AUDITORIA EN DEPARTAMENTO DE INFORMATICA

AUDITORIA DE SISTEMAS

Auditoria Informatica
La auditora en informtica es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones.

Pasos de Auditora Informtica

Alcance y Objetivos de la Auditora Informtica.
Estudio inicial del entorno auditable. Determinacin de los recursos necesarios para realizar la auditora. Elaboracin del plan y de los Programas de Trabajo. Actividades propiamente dichas de la auditora. Confeccin y redaccin del Informe Final. Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final.

Objetivos de la Auditoria
Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD Incrementar la satisfaccin de los usuarios de los sistemas computarizados Asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de funcin informtica a las metas y objetivos de la organizacin Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informtico Minimizar existencias de riesgos en el uso de Tecnologa de informacin Decisiones de inversin y gastos innecesarios Capacitacin y educacin sobre controles en los Sistemas de Informacin

Auditoria Externa e Interna

La auditora interna: es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento.

La auditora externa: es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.

Tipos de Auditora informtica

Auditora de la gestin: la contratacin de bienes y servicios, documentacin de los programas, etc. Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos. Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis de los flujogramas. Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y calidad de los datos. Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad, confidencialidad, autenticacin y no repudio. Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de esta. Tambin est referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas de informacin. Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de autenticacin en los sistemas de comunicacin. Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.

Clases de Auditoria
Dentro de las reas generales, se establecen las siguientes divisiones de Auditora Informtica: de Explotacin, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las reas Especificas de la Auditora Informtica ms importantes.

Auditoria Informtica de Explotacin

La Explotacin Informtica se ocupa de producir resultados informticos de todo tipo: listados impresos, ficheros soportados magnticamente para otros informticos, ordenes automatizadas para lanzar o modificar procesos industriales. Control de Entrada de Datos: Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos Planificacin y Recepcin de Aplicaciones: Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo, verificando su cumplimiento y su calidad de interlocutor nico Centro de Control y Seguimiento de Trabajos: Se analizar cmo se prepara, se lanza y se sigue la produccin diaria

Operacin. Salas de Ordenadores: Se verificar la existencia de un responsable de Sala en cada turno de trabajo

Auditoria Desarrollo Proyecto y Aplicaciones.

Una auditora de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de cuatro consideraciones:
Revisin de las metodologas utilizadas
Se analizaran stas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas.

Control Interno de las Aplicaciones.

se debern revisar las mismas fases que presuntamente han debido seguir el rea correspondiente de Desarrollo:

Satisfaccin de usuarios.
Una Aplicacin tcnicamente eficiente y bien desarrollada, deber considerarse fracasada si no sirve a los intereses del usuario que la solicit

Control de Procesos y Ejecuciones de Programas Crticos.

El auditor no debe descartar la posibilidad de que se est ejecutando un mdulo que no se corresponde con el programa fuente que desarroll, codific y prob el rea de Desarrollo de Aplicaciones.

Auditoria en Sistemas
Sistemas Operativos:
Debe verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones del fabricante.

Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico que han sido facturados aparte de la propia computadora.

Tunning:
El auditor deber conocer el nmero de Tunning realizados en el ltimo ao, as como sus resultados.

Optimizacin de los Sistemas y Subsistemas:

El auditor verificar que las acciones de optimizacin* fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el plan crtico de produccin diaria de Explotacin.

Administracin de Base de Datos:

Mantenimiento de programas que manejan datos de la base.

Controles de la validacin en la entrada de datos. Autorizaciones de acceso Procedimiento de manejo de datos errneos. Objeto del procesamiento. Datos concurrentes o compartidos. Prevencin y detecciones de los interbloqueos. Asignacin de funciones y responsabilidades. Controles de salida. Situacin del diccionario de datos. Documentacin del sistema y de sus configuraciones Entrenamiento del personal.

Investigacin y Desarrollo:
La auditora informtica deber cuidar de que la actividad de Investigacin y Desarrollo no interfiera ni dificulte las tareas fundamentales internas.

Auditoria Informtica Comunicacin de Redes.

Supervisar el trfico de la red, por medio de herramientas de software alternas o bien administrar por medio de un firewall si se cuenta con l para determinar accesos y bloqueos dentro de la red. Establecer puntos para servicio de impresin. Verificar que la red se encuentre libre de virus o intrusos. Realizar el mantenimiento a la red, como adems del chequeo de virus, cableados, conexiones, hardware relacionado con la red. Realizar acciones correctivas en caso de fallas en la red. Tener un control de registro de las direcciones IP que utilizan los usuarios en la red. Realizar una bitcora de las actividades realizadas en la red. Documentar fallas y correcciones. Revisin de la continuidad elctrica para evitar daos en el equipo de red.

Auditoria de la Seguridad Informtica

La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc. La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.

El sistema integral de seguridad debe comprender:

Elementos administrativos Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes (incendio, terremotos, etc.) Prcticas de seguridad del personal Elementos tcnicos y procedimientos Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Aplicacin de los sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos Planeacin de programas de desastre y su prueba.

Seguridad Fsica
El edificio, de ser posible, debe ser expresamente construido para el centro de cmputos. El rea del computador debe estar en un local que no sea combustible. El local del computador no debe situarse encima, debajo o adyacente a reas donde se procesen, fabriquen o almacenen materiales inflamables, explosivos, gases txicos, etc. El espacio entre el falso suelo y el normal debe limpiarse y pintarse antes de la instalacin de los equipos. El piso y el techo deben ser impermeables. Debe existir prohibicin absoluta de fumar en el rea de Proceso. Proteccin contra incendios: O Sensores de temperatura O Sensores de humo O Medios de extincin del fuego El almacenamiento de medios magnticos deber realizarse teniendo en cuenta la temperatura, humedad relativa, en lugares especialmente preparados que no sean combustibles y estar a cargo de un responsable.

Herramientas para Auditoria

Cuestionarios Entrevistas

Check List Rango Binarios

Trazas o Huellas Software de Interrogacin Confeccin y redaccin del Informe Final

Ciclo de Seguridad ( Caso Practico)

El objetivo de esta auditora de seguridad es revisar la situacin y las cuotas de eficiencia de la misma en los rganos ms importantes de la estructura informtica. Los segmentos a auditar, son: Segmento 1: Seguridad de cumplimiento de normas y estndares. Segmento 2: Seguridad de Sistema Operativo. Segmento 3: Seguridad de Software. Segmento 4: Seguridad de Comunicaciones. Segmento 5: Seguridad de Base de Datos. Segmento 6: Seguridad de Proceso. Segmento 7: Seguridad de Aplicaciones. Segmento 8: Seguridad Fsica.

5 Faces del Ciclo de Seguridad

Causas de realizacin de una Auditora de Seguridad Estrategia y logstica del ciclo de Seguridad Ponderacin de los Sectores Auditados Operativa del ciclo de Seguridad Clculos y Resultados del Ciclo de Seguridad Confeccin del Informe del Ciclo de Seguridad

Fases 1 y 2
Fase 1. Estrategia y logstica del ciclo de seguridad 1. 2. 3. Designacin del equipo auditor. Asignacin de interlocutores, validadores y decisores del cliente. Cumplimentacin de un formulario general por parte del cliente, para la realizacin del estudio inicial.

FASE 2. Ponderacin de sectores del ciclo de seguridad. Mediante un estudio inicial, del cual forma parte el anlisis de un formulario exhaustivo, tambin inicial, que los auditores entregan al cliente para su cumplimentacin. Asignacin de pesos tcnicos. Se entienden por tales las ponderaciones que el equipo auditor hace de los segmentos y secciones, en funcin de su importancia. Asignacin de pesos polticos. Son las mismas ponderaciones anteriores, pero evaluadas por el cliente.

Pesos tcnicos Son los coeficientes que el equipo auditor asigna a los Segmentos y a las Secciones. Pesos polticos Son los coeficientes o pesos que el cliente concede a cada Segmento y a cada Seccin del Ciclo de Seguridad. Pesos finales Son el promedio de los pesos anteriores.

Check List
FASE 3. Operativa del ciclo de seguridad Asignacin de pesos finales a los Segmentos y Secciones. El peso final es el promedio del peso tcnico y del peso poltico. La Subsecciones se calculan pero no se ponderan. Preparacin y confirmacin de entrevistas. Entrevistas, pruebas, anlisis de la informacin, cruzamiento y repaso de la misma.

Clculos y Resultados
FASE 4. Clculos y resultados del ciclo de seguridad
Clculo y ponderacin de Secciones y Segmentos. Las Subsecciones no se ponderan, solo se calculan. Identificacin de materias mejorables.

Priorizacin de mejoras

Una vez realizado los clculos, se ordenaran y clasificaran los resultados obtenidos por materias mejorables, estableciendo prioridades de actuacin para lograrlas.

 Finalmente, se procede a mostrar las reas auditadas con grficos de barras. En todos los casos s referenciarn respecto a tres zonas: roja, amarilla y verde.
La zona roja corresponde a una situacin de debilidad que requiere acciones a corto plazo. Sern las ms prioritarias, tanto en la exposicin del Informe como en la toma de medidas para la correccin.

La zona amarilla corresponde a una situacin discreta que requiere acciones a medio plazo, figurando a continuacin de las contenidas en la zona roja.

La zona verde requiere solamente alguna accin de mantenimiento a largo plazo.

Confeccin del Informe del Ciclo de Seguridad

fase Cinco Confeccin del informe del ciclo de seguridad Preparacin de borrador de informe y Recomendaciones. Discusin del borrador con el cliente. Entrega del Informe y Carta de Introduccin.

FIN