Seguridad Informàtica

Introducción

 

Generalmente, los sistemas de información incluyen todos los datos de una compañía y también en el material y los recursos de software que permiten a una compañía almacenar y hacer circular estos datos. Los sistemas de información son fundamentales para las compañías y deben ser protegidos.

Generalmente, la seguridad informática consiste en garantizar que el material y los recursos de software de una organización se usen únicamente para los propósitos para los que fueron creados y dentro del marco previsto.

Auditoría de la Seguridad informática

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.

En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado «virus» de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorización («piratas») y borra toda la información que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias «piratas» o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus. El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos de la organización, la copia de programas para fines de comercialización sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la información con propósitos fraudulentos.

La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.

Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes, y los principales proveedores ponen a disposición de clientes algunos de estos paquetes.

Ejemplo: Existe una Aplicación de Seguridad que se llama SEOS, para Unix, que lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser: accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no tenía permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno de los servidores, fecha y hora, accesos con password equivocada, cambios de password, etc. La Aplicación lo puede graficar, tirar en números, puede hacer reportes, etc.

La seguridad informática se la puede dividir como Área General y como Área Especifica (seguridad de Explotación, seguridad de las Aplicaciones, etc.). Así, se podrán efectuar auditorías de la Seguridad Global de una Instalación Informática –Seguridad General- y auditorías de la Seguridad de un área informática determinada – Seguridad Especifica -.

Con el incremento de agresiones a instalaciones informáticas en los últimos años, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidos a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad lógica y la utilización de sofisticados medios criptográficos.

El sistema integral de seguridad debe comprender:

• Elementos administrativos
• Definición de una política de seguridad
• Organización y división de responsabilidades
• Seguridad física y contra catástrofes (incendio, terremotos, etc.)
• Prácticas de seguridad del personal
• Elementos técnicos y procedimientos
• Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales.
• Aplicación de los sistemas de seguridad, incluyendo datos y archivos
• El papel de los auditores, tanto internos como externos
• Planeación de programas de desastre y su prueba.

La decisión de abordar una Auditoría Informática de Seguridad Global en una empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida. Se elaboran «matrices de riesgo», en donde se consideran los factores de las «Amenazas» a las que está sometida una instalación y los «Impactos» que aquellas puedan causar cuando se presentan. Las matrices de riesgo se representan en cuadros de doble entrada <<Amenaza-Impacto>>, en donde se evalúan las probabilidades de ocurrencia de los elementos de la matriz.

Ejemplo:

Impacto	Amenaza				1: Improbable2: Probable 3: Certeza -: Despreciable
	Error	Incendio	Sabotaje	……..
Destrucciónde Hardware	–	1	1
Borrado deInformación	3	1	1

El cuadro muestra que si por error codificamos un parámetro que ordene el borrado de un fichero, éste se borrará con certeza.

El caso de los Bancos en la República Argentina:

En la Argentina, el Banco Central (BCRA) les realiza una Auditoría de Seguridad de Sistemas a todos los Bancos, minoritaria y mayoristas. El Banco que es auditado le prepara a los auditores del BCRA un «demo» para que estos vean cual es el flujo de información dentro del Banco y que Aplicaciones están involucradas con ésta. Si los auditores detectan algún problema o alguna cosa que según sus normas no está bien, y en base a eso, emiten un informe que va, tanto a la empresa, como al mercado. Este, principalmente, es uno de los puntos básicos donde se analiza el riesgo de un banco, más allá de cómo se maneja. Cada Banco tiene cierto riesgo dentro del mercado; por un lado, está dado por como se mueve éste dentro del mercado (inversiones, réditos, etc.) y por otro lado, el como funcionan sus Sistemas. Por esto, todos los Bancos tienen auditoría interna y auditoría externa; y se los audita muy frecuentemente.

(Ver Anexo de las normas del Banco Central sobre la Seguridad de los Sistemas de Información)

1. SEGURIDAD

a. Generalidades

Cuando hablamos de realizar una evaluación de la seguridad es importante conocer cómo desarrollar y ejecutar la implantación de un sistema de seguridad.

Desarrollar un sistema de seguridad significa «planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad física de los recursos implicados en la función informática, así como el resguardo de los activos de la empresa».

Las consideraciones de un sistema integral de seguridad debe contemplar:

• Definir elementos administrativos
• Definir políticas de seguridad
  • A nivel departamental
  • A nivel institucional
• Organizar y dividir las responsabilidades
• Contemplar la seguridad física contra catástrofes (incendios, terremotos, inundaciones, etc.)
• Definir prácticas de seguridad para el personal.
• Plan de emergencia, plan de evacuación, uso de recursos de emergencia como extinguidores.
• Definir el tipo de pólizas de seguros.
• Definir elementos técnicos de procedimientos.
• Definir las necesidades de sistemas de seguridad para hardware y software
• Flujo de energía.
• Cableados locales y externos
• Aplicación de los sistemas de seguridad incluyendo datos y archivos.
• Planificación de los papeles de los auditores internos y externos.
• Planificación de programas de desastre y sus pruebas (simulación).
• Planificación de equipos de contingencia con carácter periódico.
• Control de desechos de los nodos importantes del sistema.
• Política de destrucción de basura, copias, fotocopias, etc.

Para dotar de medios necesarios al elaborar su sistema de seguridad se debe considerar los siguientes puntos:

• Sensibilizar a los ejecutivos de la organización en torno al tema de seguridad.
• Se debe realizar un diagnóstico de la situación de riesgo y seguridad de la información en la organización a nivel software, hardware, recursos humanos y ambientales.
• Elaborar un plan para un programa de seguridad.

b. Seguridad de su Corre «e»

Cada día son más las organizaciones que utilizan el correo electrónico como herramienta fundamental de sus negocios, por ende, es indispensable que se cuente con soluciones confiables y escalables que permitan que las comunicaciones, utilizando este tipo de medio, se realicen de forma segura y confiable. La nueva versión del programa de administración de listas de correo electrónico LISTSERV, viene a satisfacer esta demanda, pues está repleta de nuevas y mejoradas características, está dotada de protección contra virus y de una mayor facilidad de uso.

LISTSERV trabajo bajo una interfaz rediseñada tipo Web que facilita la administración de la lista. Incluye un Experto de Tarea, que guía al administrador de la lista con instrucciones detalladas paso a paso.

Asimismo, con la proliferación de los virus a través del correo electrónico, L-Soft ha integrado a su lista el programa de protección contra virus de F-Secure para inspeccionar el correo electrónico.

c. ¿Cómo Puede Elaborar un Protocolo de Seguridad Antivirus?

La forma más segura, eficiente y efectiva de evitar virus, consiste en elaborar un protocolo de seguridad para sus sistemas PC’s. Un protocolo de seguridad consiste en una serie de pasos que deberá seguir con el fin de crear un hábito al operar normalmente con programas y archivos en sus computadoras. Un buen protocolo es aquel que le inculca buenos hábitos de conducta y le permite operar con seguridad su computadora, aún cuando momentáneamente esté desactivado o desactualizado su antivirus.

Este protocolo establece ciertos requisitos para que pueda ser cumplido por el operador en primer término y efectivo en segundo lugar. Le aseguramos que un protocolo puede ser muy efectivo pero si es COMPLICADO, no será puesto en funcionamiento nunca por el operador.

El protocolo de seguridad antivirus consiste en:

1. Instalar el antivirus y asegurar cada 15 días su actualización.
2. Chequear los CD-Rom’s ingresados en nuestra PC sólo una vez, al comprarlos o adquirirlos y marcarlos con un fibrón o marcador para certificar el chequeo. Esto solo es válido en el caso de que nuestros CD’s no sean procesados en otras PC y sean regrabables.
3. Formatear todo diskette virgen que compremos, sin importar si son formateados de fábrica, ya que pueden colarse virus aún desde el proceso del fabricante.
4. Revisar todo diskette que provenga del exterior, es decir que no haya estado bajo nuestro control, o que haya sido ingresado en la desketera de otra PC.
5. Si nos entregan un diskette y nos dicen que está revisado, NO CONFIAR NUNCA en los procedimientos de otras personas que no seamos nosotros mismos. Nunca sabemos si esa persona sabe operar correctamente su antivirus. Puede haber revisado sólo un tipo de virus y dejar otros sin controlar durante su escaneo, o puede tener un módulo residente que es menos efectivo que nuestro antivirus.
6. Para bajar páginas de internet, archivos ejecutables, etc., definir siempre en nuestra PC una carpeta o directorio para recibir el material. De ese modo sabemos que todo lo que bajemos de internet siempre estará en una sola carpeta. Nunca ejecutar o abrir antes del escaneo.
7. Nunca abrir un adjunto de un e.mail sin antes chequearlo con nuestro antivirus. Si el adjunto es de un desconocido que no nos avisó previamente del envío del material, directamente borrarlo sin abrir.
8. Al actualizar el antivirus, verificar nuestra PC completamente. En caso de detectar un virus, proceder a verificar todos nuestros soportes (diskettes, CD’s, ZIP’s, etc.)
9. Si por nuestras actividades generamos grandes bibliotecas de diskettes conteniendo información, al guardar los diskettes en la biblioteca, verificarlos por última vez, protegerlos contra escritura y fecharlos para saber cuándo fue el último escaneo.

10. Haga el backup periódico de sus archivos. Una vez cada 15 días es lo mínimo recomendado para un usuario doméstico. Si usa con fines profesionales su PC, debe hacer backup parcial de archivos cada 48 horas como mínimo. Backup parcial de archivos es la copia en diskette de los documentos que graba.

d. Etapas para Implantar un Sistema de Seguridad

Para que su plan de seguridad entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguientes 8 pasos:

1. Introducir el tema de seguridad en la visión de la empresa.
2. Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos participantes.
3. Capacitar a los gerentes y directivos, contemplando el enfoque global.
4. Designar y capacitar supervisores de área.
5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente rápidas.
6. Mejorar las comunicaciones internas.
7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.
8. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad física.

e. Beneficios de un Sistema de Seguridad

Los beneficios de un sistema de seguridad bien elaborados son inmediatos, ya que la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:

• Aumento de la productividad.
• Aumento de la motivación del personal.
• Compromiso con la misión de la compañía.
• Mejora de las relaciones laborales.
• Ayuda a formar equipos competentes.
• Mejora de los climas laborales para los RR.HH.

f. Disposiciones que Acompañan la Seguridad

Desde el punto de vista de seguridad, se debe contar con un conjunto de disposiciones o cursos de acción para llevarse a cabo en caso de presentarse situaciones de riesgo, a saber:

• Obtener una especificación de las aplicaciones, los programas y archivos de datos.
• Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso.
• Prioridades en cuanto a acciones de seguridad de corto y largo plazo.
• Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que los programadores no cuenten con acceso a la sección de operación y viceversa.
• Que los operadores no sean los únicos en resolver los problemas que se presentan.

Caso Práctico de una Auditoría de Seguridad Informática <<Ciclo de Seguridad>>

A continuación, un caso de auditoría de área general para proporcionar una visión más desarrollada y amplia de la función auditora.

Es una auditoría de Seguridad Informática que tiene como misión revisar tanto la seguridad física del Centro de Proceso de Datos en su sentido más amplio, como la seguridad lógica de datos, procesos y funciones informáticas más importantes de aquél.

Ciclo de Seguridad

El objetivo de esta auditoría de seguridad es revisar la situación y las cuotas de eficiencia de la misma en los órganos más importantes de la estructura informática.

Para ello, se fijan los supuestos de partida:

El área auditada es la Seguridad. El área a auditar se divide en: Segmentos.

Los segmentos se dividen en: Secciones.

Las secciones se dividen en: Subsecciones.

De este modo la auditoría se realizara en 3 niveles.

Los segmentos a auditar, son:

• Segmento 1: Seguridad de cumplimiento de normas y estándares.
• Segmento 2: Seguridad de Sistema Operativo.
• Segmento 3: Seguridad de Software.
• Segmento 4: Seguridad de Comunicaciones.
• Segmento 5: Seguridad de Base de Datos.
• Segmento 6: Seguridad de Proceso.
• Segmento 7: Seguridad de Aplicaciones.
• Segmento 8: Seguridad Física.

Se darán los resultados globales de todos los segmentos y se realizará un tratamiento exhaustivo del Segmento 8, a nivel de sección y subsección.

Conceptualmente la auditoria informática en general y la de Seguridad en particular, ha de desarrollarse en seis fases bien diferenciadas:

Fase 0. Causas de la realización del ciclo de seguridad.

Fase 1. Estrategia y logística del ciclo de seguridad.

Fase 2. Ponderación de sectores del ciclo de seguridad.

Fase 3. Operativa del ciclo de seguridad.

Fase 4. Cálculos y resultados del ciclo de seguridad.

Fase 5. Confección del informe del ciclo de seguridad.

A su vez, las actividades auditoras se realizan en el orden siguiente:

1. Comienzo del proyecto de Auditoría Informática.
2. Asignación del equipo auditor.
3. Asignación del equipo interlocutor del cliente.
4. Cumplimentación de formularios globales y parciales por parte del cliente.
5. Asignación de pesos técnicos por parte del equipo auditor.
6. Asignación de pesos políticos por parte del cliente.
7. Asignación de pesos finales a segmentos y secciones.
8. Preparación y confirmación de entrevistas.
9. Entrevistas, confrontaciones y análisis y repaso de documentación.

10. Calculo y ponderación de subsecciones, secciones y segmentos.

11. Identificación de áreas mejorables.

12. Elección de las áreas de actuación prioritaria.

13. Preparación de recomendaciones y borrador de informe

14. Discusión de borrador con cliente.

15. Entrega del informe.

Causas de realización de una Auditoría de Seguridad

Esta constituye la FASE 0 de la auditoría y el orden 0 de actividades de la misma.

El equipo auditor debe conocer las razones por las cuales el cliente desea realizar el Ciclo de Seguridad. Puede haber muchas causas: Reglas internas del cliente, incrementos no previstos de costes, obligaciones legales, situación de ineficiencia global notoria, etc.

De esta manera el auditor conocerá el entorno inicial. Así, el equipo auditor elaborará el Plan de Trabajo.

Estrategia y logística del ciclo de Seguridad

Constituye la FASE 1 del ciclo de seguridad y se desarrolla en las actividades 1, 2 y 3:

Fase 1. Estrategia y logística del ciclo de seguridad

1. Designación del equipo auditor.
2. Asignación de interlocutores, validadores y decisores del cliente.
3. Cumplimentación de un formulario general por parte del cliente, para la realización del estudio inicial.

Con las razones por las cuales va a ser realizada la auditoría (Fase 0), el equipo auditor diseña el proyecto de Ciclo de Seguridad con arreglo a una estrategia definida en función del volumen y complejidad del trabajo a realizar, que constituye la Fase 1 del punto anterior.

Para desarrollar la estrategia, el equipo auditor necesita recursos materiales y humanos. La adecuación de estos se realiza mediante un desarrollo logístico, en el que los mismos deben ser determinados con exactitud. La cantidad, calidad, coordinación y distribución de los mencionados recursos, determina a su vez la eficiencia y la economía del Proyecto.

Los planes del equipo auditor se desarrollan de la siguiente manera:

1. Eligiendo el responsable de la auditoria su propio equipo de trabajo. Este ha de ser heterogéneo en cuanto a especialidad, pero compacto.
2. Recabando de la empresa auditada los nombres de las personas de la misma que han de relacionarse con los auditores, para las peticiones de información, coordinación de entrevistas, etc.

Según los planes marcados, el equipo auditor, cumplidos los requisitos 1, 2 y 3, estará en disposición de comenzar la «tarea de campo», la operativa auditora del Ciclo de Seguridad.

Ponderación de los Sectores Auditados

Este constituye la Fase 2 del Proyecto y engloba las siguientes actividades:

FASE 2. Ponderación de sectores del ciclo de seguridad.

1. Mediante un estudio inicial, del cual forma parte el análisis de un formulario exhaustivo, también inicial, que los auditores entregan al cliente para su cumplimentación.
2. Asignación de pesos técnicos. Se entienden por tales las ponderaciones que el equipo auditor hace de los segmentos y secciones, en función de su importancia.
3. Asignación de pesos políticos. Son las mismas ponderaciones anteriores, pero evaluadas por el cliente.

Se pondera la importancia relativa de la seguridad en los diversos sectores de la organización informática auditada.

Las asignaciones de pesos a Secciones y Segmentos del área de seguridad que se audita, se realizan del siguiente modo:

Pesos técnicos

Son los coeficientes que el equipo auditor asigna a los Segmentos y a las Secciones.

Pesos políticos

Son los coeficientes o pesos que el cliente concede a cada Segmento y a cada Sección del Ciclo de Seguridad.

Ciclo de Seguridad. Suma Pesos Segmentos = 100 (con independencia del número de segmentos consideradas)
Segmentos	Pesos Técnicos	Pesos Políticos	Pesos Finales
Seg1. Normas y Estándares	12	8	10
Seg2. Sistema Operativo	10	10	10
Seg3. Software Básico	10	14	12
Seg4. Comunicaciones	12	12	12
Seg5. Bases de Datos	12	12	12
Seg6. Procesos	16	12	14
Seg7. Aplicaciones	16	16	16
Seg8. Seguridad Física	12	16	14
TOTAL	100	100	100

Pesos finales

Son el promedio de los pesos anteriores.

El total de los pesos de los 8 segmentos es 100. Este total de 100 puntos es el que se ha asignado a la totalidad del área de Seguridad, como podría haberse elegido otro cualquiera. El total de puntos se mantiene cualquiera que hubiera sido el número de segmentos. Si hubieran existido cinco segmentos, en lugar de 8, la suma de los cinco habría de seguir siendo de 100 puntos.

Suma Peso Secciones = 20 (con independencia del número de Secciones consideradas)
Secciones	Pesos Técnicos	Pesos Políticos	Pesos Finales
Secc1. Seg. Física de Datos	6	6	6
Secc2. Control de Accesos	5	3	4
Secc3. Equipos	6	4	5
Secc4. Documentos	2	4	3
Secc5. Suministros	1	3	2
TOTAL	20	20	20

Puede observarse la diferente apreciación de pesos por parte del cliente y del equipo auditor. Mientras éstos estiman que las Normas y Estándares y los Procesos son muy importantes, el cliente no los considera tanto, a la vez que prima, tal vez excesivamente, el Software Básico.

Del mismo modo, se concede a todos los segmentos el mismo valor total que se desee, por ejemplo 20, con absoluta independencia del número de Secciones que tenga cada Segmento. En este caso, se han definido y pesado cinco Secciones del Segmento de Seguridad Física. Cabe aclarar, solo se desarrolló un solo Segmento a modo de ejemplo.

Operativa del ciclo de Seguridad

Una vez asignados los pesos finales a todos los Segmentos y Secciones, se comienza la Fase 3, que implica las siguientes actividades:

FASE 3. Operativa del ciclo de seguridad

1. Asignación de pesos finales a los Segmentos y Secciones. El peso final es el promedio del peso técnico y del peso político. La Subsecciones se calculan pero no se ponderan.
2. Preparación y confirmación de entrevistas.
3. Entrevistas, pruebas, análisis de la información, cruzamiento y repaso de la misma.

Las entrevistas deben realizarse con exactitud. El responsable del equipo auditor designará a un encargado, dependiendo del área de la entrevista. Este, por supuesto, deberá conocer a fondo la misma.

La realización de entrevistas adecuadas constituye uno de los factores fundamentales del éxito de la auditoría. La adecuación comienza con la completa cooperación del entrevistado. Si esta no se produce, el responsable lo hará saber al cliente.

Deben realizarse varias entrevistas del mismo tema, al menos a dos o tres niveles jerárquicos distintos. El mismo auditor puede, y en ocasiones es conveniente, entrevistar a la misma persona sobre distintos temas. Las entrevistas deben realizarse de acuerdo con el plan establecido, aunque se pueden llegar a agregar algunas adicionales y sin planificación.

La entrevista concreta suele abarcar Subsecciones de una misma Sección tal vez una sección completa. Comenzada la entrevista, el auditor o auditores formularán preguntas al/los entrevistado/s. Debe identificarse quien ha dicho qué, si son más de una las personas entrevistadas.

Las Checklist’s son útiles y en muchos casos imprescindibles. Terminadas las entrevistas, el auditor califica las respuestas del auditado (no debe estar presente) y procede al levantamiento de la información correspondiente.

Simultáneamente a las entrevistas, el equipo auditor realiza pruebas planeadas y pruebas sorpresa para verificar y cruzar los datos solicitados y facilitados por el cliente. Estas pruebas se realizan ejecutando trabajos propios o repitiendo los de aquél, que indefectiblemente deberán ser similares si se han reproducido las condiciones de carga de los Sistemas auditados. Si las pruebas realizadas por el equipo auditor no fueran consistentes con la información facilitada por el auditado, se deberá recabar nueva información y reverificar los resultados de las pruebas auditoras.

La evaluación de las Checklists, las pruebas realizadas, la información facilitada por el cliente y el análisis de todos los datos disponibles, configuran todos los elementos necesarios para calcular y establecer los resultados de la auditoria, que se materializarán en el informe final.

A continuación, un ejemplo de auditoría de la Sección de Control de Accesos del Segmento de Seguridad Física:

Vamos a dividir a la Sección de Control de Accesos en cuatro Subsecciones:

1. Autorizaciones
2. Controles Automáticos
3. Vigilancia
4. Registros

En las siguientes Checklists, las respuestas se calificarán de 1 a 5, siendo1 la más deficiente y 5 la máxima puntuación.

Control de Accesos: Autorizaciones
Preguntas	Respuestas	Puntos
¿Existe un único responsable de implementar la política de autorizaciones de entrada en el Centro de Cálculo?	Si, el Jefe de Explotación, pero el Director puede acceder a la Sala con acompañantes sin previo aviso.	4
¿Existe alguna autorización permanente de estancia de personal ajeno a la empresa?	Una sola. El técnico permanente de la firma suministradora.	5
¿Quiénes saben cuáles son las personas autorizadas?	El personal de vigilancia y el Jefe de Explotación.	5
Además de la tarjeta magnética de identificación, ¿hay que pasar otra especial?	No, solamente la primera.	4
¿Se pregunta a las visitas si piensan visitar el Centro de Cálculo?	No, vale la primera autorización.	3
¿Se preveen las visitas al Centro de Cálculo con 24 horas al menos?	No, basta que vayan acompañados por el Jefe de Explotación o Director	3
TOTAL AUTORIZACIONES		24/30 80%

Control de Accesos: Controles Automáticos
Preguntas	Respuestas	Puntos
¿Cree Ud. que los Controles Automáticos son adecuados?	Si, aunque ha de reconocerse que a pie puede llegarse por la noche hasta el edificio principal.	3
¿Quedan registradas todas las entradas y salidas del Centro de Cálculo?	No, solamente las del personal ajeno a Operación.	3
Al final de cada turno, ¿Se controla el número de entradas y salidas del personal de Operación?	Sí, y los vigilantes los reverifican.	5
¿Puede salirse del Centro de Cálculo sin tarjeta magnética?	Sí, porque existe otra puerta de emergencia que puede abrirse desde adentro	3
TOTAL CONTROLES AUTOMATICOS		14/20 70%

Control de Accesos: Vigilancia
Preguntas	Respuestas	Puntos
¿Hay vigilantes las 24 horas?	Sí.	5
¿Existen circuitos cerrados de TV exteriores?	Sí.	5
Identificadas las visitas, ¿Se les acompaña hasta la persona que desean ver?	No.	2
¿Conocen los vigilantes los terminales que deben quedar encendidos por la noche?	No, sería muy complicado.	2
TOTAL VIGILANCIA		14/20 70%

Control de Accesos: Registros
Preguntas	Respuestas	Puntos
¿Existe una adecuada política de registros?	No, reconocemos que casi nunca, pero hasta ahora no ha habido necesidad.	1
¿Se ha registrado alguna vez a una persona?	Nunca.	1
¿Se abren todos los paquetes dirigidos a personas concretas y no a Informática?	Casi nunca.	1
¿Hay un cuarto para abrir los paquetes?	Sí, pero no se usa siempre.	3
TOTAL REGISTROS		6/20 30%

Cálculos y Resultados del Ciclo de Seguridad

FASE 4. Cálculos y resultados del ciclo de seguridad

1. Cálculo y ponderación de Secciones y Segmentos. Las Subsecciones no se ponderan, solo se calculan.
2. Identificación de materias mejorables.
3. Priorización de mejoras.

En el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de toda la auditoría de Seguridad.

El trabajo de levantamiento de información está concluido y contrastado con las pruebas. A partir de ese momento, el equipo auditor tiene en su poder todos los datos necesarios para elaborar el informe final. Solo faltaría calcular el porcentaje de bondad de cada área; éste se obtiene calculando el sumatorio de las respuestas obtenidas, recordando que deben afectarse a sus pesos correspondientes.

Una vez realizado los cálculos, se ordenaran y clasificaran los resultados obtenidos por materias mejorables, estableciendo prioridades de actuación para lograrlas.

Cálculo del ejemplo de las Subsecciones de la Sección de Control de Accesos:

Autorizaciones 80%

Controles Automáticos 70%

Vigilancia 70%

Registros 30%

Promedio de Control de Accesos %

A continuación, la evaluación final de los demás Segmentos del ciclo de Seguridad:

Ciclo de Seguridad. Evaluación y pesos de Segmentos
Segmentos	Pesos	Evaluación
Seg1. Normas y Estándares	10	61%
Seg2. Sistema Operativo	10	90%
Seg3. Software Básico	12	72%
Seg4. Comunicaciones	12	55%
Seg5. Bases de Datos	12	77,5%
Seg6. Procesos	14	51,2%
Seg7. Aplicaciones	16	50,5%
Seg8. Seguridad Física	14	59,8%
Promedio Total Area de Seguridad	100	63,3%

Sistemática seguida para el cálculo y evaluación del Ciclo de Seguridad:

1. Valoración de las respuestas a las preguntas específicas realizadas en las entrevistas y a los cuestionarios formulados por escrito.
2. Cálculo matemático de todas las subsecciones de cada sección, como media aritmética (promedio final) de las preguntas específicas. Recuérdese que las subsecciones no se ponderan.
3. Cálculo matemático de la Sección, como media aritmética (promedio final) de sus Subsecciones. La Sección calculada tiene su peso correspondiente.
4. Cálculo matemático del Segmento. Cada una de las Secciones que lo componen se afecta por su peso correspondiente. El resultado es el valor del Segmento, el cual, a su vez, tiene asignado su peso.
5. Cálculo matemático de la auditoría. Se multiplica cada valor de los Segmentos por sus pesos correspondientes, la suma total obtenida se divide por el valor fijo asignado a priori a la suma de los pesos de los segmentos.

Finalmente, se procede a mostrar las áreas auditadas con gráficos de barras, exponiéndose primero los Segmentos, luego las Secciones y por último las Subsecciones. En todos los casos sé referenciarán respecto a tres zonas: roja, amarilla y verde.

La zona roja corresponde a una situación de debilidad que requiere acciones a corto plazo. Serán las más prioritarias, tanto en la exposición del Informe como en la toma de medidas para la corrección.

La zona amarilla corresponde a una situación discreta que requiere acciones a medio plazo, figurando a continuación de las contenidas en la zona roja.

La zona verde requiere solamente alguna acción de mantenimiento a largo plazo.

Nula

Pobre

Insuficiente

Suficiente.

Adecuado

buena

Excel.

Confección del Informe del Ciclo de Seguridad

Fase5. Confección del informe del ciclo de seguridad

1. Preparación de borrador de informe y Recomendaciones.
2. Discusión del borrador con el cliente.
3. Entrega del Informe y Carta de Introducción.

Ha de resaltarse la importancia de la discusión de los borradores parciales con el cliente. La referencia al cliente debe entenderse como a los responsables directos de los segmentos. Es de destacar que si hubiese acuerdo, es posible que el auditado redacte un contrainforme del punto cuestionado. Este acta se incorporará al Informe Final.

Las Recomendaciones del Informe son de tres tipos:

1. Recomendaciones correspondientes a la zona roja. Serán muy detalladas e irán en primer lugar, con la máxima prioridad. La redacción de las recomendaciones se hará de modo que sea simple verificar el cumplimiento de la misma por parte del cliente.
2. Recomendaciones correspondientes a la zona amarilla. Son las que deben observarse a medio plazo, e igualmente irán priorizadas.
3. Recomendaciones correspondientes a la zona verde. Suelen referirse a medidas de mantenimiento. Pueden ser omitidas. Puede detallarse alguna de este tipo cuando una acción sencilla y económica pueda originar beneficios importantes.

Conclusión

 

En conclusión tenemos que la seguridad informática se resume, por lo general, en cinco objetivos principales:

ü  Integridad: garantizar que los datos sean los que se supone que son

ü  Confidencialidad: asegurar que sólo los individuos autorizados tengan acceso a los recursos que se intercambian

ü  Disponibilidad: garantizar el correcto funcionamiento de los sistemas de información

ü  Evitar el rechazo: garantizar de que no pueda negar una operación realizada.

ü  Autenticación: asegurar que sólo los individuos autorizados tengan acceso a los recursos.

 

 

Fundamentos de Auditoría

elistas.egrupos.net/cgi-bin/eGruposDMime.cgi?…qlhhyCSQbgb7

http://www.utic.edu.py/…/index.php?&#8230;auditoriainformatica2controlinterno

http://www.escet.urjc.es/~ai/T2Apuntes.pdf

 

Control Interno Informàtico

CONTROL INTERNO INFORMATICO.

SUS METODOS Y PROCESAMIENTOS. LAS HERRAMIENTAS DE CONTROL

CONTROL INTERNO

Definiciones

El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. (Auditoría Informática – Aplicaciones en Producción – José Dagoberto Pinilla)

El Informe COSO define el Control Interno como “Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán.

También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (Auditoría Informática – Un Enfoque Práctico – Mario G. Plattini) Tipos

En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos:

• Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.

• Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.

Los controles según su finalidad se clasifican en:

• Controles Preventivos, para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.

• Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos.

• Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.

Objetivos principales:

• Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas

• Colaborar y apoyar el trabajo de Auditoría Informática interna/externa

• Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de los servicios informáticos.

• Realizar en los diferentes sistemas y entornos informáticos el control de las diferentes actividades que se realizan.

Control interno informático (función)

El Control Interno Informático es una función del departamento de Informática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente.

Entre sus funciones específicas están:

• Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de programadores, técnicos y operadores.

• Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los siguientes aspectos:

• Desarrollo y mantenimiento del software de aplicación.

• Explotación de servidores principales

• Software de Base

• Redes de Computación

• Seguridad Informática

• Licencias de software

• Relaciones contractuales con terceros

• Cultura de riesgo informático en la organización

Control interno informático (áreas de aplicación)

controles generales organizativos

Son la base para la planificación, control y evaluación por la Dirección General de las actividades del Departamento de Informática, y debe contener la siguiente planificación:

• Plan Estratégico de Información realizado por el Comité de Informática.

• Plan Informático, realizado por el Departamento de Informática.

• Plan General de Seguridad (física y lógica).

• Plan de Contingencia ante desastres.

Controles de desarrollo y mantenimiento de sistemas de información

Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos, protección de recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones.

Controles de explotación de sistemas de información

Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso del hardware así como los procedimientos de, instalación y ejecución del software.

Controles en aplicaciones

Toda aplicación debe llevar controles incorporados para garantizar la entrada, actualización, salida, validez y mantenimiento completos y exactos de los datos.

Controles en sistemas de gestión de base de datos

Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y seguridad.

Controles informáticos sobre redes

Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organización sean estas centrales y/o distribuidos.

Controles sobre computadores y redes de área local

Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware como del software de usuario, así como la seguridad de los datos que en ellos se procesan.

Función de Control;

En la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, los auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y la seguridad con mayor visión, y realizan evaluaciones de tipo cualitativo.

Control interno informático; Cumplen funciones de control dual en los diferentes departamentos, que puede ser normativa, marco jurídico, la funciones del control interno es la siguientes determinar los propietarios y los perfiles según la clase de información, permitir a dos personas intervenir como medida de control, realizar planes de contingencias, dictar normas de seguridad informática, controla la calidad de software, los costos, los responsables de cada departamento, control de licencias, manejo de claves de cifrado, vigilan el cumplimiento de normas y de controles, es clara que esta medida permite la seguridad informática.

Metodologías de clasificación de información y de obtención de procedimientos de control;

Es establecer cuales son las entidades de información a proteger, dependiendo del grado de importancia de la información para el establecimiento de contramedidas.

Herramientas de control;

Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son programas que brindar seguridad, las principales herramientas son las siguientes; seguridad lógica del sistema, seguridad lógica complementaria del sistema, seguridad lógica en entornos distribuidos, control de acceso físico, control de copias, gestión de soporte magnéticos, gestión de control de impresión y envío de listados por red, control de proyectos y versiones , gestión de independencia y control de cambios. Y fisiocs los cifradores.

CONTROL INTERNO INFORMATICO

El control interno informàtico controla diariamente que todas las actividades de sistemas de informaciòn sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales.

La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas.

Control interno informático suele ser un órgano staff de la dirección del departamento de informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden.

Como principales objetivos podemos indicar los siguientes:

• Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

• Asesorar sobre el conocimiento de las normas.

• Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorias externas al grupo.

• Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la función de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados.

La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente mente los recursos.

	CONTROL INTERNO INFORMATICO	AUDITOR INFORMATICO
SIMILITUDES	PERSONAL INTERNO Conocimientos especializados en tecnologías de información verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la dirección informática y la dirección general para los sistemas de información.
DIFERENCIAS	Análisis de los controles en el día a díaInforma a la dirección del departamento de informática sólo personal interno el enlace de sus funciones es únicamente sobre el departamento de informática	Análisis de un momento informático determinadoInforma a la dirección general de la organizaciónPersonal interno y/o externo tiene cobertura sobre todos los componentes de los sistemas de información de la organización

DEFINICION Y TIPO DE CONTROLES INTERNOS

Se puede definir el control interno como «cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos.

Los controles internos se clasifican en los siguientes:

• Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

• Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.

• Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad.

IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS

Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados:

• Entorno de red:esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.

• Configuración del ordenador base: Configuración del soporte físico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos.

• Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos.

• Productos y herramientas: Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.

• Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc.

Para la implantación de un sistema de controles internos informáticos habrá que definir:

• Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes.

• Administración de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.

• Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

• Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados.

• aabbccddee.galeon.com/winpy.htm
• auditoriasistemas.com/…informatica/control–interno/
  

 

Evaluación de Riesgo y Planes de Contingencia

http://www.conida.gob.pe/transparencia/PDF/INFO_GEN/pc.pdf

 

Plan de contingencia

Se tendrá en cuenta:

1. Análisis de Riegos.
2. Evaluación del riesgo .
3. Asignación de prioridades.
4. Elaboración de un documento.
5. Mantenimiento del plan de contingencia.
6. Implementación del plan (acciones correctivas y preventivas).
7. Costos del plan de contingencia.
8. Distribución y mantenimiento del plan.

1. Análisis de Riesgos:

Se tienen en cuenta dos factores:

• Los que afectan a la seguridad del edificio.
• Los que afectan la integridad de los datos.

Los que afectan la integridad de los datos:

• Problemas de comunicación del cliente con los servidores: probable.
• Problemas en el cableado eléctrico de las estaciones de trabajo: poco probable.
• Problemas con los recursos compartidos de la red: poco probable.
• Caída de la base de datos: poco probable.
• Caída temporal del o los servidor/es por falla mecánica: poco probable.
• Perdida total de un servidor: poco probable.
• Falla total o parcial del cableado: poco probable.
• Perdida total o parcial de las estaciones de trabajo: probable.

Los que afectan la integridad de los datos:

• Los problemas de comunicación del cliente con los servidores, los problemas en el cableado eléctrico de las estaciones de trabajo, los problemas con los recursos compartidos de la red y la caída de la base de datos: ocasionarían perdidas totales o parciales, por lo tanto, se produce una interrupción en las actividades, hasta solucionar el problema. Costo: en épocas no pico, costos mínimos; pero en épocas pico, la empresa no podría imprimir las pólizas de cada cliente que como se dijo anteriormente esto ocasiona una perdida de $30 por póliza. También ocasionaría, en Casa Central, caída total o parcial de los sistemas de la compañía, de los servidores, y por tal motivo se puede producir inactividad total o parcial en sucursales (según la gravedad del problema). Costo: por dia $100.000 a nivel país.
• Caída temporal del o los servidor/es por falla mecánica: ocasionarían perdidas totales o parciales, por lo tanto, se produce una interrupción en las actividades, hasta solucionar el problema. Evaluar costo de reparación del desperfecto mecánico.
• Perdida total de un servidor: ocasionaría perdidas totales o parciales, por lo tanto, hay una interrupción en las actividades, hasta solucionar el problema, además evaluar costo de reparación o de reposición.
• Falla total o parcial del cableado: ocasionaría perdidas totales o parciales, por lo tanto, las actividades se encuentran interrumpidas hasta solucionar el problema.
• Perdida total o parcial de las estaciones de trabajo: ocasionaría perdidas totales o parciales, por lo tanto, las actividades se encuentran interrumpidas hasta solucionar el problema, en caso de perdida total, evaluar costos.

1. Asignación de prioridades:

Después de que acontezcan el o los problemas antes mencionados, tendremos que establecer un orden de prioridades, para poder reestablecer los sistemas y así, poder comenzar a operar normalmente, teniendo en cuenta que la empresa tiene que emitir las pólizas (520.000), sin descuidar laatención al publico.

Orden de prioridades:

1. Hacer funcionar los servidores Sun Ultra Sparc, si afectó a Casa Central, y el AS/400, que contiene la información histórica de la empresa, que además están conectados, con arquitectura C/S, con las 500 pc´s en el edificio central.
2. Reestablecer el sistema Lotus Notes, para tener comunicación con Casa Central, y poder emitir las pólizas de los clientes.
3. Restablecer los backup’s.
4. Hacer funcionar las impresoras.
5. Continuar con la impresión de las 520.000 pólizas.

1. Elaboración de un documento:

Se deberá elaborar un documento, en el que conste todo el plan de contingencia, con las listas de las personas a notificar, sus números de teléfono,mapas y direcciones. También debe estar el orden de prioridades, responsabilidades, procedimientos, diagrama de las instalaciones, sistemas, configuraciones y copias de seguridad. (Ver Anexo).

Aclaración: Las áreas encargadas de coordinar las contingencias son:

1. Gerente General: responsable del edificio Casa Central.
2. Gerente de Sucursal: responsable de la sucursal.
3. Mantenimiento: encargado de solucionar problemas edilicios, ya sea inundación, humedad, generador eléctrico, o cualquier otro problema relacionado.
4. Dpto. Sistemas: encargado de solucionar todo lo relacionado con redes, sistemas, servidores, hardware, software, cableados de red, etc.
5. Encargado de Seguridad: su función es custodiar las instalaciones del edificio, y avisar al área correspondiente, en caso de incendio o robo.

5. Mantenimiento del plan de contingencia:

Una vez por semana realizar un informe sobre el plan de contingencia, teniendo en cuenta las posibles modificaciones que se pudieran hacer.

Algunas de las cosas en las que habitualmente no se piensa a la hora de comprobar, pueden ahorrar mucho tiempo posteriormente. Por eso periódicamente hacer lo siguiente:

1. Llamar a los teléfonos de los colaboradores incluidos en la lista del plan de contingencia.
2. Verificar los procedimientos que se emplearan para almacenar y recuperar los datos (backup).
3. Comprobar el correcto funcionamiento del disco extraíble, y del software encargado de realizar dicho backup.
4. Realizar simulacros de incendio, capacitando al personal en el uso de los extinguidores; caída de sistemas o fallas de servidores, para la mediciónde la efectividad del plan de contingencia.

6. Implementación del plan (acciones correctivas y preventivas):

• Los que afectan a la seguridad del edificio (anexo 1)
• Los que afectan la integridad de los datos (anexo 2)
• Topología de Red (anexo 3)
• Información de responsables de cada área (anexo 4)

Notas:

• Copias de Seguridad: se realizarán de la siguiente manera:

Al final de cada dia la información, es decir la base de datos de la empresa, es copia en un disco extraíble. Esto permite salvar la información, en caso de ruptura parcial o total, de uno o ambos servidores, o de la propia base de datos. Además, existe una copia mensual, desde ese disco extraíble a CD-ROM, para archivar definitivamente. Esta ultima copia, que se realiza en forma mensual, podría ser emitida por duplicado, para que de esta manera, se pueda archivar una dentro de la compañía y otra fuera de la misma. De este modo la compañía se asegura de que en caso de robo dentro del edificio, se cuente con otra copia de la información de la empresa.

Costo de disco extraíble: (120 GB.) U$s 200, Costo CD-ROM por unidad U$s 2.

La restauración de la información, disminuye los tiempos de inactividad, en caso de rupturas parciales o totales de uno o ambos servidores o de lasbases de datos, dado a que se cargaría el CD-ROM con el backup del dia, o del mes (según corresponda) y se instalarían nuevamente los sistemas Solaris, Oracle y Lotus Notes, para levantar la contingencia.

6. Costo del Plan de Contingencia:

• Gastos de mantenimiento de la red.
• Generador eléctrico, detectores de humo, sistema de irrigación, extinguidores.
• Seguro contra incendio y robo Casa Centra.
• Backup: se encarga el Dpto. de Sistemas de Casa Central.
• Costo total por mes del Plan de Contingencia.

http://www.monografias.com › Ingenieria

 www.pecert.gob.pe/index.php?option=com_filecabinet&task…22.

 

Metodología para el desarrollo de la Auditorìa

Definición de la Metodología CRMR 

CRMR son las siglas de “Computer resource management review”, su traducción más adecuada, Evaluación de la gestión de recursos informáticos. En cualquier caso, esta terminología quiere destacar la posibilidad de realizar una evaluación de eficiencia de utilización de los recursos por medio del management.

Una revisión de esta naturaleza no tiene en sí misma el grado de profundidad de una auditoría informática global, pero proporciona soluciones más rápidas a problemas concretos y notorios.

Supuestos de aplicación

En función de la definición dada, la metodología abreviada CRMR es aplicable más a deficiencias organizativas y gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de un Centro de Procesos de Datos.

El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:

• Se detecta una mala respuesta a las peticiones y necesidades de los usuarios. 
• Los resultados del Centro de Procesos de Datos no están a disposición de los usuarios en el momento oportuno 
• Se genera con alguna frecuencia información errónea por fallos de datos o proceso.
• Existen sobrecargas frecuentes de capacidad de proceso.
• Existen costes excesivos de proceso en el Centro de Proceso de Datos.

Efectivamente, son éstas y no otras las situaciones que el auditor informático encuentra con mayor frecuencia. Aunque pueden existir factores técnicos que causen las debilidades descritas, hay que convenir en la mayor incidencia de fallos de gestión.

1. ¿Qué es una metodología?

Es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado determinado.

Ø       2. ¿Qué es una metodología de trabajo de auditoría informática?

Es una serie de pasos para llevar a cabo una auditoría informática

Ø       3. ¿Cuales son las etapas de una metodología?

• ·        Alcance y Objetivos de la Auditoría Informática
  ·        Estudio inicial del entorno auditable
  ·        Determinación de los recursos necesarios para realizar la auditoría
  ·        Elaboración del plan y de los Programas de Trabajo
  ·        Actividades propiamente dichas de la auditoría
  ·        Confección y redacción del Informe Final
  ·        Redacción de la Carta de Introducción o Carta de Presentación del Informe final.
•  Areas de Aplicación 

Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a las condiciones de aplicación señaladas en punto anterior:

·         Gestión de Datos
·         Control de Operaciones
·         Control y utilización de recursos materiales y humanos
·         Interfaces y relaciones con usuarios
·         Planificación
·         Organización y administración

Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisición de nuevos equipos (Capacity Planning) o para revisar muy a fondo los caminos críticos o las holguras de un Proyecto complejo.

http://www.uazuay.edu.ec/isi/auditoria%20de%20sistemas.doc

 

Conceptos De Auditoria De Sistemas.

Conceptos De Auditoria De Sistemas.

1-Auditoria: La auditoría es el proceso de evaluar, revisar, examinar

y apreciar, con vistas a detectar posibles problemas, para garantizar la integridad de su patrimonio, la veracidad de su información y el mantenimiento. y recomendar posibles soluciones.

 

2-Sistemas Computacionales: Es el conjunto de elementos relacionados entre sí para Almacenar, procesar y manipular todo tipo de información.

 

3–Informática: es la ciencia aplicada que abarca el estudio y aplicación del tratamiento automático de la información. También está definida como el procesamiento automático de la información.se divide en tres tareas básicas que son: Entrada, Proceso,Salida .

4- Áreas De T.I: Bases de datos, Desarrollo de aplicaciones de software, redes y comunicaciones ejemplo: pizarra digital, Teléfonos, Celulares, PDAs, BlackBerry.

5–Auditoria de sistemas: Es la actividad o rama que evalúa, revisa, analiza parcial o total las operaciones y procedimientos adoptados en una empresa.

 

6- Plan De Auditoría De Sistemas: Descripción de las actividades y de los detalles acordados de una auditoria. El Plan establece ¿qué vas hacer en una auditoria? (agenda flexible, horarios aproximados, criterios de la auditoria, resultado de la Planificación.

 

a) Planificación Preliminar: La planificación preliminar tiene el propósito de obtener o actualizar la información general sobre la entidad y las principales actividades, a fin de identificar globalmente las condiciones existentes para ejecutar la auditoria.

b) Planificación Específica: Se fundamenta en la información obtenida durante la planificación preliminar. La planificación específica tiene como propósito principal evaluar el control interno, evaluar y calificar los riesgos de la auditoria y seleccionar los procedimientos de auditoría a ser aplicados a cada componente en la fase de ejecución mediante los programas respectivos.

7-Orden De Trabajo De La Auditoria:

ü  Aseguramiento de Calidad.

ü  Presentación y discusión de resultados a la Entidad auditada.

 

8-Objetivo General de la Auditoría:

ü  Minimizar existencias de riesgos en el uso de Tecnología de información.

ü  Decisiones de inversión y gastos innecesarios.

ü  Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático.

ü   Capacitación y educación sobre controles en los Sistemas de Información.

 

9- Objetivo Específico de la Auditoría:

ü  Obtener certeza de la realidad de los valores registrados.

ü  Verificar que se haya realizado una planeación y análisis de inversiones adecuados.

ü  Obtener información acerca de las transacciones de inversiones más representativas en relación con los procedimientos.

ü  Evaluación de la seguridad en el área informática.

ü  Revisión de la utilización del sistema operativo y los programas utilitarios.

10-Alcance:

El alcance tiene con la extensión del examen, , si se van a examinar todos los estados financieros en su totalidad, o solo uno de ellos, o una parte de uno de ellos, o más específicamente solo un grupo de cuentas (Activos Fijos, por ejemplo) o solo una cuenta (cuentas x cobrar, o el efectivo, etc.)

11-Normas de Auditoría:

Las normas de Auditoría son las indicaciones que en forma obligatoria los auditores tienen que cumplir en el desempeño de sus funciones de auditoría y presentan los requisitos personales y profesionales del auditor, además de orientaciones para la uniformidad en el trabajo con el propósito de lograr un buen nivel de calidad en el examen. Así mismo indican lo concerniente a la elaboración del informe de auditoría.

 12-Programas de Auditoría: Programa de Auditoría para cada auditoría específica se deberá elaborar el programa de auditoría que incluya los procedimientos a aplicarse, su alcance y personal designado para ejecutar la auditoría.

Los programas de auditoría deben ser los suficientemente flexibles para permitir en el transcurso del examen, modificaciones, mejoras y ajustes, a juicio del encargado o supervisor y con la debida aprobación  por parte de los responsables o superiores.

13-Procedimiento de Auditoría:

Comprobar que todos los movimientos en materia de inversiones estén reflejados en los Estados Financieros.

Evaluar el corte de documentos para determinar si las inversiones están valuadas correctamente.

14-Pruebas de Auditoría:Las Pruebas de Auditoría: Son técnicas o procedimientos que utiliza el auditor para la obtención de evidencia comprobatoria.

Las pruebas pueden ser de tres tipos:

i) Pruebas de Control
j) Pruebas Analíticas
k) Pruebas Sustantivas

15-Papeles de Trabajo:

Papeles de Trabajo: Son los archivos o legajos que maneja el auditor y que contienen todos los documentos que sustentan su trabajo efectuado durante la auditoría.

Estos archivos se dividen en Permanentes y Corrientes; el archivo permanente está conformado por todos los documentos que tienen el carácter de permanencia en la empresa, es decir, que no cambian y que por lo tanto se pueden volver a utilizar en auditorías futuras; como los Estatutos de Constitución, contratos de arriendo, informe de auditorías anteriores, etc.

16-Control Interno:

El control interno facilita el logro de los objetivos propuestos, permite el uso adecuado de los recursos e identifica los riesgos probables, lo que hace posible el evitar errores e irregularidades.

 

17-Informe de Auditoría:

a) Informe de Auditoría: El informe de auditoría es el producto final del trabajo del auditor gubernamental, en el cual presenta sus observaciones, conclusiones y recomendaciones. El informe auditoría debe contener  la expresión de juicios fundamentados en las evidencias obtenidas.

b)-Condición:

c)- Criterio:

d)-Causa:

e)-Edicto:

f)-Recomendación: Las recomendaciones estarán orientadas a la mejor utilización de los recursos humanos, materiales y financieros de la empresa o entidad auditada.

18-Tacc´s Técnicas:

Las TAACs pueden usarse para desarrollar diversos procedimientos de auditoría, incluyendo los siguientes:

 

ü  Pruebas de detalles de transacciones y saldos, por ejemplo, el uso de software de auditoría para recalcular los intereses o la extracción de facturas por encima de un cierto valor de los registros de computadora.

 

ü  Procedimientos analíticos, por ejemplo, identificar inconsistencias o fluctuaciones importantes.

 

ü  Pruebas de controles generales, por ejemplo, pruebas de la instalación o configuración del sistema operativo o procedimientos de acceso a las bibliotecas de programas o el uso de software de comparación de códigos para verificar que la versión del programa en uso es la versión aprobada por la administración.

 

ü  Muestreo de programas para extraer datos para pruebas de auditoría.

ü  pruebas de controles de aplicación, por ejemplo, pruebas del funcionamiento de un control programado; y Rehacer cálculos realizados por los sistemas de contabilidad de la entidad.

 

19-Evidencia:

Evidencia de Auditoría

Se llama evidencia de auditoría a » Cualquier información que utiliza el auditor para determinar si la información cuantitativa o cualitativa que se está auditando, se presenta de acuerdo al criterio establecido».

La Evidencia para que tenga valor de prueba, debe ser Suficiente, Competente y Pertinente.

 

20-Evalucion de Riesgo:

Es importante en toda organización contar con una herramienta, que garantice la correcta evaluación de los riesgos a los cuales están sometidos los procesos y actividades de una entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la misma.

21-Riesgo de Auditoria:

Riesgo en auditoría representa la posibilidad de que el auditor exprese una opinión errada en su informe  debido a que los estados financieros o la información suministrada a él estén afectados por una distorsión material o normativa.

 

22- Riesgo de Control:

El riesgo de control está relacionado con la posibilidad de que los controles internos imperantes no prevén o detecten fallas que se están dando en sus sistemas y que se pueden remediar con controles internos más efectivos.

23- Riesgo  Inherente:

 El riesgo inherente es la posibilidad de que existan errores significativos en la información auditada, al margen de la efectividad del control interno relacionado; son errores que no se pueden prever.

 

24- Riesgo de Detección:

El riesgo de detección está relacionado con el trabajo del auditor, y es que éste en la utilización de los procedimientos de auditoría, no detecte errores en la información que le suministran.

25- Riesgo Muestral:

RIESGO MUESTRAL
Riesgo que surge de la posibilidad de que las conclusiones del auditor, basadas en muestras, puedan ser diferentes de las conclusiones a que habría llegado si la población muestral completa hubiera sido sometido al mismo procedimiento de auditoría.

26-Tecnicas de Auditoria:

La técnicas son las herramientas de las que se vale el Auditor para obtener la evidencia de su examen y con la finalidad de fundamentar su opinión profesional. Mediante la:

ü  OBSERVACION.

ü  COMPARACION.

ü  REVISION.

ü  RASTREO.

 

 

 

Software para Auditoria de Sistemas

Software para Auditoria de Sistemas

ManagePC 2.5.0.18

ManagePC es un programa para hacer inventarios de todos los aspectos de las máquinas que pertenecen a un mismo dominio.

Con ManagePC puedes conocer el hardware disponible en cada uno de las máquinas, los servicios operativos, el software instalado, los procesos activos en cada momento y administrar los usuarios y los grupos habilitados en el dominio.

“Entorno para hace inventarios de redes Windows convencionales o Active Directory”

WinAudit 2.28.2

 WinAudit

es para conocer  exactamente qué programas tienes instalados en tu PC y los componentes de hardware?

WinAudit te inventariará toda la información. Se trata de un programa totalmente gratuito que analiza tu PC y en pocos segundos te muestra toda la información referente a programas instalados, sistema operativo, procesador, memoria, discos duros, etc.

Su uso e instalación no pueden ser más sencillos. Una vez descargado el programa descomprímelo, no requiere instalación, y comienza a inventariar (pulsando Recolectar). En breves instantes tendrás una impresionante lista, con todos los datos perfectamente agrupados, con todo lo que habita en tu PC….

iInventory 7.0.1.12

Inventory es una utilidad que te permitirá realizar audiciones o inventarios de los programas y el hardware instalado en una red de ordenadores.

Con Inventory puedes averiguar, para cada uno de los terminales de una misma red, las versiones y programas que tienen instalados, los respectivos números de serie y las características técnicas de cada máquina.

Inventory permite guardar los listados en una base de datos Access, en formato MS SQL o MSDE. De esta manera, es posible servir los informes a terceros sin realizar conversiones adicionales que puedan modificar su estructura original….

PCS Inventario 1.0

Crea un inventario del hardware y del software instalado.

PCS Inventario es una utilidad muy simple que analiza, detecta y te muestra una lista con el hardware del equipo y el software instalado.

Como opciones, permite hacer un inventario sólo de hardware, sólo de software o ambos a la vez.

Por último, si lo deseas, guarda los resultados en un archivo de texto….

 

Hello world!

Checklist

Un check list, o lista de verificación, es un documento que detalla uno por uno distintos aspectos que se deben analizar, comprobar, verificar, etc.

Por ejemplo, un check list de una reunión contiene la lista del conjunto de temas a tratar, llamada también, orden del día. En el caso de las auditorías de calidad, un check list contiene el conjunto de aspectos del sistema de gestión de una organización que vamos a verificar. Lo que también se puede interpretar como una planificación del desarrollo de la auditoría.

Un checklist es un listado de procedimientos para la consecución de un objetivo, en este caso, la instalación y correcto funcionamiento de la aplicación a investigar. Además, sirve para ayudar a asegurar la consistencia e integridad en el desarrollo de la tarea, de tal modo, que sea reproducible siguiendo todos los pasos que constituyen el checklist.

Es muy utilizado en el aseguramiento de la calidad en ingeniería de software, para comprobar la conformidad de procesos, estandarización de código, prevención de errores y otros.

Checklist:

El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas «normales», que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.

Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética.

El auditor deberá aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo.

Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de «filosofía» de calificación o evaluación:

Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)

1. a.    Checklist de rango
2. b.    Checklist Binaria

 

Ejemplo de Checklist de rango:

Se supone que se está realizando una auditoría sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Cálculo. Podrían formularse las preguntas que figuran a continuación, en donde las respuestas tiene los siguientes significados:

1: Muy deficiente.

2: Deficiente.

3: Mejorable.

4: Aceptable.

5: Correcto.

Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeño guión. La cumplimentación de la Checklist no debe realizarse en presencia del auditado.

-¿Existe personal específico de vigilancia externa al edificio?

-No, solamente un guarda por la noche que atiende además otra instalación adyacente.

<Puntuación: 1>

-Para la vigilancia interna del edificio, ¿Hay al menos un vigilante por turno en los aledaños del Centro de Cálculo?

-Si, pero sube a las otras 4 plantas cuando se le necesita.

<Puntuación: 2>

-¿Hay salida de emergencia además de la habilitada para la entrada y salida de máquinas?

-Si, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.

<Puntuación: 2>

-El personal de Comunicaciones, ¿Puede entrar directamente en la Sala de Computadoras?

-No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente mas que por causa muy justificada, y avisando casi siempre al Jefe de Explotación.

<Puntuación: 4>

El resultado sería el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25 Deficiente.

Es la constituida por preguntas con respuesta única y excluyente: Si o No. Aritmeticamente, equivalen a 1(uno) o 0(cero), respectivamente.

Ejemplo de Checklist Binaria:

Se supone que se está realizando una Revisión de los métodos de pruebas de programas en el ámbito de Desarrollo de Proyectos.

-¿Existe Normativa de que el usuario final compruebe los resultados finales de los programas?

<Puntuación: 1>

-¿Conoce el personal de Desarrollo la existencia de la anterior normativa?

<Puntuación: 1>

-¿Se aplica dicha norma en todos los casos?

<Puntuación: 0>

-¿Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de Bases de Datos reales?

<Puntuacion: 0>

Obsérvese como en este caso están contestadas las siguientes preguntas:

-¿Se conoce la norma anterior?

<Puntuación: 0>

-¿Se aplica en todos los casos?

<Puntuación: 0>

Las Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en la checklist binaria. Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor.

Las Checklists Binarias siguen una elaboración inicial mucho más ardua y compleja. Deben ser de gran precisión, como corresponde a la suma precisión de la respuesta. Una vez construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente genérico del <si o no> frente a la mayor riqueza del intervalo.

No existen Checklists estándar para todas y cada una de las instalaciones informáticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptación correspondientes en las preguntas a realizar.

Checklist: Método de cotejo donde se tiene una lista de cosas o recaudos por un lado y lo que se desea comparar por el otro. Luego se va verificando si cada una de los artículos de la lista se encuentra y se va tildando.

 

Por ejemplo: Para planificar abrir una empresa se puede hacer un checklist como este:

O para abrir una cuenta corriente se puede hacer otro checklist así:

Los checklist son usados tanto en la organización, como en el control de la empresa.