Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Confederacin Alemana
de Cooperativas
AUDITORA
I.
DE LA TECNOLOGA DE INFORMACIN Y
COMUNICACIN DE CACS
INTRODUCCIN ........................................................................................................ 3
II.
OBJETIVO ............................................................................................................... 5
III.
CONCEPTOS GENERALES.................................................................................. 6
A.
B.
C.
D.
E.
F.
AUDITORIA DE SISTEMAS.................................................................................... 6
ADMINISTRACIN INFORMTICA..................................................................... 6
CONTROL INTERNO ............................................................................................... 6
RIESGO...................................................................................................................... 7
RIESGOS DE NEGOCIO RELACIONADOS CON LA INFORMTICA............... 7
1. Riesgos de Integridad ..........................................................................................7
2. Riesgos de relacin..............................................................................................8
3. Riesgos de acceso ................................................................................................9
4. Riesgos de utilidad ..............................................................................................9
5. Riesgos en la infraestructura.............................................................................10
6. Riesgos de seguridad general............................................................................11
LA SEGURIDAD INFORMTICA Y SUS OBJETIVOS ...................................... 11
1. Estrategias y polticas .......................................................................................12
2. Administracin de la organizacin ...................................................................12
3. Monitorizacin de eventos.................................................................................13
4. Tecnologa informtica .....................................................................................13
IV.
EL PROCESO DE LA AUDITORIA DE TECNOLOGA DE
INFORMACIN ................................................................................................................ 15
A.
B.
C.
V.
A.
B.
C.
VI.
PRUEBAS DE CUMPLIMIENTO........................................................................... 23
PRUEBAS SUSTANTIVAS .................................................................................... 23
TCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADOR....................... 24
1. Para probar controles en aplicaciones .............................................................24
2. Para auditar centros de procesamiento de informacin ...................................25
INDICADORES DE GESTIN ............................................................................ 25
DGRV
Confederacin Alemana
de Cooperativas
VII.
ANEXOS ................................................................................................................. 27
NO. 1.
AUDITORIA A LAS APLICACIONES .......................................................... 27
NO. 2.
AUDITORIA AL CENTRO DE COMPUTO................................................... 30
NO. 3.
AUDITORIA A NUEVOS DESARROLLOS.................................................. 34
NO. 4.
TCNICAS PARA AUDITAR BASES DE DATOS....................................... 35
NO. 5.
POLTICAS PARA LA ADMINISTRACIN DE LOS RECURSOS
TECNOLGICOS DE UNA CAC................................................................................... 41
NO. 6.
AUDITORIA A LOS MICROCOMPUTADORES Y REDES LAN ............... 45
DGRV
Confederacin Alemana
de Cooperativas
I. INTRODUCCIN
Para mantenerse competitivos y prestar cada vez mejores servicios a sus
asociados, las Cooperativas de ahorro y crdito (CACs) destinan gran parte de
sus recursos financieros al fortalecimiento de sus sistemas de informacin. Por lo
anterior, las directivas como las mismas reas de tecnologa de las CACs,
requieren de herramientas que les permitan evaluar su gestin frente a la
adecuada planeacin, uso y aprovechamiento que estn dando a los recursos de
tecnologa informtica, como determinar si las reas de tecnologa estn
cumpliendo con su misin y contribuyendo a los objetivos de la CAC.
A&C Consultora y Auditora Empresarial (entidad cooperativa colombiana)
prepar este documento, con el propsito de proporcionar a la Gerencia, a la
Auditora (interna o externa) como a los directores de tecnologa de la CACs,
una gua de evaluacin de su gestin sobre los recursos de tecnologa, con el
nimo de propender por un mejor control sobre la administracin de los recursos
tecnolgicos de sus entidades, basados en las tcnicas de la Auditora de
Sistemas.
Este documento se apoya en el modelo internacional COBIT (Objetivos de Control
para la Informacin y Tecnologas afines, preparado por la Asociacin de Auditora
y Control en Sistemas de Informacin ISACA) y en la norma ISO/IEC 17799,
(Cdigo de buenas prcticas de la Gestin de la Seguridad de la Informacin,
desarrollado por la Organizacin Internacional de Normalizacin ISO y la
Comisin Electrnica Internacional IEC), los cuales son complementarios y no
excluyentes.
COBIT ha sido desarrollado como un estndar generalmente aplicable y
aceptado para mejorar las prcticas de control y seguridad de las Tecnologas
de Informacin (TI), proveyendo un marco de referencia para la Administracin,
Usuarios y Auditores. Se fundamenta en la identificacin de procesos de
tecnologa de informacin y sus objetivos de control relacionados. COBIT est
orientado a ser la herramienta de administracin de tecnologas de informacin que
ayude al entendimiento y a la administracin de riesgos asociados con tecnologa
de informacin y con tecnologas relacionadas.
La norma ISO/IEC 17799 en una normativa de carcter internacional,
considerada como una buena gua para las empresas que pretenden mantener
de forma segura sus activos, se fundamenta en 10 reas de control que sern
abordadas a lo largo de este documento.
DGRV
Confederacin Alemana
de Cooperativas
Barn M., Csar Antonio, socio auditor de sistemas de A&C, y Ramrez B., Luis Humberto, socio
gerente general de A&C. Colombia.
1
DGRV
Confederacin Alemana
de Cooperativas
II. OBJETIVO
El presente documento tiene como objetivo proveer una gua rpida y concisa para
evaluar los procesos relacionados con la automatizacin de las CACs.
Ilustra sobre los aspectos que contempla el trabajo de la Auditora de sistemas,
como son: (i) la Planeacin de la Auditora, (ii) la Ejecucin, donde se determina la
forma de evaluar los procesos relacionados con la sistematizacin de las CACs
mediante la identificacin de los controles y riesgos asociados y (iii) las tcnicas
de auditora de sistemas llamadas CAATs.
Puesto que el tamao y complejidad de la tecnologa utilizada por las CACs
puede ser variada, este documento est desarrollado de manera general, por lo
tanto, puede que algunos aspectos no apliquen al momento de realizar su
evaluacin, u otros aspectos requieran de apoyo en la documentacin sugerida al
final del documento.
Como apoyo adicional, al final del presente documento se anexan algunos
cuestionarios y listas de chequeo, que pueden aplicarse de manera general a
cualquier CAC, esperando que sirvan de apoyo en el propsito de evaluar si se
administra y controla adecuadamente la tecnologa informtica de las entidades.
DGRV
Confederacin Alemana
de Cooperativas
DGRV
Confederacin Alemana
de Cooperativas
Riesgos de Integridad
DGRV
Confederacin Alemana
de Cooperativas
Informacin:
Los riesgos en esta rea pueden ser generalmente
considerados como parte de la infraestructura de las aplicaciones.
Estos riesgos estn asociados con la administracin inadecuada de
controles, incluyendo la integridad de la seguridad de la informacin
procesada y la administracin efectiva de los sistemas de bases de
datos y de estructuras de datos. La integridad puede perderse por:
errores de programacin (buena informacin es procesada por
programas mal construidos), procesamiento de errores (transacciones
incorrectamente procesadas) o administracin y procesamiento de
errores (administracin pobre del mantenimiento de sistemas).
2.
Riesgos de relacin
DGRV
Confederacin Alemana
de Cooperativas
Riesgos de acceso
4.
Riesgos de utilidad
DGRV
Confederacin Alemana
de Cooperativas
5.
controlan
desastres
en
el
Riesgos en la infraestructura
10
DGRV
Confederacin Alemana
de Cooperativas
11
DGRV
Confederacin Alemana
de Cooperativas
Estrategias y polticas
Administracin de la organizacin
12
DGRV
Confederacin Alemana
de Cooperativas
3.
Monitorizacin de eventos
Tecnologa informtica
13
DGRV
Confederacin Alemana
de Cooperativas
14
DGRV
Confederacin Alemana
de Cooperativas
15
DGRV
Confederacin Alemana
de Cooperativas
Memorando de Planeacin
16
DGRV
Confederacin Alemana
de Cooperativas
B. EJECUCIN
Esta fase consiste en ejecutar los programas de trabajo establecidos en el
memorando de planeacin, mediante:
la evaluacin del sistema de control interno del rea de informtica
(incluye la seguridad informtica),
la evaluacin de la gestin de la entidad en la administracin de los
recursos de tecnolgicos de informacin, y
la realizacin de pruebas para tener un concepto objetivo del estado
actual del sistema de control interno de la CAC.
1.
17
DGRV
Confederacin Alemana
de Cooperativas
18
DGRV
Confederacin Alemana
de Cooperativas
19
DGRV
Confederacin Alemana
de Cooperativas
20
DGRV
Confederacin Alemana
de Cooperativas
C. INFORME
Resultado de la evaluacin, se debe preparar un informe el cual, adems de ser
claro, preciso, conciso, veraz, objetivo y de presentar hechos reales debidamente
sustentados, debe dar las pautas para un plan de mejoramiento de los controles
y seguridades establecidas dentro del sistema de informacin. Sirve adems
para fortalecer la administracin de la tecnologa informtica de las CAC, se
constituyen en otra herramienta para soportar las inversiones necesarias en
21
DGRV
Confederacin Alemana
de Cooperativas
22
DGRV
Confederacin Alemana
de Cooperativas
B. PRUEBAS SUSTANTIVAS
Se usan para determinar que existe una seguridad razonable sobre la validez
de la informacin producida. El desarrollo de las pruebas es logrado
mediante la aplicacin de una o varias tcnicas de auditora, ya sea
simultnea o sucesivamente, tales como:
Analizar registros.
Hacer operaciones.
Comparar archivos.
23
DGRV
Confederacin Alemana
de Cooperativas
Estratificar archivos.
Seleccionar una muestra aleatoria.
Resumir informacin.
Generar reportes.
Construir archivos de prueba.
Extraer informacin de un archivo.
Realizar anlisis estadsticos.
Simular parte del sistema o el sistema completo.
24
DGRV
Confederacin Alemana
de Cooperativas
VI.
INDICADORES DE GESTIN
25
DGRV
Confederacin Alemana
de Cooperativas
NOMBRE
Eficacia en la gestin
Efectividad de
documentacin
Aplicativos
Cubrimiento
Eficiencia de los
recursos tecnolgicos
Eficiencia en la
distribucin del recurso
tecnolgico
Legalidad
Legalidad
Capacitacin
Conectividad de
recursos compartidos
CALCULO
RESULTADO
Cubrimiento de la red
Verifica la productividad de los
equipos. Se mide teniendo en
cuenta
los
aplicativos
existentes
Verifica
la
adecuada
distribucin de los recursos
Verifica
que
el
software
instalado cuente con la licencia
Se puede establecer si el
software est debidamente
licenciado
Determina la efectividad en la
capacitacin
Determina el porcentaje de
cubrimiento de las redes de
datos
26
DGRV
Confederacin Alemana
de Cooperativas
VII.
No. 1.
ANEXOS
1. POLTICAS Y PROCEDIMIENTOS
5 Revisin de los manuales y procedimientos que documentan la aplicacin.
5
27
DGRV
Confederacin Alemana
de Cooperativas
28
DGRV
Confederacin Alemana
de Cooperativas
29
DGRV
Confederacin Alemana
de Cooperativas
No. 2.
1. PREGUNTAS CLAVES.
5 Procedimientos escritos que se manejan.Manuales por aplicacin (sistemas y
operacin)
5 Red instalada en la Empresa.
5 Nmero de servidores.
5 Ubicacin de los servidores.
5 Nmero de terminales conectadas.
5 Nmero de usuarios conectados al servidor.
5 Configuracin de memoria y discos de los servidores.
5 Protocolos instalados y servicios.
5 Volumen de produccin mensual de registros de cada aplicacin.
5 Interfases que manejan.
5 Reciben y/o envan archivos a entidades externas.
5 Principales proveedores de tecnologa.
5 Sistemas de seguridad electrnica instalados
5 Actualmente se tiene auditora de sistemas.
5 Planes de contingencia para el rea de informtica.
5 Proyectos futuros.
2. CUIDADO DE LAS INSTALACIONES
Ubicacin
5 Del centro de cmputo.
5 Techos, maquinarias especiales.
5 Tipo de estantera.
5 Ubicacin de la luz.
Existe un procedimiento claro de limpieza y aseo para los computadores y el
centro de cmputo?
Electricidad
5 Hay corriente regulada identificada?
5 Tienen reguladores de voltaje?.
5 Existen pruebas funcionamiento de la UPS. Las fases deben estar
balanceadas?.
5 Existe plano elctrico de la Empresa? (preferiblemente en medio magntico).
5 Se hace revisin peridica de los circuitos elctricos?
5 Se cuenta con planta elctrica?. Se tienen procedimientos claros para su uso y
mantenimiento?
Aire Acondicionado
5 Hay sistema de aire acondicionado?.
5 Verificar si es independiente al de las personas.
5 Hay sistema de reserva energtica para el aire acondicionado?
5 Es suficiente para el rea del centro de computo? Controla la humedad del
aire?
30
DGRV
Confederacin Alemana
de Cooperativas
Prender el Servidor.
Apagar el Servidor.
31
DGRV
Confederacin Alemana
de Cooperativas
32
DGRV
Confederacin Alemana
de Cooperativas
33
DGRV
Confederacin Alemana
de Cooperativas
No. 3.
En Cada punto se enuncia las preguntas a realizar se en cada etapa del desarrollo
planeado.
1. PLANEACIN Y ANLISIS DEL PROYECTO
5 Objetivo del proyecto.
5 Personal involucrado.
5 Cronograma de trabajo.
5 Presupuesto.
5 Equipos y aplicaciones asociados.
5 Participacin y aceptacin por parte del usuario.
5 Aplicacin de la metodologa de desarrollo.
2. EN LA ETAPA DE DISEO
5 Revisin del cumplimiento de normas legales, polticas, procedimientos, normas
contables y tributarias.
5 Perodos de retencin de archivos, backup, procedimientos de recuperacin.
5 Revisin al plan de pruebas y/o conversin de programas.
5 Revisin al plan de migracin de datos.
5 Revisar la matriz de acceso a la aplicacin.
5 Proponer tablas-auditor para datos crticos, previa discusin con el usuario.
5 Sugerir cifras de control para los datos.
5 Disear y proponer al grupo reportes y consultas de control.
3. CONSTRUCCIN Y PRUEBAS
5 Revisin a la implantacin de controles.
5 Revisin a la documentacin referida en los estndares.
5 Revisin al cumplimiento del presupuesto.
5 Revisin a la participacin y aprobacin del usuario en las pruebas de
aplicaciones y pruebas de conversin y/o migracin de programas y datos.
5 Participacin en pruebas a programas.
5 Revisin al cumplimiento de los planes de entrenamiento.
5 Probar los controles automticos recomendados.
5 Revisin al plan de contingencias de la aplicacin.
4. EN CONVERSIN E INSTALACIN
5 Revisin al proceso de conversin.
5 Revisin final de los procedimientos.
5 Verificar la creacin de controles recomendados.
5 Verificar la completa aceptacin del usuario.
5 Verificar la ejecucin de pruebas completas antes de instalarse en produccin.
5 Informar cumplimiento de los presupuestos iniciales.
Nota: Existen otros aspectos que la CAC y la experiencia invitarn a incluir en este
documento.
34
DGRV
Confederacin Alemana
de Cooperativas
No. 4.
A continuacin se enuncian algunos criterios para auditar las bases de datos. Para
facilitar la comprensin de los aspectos referidos, se toman a manera de ejemplo
algunos comandos de seguridad del sistema operacional UNIX y del sistema manejador
de bases de datos INFORMIX. Segn las herramientas que cada CAC posea, podr
emular los comandos que cumplan similar funcin.
Para efectuar auditora a bases de datos, se propone iniciar desde la recopilacin de
informacin, y la ejecucin de varias pruebas relacionadas con el tratamiento de la
informacin en la base de datos, el uso de comandos crticos tanto en UNIX como en
INFORMIX y la utilizacin de los estndares de desarrollo definidos para cuarta
generacin.
1. ACTIVIDADES PRELIMINARES
Consiste en la labores de documentacin que debe adelantar el auditor luego de
planear el programa de auditora, participar al usuario de la actividades de revisin
que se van a efectuar. Las actividades aplican de igual manera tanto para auditar
aplicaciones que ya estn en funcionamiento como para aquellas en las cuales la
participacin de auditora es simultnea al desarrollo de la aplicacin. Se
recomienda hacer acopio de dicha informacin mediante el desarrollo de los
siguientes pasos:
Obtener los procedimientos y polticas que soporten las operaciones del rea
motivo de estudio.
35
DGRV
Confederacin Alemana
de Cooperativas
2. PRUEBAS A EJECUTAR
Las pruebas a ejecutar se adelantaran de acuerdo a los mdulos de procedimientos
y polticas, seguridad, desarrollo, participacin de usuario, documentacin y
procedimientos de respaldo y recuperacin.
Seguridad
5 Evaluar los derechos de acceso que tienen los usuarios de la aplicacin.
Para ello debe revisarse en el catlogo de seguridad de Informix los archivos
SYSUSERS, SYSTABAUTH Y SYSCOLAUTH.
En SYSUSERS se verifica la razonabilidad de los accesos de usuarios a la
base de datos.
En SYSTABAUTH se analizan los derechos de los usuarios para acceder las
diferentes tablas de la base de datos.
En SYSCOLAUTH se deben verificar los derechos de los usuarios a
determinados atributos de una tabla especfica de la base de datos.
Para la anterior evaluacin deben compararse los formatos de anlisis de
seguridad elaborados durante el diseo de la aplicacin con la estructura de
derechos que observa la misma en produccin. El formato mencionado debe
evidenciar la autorizacin del Jefe de rea usuaria asignada para otorgar los
permisos respecto de la aplicacin.
Tales verificaciones se complementarn con pruebas de lnea sobre la base
de datos conjuntamente con el usuario responsable.
5 En el Log del sistema, se debe verificar la razonabilidad en la utilizacin de
los comandos GRANT Y REVOKE, por parte de los usuarios y personal de
sistemas involucrados con la ejecucin de programas y manipulacin de las
bases de datos. Instrucciones motivo de anlisis por parte de auditora son
las afines con GRANT CONNECT TO, GRANT DBA TO, REVOKE ALL
FROM, etc. Estas permiten establecer los derechos asignados y retirados
durante un perodo de tiempo.
36
DGRV
Confederacin Alemana
de Cooperativas
Estndares de Desarrollo
5 Evaluar las estrategias de indexacin aplicados a las tablas de las bases de
datos creadas.
5 Efectuar compilaciones a los programas fuentes para determinar los
llamados a SQL incluidos.
5 Revisar el documento de diseo para la aplicacin y establecer las tablas
propuestas y programas definidos. Posteriormente deben ser listadas las
tablas y programas que se encuentran productivos para identificar la
coincidencia en ambos documentos.
5 Verificar que los programas, mdulos, variables de programa, funciones,
reportes, tablas y bases de datos de la aplicacin son documentadas de
acuerdo a los estndares de desarrollo definidos para cuarta generacin.
5 Verificar que las pantallas diseadas en la aplicacin cumplen con los
patrones establecidos en los estndares de desarrollo de la empresa.
5 Revisar el diccionario de datos verificando la descripcin e integridad de los
mismos.
5 Comparar el catlogo SYSTABLES con las tablas seleccionadas para
determinar la actualizacin peridica del mismo.
5 Evaluar el modo de aplicacin de la instruccin LOG TABLE cuando se
asignen privilegios a nivel de tabla.
37
DGRV
Confederacin Alemana
de Cooperativas
Documentacin
5 Revisar la bitcora de la base de datos a fin de establecer eventos de inters
que incidan en la estructura de la base de datos, tales como insercin de
nuevos campos, prdida de datos o ndices, cadas del sistema, etc.
5 Comparar el software propietario del SMBD descrito en los manuales con
una impresin de los archivos que se encuentran en los directorios de
produccin.
Respaldo y recuperacin
5 Determinar la frecuencia de respaldos que tiene la base de datos
comparando este resultado con la poltica de backups establecida.
5 Evaluar los mecanismos de recuperacin ante las contingencias que puedan
evidenciar la base de datos.
Para cada base de datos o tabla que se cree, deber definirse con el usuario si
se requiere un Log transaccion o audit trail. La determinacin se har con
base en la criticidad de la informacin que se maneje.
38
DGRV
Confederacin Alemana
de Cooperativas
La asignacin de seguridad para las bases de datos, para las tablas y para
campos deber hacerse solo desde el sistema manejador de bases de datos.
Todos los datos contenidos en las bases de datos deben tener un perodo de
retencin definidos, para efectos de programar depuraciones y almacenar solo
la informacin realmente necesaria. Esta definicin es establecida por parte de
los usuarios administradores de dicha informacin conforme a las normas de la
compaa y a las disposiciones legales.
2. Produccin
5
Las bases de datos existentes en la compaa tendrn un perodo de retencin
definido. Tal retencin permitir depuraciones peridicas de las tablas en
produccin como en dispositivos de backups.
5
3. Desarrollo
5
Las aplicaciones desarrolladas en la empresa tendrn un diccionario de datos
en el cual se detallen los elementos de las tablas con base en los diccionarios
de datos que generan los analistas durante el diseo de la informacin.
5
39
DGRV
Confederacin Alemana
de Cooperativas
40
DGRV
Confederacin Alemana
de Cooperativas
No. 5.
Se debe asignar presupuesto por rea, para todo lo que tiene que ver con
recursos de informtica.
Toda compra de hardware o software debe estar soportada por lo menos de tres
(3) cotizaciones, bajo los mismos trminos de referencia.
41
DGRV
Confederacin Alemana
de Cooperativas
Difusin de polticas.
Polticas:
Todo software o hardware debe contar con sus respectivos manuales tcnicos.
42
DGRV
Confederacin Alemana
de Cooperativas
Toda capacitacin patrocinada por la CAC debe ser retroalimentada a las reas
que lo ameriten.
2. SOFTWARE
Propiedad Intelectual
Polticas:
Todo programa adquirido por la CAC ser propiedad de esta y mantendr los
derechos de propiedad intelectual que este posea.
Todo software que desde el punto de vista del rea de informtica coloque en
riesgo los recursos de la compaa no es permitido.
Se deben respetar los derechos de autor para cada desarrollo en particular que
ayude al normal funcionamiento de sus labores.
Revisin de Auditora
Polticas:
43
DGRV
Confederacin Alemana
de Cooperativas
3. HARDWARE
Polticas:
Inventario peridico.
4. USUARIO
Polticas:
5. REA DE SISTEMAS
Polticas:
Garantizar la permanencia fiel de los datos que residan en discos del servidor.
44
DGRV
Confederacin Alemana
de Cooperativas
No. 6.
2. ADQUISICIN DE HARDWARE
Se hace una planeacin del sitio en que se instalaron los equipos para
garantizar:
5 Proteccin antimagntica.
5 Servicio elctrico regulado.
5 Conexin a la red.
5 Seguridad fsica.
Evaluar la memoria RAM del servidor, frente al nmero de usuarios que posee.
Evaluar la capacidad del disco duro del servidor, con relacin al nmero de
usuarios.
45
DGRV
Confederacin Alemana
de Cooperativas
3. ADQUISICIN DE SOFTWARE
Obtener una lista de las versiones de paquetes en uso, en los diferentes micros.
Verificar que sean copias originales y licenciadas por la CAC
Verificar la existencia de alternativas manuales, para llevar a cabo las tareas que
actualmente se procesan en micros.
Verificar la existencia de un plan general sobre los desarrollos propuestos por los
usuarios.
4. DOCUMENTACIN
5. COMUNICACIONES
Tomando como base los 7 niveles de red de la ISO verificar:
Nivel 1. Fsico
Nivel 3: De redes
46
DGRV
Confederacin Alemana
de Cooperativas
Establecer si son adecuados los controles de acceso a las tablas del sistema
operacional de la red.
Nivel 5: De sesin
Verificar para cada estacin de trabajo y para el servidor de la red si:
47
DGRV
Confederacin Alemana
de Cooperativas
Nivel 6: De presentacin
Nivel 7: De aplicacin
48
DGRV
Confederacin Alemana
de Cooperativas
7. MANTENIMIENTO
Establecer si existe un control que relacione los nmeros de serie de las partes
de los equipos que son llevados a mantenimiento a otras empresas.
8. SEGUROS
9. SEGURIDAD
49
DGRV
Confederacin Alemana
de Cooperativas
50