Controles Generales Controles sobre los diferentes aspectos del Area Informtica

Indice 1. Introduccin 2. Conceptos Bsicos 3. Herramientas de control 4. Formularios de control 5. Conclusiones y recomendaciones 6. Bibliografa 1. Introduccin En un mundo que depende cada da mas de los servicios proporcionados por las computadoras, es vital definir procedimientos en caso de una posible falla o siniestro. Cuando ocurra una contingencia, es esencial que se conozca el detalle, el motivo que la origino y el dao causado, lo que permitir recuperar en el menor tiempo posible el proceso perdido. Tambin se debe analizar el impacto futuro en el organizacin y prevenir cualquier implicacin negativa. En todas las actividades relacionadas con las ciencias de la computacin, existe un riesgo aceptable, y es necesario analizar y entender estos factores para establecer los procedimientos que permitirn analizarlos al mximo y en caso que ocurran, poder reparar el dao y reanudar la operacin lo mas rpidamente posible. En una situacin ideal, se deberan elaborar planes para manejar cualquier contingencia que se presente. Evidentemente, ante todo debe existir en la empresa una poltica abierta y decidida en materia de seguridad, impulsada por la propia direccin. En este afn es que se trata de evaluar estas situaciones mediante la aplicacin de los formularios de controles generales. 2. Conceptos Bsicos Auditoria informtica Conceptualmente la auditoria, toda y cualquier auditoria, es la actividad consistente en la emisin de una opinin profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. En un ambiente donde la informtica esta encabezando el trabajo en las diferentes oficinas e instituciones, el almacenamiento, ejecucin y procesamiento de los datos se esta haciendo va computadoras, por lo tanto en el trabajo de la auditoria tambin es algo indispensable. Aunque en el ambiente de la informtica la computadora es el medio principal para auditar pero no hay que olvidar que es a la persona junto a la informacin la cual estamos auditando y no la computadora en si, no se cambio el espirito de la auditoria tradicional, solamente se cambio el mtodo. El seleccionar la metodologa de trabajo implica estudiar varias para as determinar cul es la ms adecuada. Clases de auditoria y procedimientos El Objeto y la Finalidad distinguen el tipo o clase de auditoria de que se trata. El objeto sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que se realiza el estudio, definen el tipo de auditoria de que se trata. La opinin profesional, elemento esencial de la auditoria, se fundamenta y justifica por medio de unos procedimientos especficos tendentes a proporcionar una seguridad razonable de lo que se afirma. Como es natural, cada una de las clases o tipos de auditoria posee sus propios procedimientos para alcanzar el fin previsto aun cuando en muchos casos puedan coincidir. El alcance de la auditoria, concepto de vital importancia, nos viene dado por los procedimientos. La amplitud y profundidad de los procedimientos que se apliquen nos definen su alcance. Se pretende garantizar que se toman en consideracin todos los aspectos, reas, elementos, operaciones, circunstancias etc. que sean significativas. Para ello se establecen unas Normas y Procedimientos que en cuanto a la ejecucin de la auditoria se resumen en que: El trabajo se planificar apropiadamente y se supervisar adecuadamente. Se estudiar y evaluar el sistema de control interno. Se obtendr evidencia suficiente y adecuada Para concluir se establece que la evidencia obtenida deber recogerse en los papeles de trabajo del auditor como justificacin y soporte del trabajo efectuado y la opinin expresada.

3. Herramientas de control Definicin. Caractersticas En la tecnologa de la seguridad informtica que se ve envuelta en los controles, existe tecnologa de hardware (como los cifradores) y de software. Las herramientas de control son elementos software que por sus caractersticas funcionales permiten vertebrar un control de una manera mas actual y mas automatizada. Pero a no olvidar que la herramienta de control en si misma no es nada. Las reas de control mas comunes son: De organizacin De operacin De Seguridad lgica del sistema De Seguridad fsica del sistema De planes de contingencia De cambios a programas y/o sistemas 4. Formularios de control Formularios mas utilizados Una de las herramientas mas utilizadas por los auditores son los formularios, que sirven como gua para indagar acerca del desempeo de las reas a ser analizadas. Estos formularios se hacen de tal manera a cubrir la mayor parte de las situaciones que deban ser verificadas a fin de tener un completo panorama del status actual del departamento auditado. Estos formularios abarcan las reas como ser: Gerencia Informtica Operacin Para la Gerencia informtica se establecen a su vez otras reas como ser: Organizacin Planes de contingencia Cambios a programas y/o sistemas Para el rea Operativa se establecen a su vez otras reas como ser: Operacin Seguridad fsica Seguridad lgica Referencia: Cliente: Fecha: Ttulo: Formulario de controles generales*1 I- Controles de Organizacin 1- Existen normas y procedimientos escritos sobre el funcionamiento del CPD? 2- El CPD esta separado del resto de los departamentos? 3- Es adecuada la segregacin de funciones entre el CPD y los departamentos usuarios? 4- Existe organigrama del funcionamiento del CPD? 5- Se describen con detalles las funciones y responsabilidades del personal? 6- Es posible que los operadores accedan a programas y datos no necesarios para su trabajo? 7- Se rotan la asignaciones de trabajo de los operadores? 8- Existe personal con conocimiento y experiencia suficiente para organizar el trabajo? 9- Se aprueba por personal autorizado las solicitudes de nuevas aplicaciones? 10- Existen procedimientos adecuados para mantener la documentacin al da? 1* Preparado por: Verificado por:

SI

NO

N. A.

Referencia

11- Tienen manuales todas las aplicaciones? 12- Se aprueban los programas nuevos? 13- Se revisan antes de ponerlos en funcionamiento? Referencia: Cliente: Fecha: Ttulo: Formulario de controles generales* I- Controles de Operacin 1- Existen procedimientos normales para la operacin del Centro de Cmputos? 2- Estn actualizados los procedimientos? 3- Existen ordenes de proceso para cada corrida de la computadora? 4- Existe un control que asegure la justificacin de los procesos en el computador? 5- Como programan los operadores los trabajos dentro del departamento de cmputos? 6- Los retrasos o incumplimiento con el programa de operacin diaria, se revisa y analiza? 7- Existen procedimientos escritos para la recuperacin del sistema en caso de falla? 8- Existen instrucciones especificas para cada proceso, con las indicaciones pertinentes? 9- Puede el operador modificar los datos de entrada? 10- Se prohibe a analistas o programadores la operacin del sistema que analizo o programo? 11- Se prohibe al operador modificar informacin de archivos o bibliotecas de programas? 12- El operador realiza mantenimiento diario en dispositivos que as lo requieran? Referencia: Cliente: Fecha: Ttulo: Formulario de controles generales I- Controles de Operacin 13- Se tiene un control adecuado sobre los sistemas y programas que estn en operacin? 14- Existen procedimientos para evitar la corrida de programas no autorizados? 15- Se controla estrictamente el acceso a la documentacin de programas o de aplicaciones rutinarias? 16- Existen procedimientos formales que se deban observar antes de que sean aceptados en operacin, sistemas nuevos o modificaciones? 17- Estos procedimientos incluyen a las corridas en paralelo con los sistemas anteriores? 18- Se tiene inventario actualizado de los equipos y terminales con su localizacin?

SI

NO

N. A.

Referencia

SI

NO

N. A.

Referencia

Esta seccin fue dejada en blanco en forma intencional

* Preparado por: Verificado por:

Referencia: Cliente: Fecha: Ttulo: Formulario de controles generales* I- Controles de Seguridad Fsica 1- Existe vigilancia a la entrada del CPD? 2- Se ha instruido a estas personas en caso de que alguien pretenda ingresar sin autorizacin? 3- El edificio donde se encuentra el CPD esta a salvo de terremotos, incendios, inundacin, sabotaje? 4- El CPD tiene salida directa al exterior? 5- Son controladas las visitas en el CPD? 6- Existen alarmas detectoras de incendios? 7- Estas alarmas son perfectamente audibles? 8- Existen extintores de fuego? 9- El personal ha sido adiestrado en su uso? 10- Se verifica peridicamente el funcionamiento de los extintores? 11- Los interruptores de energa estn debidamente protegidos, etiquetados y al alcance? 12- Sabe que hacer el personal en caso de incendio? 13- Existe salida de emergencia? 14- Se prohibe fumar, comer y beber en el CPD? 15- Existen carteles indicativos? 16- El personal esta adiestrado para casos de emergencia?

SI

NO

N. A.

Referencia

Referencia: Cliente: Fecha: Ttulo: Formulario de controles generales I- Controles de Seguridad Lgica SI 1- Se cuenta con copias de los archivos en lugar distinto al de la computadora? 2- Se tienen procedimientos de actualizacin para estas copias? 3- Existe Departamento de Auditoria Interna? 4- Se auditan los sistemas en operacin? 5- Si se tienen terminales conectadas, se han establecidos procedimientos de operacin? 6- Se ha establecido que informacin puede ser accesada y por que persona? 7- Se ha establecido un numero mximo de violaciones en sucesin para que sea inhabilitada la terminal? 8- Se registra cada violacin a los procedimientos con el fin de llevar estadsticas y frenar tendencias mayores? 9- Se exige a los usuarios que cambien sus contraseas peridicamente? 10- Estas contraseas son de longitud mnima? 11- El sistema restringe a los usuarios cuyas cuentas estn inactivas por determinado tiempo? 12- Se tienen identificados los archivos con informacin confidencial y se cuentan con claves de acceso? Referencia: Cliente: * Preparado por: Verificado por:

NO

N. A.

Referencia

Fecha: Ttulo: Formulario de controles generales* I- Controles de Planes de Contingencia SI 1- Existen procedimientos de restauracin y repeticin de procesos? 2- Los operadores cuentan con documentacin acerca de estos procedimientos? 3- Existen planes de contingencia en casos de estragos (incendios, sabotajes, etc.)? 4- Se cuenta con personal alternativo en caso de que los responsables del rea no estn disponibles? 5- Se cuenta con fuentes de energa ininterrumpible UPSs? 6- Los telfonos de emergencia (polica, bomberos, etc.) estn ubicados en lugares visibles? 7- Se cuenta con los telfonos de los responsables del rea? 8- Se cuenta con los telfonos de los proveedores? 9- El personal esta entrenado para los casos de emergencia? 10- El personal sabe a quien recurrir en caso de emergencia? 11- El plan de contingencia tiene la aprobacin de los superiores? 12- Tiene revisin peridica? Referencia: Cliente: Fecha: Ttulo: Formulario de controles generales I- Controles de Cambios de Programas/Sistemas 1- La solicitud de modificaciones a los programas se hace en forma escrita? 2- Una vez efectuadas las modificaciones se presentan las pruebas a los interesados? 3- Existe control estricto en las modificaciones? 4- Las correcciones estn debidamente autorizadas? 5- Las correcciones estn debidamente documentadas? 6- Las correcciones estn debidamente probadas? 7- Cuando se efectan modificaciones a los programas a iniciativa de quien se hacen? Usuario Director de Informtica Jefe de anlisis y programacin Programador Otro

NO

N. A.

Referencia

SI

NO

N. A.

Referencia

8- Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?

* Preparado por: Verificado por:

Esta seccin fue dejada en blanco en forma intencional

5. Conclusiones y recomendaciones Evidentemente el control de las actividades relacionadas al Area de Informtica afecta sobremanera la forma de en como estas sern realizadas. Permitir una mejor utilizacin y desempeo de programas, sistemas y dems recursos, con mejores prestaciones en cuanto a fiabilidad, seguridad, conceptos tan importantes hoy en da. Sin duda los formularios que utilice el auditor sern de suma utilidad y ayuda en la tarea. Le permitir un mejor control de las reas a ser verificadas y podr enfocar mejor los objetivos de la auditoria y su alcance. 6. Bibliografa - PIATTINI, Mario G y Del PESO, Emilio. Auditoria Informtica. Un enfoque practico. RA-MA, Madrid. 1998

Trabajo preparado por: Magno Ayala Magnoder@hotmail.com Analista de Sistemas. 2001