Analizar las causas de los problemas de rendimiento. Atender directamente las causas de los problemas. Desarrollar un plan de accin para facilitar que los trabajadores alcancen una solucin. Comunicacin directamente sobre el rendimiento e informacin eficaz.
Equipo No. 7
Pgina 35
III.IV. Entrevistas con personal de informtica.
Definicin Que es la entrevista en auditoria? Mtodo de recoleccin de informacin a travs de un conjunto de preguntas y observaciones. La entrevista es la base para la recoleccin e interpretacin de informacin en la auditora. Entrevistas con el personal de informtica La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular. PARA FORMULAR LAS PREGUNTAS HAGA PREGUNTAS UTILIZANDO LOS 6 AMIGOS DE AUDITOR.
CMO ? QUIN ? DNDE ?
QU ? POR QU? CUNDO ?
EN CUANTO A LAS PREGUNTAS
Deben dirigirse a la informacin relevante. No deben sugerir respuestas. No deben contener expresividad o implicaciones emocionales. Usar palabras coloquiales. Se incorporan en la conversacin. Se debe evitar hacer un ejercicio de preguntas y respuestas.
Equipo No. 7
Pgina 36
Son tiles y en muchos casos imprescindibles. Terminadas las entrevistas, el auditor califica las respuestas del auditado (no debe estar presente) y procede al levantamiento de la informacin correspondiente. La evaluacin de las Checklists, las pruebas realizadas, la informacin facilitada por el personal de informtica y el anlisis de todos los datos disponibles, configuran todos los elementos necesarios para calcular y establecer los resultados de la auditoria, que se materializarn en el informe final.
III.V. Entrevistas con el personal usuario.

La entrevista se deber llevar a cabo para comparar datos proporcionados y la situacin de la direccin de informtica desde el punto de vista de los usuarios. OBJETIVO DE LA ENTREVISTA: Es conocer la opinin que tienen los usuarios sobre los servicios proporcionados, as como la difusin de las aplicaciones de la computadora y de los sistemas en operacin. Se debern hacer, en caso de ser posible, a todos los usuarios o bien en forma aleatoria a algunos usuarios, tanto de los ms importantes como de los de menor importancia, en cuanto al uso del equipo. Desde el punto de vista del usuario los sistemas deben: 1) Cumplir con los requerimientos totales del usuario. 2) Cubrir todos los controles necesarios. 3) Sern fcilmente modificables. 4) Para que un sistema cumpla con los requerimientos del usuario se necesita: 5) Una comunicacin completa entre usuario y el responsable del desarrollo del sistema. 6) Definir la calidad de la informacin que ser procesada, establecindose los riesgos de la misma y la forma de minimizarlos. 7) Esta etapa habr de ser cuidadosamente verificada por el auditor interno especialista en sistemas y por el auditor en informtica, para comprobar que se logr una adecuada comprensin de los requerimientos del usuario y un control satisfactorio de informacin. A continuacin se presenta una gua de cuestionario para aplicarse durante la entrevista con el usuario. 1.Considera que la direccin de informtica le da los resultados esperados? SI( ) NO( ) Por qu? 2.Cmo considera usted, en general, el servicio proporcionado por la direccin de informtica? 1. Deficiente 2. Aceptable ( ) Por qu? 3. Satisfecho 4. Excelente 3.Cubre sus necesidades de procesamiento? 1. No las cubre 2. Parcialmente ( ) Porqu? 3. La mayor parte 4. Todas Equipo No. 7 Pgina 37
4.Cmo considera la calidad del procesamiento que se le proporciona? 1. Deficiente 2. Aceptable ( ) Porqu? 3. Satisfecho 4. Excelente
III.VI. Situacin presupuestal y financiera en la auditoria informtica.

Se deber obtener informacin sobre la situacin del personal del rea, para lo cual se puede utilizar la tabla de recursos humanos y la tabla de proyeccin de recursos humanos. Se presenta un ejemplo de cuestionario para obtener informacin sobre los siguientes aspectos:
DESEMPEO Y COMPORTAMIENTO 1) Es suficiente el nmero de personal para el desarrollo de las funciones del rea? SI NO 2) Se deja de realizar alguna actividad por falta de personal? SI NO 3) Es adecuada la calidad del trabajo del personal? SI NO, por qu CAPACITACION Uno de los puntos que se deben evaluar con mas detalle dentro del rea de informtica es la capacitacin; esto se debe al proceso cambiante y al desarrollo de nuevas tecnologas del rea. 1) Se desarrollan programas de capacitacin para el personal del rea? SI NO, Por qu Recomendacin: Solicite el plan de capacitacin para el presente ao. ORGANIZACIN EN EL TRABAJO 1 Se prevn las necesidades del personal con anterioridad? En calidad; SI NO En cantidad; SI NO Est prevista la sustitucin del personal clave? SI NO
Equipo No. 7
Pgina 38
La administracin de recursos financieros supone un control presupuestal y significa llevar a cabo toda la funcin de tesorera (ingresos y egresos). Es decir, todas las salidas o entradas de efectivo deben estar previamente controladas por el presupuesto. Para estar en condiciones de evitar fallas y de aplicar correcciones oportunamente, corresponde al rea financiera realizar los registros contables necesarios. Estos registros contables deben corresponder al presupuesto efectundose por unidad organizacional. La administracin financiera consiste en: Obtener oportunamente y en las mejores condiciones de costo, recursos financieros para cada unidad orgnica de la empresa que se trate, con el propsito de que se ejecuten las tareas, se eleve la eficiencia en las operaciones y se satisfagan los intereses de quienes reciben los bienes o servicios: Presupuestos Auditoria Informtica El estudio del presupuesto de seguridad evaluando los medios en funcin del sevicio que prestan y conforme a la probabilidad de fallo que pueden tener. Tambin se examinar la seguridad del material suplementario y los formularios que contienen talonarios y letras. La conservacin se evala a partir de los contratos y de los informes de indisponibilidad. Puede ser preventiva (mantenimiento) o curativa (restauracin). Recursos Financieros y Materiales Auditoria Informtica Recursos Financieros La administracin de recursos financieros supone un control presupuestal y significa llevar a cabo toda la funcin de tesorera (ingresos y egresos). Es decir, todas las salidas o entradas de efectivo deben estar previamente controladas por el presupuesto. Para estar en condiciones de evitar fallas y de aplicar correcciones oportunamente, corresponde al rea financiera realizar los registros contables necesarios. Estos registros contables deben corresponder al presupuesto efectundose por unidad organizacional. La administracin financiera consiste en: Obtener oportunamente y en las mejores condiciones de costo, recursos financieros para cada unidad orgnica de la empresa que se trate, con el propsito de que se ejecuten las tareas, se eleve la eficiencia en las operaciones y se satisfagan los intereses de quienes reciben los bienes o servicios. Recursos Materiales Estos resultan fundamentales para el xito o fracaso de una gestin administrativa, lo bsico en su administracin es lograr el equilibrio en su utilizacin. Tan negativo es para la empresa en su escasez como su abundancia. Cualquiera de las dos situaciones resulta antieconmica; de ah que la administracin de recursos materiales haya cobrado tanta importancia actualmente. La administracin de recursos materiales consiste en:
Equipo No. 7
Pgina 39
Obtener oportunamente, en el lugar preciso, en las mejores condiciones de costo, y en la cantidad y calidad requerida, los bienes y servicios para cada unidad orgnica de la empresa de que se trate, con el propsito de que se ejecuten las tareas y de elevar la eficiencia en las operaciones.
Equipo No. 7
Pgina 40
UNIDAD IV
Equipo No. 7
Pgina 41
IV.
EVALUACIN DE LA SEGURIDAD
La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin. El sistema integral de seguridad debe comprender: Elementos tcnicos y procedimientos Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Aplicacin de los sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos Planeacin de programas de desastre y su prueba.
IV.I. GENERALIDADES DE SEGURIDAD AREA FSICA

La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico Consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencialSe refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Tipos de Desastres Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio fsico en que se encuentra ubicado el centro. Las principales amenazas que se prevn en la seguridad fsica son: Desastres naturales, incendios accidentales tormentas e inundaciones. Equipo No. 7 Pgina 42
Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados. Acciones Hostiles Robo Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma forma que lo estn las piezas de stock e incluso el dinero. El software, es una propiedad muy fcilmente sustrable y las cintas y discos son fcilmente copiados sin dejar ningn rastro Fraude Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sabotaje El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Control de Accesos Utilizacin de Guardias Utilizacin de Detectores de Metales Utilizacin de Sistemas Biomtricos Verificacin Automtica de Firmas (VAF) Seguridad con Animales Proteccin Electrnica
IV.II SEGURIDAD LGICA Y CONFIDENCIAL

Seguridad lgica: La seguridad lgica se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada en una computadora, as como de controlar el mal uso de la informacin. Objetivos de la seguridad lgica. Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. Que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro. Que la informacin recibida sea la misma que ha sido transmitida. Que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. Que se disponga de pasos alternativos de emergencia para la transmisin de informacin.
Equipo No. 7
Pgina 43
Estos controles reducen el riesgo de caer en situaciones adversas. La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la Organizacin: Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y / o informacin. Cdigo oculto en un programa. Entrada de virus.
El sistema integral de seguridad debe comprender: Elementos administrativos. Definicin de una poltica de seguridad. Organizacin y divisin de responsabilidades. Uno de los puntos ms importantes a considerar para poder definir la seguridad de un sistema es el grado de actuacin que puede tener un usuario dentro de un sistema Propietario Administrador Usuario principal Usuario de consulta Usuario de explotacin Usuario de auditoria Para conservar la integridad, confidencialidad y disponibilidad de los sistemas de informacin se debe tomar en cuenta lo siguiente: La integridades responsabilidad de los individuos autorizados para modificar datos o programas o de los usuarios a los que se otorgan accesos a aplicaciones de sistema o funciones fuera de sus responsabilidades normales de trabajo . La confidencialidades responsabilidad de los individuos autorizados para consultar para bajar archivos importantes para microcomputadoras. La disponibilidad es responsabilidad de individuos autorizados para alterar los parmetros de control de acceso al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones.
Claves de acceso. Se implementan en el SO sobre los sistemas de aplicacin en BD, en un paquete especifico de seguridad o cualquier otro utilitario. Protegen al NOS, al sistema de aplicacin y otros software de la utilizacin o modificacin no autorizada, mantienen la integridad de la informacin y la resguardan de accesos no autorizados. El National Institute for Standars and Techn ha resumido los siguientes estndares de seguridad mnimos en cualquier sistema: Identificacin y Autentificacin Se denomina Identificacin al momento en que el usuario se da a conocer en el sistema; y Autenticacin a la verificacin que realiza el sistema sobre esta identificacin. Equipo No. 7 Pgina 44
Existen cuatro tipos de tcnicas que permiten la autenticacin de la identidad del usuario, pueden ser utilizadas individualmente o combinadas. Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso o password, una clave criptogrfica, un nmero de identificacin personal o PIN, etc. Algo que la persona posee: por ejemplo una tarjeta magntica. Algo que el individuo es y que lo identifica unvocamente: por ejemplo las huellas digitales o la voz. Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura. Teniendo en cuenta que las claves son frecuentemente olvidadas las tarjetas se pierdan o daen, por ello es conveniente que sean identificados y autenticados una vez, esto se denomina single login o sincronizacin de passwords. Roles El acceso a la informacin tambin puede controlarse a travs de la funcin o rol del usuario que requiere dicho acceso. (Porgramador, loder del proyecto, gerente de un area usuaria, administrador, etc.) Transacciones Tambin pueden implementarse controles a travs de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transaccin determinada. Limitaciones a los Servicios Estos controles se refieren a las restricciones que dependen de parmetros propios de la utilizacin de la aplicacin o preestablecidos por el administrador del sistema. Ej. (En la organizacin se disponga de licencias para la utilizacin simultnea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilizacin del producto a un sexto usuario. ) Modalidad de Acceso Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la informacin. Esta modalidad puede ser: Lectura (Puede leer o ver la informacion sin alterar, puede ser copiada) Escritura(Permite agregar datos, modificar o borrar informacion) Ejecucin(Permite ejecutar programas) Borrado(Permite eliminar recursos del sistemas) Todas las anteriores modalidades de acceso especiales Creacin(Permite crear nuevos archivos , registros, campos) Bsqueda(Permite listar os archivos de un directorio determinado) Ubicacin y Horario El acceso a determinados recursos del sistema puede estar basado en la ubicacin fsica o lgica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a determinadas horas de da o a determinados das de la semana. De esta forma se mantiene un control ms restringido de los usuarios y zonas de ingreso. Siempre deben ir acompaados de alguno de los controles anteriormente mencionados. Control de Acceso Interno o Palabras Claves (Passwords) Pgina 45
Equipo No. 7
o Encriptacin o Listas de Control de Accesos o Lmites sobre la Interfase de Usuario o Etiquetas de Seguridad Control de Acceso Externo o Dispositivos de Control de Puertos o Firewalls o Puertas de Seguridad o Acceso de Personal Contratado o Consultores o Accesos Pblicos Administracin de Seguridad o Una vez establecidos los controles de acceso sobre los sistemas y la aplicacin, es necesario realizar una eficiente administracin de estas medidas de seguridad lgica, lo que involucra la implementacin, seguimientos, pruebas y modificaciones sobre los accesos de los usuarios de los sistemas.
IV.III Seguridad en el Personal.

Dentro de una organizacin la seguridad es muy indispensable, ya que las operaciones efectuadas requieren un alto grado de confiabilidad, todo esto depende en gran medida de la integridad, estabilidad y lealtad de personal, por lo que al momento de reclutarlos es conveniente hacerle exmenes psicolgicos, mdicos y tener muy en cuenta sus antecedentes de trabajo. deben considerar los valores sociales, en general, su estabilidad ya que normalmente son personas que trabajan bajo presin y con mucho estrs, por lo que importan mucho su actitud y comportamiento. Tambin se deben tener polticas de rotacin de personal que disminuyan la posibilidad de fraudes, Esto se debe hacer principalmente en funciones de alto nivel de confianza, aunque impliquen un alto costo. Este procedimiento de rotacin de personal nos permita adems, detectar los indispensables y eliminarlos. Se deber tambin evaluar la motivacin del personal, ya que un empleado motivado normalmente tiene un alto grado de lealtad y disminuir la posibilidad de ataques intencionados a la organizacin. El programador honesto en ocasiones elabora programas que ponen en peligro la seguridad de la empresa, ya que no se consideran procedimientos de auditoria dentro de los programas tales que excluyan las posibilidades de fraude. En muchas ocasiones el mayor riesgo de fraude o mal uso de la informacin est dentro del mismo personal, y la mayor seguridad est en contar con personal leal, honesto y con tica. Para lograr esto se debe contar con personal capacitado, motivado y con remuneraciones adecuadas. Pero tambin se debe prever la posibilidad de personal mal intencionado, para lo cual se debe tener los controles de seguridad sealados, los cuales deben de ser observados principalmente por el personal del rea de informtica. El auditor debe de estar consciente que los primeros que deben implantar y observar los controles son los del personal de informtica.
Equipo No. 7
Pgina 46
Se refiere a la seguridad y proteccin de los operadores, analistas, programadores y dems personal que est en contacto directo con los sistemas, as como a la seguridad de los beneficiarios de la informacin. El objetivo principal es evitar, hasta donde humanamente sea posible, los accidentes acaecidos en el trabajo que constituyen los riesgos de trabajo. Planes de contingencia Es el control de las contingencias y riesgos que se pueden presentar en el rea de sistemas. Se pueden evitar a travs de planes y programas preventivos especficos detallando las actividades antes, durante y despus de alguna contingencia. En estos planes se incluyen: * Simulacros de contingencias (Evacuacin ante siniestro) * Reportes de actuaciones (Documento de hallazgos) * Bitcoras de seguimiento de las actividades (Documento de E/S, actividades) * Eventos que se presenten en el rea de sistemas Seguros y fianzas para el personal, equipos y sistemas. Medidas preventivas para garantizar la reposicin de los activos informticos de la empresa en caso de ocurrir alguna contingencia. Estas medidas se establecen para asegurar la vigencia de las plizas de los activos informticos asegurados, as como sus coberturas. Al momento de reclutar al personal se debe aplicar: Exmenes mdicos y psicolgicos Verificar sus antecedentes de trabajo Verificar sus valores sociales
Seales de alerta Se debe tener una adecuada poltica de vacaciones. Se deben tener polticas de rotacin de personal. Evaluar la motivacin del personal. Planes de capacitacin al personal (interna y/o externa). Difusin de conocimientos y desarrollo general. Creacin de instructores propios de la compaa. Capacitacin permanente y motivacin general del personal. Seguridad de la PC Password del BIOS (contrasea eficaz). Prioridades de arranque (no iniciar desde disquete o CD). Seguridad en el SO Contraseas (complicadas, maysculas, minsculas, nmeros, smbolos) Poledit (Administracin de polticas sobre usuarios) Programas comunes (Software con posibilidad de contraseas) Encriptar Cifrar la informacin para que sea ininteligible por seres humanos. Internet Cuando estamos en una red a la escucha, un recurso a compartir o con un software con fallos conocidos, somos propensos a que entren a nuestro sistema. Equipo No. 7 Pgina 47
Herramientas de intrusos instalados en equipos aparte de virus: *Troyano: Programa que abre servicios y es utilizado a distancia remotamente. *Keyloger: Programa que monitorea todas las ordenes del teclado. *Capturador de sesiones: Programa que captura imgenes y pulsaciones del teclado en la sesin. *Correo electrnico: Spam. Virus Programas ejecutables que pueden llegar a causar problemas serios o simples bromas. Antivirus Programa que detecta y elimina archivos maliciosos y virus informticos. Spyware Programa espa que recopila informacin sobre las actividades de la PC.
IV.IV Clasificacin de los controles de seguridad.

El documento publicado por el REA(Registro de Economistas Auditores) dice: los Controles Generales son una parte del entorno general de control y son aquellos que afectan, en un centro de proceso electrnico de datos, a toda la informacin por igual y a la continuidad de este servicio en la entidad. La debilidad o ausencia de estos controles pueden tener un impacto significativo en la integridad y exactitud de los datos. Los procedimientos de control de las organizaciones persiguen diferentes objetivos y se aplican en el procesamiento de la informacin de los distintos niveles. Estos procedimientos deben asegurar los siguientes objetivos: La debida autorizacin de las transacciones y los procesos. La adecuada segregacin de las funciones y la correcta asignacin de las responsabilidades. El diseo y el uso de los documentos y de sus correspondientes registros. El establecimiento de dispositivos de seguridad que protejan los activos. Auditoras independientes de las actuaciones y de la evaluacin de las operaciones registradas. Los controles son acciones y mecanismos definidos para prevenir o reducir el impacto de los eventos no deseados que ponen en riesgo a los activos de una organizacin. Tambin protege a las organizaciones frente a posibles prdidas y corrige las desviaciones que se presentan en el desarrollo normal de las actividades. Deben ser suficientes, comprensibles, eficaces, econmicos y oportunos y, para ello, es preciso conocer la naturaleza de los riesgos y su frecuencia, as como las consecuencias que implican. Tipos de control Preventivos actan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia, y constituyen la primera lnea de defensa. Tambin actan para reducir la accin de los agentes generadores de riesgos.
Equipo No. 7
Pgina 48
Detectivos se disean para descubrir un evento, irregularidad o resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas, pudiendo ser manuales o automticos. Sirven para supervisar la ejecucin del proceso y se usan para verificar la eficacia de los controles preventivos. Constituyen la segunda barrera de seguridad y pueden informar y registrar la ocurrencia de los hechos no deseados, accionar alarmas, bloquear la operacin de un sistema, monitorizar o alertar a las autoridades. Correctivos permiten el restablecimiento de la actividad despus de ser detectado el evento no deseable y la modificacin de las acciones que propiciaron su ocurrencia. Estos controles se establecen cuando los anteriores no operan y permiten mejorar las deficiencias; por lo general, actan con los controles detectivos, implican retrocesos y son ms costosos porque actan cuando ya se han presentado los hechos que implican prdidas para la organizacin. La mayora son de tipo administrativo y requieren polticas o procedimientos para su ejecucin. El ambiente de control En ella se apoya toda la estructura del control de las organizaciones se debe contar con empleados capaces de resolver una situacin de crisis, apoyen y promuevan los controles. La direccin especificara el grado de capacitacin de empleados a cargo del control proveer recursos, conocimientos y habilidades. Por ultimo el consejo de administracin, el consejero delegado o el propietario, si se trata de una pequea empresa, es el responsable general del sistema de control. Clasificacin de los controles de seguridad. Controles generales y controles de las aplicaciones. Los Controles de las Aplicaciones son aquellos relacionados con la captura, entrada y registro de datos en un sistema informtico, as como los relacionados con su procesamiento, clculo y salida de la informacin y su distribucin. Controles generales Controles Operativos y de Organizacin: Controles sobre el desarrollo de programas y su documentacin: Controles sobre los Programas y los Equipos: Controles de acceso: Controles sobre los procedimientos y los datos.
Controles Operativos y de Organizacin: Segregacin de Funciones entre el Servicio de Informacin y los usuarios. Existencia de Autorizacin general en lo que respecta a la ejecucin y a las transacciones del Departamento (por ejemplo: prohibir al Servicio de Informacin que inicie o autorice transacciones). Segregacin de funciones en el seno del Servicio de Informacin. Controles sobre el desarrollo de programas y su documentacin: Realizacin de revisiones, pruebas y aprobacin de los nuevos sistemas. Controles de las modificaciones de los programas. Procedimientos de documentacin. Controles sobre los Programas y los Equipos: Equipo No. 7 Pgina 49
Caractersticas para detectar, de manera automtica, errores. Hacer mantenimientos preventivos peridicos. Procedimientos para salir de los errores de los equipos (hardware). Control y autorizacin adecuada en la implementacin de sistemas y en las modificaciones de los mismos. Controles de acceso Sirven para detectar y/o prevenir errores accidentales o deliberados, causados por el uso o la manipulacin inadecuada de los archivos de datos y por el uso incorrecto o no autorizado de los programas. Controles sobre los procedimientos y los datos: Manuales escritos como soporte de los procedimientos y los sistemas de aplicacin. Controles de las conciliaciones entre los datos fuente y los datos informticos. Capacidad para restaurar archivos perdidos, deteriorados o incorrectos. De las aplicaciones Los controles de las aplicaciones estn relacionados con las propias aplicaciones informatizadas. Los controles bsicos de las aplicaciones son tres: captura, proceso y salida.
Controles sobre la captura de datos: Altas de movimientos. Modificaciones de movimientos. Consultas de movimientos. Mantenimiento de los archivos. troles de proceso. Normalmente se incluyen en los programas. Se disean para detectar o prevenir los siguientes tipos de errores: Entrada de datos repetidos. Procesamiento y actualizacin de archivo o archivos equivocados. Entrada de datos ilgicos. Prdida o distorsin de datos durante el proceso.
Controles de salida y distribucin. Los Controles de salida se disean para asegurarse de que el resultado del proceso es exacto y que los informes y dems salidas los reciben slo las personas que estn autorizadas.
IV.V Seguridad de datos y software de aplicacin.

La proteccin de los datos puede tener varios enfoques respecto a las caractersticas: La confidencialidad, disponibilidad e integridad. Puede haber datos crticos en cuanto a su confidencialidad, como datos mdicos u otros la disponibilidad: si se pierden o no se pueden utilizar a tiempo pueden causar perjuicios graves y, en los casos ms extremos poner en peligro la continuidad de la entidad, y finalmente otros datos crticos atendiendo a su integridad, especialmente cuando su prdida no puede detectarse fcilmente o una vez detectada no es fcil reconstruirlos. Equipo No. 7 Pgina 50
Ciclo de vida de los datos El ciclo de vida de datos es lo que revisa la auditoria: Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede incluir preparacin, autorizacin, incorporacin al sistema Proceso de los datos Salida de resultados Retencin de la informacin y proteccin en funcin de su clasificacin Respecto a cliente-servidor es necesario verificar los controles en varios puntos, y no slo en uno central como en otros sistemas, y a veces en plataformas heterogneas, con niveles y caractersticas de seguridad muy diferentes, y con posibilidad de transferencia de archivos o de captacin y exportacin de datos que pueden perder sus protecciones al pasar de una plataforma a otra.
IV.VI. CONTROLES PARA EVALUAR SOFTWARE DE APLICACIN

Evaluacin del software. El auditor debe evaluar qu software se encuentra instalado en la organizacin. Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. OBJETIVOS DE LA AUDITORA DEL SOFTWARE DE APLICACIN VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES. Para satisfacer: La instalacin del software La operacin y seguridad del software. La administracin del software DETECTAR EL GRADO DE CONFIABILIDAD. Grado de confianza, satisfaccin y desempeo Investigar si existen polticas con relacin al software. Detectar si existen controles de seguridad. Verificar que sea software legalizado. Actualizacin del software de aplicacin Organizacin El auditor debe de verificar que existan polticas para: La evaluacin del software Adquisicin o instalacin. Soporte a usuarios Seguridad
Equipo No. 7
Pgina 51
PROTECCIN DE LOS REGISTROS Y DE LOS ARCHIVOS FORMAS EN QUE SE PUEDEN PERDER LOS ARCHIVOS: 1. Su presencia en un ambiente destructivo. 2. Manejo indebido por parte del operador. 3. Mal funcionamiento de la mquina. PLAN DE PRESERVACIN DE LA INFORMACIN DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado. ARCHIVO DE DISCOS: Una caracterstica del archivo de discos es que el registro anterior es destrudo, no produce una copia automticamente una copia en duplicado. VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel de impresin. ORGANIZACIN El auditor debe de verificar que existan polticas para: La evaluacin del software. Adquisicin o instalacin. Soporte a usuarios. Seguridad. INSTALACIN Y LEGALIZACIN Procedimientos para la instalacin del software. El auditor debe investigar si existen procedimientos que aseguren la oportuna instalacin del software. Actividades durante la instalacin. Por ejemplo: revisin de contenido del paquete, fecha de instalacin, nmero de mquina, responsable de instalacin, etc.
IV.VII. CONTROLES PARA PREVENIR FRAUDES INFORMATICOS.

Una vez que la organizacin conoce y ha definido polticas respecto a los riesgos y al perfil de los posibles perpetradores, debe implementar mecanismos para mitigar el riesgo de fraude interno. Control de datos fuente y manejo de cifras de control. La mayora de los delitos por computadora son cometidos por modificaciones de datos fuente al: Suprimir u omitir datos. Adicionar datos. Alterar datos. Duplicar procesos. Pgina 52
Equipo No. 7
Controles para prevenir crmenes informticos. Esto es de suma importancia en el caso de sistemas en lnea, en los que los usuarios son responsables de la captura y modificacin de la informacin. Por ello, se debe tener un adecuado control con sealamiento de responsables de los datos. Niveles de acceso El primer nivel es en el que se pueden hacer nicamente consultas. El segundo nivel es aquel en el que se puede hacer captura, modificaciones y consultas. El tercer nivel es aquel en el que se puede hacer todo lo anterior y adems se pueden realizar bajas. Lo primero que debemos evaluar es la entrada de la informacin y que se tengan las cifras de control necesarias para determinar la veracidad de sta, para lo cual se puede utilizar el siguiente cuestionario. Control de operacin La eficiencia y el costo de la operacin de un sistema de cmputo se ven fuertemente afectados por la calidad e integridad de la documentacin requerida para el proceso en la computadora. Si la documentacin es incompleta o inadecuada lo obliga a improvisar o suspender los procesos mientras investiga lo conducente, generando probablemente errores, reprocesos, desperdicio de tiempo de mquina; se incrementan, pues, los costos del procesamiento datos. Control de salida Control de asignacin de trabajo Se relaciona con la direccin de las operaciones de la computadora en trminos de la eficienciay satisfaccin del usuario. Esta seccin debe ser comparada con la conla opinin del usuario. Aspectos para la funcin clave del personal. Satisfacer las necesidades de tiempo del usuario. Ser compatible con los programas de recepcin y transcripcin de datos. Permitir niveles efectivos de utilizacin de los equipos y sistemas de operacin. Volver la utilizacin de los equipos en lnea. Entregar a tiempo y correctamente los procesos en lotes (batch).
Control de almacenamiento masivo Los dispositivos de almacenamiento representan, para cualquier centro de cmputo, archivos extremadamente importantes, cuya prdida parcial o total podra tener repercusiones muy serias, no slo en la unidad de informtica, sino en la dependencia en la cual se presta servicio.
Equipo No. 7
Pgina 53
Control de mantenimiento El contrato de mantenimiento total. El segundo tipo de mantenimiento es por llamada. El tercer tipo de mantenimiento es el que se conoce como en banco.
IV.VIII. PLAN DE CONTINGENCIA Y PROCEDIMIENTOS DE RECUPERACIN DE DESASTRES

Un Plan de contingencias es un instrumento de gestin para el buen gobierno de las Tecnologas de la Informacin y las Comunicaciones en el dominio del soporte y el desempeo. Dicho plan contiene las medidas tcnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compaa. El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA (plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidas necesarias en cada momento del tiempo respecto a la materializacin de cualquier amenaza: 1. El plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materializacin. 2. El plan de emergencia. Contempla las contramedidas necesarias durante la materializacin de una amenaza, o inmediatamente despus. Su finalidad es paliar los efectos adversos de la amenaza. El plan de recuperacin. Contempla las medidas necesarias despus de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materializacin de la amenaza. Amenaza: Incendio. (los activos afectados son los anteriores). Impacto: (es un ejemplo ficticio) Perdida de un 10% de clientes. Imposibilidad de facturar durante un mes. Imposibilidad de admitir pedidos durante un mes. Reconstruccin manual de pedidos y facturas a partir de otras fuentes. Sanciones por accidente laboral. Inversiones en equipamiento y mobiliario. Rehabilitacin del local.
Todas estas consecuencias pueden valorarse en trminos monetarios, que junto a la probabilidad de materializacin ofrecen una estimacin del riesgo Equipo No. 7 Pgina 54
Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en proyectos de recuperacin de desastre, sin embargo, esto lo hacen para evitar prdidas ms grandes. Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una organizacin. Una evaluacin de riesgo debera ser realizada para ver que constituye el desastre y a que riesgos es susceptible una empresa especfica, incluyendo: Catstrofes. Fuego. Fallas de energa. Ataques terroristas. Interrupciones organizadas o deliberadas. Sistema y/o fallas de equipo. Error humano. Virus informticos. Cuestiones legales. Huelgas de empleados.
Prevencin ante los desastres Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se pierda ms que los datos de una semana. Incluir el software as como toda la informacin de datos, para facilitar la recuperacin. Si es posible, usar una facilidad remota de reserva para reducir al mnimo la prdida de datos. reas de Almacenaje de Redes (SANs) en mltiples sitios son un reciente desarrollo (desde 2003) que hace que los datos estn disponibles inmediatamente sin la necesidad de recuperarlos o sincronizarlos. Protectores de lnea para reducir al mnimo el efecto de oleadas sobre un delicado equipo electrnico. El suministro de energa ininterrumpido (SAI). La prevencin de incendios - ms alarmas, extintores accesibles. El software del antivirus. El seguro en el hardware. Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa: "Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores que hay que tomar en cuenta. Los ms importantes son: El rbol telefnico: para notificar todo el personal clave del problema y asignarles tareas enfocadas hacia el plan de recuperacin. Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario grabarlas. Si se usan servicios remotos de reserva se requerir una conexin de red a la posicin remota de reserva (o Internet). Clientes: la notificacin de clientes sobre el problema reduce al mnimo el pnico. Instalaciones: teniendo sitios calientes o sitios fros para empresas ms grandes. Instalaciones de recuperacin mviles estn tambin disponibles en muchos proveedores. Equipo No. 7 Pgina 55
Trabajadores con conocimiento. Durante desastre a los empleados se les requiere trabajar horas ms largas y ms agotadoras. Debe haber un sistema de apoyo para aliviar un poco de tensin. La informacin de negocio. Las reservas deben estar almacenadas completamente separadas de la empresa. La seguridad y la fiabilidad de los datos es clave en ocasiones como estas. Proceso de recuperacin Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc. Llamar el abastecedor de software e instalar de nuevo el software. Recuperar los discos de almacenaje que estn fuera de sitio. Reinstalar todos los datos de la fuente de respaldo. Volver a meter los datos de las pasadas semanas. Tener estrategias periodicas de respaldos de base de datos.
SIMULACRO Ejercicio prctico de simulacin de situaciones y responsabilidades que se lleva a cabo en un escenario real o construido, con la finalidad de comprobar la confiabilidad del Plan de Respuesta a Emergencias AUDITORIA DEL PLAN DE RESPUESTA A EMERGENCIAS El Comit Central de Atencin a Emergencias debe conformar un equipo auditor (interno o externo) que tenga la formacin y experiencia en la administracin y operacin de Planes de Respuesta a Emergencias Los objetivos de la auditoria deben ser: Medir la efectividad del PRE, Identificar fortalezas y oportunidades de mejora, Generar recomendaciones para fortalecer aspectos que lo ameriten, Presentar resultados obtenidos y hacer comparaciones correspondientes.
AUDITORIA DEL PLAN DERESPUESTA A EMERGENCIAS. Criterios de Auditoria: Documentacin (PRE, procedimientos y registros), Formacin de las personas, Nivel de conciencia y habilidades del personal en una emergencia, Disponibilidad y estado de equipos y sistemas de emergencia, Disponibilidad de las instalaciones, Tiempos de respuesta, Ejecucin de procedimientos, Consecucin de objetivos. Pgina 56
Equipo No. 7
IV.IX TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FSICA Y PERSONAL.
Seguridad Fsica Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas computacionales de la empresa, tales como el hardware, perifricos, y equipos asociados, las instalaciones elctricas, las instalaciones de comunicacin y de datos. Igualmente todo lo relacionado con la seguridad y salvaguarda de las construcciones, el mobiliario y equipo de oficina, as como la proteccin a los accesos al centro de sistematizacin. En s, es todo lo relacionado con la seguridad, la prevencin de riesgos y proteccin de los recursos fsicos informticos de la empresa. Controles necesarios para la seguridad fsica del rea 1. Inventario del hardware, mobiliario y equipo. Resguardo del equipo de cmputo. Bitcoras de mantenimiento y correcciones. Controles de acceso del personal al rea de sistemas. Control del mantenimiento a instalaciones y construcciones. Seguros y fianzas para el personal, equipos y sistemas. Contratos de actualizacin, asesora y mantenimiento del hardware. Seales de alerta Se considera a las posibles causales de riesgos en el rea donde se desempea el personal. Se deber revisar el nmero de extintores que estn disponibles en el rea, su capacidad, fcil acceso, peso y si el tipo de producto que utiliza es el adecuado. Contar con detectores de humo que indiquen la posible presencia de fuego. Capacitar al personal para el uso adecuado de los equipos contra incendio. Verificar que las salidas de emergencia estn libres y puedan ser utilizadas. Los ductos del aire acondicionado deben de estar limpios. Se debe tener equipo de fuente no interrumpible. Restringir el acceso a los centros de cmputo slo al personal autorizado. Definicin y difusin de las horas de acceso al centro de cmputo. Se debe indicar si se cuenta con controles y procedimientos para: Clasificacin y justificacin del personal con acceso a los centros de cmputo del negocio y a las oficinas donde se encuentra papelera o accesorios relacionados con informtica. Definir la aceptacin de la entrada a visitantes. Manejo de bitcoras especiales para los visitantes de los centros de cmputo. Seguridad en el Personal Se refiere a la seguridad y proteccin de los operadores, analistas, programadores y dems personal que est en contacto directo con los sistemas, as como a la seguridad de los beneficiarios de la informacin. El objetivo principal de la auditoria de la seguridad del personal es evitar, hasta donde humanamente sea posible, los accidentes acaecidos en el trabajo que constituyen los riesgos de trabajo. Pgina 57
2.
3. 4.
Equipo No. 7
Tcnicas y herramientas de auditora relacionadas con la seguridad Proteccin a los procedimientos de procesamiento y los equipos contra las intervenciones exteriores: slo se debe permitir al personal autorizado que maneje los equipos de procesamiento. Slo se permitir la entrada al personal autorizado y competente. Se deben verificar las fechas de vencimientos de las plizas de seguros, pues puede suceder que se tenga la pliza adecuada pero vencida. Tambin se debe asegurar la prdida de los programas (software). Seleccionar al personal mediante la aplicacin de exmenes integrales: mdico, psicolgico, aptitudes, etc. Contratar personal que viva en zonas cercanas a la empresa. Acondicionar los locales, de acuerdo con las normas de seguridad. Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la manera de evitarlos. Practicar con periodicidad exmenes mdicos al personal.
IV.X TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD EN DATOS Y SOFTWARE DE APLICACIN.

Seguridad de Datos Podemos entender como seguridad un estado de cualquier tipo de informacin (informtico o no) que nos indica que ese sistema est libre de peligro, dao o riesgo. Se entiende como peligro o dao todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen del mismo. Para la mayora de los expertos el concepto de seguridad en la informtica es utpico porque no existe un sistema 100% seguro. Para que un sistema se pueda definir como seguro debe tener estas cuatro caractersticas: Integridad: La informacin slo puede ser modificada por quien est autorizado y de manera controlada. Confidencialidad: La informacin slo debe ser legible para los autorizados. Disponibilidad: Debe estar disponible cuando se necesita. Irrefutabilidad (No repudio): El uso y/o modificacin de la informacin por parte de un usuario debe ser irrefutable, es decir, que el usuario no puede negar dicha accin. Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes: seguridad fsica, seguridad ambiental y seguridad lgica. Equipo No. 7 Pgina 58
Estas tcnicas las brinda la seguridad lgica que consiste en la aplicacin de barreras y procedimientos que resguardan el acceso a los datos y slo permiten acceder a ellos a las personas autorizadas para hacerlo. Existe un viejo dicho en la seguridad informtica que dicta: "lo que no est permitido debe estar prohibido" y sta debe ser la meta perseguida. Los medios para conseguirlo son: 1.- Restringir el acceso (de personas de la organizacin y de las que no lo son) a los programas y archivos. 2.- Asegurar que los operadores puedan trabajar pero que no puedan modificar los programas ni los archivos que no correspondan (sin una supervisin minuciosa). 3.- Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el procedimiento elegido. 4.- Asegurar que la informacin transmitida sea la misma que reciba el destinatario al cual se ha enviado y que no le llegue a otro. 5.- Asegurar que existan sistemas y pasos de emergencia alternativos de transmisin entre diferentes puntos. 6.- Organizar a cada uno de los empleados por jerarqua informtica, con claves distintas y permisos bien establecidos, en todos y cada uno de los sistemas o aplicaciones empleadas. 7.- Actualizar constantemente las contraseas de accesos a los sistemas de cmputo. La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informtico con toda confianza. Por eso en lo referente a elaborar una poltica de seguridad, conviene: Elaborar reglas y procedimientos para cada servicio de la organizacin. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusin Sensibilizar a los operadores con los problemas ligados con la seguridad delos sistemas informticos. Los derechos de acceso de los operadores deben ser definidos por los responsables jerrquicos y no por los administradores informticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la poltica de seguridad definida. Adems, como el administrador suele ser el nico en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e informacin relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, as como ser el punto de entrada de la comunicacin a los trabajadores sobre problemas y recomendaciones en trmino de seguridad. Equipo No. 7 Pgina 59
Tcnicas para asegurar datos. Codificar la informacin: Criptologa, Criptografa y Criptociencia, contraseas difciles de averiguar personales del individuo.
a partir de datos
Vigilancia de red. Tecnologas repelentes o protectoras: Cortafuegos, sistema de deteccin de intrusos - antispyware, antivirus, llaves para proteccin de software, etc. Mantener los sistemas de informacin con las actualizaciones que ms impacten en la seguridad. Consideraciones de software: Tener instalado en la mquina nicamente el software necesario reduce riesgos. El control del software asegura la calidad de la procedencia del mismo. En todo caso un inventario de software proporciona un mtodo correcto de asegurar la reinstalacin en caso de desastre. El software con mtodos de instalacin rpidos facilita tambin la reinstalacin en caso de contingencia. Existe un software que es conocido por la cantidad de agujeros de seguridad que introduce, se pueden buscar alternativas que proporcionen iguales funcionalidades pero permitiendo una seguridad extra. Consideraciones de una red: 1) Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como porttiles. 2) Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mnimo. 3) Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las mquinas. 4) Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperacin, cmo se ha introducido el virus. Que es el software de Aplicacin ? Es aquel que hace que el computador coopere con el usuario en la realizacin de tareas tpicamente humanas, tales como gestionar una contabilidad o escribir un texto. Es en este software de Aplicacin donde se aprecia en forma ms clara la ayuda que puede suponer un computador en las actividades humanas, ya que la mquina se convierte en un auxiliar del hombre, liberndole de las tareas repetitivas. Los programadores de aplicaciones, a diferencia de los programadores de sistemas, no necesitan conocer a fondo el modo de funcionamiento interno del hardware. Dentro de los programas de aplicacin, puede ser til una distincin entre aplicaciones verticales, de finalidad especfica para un tipo muy delimitado de usuarios (mdicos, abogados, arquitectos), y aplicaciones horizontales, de utilidad para una amplsima gama de usuarios de cualquier tipo. Equipo No. 7 Pgina 60
El control de cambios de software de aplicacin son imprescindibles para el mantenimiento del estado de validado. Un software de aplicacin y/o un sistema se encuentra validado slo cuando existen pruebas documentales que garantizan, en mayor medida, que ste producir, de forma consistente y repetida, el resultado previsto. La documentacin que da soporte a la validacin debe mantenerse actualizada, es decir, debe responder a la realidad del sistema validado. Esta realidad est sujeta a variaciones motivadas por adaptaciones, nuevos productos o bajas de los existentes, optimizacin de procesos y mejoras de tipo tecnolgico. Cuando una de estas variaciones ocurre y es crtica, debe realizarse un control de cambios sobre la documentacin de validacin. validado. El control de cambios es un proceso integrado por varias etapas, que van desde la solicitud del cambio hasta la realizacin del mismo y, en el caso de que sea crtico, su revalidacin. El camino a seguir pasa por el anlisis de la solicitud, la propuesta de acciones, la evaluacin del impacto potencial sobre el sistema validado, la influencia sobre la documentacin de validacin y del sistema, la revisin de los anlisis efectuados y la aprobacin de los mismos. Los inconvenientes que tradicionalmente ocurren son: 1.- Pueden existir cambios realizados no contemplados el procedimiento de control de cambios (cambios descontrolados). El proceso de control de cambios es complejo, puesto que intervienen varias personas y documentos. Por querer agilizar el cambio puede caerse en la tentacin de olvidar el procedimiento. 2.- Pueden existir controles de cambios ejecutados de forma incompleta. La mayora de veces se debe a la dificultad de comunicacin entre los responsables del control de cambios. Se trata de la situacin del papel traspapelado entre el montn de papeles pendientes.
Equipo No. 7
Pgina 61
UNIDAD V
Equipo No. 7
Pgina 62
V.
AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMTICA
La Seguridad Informtica es el conjunto de reglas, planes y acciones que permiten asegurar la informacin contenida en un sistema de la informacin. La auditoria de la seguridad informtica Permite realizar una evaluacin detallada de su Arquitectura de Seguridad mediante un anlisis a nivel tcnico (servidores, networking, firewalls, routers,..., a nivel de procedimientos (procesos de revisiones y actualizaciones, polticas de accesos, contraseas, planes de contingencia...). EL informe de Auditora le ayudar a evitar riesgos de seguridad teniendo en cuenta todos los componentes que garanticen la Confidencialidad, Integridad y Disponibilidad de sus datos. reas que cubre la seguridad informtica Polticas de Seguridad Seguridad Fsica Autentificacin Integridad Confidencialidad Control de Acceso Auditora
SEGURIDAD INFORMTICA Y PROTECCIN DE DATOS Proteccin de datos, Anlisis de vulnerabilidades, Cortafuegos, Copias de seguridad, Antivirus, Otras mejoras, Conclusiones. Aumenta un 600% el nmero de nuevos cdigos maliciosos detectados en septiembre, Existe un solo motivo por el cual se pierde informacin: la falta de backups, para una correcta realizacin y seguridad de backups. Cul es la seleccin de aplicaciones de seguridad informtica para cualquier pequea empresa u organizacin? Esta es la gran pregunta que se formulan todos los responsables con los que se suele hablar. Algunos lo tienen claro y aplican soluciones de seguridad informtica antes de que se produzca algn problema ms o menos grave, ya sea porque solicitan asesoramiento experto o porque poseen una base de conocimientos para emprender tales acciones. En realidad, para abordar la implantacin de medidas de seguridad informtica, existen algunas metodologas de trabajo. Una de las ms usadas es la OSSTMM (Open Source Security Testing Methodology Manual) de Pete Herzog. En resumen, lo que se propone es medir la seguridad de los siguientes factores: revisin de privacidad y recoleccin de documentos, seguridad de los procesos fsicos (personas confiables). verificacin de posibles vulnerabilidades. identificacin de sistemas y puertos. implantacin de sistemas de seguridad de intrusos y cortafuegos elaboracin de polticas de seguridad, testeo de modems, Equipo No. 7 Pgina 63
seguridad inalmbrica, entre otros.
V.I. GENERALIDADES DE LA SEGURIDAD DE LA TELEINFORMATICA

En las polticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, tal vez salvo emergencias concretas si as se ha especificado, y ms bien para comunicaciones por voz. En funcin de la clasificacin de los datos se habr previsto el uso de cifrado, en la auditora se evaluar o se llegar a recomendar, y se revisarn la generacin, longitud, comunicacin, almacenamiento y vigencia de las claves, especialmente de las maestras. Cada usuario slo debe recibir en el men lo que pueda seleccionar realmente. Los usuarios tendrn restriccin de accesos segn dominios, nicamente podrn cargar los programas autorizados, y slo podrn variar las configuraciones y componentes los tcnicos autorizados. Debern existir protecciones de distinto tipo, y tanto preventivas como de deteccin, ante posibles accesos sobre todo externos, as como frente a virus por diferentes vas de infeccin, incluyendo el correo electrnico. Se revisarn especialmente las redes cuando existan repercusiones econmicas porque se trate de transferencia de fondos o comercio electrnico.
Algunos de los puntos complementarios a revisar son: Tipos de redes y conexiones. Informacin y programas transmitidos, y uso de cifrado. Tipos de transacciones. Tipos de terminales y protecciones: fsicas, lgicas, llamada de retorno. Proteccin de transmisiones por fax si el contenido est clasificado, si bien es preferible evitar el uso de este medio en ese caso. Proteccin de conversaciones de voz en caso necesario. Transferencia de archivos y controles existentes. Internet e Intranet Separacin de dominios e implantacin de medidas especiales, como normas y cortafuegos (firewall), y no slo en relacin con la seguridad sino por accesos no justificados por la funcin desempeada, como a pginas de ocio o erticas, por lo que pueden suponer para la productividad.
El correo electrnico, tanto por privacidad (PGP, Equipo No. 7 Pgina 64
Pretty Good Privacy se est usando mucho) y para evitar virus como para que el uso del correo sea adecuado y referido a la propia funcin, y no utilizado para fines particulares como se ha intentado hacer en muchas entidades y no siempre con xito, con otros recursos anteriores como telfono, fax, fotocopiadoras, o el uso de los propios computadores. Otro de los aspectos que preocupan es la proteccin de programas, y tanto la prevencin del uso no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso, como la carga o transmisin de otros de los que no se tenga licencia o simplemente para los que no exista autorizacin interna.
V.II. OBJETIVOS Y CRITERIOS DE AUDITORIA PARA TELEINFORMATICA

Cada vez ms las comunicaciones estn tomando un papel determinante en el tratamiento de datos, cumplindose el lema el computador es la red. Mientras que comnmente el directivo informtico tiene amplios conocimientos de comunicaciones estn a la misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de comunicaciones en el esquema organizativo existe. Por su parte, los informticos a cargo de las comunicaciones suelen auto considerarse exclusivamente tcnicos, obviando considerar las aplicaciones organizativas de su tarea. Todos estos factores convergen en que la auditora de comunicaciones no siempre se practique con la frecuencia y profundidad equivalentes a las de otras reas del proceso de datos. Por tanto, el primer punto de una auditora es determinar que la funcin de gestin de redes y comunicaciones est claramente definida, debiendo ser responsable, en general, de las siguientes reas:
Equipo No. 7
Pgina 65
Gestin de la red, inventario de equipamiento y normativa de conectividad. Monitorizacin de las comunicaciones, registro y resolucin de problemas. Revisin de costos y su asignacin de proveedores y servicios de transporte, balanceo de trfico entre rutas y seleccin de equipamiento. Como objetivos del control, se debe marcar la existencia de: Una gerencia de comunicaciones con autoridad para establecer procedimientos y normativa. Procedimientos y registros de inventarios y cambios. Funciones de vigilancia del uso de la red de comunicaciones, ajustes de rendimiento, registro de incidencias y resolucin de problemas. Procedimientos para el seguimiento del costo de las comunicaciones y su reparto a las personas o unidades apropiadas. Auditando la red fsica En una primera divisin, se establecen distintos riesgos para los datos que circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de auditarse hasta qu punto las instalaciones fsicas del edificio ofrecen garantas y han o estudiadas las vulnerabilidades existentes. En general, muchas veces se parte del supuesto de que si no existe acceso fsico desde el exterior a la red interna de una empresa las comunicaciones internas quedan a salvo El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a personas autorizadas. La seguridad fsica de los equipos de comunicaciones, tales como controladores de comunicaciones, dentro de las salas de computadores sea adecuada. Slo personas con responsabilidad y conocimientos estn incluidas en la lista de personas permanentemente autorizadas para entrar en las salas de equipos de comunicaciones. Se toman medidas para separar las actividades de electricistas y personal de tendido y mantenimiento de tendido de lneas telefnicas, as como sus autorizaciones de acceso, de aqullas del personal bajo control de la gerencia de comunicaciones. Facilidades de traza y registro del trfico de datos que posean los equipos de monitorizacin. Procedimientos de aprobacin y registro ante las conexiones a lneas de comunicaciones en la deteccin y correccin de problemas. En el plan general de recuperacin de desastres para servicios de informacin presta adecuada atencin a la recuperacin y vuelta al servicio de los sistemas de comunicacin de datos. Existen planes de contingencia para desastres que slo afecten a las comunicaciones, como el fallo de una sala completa de comunicaciones. Equipo No. 7 Pgina 66
Las alternativas de respaldo de comunicaciones, bien sea con las mismas salas o con salas de respaldo, consideran la seguridad fsica de estos lugares. Las lneas telefnicas usadas para datos, cuyos nmeros no deben ser pblicos, tienen dispositivos/procedimientos de seguridad tales como retrollamada, cdigos de conexin o interruptores para impedir accesos no autorizados al sistema informtico. Auditando la red lgica Cada vez ms se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera que sea la red de comunicaciones el substrato comn que les une. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y por tanto, al resto de los equipos de la instalacin. Es necesario monitorizar la red, revisar los errores o situaciones anmalas que se producen y tener establecidos los procedimientos para detectar y aislar equipos en situacin anmala. En general, si se quiere que la informacin que viaja por la red no pueda ser espiada, la nica solucin totalmente efectiva es la encriptacin. Como objetivos de control, se debe marcar la existencia de: Contraseas y otros procedimientos para limitar y detectar cualquier intento de acceso no autorizado a la red de comunicaciones. Facilidades de control de errores para detectar errores de transmisin y establecer las retransmisiones apropiadas. Controles para asegurar que las transmisiones van solamente a usuarios autorizados y que los mensajes no tienen por qu seguir siempre la misma ruta.
V.III. SINTOMAS DE RIESGOS EN TELEINFORMATICA

Todos los sistemas de comunicacin, desde el punto de vista de auditora, presentan en general una problemtica comn: La informacin transita por lugares fsicamente alejados de las personas responsables. Esto presupone un compromiso en la seguridad, ya que no existen procedimientos fsicos para garantizar la inviolabilidad de la informacin. En las redes de comunicaciones, por causas propias de la tecnologa, pueden producirse bsicamente tres tipos de incidencias. 1a Alteracin de bits. Por error en los medios de transmisin, una trama puede sufrir variacin en parte de su contenido. La forma ms habitual de detectar, y corregir en su caso, este tipo de incidencias, es sufijar la trama con un Cdigo de Redundancia Cclico (CRC) que detecte cualquier error y permita corregir errores que afecten hasta unos pocos bits en el mejor de los casos. Equipo No. 7 Pgina 67
2a Ausencia de tramas. Por error en el medio, o en algn nodo, o por sobrecarga, alguna trama puede desaparecer en el camino del emisor al receptor. Se suele atajar este riesgo dando un nmero de secuencia a las tramas. 3a Alteracin de Secuencia. El orden en el que se envan y se reciben las tramas no coincide. Unas tramas han adelantado a otras. En el receptor, mediante el nmero de secuencia., se reconstruye el orden original. En el propio puesto de trabajo puede haber peligros, como grabar/retransmitir la imagen que se ve en la pantalla, teclados que guardan memoria del orden en que se han pulsado las teclas, o directamente que las contraseas estn escritas en papeles a la vista. Dentro de las redes locales, el mayor peligro es que alguien instale una escucha no autorizada. Al viajar en claro la informacin dentro de la red local, es imprescindible tener una organizacin que controle estrictamente los equipos de escucha, bien sean stos fsicos (sniffer) o lgicos (traceadores). Ambos escuchadores, fsicos y lgicos, son de uso habitual dentro de cualquier instalacin de cierto tamao. Por tanto, es fundamental que ese uso legtimo est controlado y no devenga en actividad espuria. El riesgo de interceptar un canal de comunicaciones, y poder extraer de l la informacin, tiene unos efectos relativamente similares a los de poder entrar, sin control, en el sistema de almacenamiento del computador. Hay un punto especialmente crtico en los canales de comunicaciones que son las contraseas de usuario. Mientras que en el sistema de almacenamiento las contraseas suelen guardarse cifradas, es inhabitual que los terminales u computadores personales sean capaces de cifrar la contrasea cuando se enva al computador central o al servidor.
V.IV. TECNICAS Y HERRAMIENTAS DE AUDITORIA RELACIONADAS CON LA SEGURIDAD EN LA TELEINFORMATICA

Actualmente las telecomunicaciones y las redes de computadoras son un pilar sobre el cual se sostienen la mayora de las operaciones que se realizan en una organizacin. Dada su rpida expansin, es muy comn que hoy en da muchas organizaciones tengan una gran infraestructura de red y de telecomunicaciones. No se concibe una empresa que no tenga sus aplicaciones de software para las operaciones cotidianas, usando una red de computadoras. Por tanto, es casi seguro de que si ocurriera un fallo en la infraestructura de telecomunicaciones, la organizacin quedara prcticamente paralizada. No debe permitirse la entrada a la red a personas no autorizadas, ni usar las terminales. Debe existir un software de comunicacin efectivo y controlado. Restringir el acceso a las instalaciones del procesamiento de red. Equipo No. 7 Pgina 68
Se debe contar con un sistema de codificacin para la informacin confidencial. Realizar peridicamente una verificacin fsica del uso de terminales y de los reportes obtenidos. Se deben monitorear peridicamente el uso que le est dando a las terminales. Se deben hacer auditorias peridicas sobre el rea de operacin. Verificar que los datos recolectados sean procesados correctamente. Deben realizarse revisiones regulares de seguridad a los usuarios. Documentacin y capacitacin del personal de la red. Deben existir planes de respaldo y contingencias de la red. Programas de Trabajo de Auditoria Relacionado con las Telecomunicaciones Los siguientes son ejemplos de programas de trabajo que se pueden evaluar en una auditoria: Instalacin Que existan procedimientos que aseguren la oportuna y adecuada instalacin de los diferentes componentes de la red. Que exista un registro de las actividades que se realizan durante el proceso de instalacin de los componentes de la red, hardware y software. Registro de la planeacin y evaluacin formal de las compras de los elementos de la red. Seguro de dichas compras. Control de software que se encuentra instalado. Para dar de alta al personal especializado que har uso de los centros terminales, el centro de cmputo debe facilitar los medios para registrarlos y mantener actualizado dicho registro a travs de: La unidad administrativa que sea responsable de un centro terminal debe registrar y dar de alta a todo el personal que haga uso del equipo de dicho centro.
Equipo No. 7
Pgina 69
UNIDAD VI
Equipo No. 7
Pgina 70
VI. INFORME DE LA AUDITORIA INFORMATICA

VI.I. GENERALIDADES DE LA SEGURIDAD DEL AREA FISICA..
Este informe es considerado un informe estndar porque consiste de tres prrafos que contienen frases y terminologas estndar con un significado especfico. El primer prrafo identifica los estados financieros que fueron auditados y describe la responsabilidad de la gerencia por los estados financieros y la responsabilidad del auditor por expresar una opinin sobre esos estados financieros. El segundo prrafo describe los elementos clave de una auditora que proporcionan la base para sustentar la opinin sobre los estados financieros. El auditor indica explcitamente que la auditora le proporcion una base razonable para formarse una opinin sobre dichos estados financieros. En el tercer prrafo, el auditor comunica su opinin. El auditor independiente expresa una opinin sobre los estados financieros. El informe estndar, conocido tambin como opinin sin salvedad u opinin limpia. Esta opinin se utiliza cuanto no existen limitaciones significativas que afecten la realizacin de la auditora, y cuando la evidencia obtenida en la auditora no revela deficiencias significativas en los estados financieros o circunstancias poco usuales que afecten el informe del auditor independiente. Seguidamente se explica el significado especfico de este informe estndar. Ttulo del informe Destinatario del informe Prrafo introductorio Prrafo de alcance Prrafo de opinin Revelacin inadecuada Cambios en la contabilizacin
Equipo No. 7
Pgina 71
VI.II CARACTERISTICAS DEL INFORME
Qu es el informe de auditoria? Es el medio formal para comunicar los objetivos de la auditora, las normas utilizadas, alcance, resultados, conclusiones y recomendaciones de la auditora. El reporte debe ser objetivo, claro, conciso, constructivo y oportuno. Existen esquemas recomendados con los requisitos mnimos aconsejables respecto a estructura y contenido. Generalidades De Seguridad rea Fsica Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma. Caractersticas del informe de auditora: 1. Es un documento mercantil o pblico. 2. Muestra el alcance del trabajo. 3. Contiene la opinin del auditor. 4. Se realiza conforme a un marco legal. Principales afirmaciones que contiene el informe: Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qu normas de auditora. Expresa si las cuentas anuales contienen la informacin necesaria y suficiente y han sido formuladas de acuerdo con la legislacin vigente y, tambin, si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad. Asimismo, expresa si las cuentas anuales reflejan, en todos los aspectos significativos, la imagen fiel del patrimonio, de la situacin financiera, de los resultados y de los recursos obtenidos y aplicados. Se opina tambin sobre la concordancia de la informacin contable del informe de gestin con la contenida en las cuentas anuales. En su caso, explica las desviaciones que presentan los estados financieros con respecto a unos estndares preestablecidos. Podemos sintetizar que el informe es una presentacin pblica, resumida y por escrito del trabajo realizado por los auditores y de su opinin sobre las cuentas anuales.
Equipo No. 7
Pgina 72
Tiene caractersticas propias que la diferencian netamente de los escritos literarios, como el cuento, la novela, el ensayo, la poesa o el drama, y aun el periodismo. 1- el informe es generalmente redactado para un superior, como una obligacin profesional del autor, y muy rara vez para otra persona; en muy pocos casos se redacta un informe para un publico amplio. 2- El contenido del informe no depende de la eleccin del autor, sino de la exigencias de una tarea o empleo, y versa por lo general sobre un asunto tcnico, sobre hechos, reconocimientos, investigaciones, estudios o labores realizadas por el informante. 3- Admite libremente toda clase de medios que contribuyen a trasmitir claramente el pensamiento: fotografas, diagramas, grficos, estadsticas, cuadros numricos, documentos originales, anexos ilustrativos o demostrativos. La elaboracin del informe de auditora operativa es el punto final del proceso de captacin y tratamiento de la informacin obtenida de la organizacin auditada. Esta informacin ha de ser suficiente para que el auditor, con su experiencia y conocimiento, sea capaz de realizar un diagnstico y realizar unas recomendaciones La captacin de la informacin de auditora. La informacin es la materia prima con la que trabaja el auditor, esto da origen a pregunto-se: Qu informacin hay que buscar?, Dnde se encuentra?, Cmo darle una coherencia? y otras ms. El auditor operativo, antes de iniciar la recopilacin de informacin necesita: Saber que informacin es significativa y cual no lo es. Tener un esquema conceptual con el que ordenarla y clasificarla. Saber cuales son los medios para obtenerla. Saber cmo se puede obtener al menor coste posible. Obtencin de Informacin Explotacin de la informacin propia de la unidad de auditora. Anlisis documental. La informacin necesaria se puede obtener accediendo a las bases de datos corporativas, o a la memoria de actividades de la organizacin, sin necesidad de requerir informacin a la unidad auditada. Por ejemplo informacin relativa al personal o la ejecucin del presupuesto. Bsicamente se trata de realizar un anlisis documental que nos permita hacemos una composicin del lugar de la organizacin a auditar. Recogeremos informacin diversa, en cantidad y calidad, la analizaremos y la clasificaremos para su uso posterior. Resolver las caractersticas formales de la propuesta del grupo. Esta presente todo el material necesario. Falto discriminar materiales, o se aprecia carencia de solucin para uno de los aspectos solicitados. Las caractersticas solicitadas o lo hacen insuficientemente Comprender el sentido de la seleccin. Contenido: Organizado y orden lgico de los puntos presentados 5 Contenido: Expone el mensaje con claridad 3 Contenido: Ideas fundamentales: Un tema principal por diapositiva 3 Contenido: Actualizado, originalidad 5 Contenido: Dominio del material, no lee las diapositivas 7 Equipo No. 7 Pgina 73
Contenido: Resume los principales puntos efectivamente 3 Comunicacin: Demuestra seguridad y confianza 5 Comunicacin: Voz fuerte y clara, pausado y tono apropiado 3 Comunicacin: Gestos y expresiones faciales apropiadas 3 Comunicacin: Contacto visual con la audiencia, no a las diapositivas 4 Concordancia: entre la informacin de la diapositiva y el tema elaborado 5 Lenguaje/Ortografa: Claro y preciso; trminos y ortografa correcta 5 Reaccin del Grupo: Genera discusin y crea inquietudes futuras 5 Reaccin del Grupo: Logr participacin del grupo 6 Reaccin del Grupo: Control del grupo; mantiene atento a la audiencia 3 Uso del Tiempo: Buena distribucin 3 PPT: Texto: Palabras y oraciones cortas 3 PPT: Contraste de Colores: Combinacin de colores son legibles 5 PPT: Font: San serif, Tamao apropiado (se puede leer en el saln) 5 PPT: Regla 5 X 7 o no ms de 6 lneas por diapositivas 5 PPT: Botones de navegacin 3 PPT: Grficas x-y, Diagramas/organizadores grficos, imgenes, tablas 5 Referencias: Incluye referencias y est actualizada 3 Literatura/Informe Escrito: Reparti el informe a los estudiantes
VI.III. ESTRUCTURA DEL INFORME

El formato para informes finales est enfocado a apoyar y facilitar el proceso de evaluacin de los resultados de los proyectos financiados por la sede Bogot, con respecto a los compromisos adquiridos en el proyecto aprobado. Adems de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y obtencin de los resultados esperados y de las actividades de investigacin cientfica. Los informes finales tcnico y financiero, deben ser entregados a la Direccin de Investigacin de la sede, al finalizar el periodo de ejecucin del proyecto. El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada Facultad, Centro o Instituto. El informe debe contener un ndice. Cada pgina del informe debe estar numerada. Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados. El informe tcnico final deber presentarse en versin impresa y magntica (CD o disquete). La estructura y el formato del informe de auditora ha de ser coherente y atractivo para su destinatario, ha de incitar a ser ledo. Es recomendable que el informe este dividido: Introduccin. Objetivo de la auditora y origen de la misma: quin la pide y por qu razn. Alcance: espacio fsico, temtico y temporal que se audita; periodo durante el cual se realiza la auditora. Resumen del Informe. Opinin de auditora: juicio del auditor sobre el tema, proceso, actividades estudiadas.
Equipo No. 7
Pgina 74
Resumen de las observaciones principales: conclusiones, recomendaciones y acciones propuestas. Cuerpo del Informe. Cabes dos alternativas: estructurar el cuerpo del informe basndose en los temas auditados analizando la situacin de cada unidad funcional respecto al tema o, a la inversa, estructurndolo segn las unidades funcionales y analizando todos los temas que afecta la unidad. Se estructure segn un modelo u otro, el cuerpo del informe deber contener: Observaciones: incluyen una breve descripcin del proceso analizado, hechos detectados (anomalas, puntos dbiles detectados al comparar con las referencias); causas han generado las anomalas y debilidades; recomendaciones que no se han aplicado y que se hablan hecho en informes anteriores. Datos: cifras y detalles en las que se basan las observaciones. Conclusiones: posicin definida sobre las observaciones, que ha de deducirse lgicamente de los hechos detectados, sustentados en datos. OBSERVACIONES Y RECOMENDACIONES Es una tcnica que nos permite captar con todos nuestro sentido la realidad de la organizacin y puede ser de dos tipos. No participante es aquella en que el auditor observa externamente el proceso sin interferir en ellos. Y participante es aquella en la que el auditor participa en los procesos de la unidad auditada, sea integrndose en el grupo y sus actividades. En cualquier caso hay que definir el objetivo de la observacin (cul es el motivo de su realizacin), las variables de la observacin (que queremos observar, planificacin de la observacin (que haremos durante la observacin y trascripcin de la observacin (como se expresara la observacin, por escrito, visualmente, etc) Recomendaciones: No recopilar informacin indiscriminadamente (costo tiempo y esfuerzo intelectual). Un estricto orden en la clasificacin de la informacin (tratamiento efectivo). Deber entenderse por s sola, por simple lectura. Deber estar suficientemente soportada en el propio texto. Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su implementacin. La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.
VI.IV. FORMATO PARA EL INFORME

El formato para informes finales est enfocado a apoyar y facilitar el proceso de evaluacin de los resultados de la auditoria, con respecto a los compromisos adquiridos en el proyecto aprobado. Adems de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y obtencin de los resultados esperados y de las actividades de investigacin cientfica. Equipo No. 7 Pgina 75
Caractersticas generales del informe Los informes finales tcnico y financiero, deben ser entregados a la Direccin de la empresa. El informe debe ser aprobado previamente por el rea auditada. El informe debe contener un ndice. Cada pgina del informe debe estar numerada. Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados. El informe tcnico final deber presentarse en versin impresa y magntica (CD o disquete).
CONTENIDO DEL INFORME 1. Ttulo y cdigo del proyecto. 2. Nombre del investigador principal y de la Facultad, Centro o Instituto al que pertenece. 3. Fecha de entrega del Informe. 4. Sinopsis divulgativa. 5. Resumen tcnico de los resultados obtenidos durante la realizacin del proyecto y de las principales conclusiones (mximo cinco pginas). 6. Cuadro de resultados obtenidos. 7. Descripcin del impacto actual o potencial de los resultados. 8. Conclusiones PRESENTACION La presentacin de las conclusiones de la auditora podr hacerse en la siguiente forma: 1.- Una breve descripcin de la situacin actual en la cual se reflejen los puntos ms importantes. (sta presentacin es para el nivel ms alto de la organizacin.) 2.- Una descripcin detallada que comprende: Los problemas detectados. Posibles causas, problemas y fallas que originaron la situacin presentada. Repercusiones que pueden tener los problemas detectados. Alternativas de solucin. Comentarios y observaciones de la direccin de informtica y de los usuarios sobre las soluciones propuestas. La presentacin de las conclusiones de la auditora podr hacerse en la siguiente forma: 1.- Una breve descripcin de la situacin actual en la cual se reflejen los puntos ms importantes. (sta presentacin es para el nivel ms alto de la organizacin.) 2.- Una descripcin detallada que comprende: Los problemas detectados. Posibles causas, problemas y fallas que originaron la situacin presentada. Repercusiones que pueden tener los problemas detectados. Alternativas de solucin. Comentarios y observaciones de la direccin de informtica y de los usuarios sobre las soluciones propuestas.
Equipo No. 7
Pgina 76

Apuntes Auditoria A

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Apuntes Auditoria A

Cargado por

Copyright:

Formatos disponibles

Auditora en Informtica

INTRODUCCIN A LA AUDITORIA INFORMTICA

CONCEPTOS DE AUDITORIA INFORMTICA

CAMPO DE LA AUDITORIA INFORMTICA

COBIT INFORMACIN Requerimientos Calidad. Costo.

REQUERIMIENTOS DE LA DEL NEGOCIO de Calidad

PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS

I.VII RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

Evaluacin de los sistemas de acuerdo al riesgo

II.IV PERSONAL PARTICIPANTE.

AUDITORIA DE LA FUNCIN INFORMTICA.

III.II. Recopilacin de informacin organizacional.

Personal involucrado en la recopilacin de la informacin

III.III. Evaluacin de recursos Humanos.

CMO ? QUIN ? DNDE ?

QU ? POR QU? CUNDO ?

EN CUANTO A LAS PREGUNTAS

III.V. Entrevistas con el personal usuario.

III.VI. Situacin presupuestal y financiera en la auditoria informtica.

IV.I. GENERALIDADES DE SEGURIDAD AREA FSICA

IV.II SEGURIDAD LGICA Y CONFIDENCIAL

IV.III Seguridad en el Personal.

IV.IV Clasificacin de los controles de seguridad.

IV.V Seguridad de datos y software de aplicacin.

IV.VI. CONTROLES PARA EVALUAR SOFTWARE DE APLICACIN

IV.VII. CONTROLES PARA PREVENIR FRAUDES INFORMATICOS.

IV.VIII. PLAN DE CONTINGENCIA Y PROCEDIMIENTOS DE RECUPERACIN DE DESASTRES

IV.X TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD EN DATOS Y SOFTWARE DE APLICACIN.

AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMTICA

V.I. GENERALIDADES DE LA SEGURIDAD DE LA TELEINFORMATICA

El correo electrnico, tanto por privacidad (PGP, Equipo No. 7 Pgina 64

V.II. OBJETIVOS Y CRITERIOS DE AUDITORIA PARA TELEINFORMATICA

V.III. SINTOMAS DE RIESGOS EN TELEINFORMATICA

V.IV. TECNICAS Y HERRAMIENTAS DE AUDITORIA RELACIONADAS CON LA SEGURIDAD EN LA TELEINFORMATICA

VI. INFORME DE LA AUDITORIA INFORMATICA

VI.III. ESTRUCTURA DEL INFORME

VI.IV. FORMATO PARA EL INFORME

También podría gustarte