Controles informáticos

AUDITORÍA INFORMÁTICA

Instituto IACC

03/08/2018

Alumno: Claudio Cáceres Soto

 OBJETIVO DEL CONTROL

Realizar el proceso de instalación del Sistema Operativo Linux.

INSTRUCCIONES: Reconocer las distintas clasificaciones de auditoría y los distintos tipos de auditoría
informática.

1) Considere la siguiente definición de alcance y objetivos de una auditoría:

El alcance de la auditoría consistirá en la revisión de controles y procesos relacionados

con los proveedores de servicios de TI. Los controles, actividades y documentos para
nuestra revisión se detalla a continuación:

- Políticas y procedimientos de proveedores de servicios de TI.

- Levantamiento de todos los proveedores de servicios de TI.
- Revisión de contratos de proveedores de servicios de TI.
- Revisión de los procedimientos de evaluación de los proveedores de servicios de TI.
- Evaluación de los controles sobre los proveedores de servicios de TI (seguridad de
la información y continuidad de operaciones).
- Revisión de reportes enviados por los proveedores de servicios de TI a la
Administración respecto al cumplimiento de sus SLA (Service Level Agreements*).

De acuerdo a lo indicado anteriormente, indique qué tipo de auditoría informática se

está aplicando. Justifique su respuesta

Respuesta:

- Me inclinaría que no es una solo o un solo método o una sola auditoria, “Políticas y
procedimientos de proveedores de servicios de TI, Levantamiento de todos los proveedores de
servicios de TI, Revisión de contratos de proveedores de servicios de TI , Revisión de los
procedimientos de evaluación de los proveedores de servicios de TI. ” Están ligada a la gestión si
en proveedor cumplan con los estándares del cliente, este puede ser desde licencias de los
softwares, utilización de equipos y herramientas certificadas, el personal calificado. Como
explica en la materia, la finalidad de esta es hacer una evaluación de la administración ver
como esta el desempeño, dentro no solo el desempeño, la gestión, la revisión constante de
los procesos, procedimientos, para así poder evaluar y entregar las respuesta correctas y bien
argumentadas al “jefe”, porque a la larga es donde uno debe dar las explicaciones, mostrar
la planificación y organización del depto. De TI.
- Evaluación de los controles sobre los proveedores de servicios de TI (seguridad de
la información y continuidad de operaciones).


Acá es donde veo que las 2 auditorias van en conjunto, seguridad de la información y continuidad
de operaciones…
Para mi entender la seguridad de la información es conseguir información fidedigna del estado
de nuestros sistemas de tal forma que se consiga un documento final donde se plasmen qué
vulnerabilidades, problemas o fallos de configuración se han detectado, la peligrosidad y
criticidad de dichos fallos de seguridad. Así como los procedimientos a realizar para corregir los
problemas, o al menos mitigarlos, y quién es la persona responsable de solventar y
el mantenimiento los mismos, ya sea a modo de ejemplo la seguridad del acceso a los datos
(servidores), bajo que estructura están armados los disco, tipo de RAID.

Así como la continuidad de operaciones, esta puede ir desde una vez me dijeron, ¿si tú te
enfermas o te mueres quien está calificado para hacer lo mismo que tú?

¿Ojo no es que uno sea indispensable o uno se la sepa todas, pero quien hará mi trabajo?

¿O si la persona de contabilidad se enferma quien hará ese trabajo internamente? Si uno tendrá
que contratar otra persona, pero hasta que se entere de como se opera y como es el
procedimiento interno esto no ocurrida de manera inmediata

Existen muchas maneras de responder esta pregunta, pero operacionalmente, ¿cómo se puede
continuar la operación sin tener un backup?

Y esto siempre va asociado a un costo que pocas empresas están dispuestas a asumir. Saben que
deben hacer lo pero no lo harán, hasta que ocurra algo y hay recién se hará.

Acá en el mismo IACC mi consejera se ausento porque se enfermó, le envié los papeles a ella,
pero como no estaban, estos llegaron y hay quedaron en algún escritorio, nadie se preocupó
de abrir el sobre y/o reviso sus tareas pendientes y casi yo no puedo seguir estudiando, me
asignaron a otra consejera, pero estaba mas perdida, cuento corto tuve más de 2 semanas, y
estamos hablando de IACC, que queda para los más pequeños?

Me desvié un poco del tema central, pero esto grafica lo que digo, todos saben que debe haber
un backup, pero nadie lo hace, porque no están dispuesto a asumir ese costo y a la larga todo
termina siendo evaluado por el dinero, la oferta mas barata gana, aunque la otra sea mas cara y
entregue mas respaldos siempre gana la más barata.
2) A través de un cuadro explicativo, señale 2 semejanzas y 2 diferencias entre la
auditoría informática y la auditoría general (financiera, operativa).

Auditoria Informatica Auditoria General financiera,

operativa
Semejanzas Las 2 auditorías revisan la utilización de los equipos TI, cumplan sus tareas, más
bien para que fueron comprados, su real utilización y la vida útil del mismo,
como activo fijo de la empresa. Ambas ya tienen protocolos estandarizados, ya
sea mediante a softwares de gestión, aunque eso no quita que deben ver los
equipos para una inspección visual, puede que el sistema diga que la vida útil
son 5 años, pero existen condiciones externas que el sistema no la vera y no
tendrá como considerarlas. De igual manera ambos auditorias deberán ir al
menos a darse una vuelta en terreno. Como a veces digo el papel o el sistema
aguanta bastante.

Diferencias Es un conjunto de técnicas y Es el examen objetivo, sistemático y

actividades destinadas a analizar y
evaluar el funcionamiento de los
sistemas informáticos.
Evalúa control y seguridad de los
sistemas informáticos, cumplimientos
de la (s) normas tecnológicas. Control
de planes de contingencia. Debe
conocer el área de informática, o debe
ser un especialista en TI
profesional de las operaciones
financieras o administrativas
efectuando con posterioridad a su
ejecución. Auditar los registros
financieros, sino también los
instrumentos de que se vale la
Gerencia; para determinar la
pertinencia de la información para la
planeación estratégica y las
actividades operativas y a su vez
poder conceptuar sobre los
resultados de los diferentes niveles
estratégicos.
3) Considere los siguientes enunciados:

- “La política definida por la dirección de informática establece que todo usuario de
la empresa, que tenga acceso a los sistemas informáticos que son explotados por la
misma, deberán realizar cambios periódicos de sus claves de acceso”.
Respuesta: Control Preventivo, esta aplicación de políticas de seguridad no es nueva,
radica principalmente en evitar las claves de accesos como 12345 etc. La idea es proteger
los datos, pero a su vez un se llena de claves: - Clave de banco, Clave de la tarjeta, Clave
de la Visa, Clave del correo, Clave del inicio de sesión, Clave del Servipag, Clave del
internet de la casa, Clave de acceso al Celular, Claves de Itunes, nos estamos llenando de
claves, si una persona le coloca una clave distintas a todas sus acceso no creo que sea
capaz de recordar las todas, tendrá que anotarlas en algún lado de fácil acceso, o en el
celular o en un archivo del equipo (notebook), creo que el digipass como los del banco es
una buena solución, hoy en dia las empresas para evitar tantas claves están enlazando
los softwares al active directory del dominio, pero así el administrador del dominio puede
setear tu clave y acceder a tu cuenta. Pero en fin la idea es que uno cambie la clave
periódicamente, con la intensión de proteger los datos.

- “La política de seguridad de la compañía establece la utilización de software de control de acceso

que permita que solo el personal autorizado tenga acceso a archivos con información crítica”.
Respuesta: Control Preventivo + detectivos: similar que lo anterior, pero de esta vez protegiendo
información critica y que esta sea adulterada, copiada etc… por terceros o por algún usuario.

- “El instructivo de funcionamiento de la empresa Compus Limitada determina que el administrador

de base de datos es el encargado de realizar los respaldos de todas las bases en el ambiente
productivo, del tipo incremental una vez por día, y del tipo full una vez a la semana”.
Respuesta: Control Preventivo y Correctivo; detectar algún problema antes que aparezca, minimizar el
impacto si algo sucede con la base de datos, levantarla nuevamente con el mínimo de impacto
posible…
4) Considere el siguiente hallazgo de auditoría: “Se observan cuentas activas de usuarios
en el sistema SAP pertenecientes a personal desvinculado de la compañía”.
¿Qué medidas de control interno deberían aplicarse para corregir la situación planteada?
Fundamente su respuesta.

Respuesta: Esa es la pregunta del millón, y hasta el día de hoy no se puede resolver, ¿me
preguntara por qué? Resulta que quien hace los despido o desvinculaciones es la área de RR.HH
y esta área tiene un terror a que otra área se meta, perdón que interfiera, jamás he entendido
cual es el problema, pero RR.HH, jamás llama a TI comunicando de que ABC personas serán
desvinculadas, a su vez TI quiere toda la administración de los usuarios, no le darán acceso a un
servidor a alguien de RR.HH y así se llevan. Creo que solución es bien simples RR.HH debe haber
una comunicación directa entre las áreas de RR.HH y TI sobre las desvinculaciones, para que TI,
bloquee los accesos de los usuarios y estos deben ser quitados (ojo no eliminados ni eliminar el
usuario) la idea es que quede el historial de lo que el usuario ha realizado. TI envía todos los
permisos revocados. Ahora con SAP, es una empresa que maneja su sistema, son bien cerrados
y mayoría de las veces ellos son los que crean los usuarios, SAP vende el servicio completo,
ahora si TI es el que hace ese trabajo serio más sencillo. Hace unas semanas paso algo similar, el
reloj control yo me ofrecí para enviar el archivo con las marcas de ingreso y salidas, para que
estas fueran cargadas a Payroll la respuesta de la jefa de RR.HH, fue que no podía hacer lo TI
debido que es información confidencial, pero acá las personas de RR.HH no lo quieren hacer y
no les interesa hacerlo, porque es muy “complicado”, y ahí está el reloj control nadie lo usa. Me
hago la pregunta, pero si son solo marcas de ingreso y salida en un documento TXT, sabiendo
que esta entrega un ticket al usuario con la entrada y salida, pensar que TI lo manipulara, es
poco inteligente, una simple y humilde opinión…