UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

FACULTAD DE CIENCIAS CONTABLES

CURSO: SISTEMAS DE INFORMACION GERENCIAL PROFESOR: MICHUE, EFREN TEMA: AUDITORIA Y CONTROLES DE SISTEMAS DE INFORMACION CICLO: IX AULA: 308 ALUMNOS: CHUQUIHUAMANI, RAFAEL RIMARACHIN, EBER YEPEZ, PAMELA YPORRE, LOURDES

AUDITORIA DE SISTEMAS

I.

CONCEPTOS PREVIOS

Definicin de auditora: Se define como un proceso sistemtico que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carcter econmico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas. Definicin de Sistemas de Informacin Es un conjunto de elementos interrelacionados con el propsito de prestar atencin a las demandas de

informacin de una organizacin, para elevar el nivel de conocimientos que permitan un mejor apoyo a la toma de decisiones y desarrollo de acciones.

II.

AUDITORIA DE SISTEMAS

Definicin de Auditoria de Sistemas

La auditora de sistemas es una rama especializada de la auditora que promueve y aplica conceptos de auditora en el rea o ambiente de tecnologa de la informacin (TI). Su finalidad es establecer el grado de eficiencia, efectividad y economa en una de los sistemas presentar

computarizados

entidad,

conclusiones y recomendaciones orientadas a corregir las deficiencias existentes para mejorar su performance.

La auditora de sistemas tambin es la revisin y la evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que

participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones.

Adems la auditora de sistemas deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que tambin habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. La auditora de sistemas es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software).

IMPORTANCIA DE LA AUDITORIA DE SISTEMAS Es importante ya que est encargada de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que es procesada a travs de los sistemas de tecnologa de la informacin.

OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS: 1. Participacin en el desarrollo de nuevos sistemas:

evaluacin de controles cumplimiento de la metodologa.

2. Evaluacin de la seguridad en el rea informtica. 3. Evaluacin de suficiencia en los planes de contingencia.

respaldos, preveer qu va a pasar si se presentan fallas.

4. Opinin de la utilizacin de los recursos informticos.

resguardo y proteccin de activos.

5. Control de modificacin a las aplicaciones existentes.

fraudes control a las modificaciones de los programas.

6. Participacin en la negociacin de contratos con los proveedores. 7. Revisin de la utilizacin del sistema operativo y los programas

utilitarios. control sobre la utilizacin de los sistemas operativos programas utilitarios.

8. Auditora de la base de datos.

estructura sobre la cual se desarrollan las aplicaciones...

9. Auditora de la red de teleprocesos. 10. Desarrollo de software de auditora. Es el objetivo final de una auditora de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del rea de procesamiento de datos.

FINES DE LA AUDITORIA DE SISTEMAS: 1. Fundamentar la opinin del auditor interno (externo) sobre la confiabilidad de los sistemas de informacin. 2. Expresar la opinin sobre la eficiencia de las operaciones en el rea de TI.

Similitudes y diferencias con la auditora tradicional: Similitudes:

No se requieren nuevas normas de auditora, son las mismas. Los elementos bsicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregacin de funciones.

Los propsitos principales del estudio y la evaluacin del control contable interno son la obtencin de evidencia para respaldar una opinin y determinar la base, oportunidad y extensin de las pruebas futuras de auditora.

Diferencias:

Se establecen algunos nuevos procedimientos de auditora. Hay diferencias en las tcnicas destinadas a mantener un adecuado control interno contable.

Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas.

El nfasis en la evaluacin de los sistemas manuales esta en la evaluacin de transacciones, mientras que el nfasis en los sistemas informticos, est en la evaluacin del control interno.

III.

PROCEDIMIENTOS Y TECNICAS DE AUDITORIA.

Se requieren varios pasos para realizar una auditora. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditora que consta de objetivos de control y procedimientos de auditora que deben satisfacer esos objetivos. El proceso de auditora exige que el auditor de sistemas rena evidencia, evale fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditora que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditora debe garantizar una disponibilidad y asignacin adecuada de recursos para realizar el trabajo de auditora adems de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.

3.1. Planificacin de la auditora

Una planificacin adecuada es el primer paso necesario para realizar auditoras de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditora as como los riesgos del negocio y control asociado. A continuacin se menciona algunas de las reas que deben ser cubiertas durante la planificacin de la auditora:

a. Comprensin del negocio y de su ambiente. Al planificar una auditora, el auditor de sistemas debe tener una comprensin de suficiente del ambiente total que se revisa. Debe incluir una comprensin general de las diversas prcticas comerciales y funciones relacionadas con el tema de la auditora, as como los tipos de sistemas que se utilizan. El auditor de sistemas tambin debe comprender el ambiente

normativo en el que opera el negocio. Por ejemplo, a un banco se le exigir requisitos de integridad de sistemas de informacin y de control que no estn presentes en una empresa manufacturera. Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensin del negocio son: Recorrer las instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisin de planes estratgicos a largo plazo. Revisin de informes de auditoras anteriores. b. Riesgo y materialidad de auditora. Se puede definir los riesgos de auditora como aquellos riesgos de que la informacin pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditora pueden clasificarse de la siguiente manera:

Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios

relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma

oportuna por el sistema de control interno. Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado.

El auditor puede llegar a la conclusin de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditora. En una auditora de sistemas de informacin, la definicin de riesgos materiales depende del tamao o importancia del ente auditado as como de otros factores. El auditor de sistemas debe tener una cabal comprensin de estos riesgos de auditora al planificar. Una auditora tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamao de la muestra es lo suficientemente grande, o se utiliza procedimientos estadsticos adecuados se llega a minimizar la probabilidad del riesgo de deteccin. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mnimo, pero ese error combinado con otros, puede convertir en un error material para todo el sistema. La materialidad en la auditora de sistemas debe ser considerada en trminos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario. c. Tcnicas de evaluacin de Riesgos.

Al determinar que reas funcionales o temas de auditora que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditora, el auditor de sistemas debe evaluar esos riesgos y determinar cules de esas reas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluacin de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditora. Garantizar que se ha obtenido la informacin pertinente de todos los niveles gerenciales, y garantiza que las actividades de la funcin de auditora se dirigen correctamente a las reas de alto riesgo y constituyen un valor agregado para la gerencia. Constituir la base para la organizacin de la auditora a fin de administrar eficazmente el departamento. Proveer un resumen que describa como el tema individual de auditora se relaciona con la organizacin global de la empresa as como los planes del negocio.

d. Objetivos de controles y objetivos de auditora. El objetivo de un control es anular un riesgo siguiendo alguna metodologa, el objetivo de auditora es verificar la existencia de estos controles y que estn funcionando de manera eficaz, respetando las polticas de la empresa y los objetivos de la empresa. As pues tenemos por ejemplo como objetivos de auditora de sistemas los siguientes: La informacin de los sistemas de

informacin deber estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditora se consiguen mediante los procedimientos de auditora. e. Procedimientos de auditora. Algunos ejemplos de procedimientos de auditora son: - Revisin de la documentacin de sistemas e identificacin de los controles existentes. - Entrevistas con los especialistas tcnicos a fin de conocer las tcnicas y controles aplicados. - Utilizacin de software de manejo de base de datos para examinar el contenido de los archivos de datos. - Tcnicas de diagramas de flujo para documentar aplicaciones automatizadas. 3.2. Desarrollo del programa de auditora. Un programa de auditora es un conjunto documentado de procedimientos diseados para alcanzar los objetivos de auditora planificados. El esquema tpico de un programa de auditora incluye lo siguiente:

a. Tema de auditora: Donde se identifica el rea a ser auditada.

b. Objetivos de Auditora: Donde se indica el propsito del trabajo de auditora a realizar.

c. Alcances de auditora: Aqu se identifica los sistemas especficos o unidades de organizacin que se han de incluir en la revisin en un perodo de tiempo determinado.

d. Planificacin previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones donde se va auditar.

e. Procedimientos de auditora: para:

Recopilacin de datos. Identificacin de lista de personas a entrevistar. Identificacin y seleccion del enfoque del trabajo Identificacin y obtencin de polticas, normas y directivas. Desarrollo de herramientas y metodologa para probar y verificar los controles existentes.

Procedimientos para evaluar los resultados de las pruebas y revisiones.

Procedimientos de comunicacin con la gerencia. Procedimientos de seguimiento.

El programa de auditora se convierte tambin en una gua para documentar los diversos pasos de auditora y para sealar la ubicacin del material de evidencia. Generalmente tiene la siguiente estructura: Procedimientos de Lugar Auditora Referencia Por. Fecha Papeles Trabajo Hecho

Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las polticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las polticas o procedimientos son eficaces.

3.3. Asignacin de Recursos de auditora. La asignacin de recursos para el trabajo de auditora debe considerar las tcnicas de administracin de proyectos las cuales tienen los siguientes pasos bsicos:

Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el personal disponible. Contrastar la actividad actual con la actividad planificada en el proyecto : debe existir algn mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las hojas de control de tiempo. Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se determina avances o retrasos, se debe reasignar tareas. El control se puede llevar en un diagrama de Gantt

As mismo las hojas de control de tiempo son generalmente como sigue:

Los recursos deben comprender tambin las habilidades con las que cuenta el grupo de trabajo de auditora y el entrenamiento y experiencia que estos tengan. Tener en cuenta la disponibilidad del personal para la realizacin del trabajo de auditora, como los perodos de vacaciones que estos tengan, otros trabajos que estn realizando, etc. 3.4. Tcnicas de recopilacin de evidencias. La recopilacin de material de evidencia es un paso clave en el proceso de la auditora, el auditor de sistemas debe tener conocimiento de cmo puede recopilar la evidencia examinada. Algunas formas son las siguientes:

Revisin de las estructuras organizacionales de sistemas de informacin.

Revisin de documentos que inician el desarrollo del sistema, especificaciones de diseo funcional, historia de cambios a programas, manuales de usuario, especificaciones de bases de datos, arquitectura

de archivos de datos, listados de programas, etc.; estos no necesariamente se encontrarn en documentos, si no en medios magnticos para lo cual el auditor deber conocer las formas de recopilarlos mediante el uso del computador.

Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria.

Observacin de operaciones y actuacin de empleados, esta es una tcnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditora.

Auto documentacin, es decir el auditor puede preparar narrativas en base a su observacin, flujogramas, cuestionarios de entrevistas realizados. Aplicacin de tcnicas de muestreo para saber cundo aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras.

Utilizacin de tcnicas de auditora asistida por computador CAAT, consiste en el uso de software genrico, especializado o utilitario.

3.5. Evaluacin de fortalezas y debilidades de auditora. Luego de desarrollar el programa de auditora y recopilar evidencia de auditora, el siguiente paso es evaluar la informacin recopilada con la finalidad de desarrollar una opinin. Para esto generalmente se utiliza una

matriz de control con la que se evaluar el nivel de los controles identificados, esta matriz tiene sobre el eje vertical los tipos de errores que pueden presentarse en el rea y un eje horizontal los controles conocidos para detectar o corregir los errores, luego se establece un puntaje (puede ser de 1 a 10 0 a 20, la idea es que cuantifique calidad) para cada correspondencia, una vez completada, la matriz muestra las reas en que los controles no existen o son dbiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el control. Por ejemplo:

En esta parte de evaluacin de debilidades y fortalezas tambin se debe elegir o determinar la materialidad de las observaciones o hallazgos de auditora. El auditor de sistemas debe juzgar cuales observaciones son materiales a diversos niveles de la gerencia y se debe informar de acuerdo a ello.

3.6. Informe de auditora.

Los informes de auditora son el producto final del trabajo del auditor de sistemas, este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aqu tambin se expone la opinin sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditora, no existe un formato especfico para exponer un informe de auditora de sistemas de informacin, pero generalmente tiene la siguiente estructura o contenido:

Introduccin al informe, donde se expresara los objetivos de la auditora, el perodo o alcance cubierto por la misma, y una expresin general sobre la naturaleza o extensin de los procedimientos de auditora realizados.

Observaciones detalladas y recomendaciones de auditora. Respuestas de la gerencia a las observaciones con respecto a las acciones correctivas.

Conclusin global del auditor expresando una opinin sobre los controles y procedimientos revisados.

3.7. Seguimiento de las observaciones de auditora. El trabajo de auditora es un proceso continuo, se debe entender que no servira de nada el trabajo de auditora si no se comprueba que las acciones correctivas tomadas por la gerencia, se estn realizando, para esto se debe tener un programa de seguimiento, la oportunidad de seguimiento depender del carcter crtico de las observaciones de auditora. El nivel de revisin de seguimiento del auditor de sistemas depender de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situacin actual, en otros casos tendr que hacer una revisin ms tcnica del sistema.

II.- CONTROL INTERNO DE LAS TI

Las organizaciones utilizan herramientas para poder controlar las acciones que se realizan en el sistema de informacin que se utiliza dentro la organizacin. Estos controles tienen que ser preventivos, detectivos, correctivos y proactivos para que sea efectiva la consecucin del objetivo de este.

Q u evalua el control interno en los sistemas de informacion? El control interno es utilizado en las organizaciones con el fin de ver como controlar y evaluar o manejar el riesgo que causan factores vinculados con las tecnologas utilizadas y los sistemas informaticos (siendo mas especificos) como:

Tipos de Controles Internos a. CONTROLES GENERALES O DE INTEGRIDAD Son procedimientos diseados para asegurar computacionales funcionan adecuadamente.

que

los

programas

Que las modificaciones a programas y datos son debidamente autorizados, y que su administracin contribuye a lograr los objetivos y la misin de la empresa. Objetivos de los Controles Generales o de Integridad

Preservar los atributos de la informacin Brindar apoyo competitivo Mantener la continuidad y consistencia Apoyar la eficiencia operativa Mantener una cultura informtica adecuada Apoyar la proteccin del Patrimonio Emplear los recursos TI adecuadamente

Dentro de este tipo encontramos el CPD (______), cuyo objetivo es apoyar a todas las dems funciones de la empresa u organizacin, para que logren los objetivos fijados por la Gerencia, usando la Tecnologa Informtica. La organizacion puede ser formal e informal. Funciones o Actividades del C.P.D.

Desarrollo Mantencin Control de Calidad Operaciones Explotacin Ingreso de Datos

a.1. Control de Organizacin Los Controles de Organizacin se refieren a la segregacin de funciones y a la responsabilidad por el control. Estn diseados para asegurar que la organizacin del C.P.D., su Hardware, su Software y sus Recursos Humanos estn al servicio de la empresa y tienen la debida proteccin. 1. Segregacin Se debe mantener la separacin de los usuarios que autorizan una transaccin, de aquellos que la ejecutan y/o la registran; de los que crean programas computaciones (aplicaciones) de aquellos que operan dichos sistemas, como de los que ejecutan los mismos. Se trata entonces de evitar la concentracin de funciones en una sola persona, disminuyendo el riesgo que ello significa. En los sistemas manuales, el control por segregacin consiste en separar las cuatros funciones primarias a saber: Autorizacin Ejecucin Registro Mantenimiento Los Sistemas Computacionales ejecutan las funciones de autorizacin, ejecucin y registro simultneamente, lo que incide en buscar alternativas de control que permitan compensar la ausencia de la segregacin de funciones.

2. Responsabilidad del Control Cada usuario debe tener muy claro de la autoridad que le ha sido delegada y la responsabilidad que esto conlleva. Esto significa que la responsabilidad de un usuario, de un Jefe de Proyecto, de un Analista, de un Programador y/o de un Oficial de Seguridad, debe estar muy claras, para evitar errores, irregularidades y cualquier atentado contra la empresa.

No olvidarse que la responsabilidad no se delega.

3 Hardware Se debe tener control sobre los siguientes aspectos del Hardware: Acceso Fsico: Debe existir proteccin al acceso a la sala donde funciona el equipo computacional y sus perifricos. Esto es vlido para el hardware en poder de los usuarios.

Registro de Mantenimiento: El Hardware cada vez es ms confiable, pero debe tener un mantenimiento preventivo que debe realizarse con cierta frecuencia. Para ello es conveniente llevar una bitcora de mantenimiento, donde se registre cada reparacin o accin preventiva, pudiendo con ello determinar frecuencia de errores y correccin de la prevencin.

Medio Ambiente: A pesar que el hardware est ms protegido, no debe descuidarse el polvo del medio ambiente, los niveles de humedad y las fluctuaciones en la temperatura ambiental.

Proteccin de Energa: La fuente de energa debe estar protegida a las variaciones y a los cortes accidentales con estabilizadores y UPS.

Las variaciones sobre el 10% del voltaje por ejemplo, puede causar errores de procesamiento e inclusive daar la CPU, la Memoria y/o los circuitos integrados.

a.2. Implementacin Estn diseados para asegurar que los procedimientos programados son:

Una respuesta a una idea o una solucin a un problema, de acuerdo a procedimientos preestablecidos. Adecuados a los requerimientos de la empresa y de los usuarios. Se construyen con una metodologa adecuada y son debidamente documentados. Adecuadamente implementados. Autorizadas las modificaciones a programas en operaciones, cumplindose los objetivos precitados. Se clasifican en:

Necesidad del Sistema

Procedimiento de inicio de un sistema Estudio de Factibilidad Informe Comit de Informtica

Desarrollo del Sistema (Metodologa)

Anlisis y Diseo Construccin (prueba de programas) Implementacin (Catalogacin y prueba paralela).

Mantencin del Sistema

Procedimiento de Modificacin de un Sistema Procedimiento de Emergencia (fuera de horario)

a.3. Seguridad de Programas y Datos

Estn diseados para asegurar que: o Cambios no autorizados puedan ser hechos a programas en explotacin ni a sus datos. o Exista un procedimiento para autorizar las modificaciones a los programas.

Programas y datos en lnea, deben estar pro- tegidos contra modificaciones no autorizadas. Programas y datos fuera de lnea, deben adems estar custodiados fsicamente.

a.4. Operacin del Computador Estn diseados para asegurar que:

Los sistemas funcionan continuamente en forma consistente. Las operaciones se realizan de acuerdo a lo planeado. Los datos utilizados son los apropiados. La continuidad de las operaciones est asegurada. (Recuperacin y Respaldos) Custodia fsica de programas y datos

Planificacin y Preparacin de los trabajos

Los programas y datos a utilizar, deben estar definidos por los usuarios (Planificacin) Operaciones debe poner a disposicin de los usuarios los programas y los datos de acuerdo a lo planificado. Deben existir procedimientos para evitar el uso de archivos y tablas no adecuadas.

Programas de Operacin del computador Uso de los lenguajes de control de tareas para automatizar la operacin del computador y disminuir los errores en los procesos.

Procedimientos de Recuperacin y Respaldos

Facilidades para recomenzar un proceso en el punto de interrupcin. Sistemas de Respaldos (Backup) de acuerdo a la dependencia de la T.I. Plan de Contingencias y Recuperacin de Desastres.

a.5. Seguridad de Comunicaciones Estn diseados para asegurar que: El acceso a los sistemas se hace por personas autorizadas. Confidencialidad Autenticidad Integridad No repudio o rechazo Cualquier acceso no autorizado es detectado, como las modificaciones no autorizadas. Una forma de asegurar las comunicaciones es a travs de la CRIPTOLOGIA.

El Mtodo de la Criptologia

Los elementos que forman parte de la criptologia son, algoritmo, llave y los objetivos. El primero especifica la transformacin matemtica que se realiza al mensaje o datos, tanto para encriptarlos como desencriptarlos; el segundo es un valor secreto, que permite encriptar un mensaje de manera distinta. Y por ltimo los objetivos que se busca llegar son la confidencialidad, integridad, autentificacin y no repudio.

 Funcionamiento Sistema Criptogrfico Canal

E n c r i p t a c i n S i m t r i c a

Consideraciones a tener presente:

o

Alicia y Beto debe convenir en un algoritmo a usar en sus comunicaciones. Alicia y Beto deben compartir en forma segura la llave:
Usando un medio de transporte fsico privado Usando algun otro medio seguro

Ventajas de este mtodo:

o o

Es relativamente simple Desde el punto de vista tcnico es eficiente.

Ejemplo de Algoritmos: o DES (Data Encryption Standard) Tamao de llave: 40 y 56 bits o Triple DES Tamao de llave: 112 a 168 bits Mayor seguridad que DES o Blowfish Tamao de llaves de 32 a 448 bits Requiere pocos recursos Muy rpido o IDEA (International Data Encription Algorithm) Tamao de llaves: 128 bits Requiere mucho procesamiento o RC5 Tamao de llave: hasta 255 caracteres Requiere pocos recursos, pero es lento. Configuracin flexible por parmetros o CAST-128 Tamao llave: entre 5 y 15 caracteres Algoritmo extensamente revisado por criptoanalistas

RC2

Tamao llave de 8 a 1024 bits Usado en microprocesadores de 16 bits

Encriptacin Asimtrica Son algoritmos que utilizan llaves diferentes (relacionadas entre si), para realizar la encriptacin y desencriptacin. Esta metodologa se usa normalmente para la firma digital, como tambin para el intercambio de llave simtrica. Estas llaves se les conoce como:
o o

Llave Pblica Llave Privada

Caractersticas del Sistema Mensaje encriptado con la llave pblica, la llave privada lo desencripta y viceversa. o La seguridad se basa en la imposibilidad de calcular una llave, a partir de la otra. o Tambin se basa la seguridad, en mantener la llave privada como secreta (personal), y de mantener la relacin con la llave pblica en forma confiable. Propiedad de las llaves:
o

Los pares de llaves son identificados o asociados con personas o con entidades. La propiedad de las llaves pblicas, es publicada y conocida por todos aquellos que les incumbe el mensaje. La llave privada es secreta y debe quedar bajo la responsabilidad del dueo o responsable del mensaje.

a.6. Sistema Operativo

Control de Administracin de la Seguridad Establecer Objetivos de Seguridad Evaluar los riesgos de Seguridad Oficial de Seguridad Perfil de Usuario

Control de Identificacin Control de Autenticidad Control de Acceso de Terminales y/o Externo Monitoreo Sistema Seguridad

Registro de las Operaciones (LOG) Programas Ad-Hoc de Seguridad Activa

b. CONTROLES DE APLICACIN Son procedimientos diseados para asegurar que las transacciones son manejadas de acuerdo con los objetivos especficos de control; que la informacin conserva todos sus atributos y caractersticas, y que los sistemas cumplen los objetivos para los cuales fueron creados.

b.1 Cobertura de los Controles de Aplicacin La estructura de control adoptada para cada aplicacin, debe tomar en cuenta la secuencia completa del procesamiento (manual y computacional), desde que ocurre el hecho econmico, hasta que el informe se encuentra en manos del administrador o usuario autorizado. b.2 reas que deben ser protegidas con los Controles de Aplicacin

Medio ambiente del SIA Identificacin de Eventos Entrada, Mantencin y Actualizacin de los Datos. Comunicacin de los Datos Procesamiento de los Datos Salida y distribucin de la Informacin Acceso al SIA Continuidad del SIA

b.3 Objetivos de los Controles de Aplicacin Mantener las condiciones de confidencialidad, integridad y disponibilidad de la informacin que se procese, almacene y/o genere. Esto significa:

Totalidad Exactitud Autorizacin Mantencin

Actualizacin

b.4 Acceso Los paquetes y/o las aplicaciones deben tener control de acceso, similares a los usados por los sistemas operativos. Debe poder definirse el perfil de cada usuario, en base a la labor que realizar con el sistema:

Ingreso de Datos Actualizacin de Datos Modificacin de Datos Generacin de Informes

La administracin de la Seguridad de Acceso al sistema, le corresponde al Jefe de Aplicacin. Es deseable que el paquete o la aplicacin tengan utilidades de auditora, para dejar rastros de aquellas transacciones que son riesgosas, tales como eliminacin de datos, modificacin de datos u otras similares. El acceso a esta utilidad debe estar restringido a Auditora Interna.

b.5 Entrada La entrada de los datos es una funcin riesgosa. Puede ocurrir, entre otras acciones, lo siguiente:

Ingreso equivocado de datos. (perodos distintos, sistemas distintos, otros) Mala preparacin de la entrada, asignando errneamente los cdigos. (Cuentas Contables, AFP, ISAPRES, UF, Etc.) Duplicar el ingreso de los datos. Datos que no son actualizados

Ingreso de datos no autorizados. Realizacin de transacciones no autorizadas.

b.6 Procesamiento El procesamiento es la transformacin, agrupacin, ordenamiento, validaciones, clculos, comparaciones, actualizacin de archivos de datos, otras. En el procesamiento de la informacin pueden ocurrir errores tales como:

Clculo incorrecto o mal hecho. Procesamiento lgico incorrecto. (Depreciar y despus corregir monetariamente) Uso de un archivo de datos equivocado. Uso de programas de versiones anteriores o no actualizados.

b.7 Salida La salida de los Sistemas de Informacin, puede realizarse en papel, microfichas, u otros soportes, y es la parte ms sensible de la seguridad. Los informes deben ser entregados a los usuarios autorizados, debiendo asegurarse que es el informe correcto que se recibe.

 Tcticas de Control ms utilizadas

T O T A LI D A D Totalidad de los Datos Ingresados y Actualizados: Buscan asegurar que las transacciones son registradas cuando se originan, ingresadas y aceptadas por el sistema. (Sin omisiones y ni duplicaciones)

Comprobacin o verificacin de la secuencia de documentos numerados en serie.

Pareo con datos procesados previamente

Concordancia de totales de lote

Verificacin uno a uno de los listados

EXACTITUD Tienen relacin con los campos relevantes de los registros que generan la informacin.

Aseguran que el registro inicial es correcto y exacto, que toda la informacin es aceptada por el computador, tanto en el proceso de ingreso, como en la actualizacin.

Uso de las tcnicas de control de totalidad

Pareo con datos procesados previamente

Concordancia de totales de lote Verificacin uno a uno de los listados

Control Programado de Validacin

 Controles de Razonabilidad: verifican si el contenido de un campo ingresado corresponde a un rango determinado.

Controles de Dependencia: verifican si el contenido de dos o ms campos ingresados tienen una relacin lgica correcta. (fechas, indicadores) Controles de Existencia: verifican que el ingreso de un campo, concuerda con cdigos vlidos pre- existentes. Controles de Formato: verifican que los datos requeridos por un campo estn presentes. Verificacin del Dgito de Control: verifica la correspondencia de un campo numrico con un nmero obtenido con un algoritmo especfico.

Ingreso pre-registrado Ingreso de datos pre impresos, mediante perifricos lectores.

o o o o

Mecnicos pticos Magnticos Electrnicos