[8.

1 CONCEPTOS DE ADMON CENTROS

AUDITORIA] COMPUTO

8.1 CONCEPTOS DE AUDITORIA

A finales del siglo XX, los Sistemas

Informáticos se han constituido en las
herramientas más poderosas para materializar
uno de los conceptos más vitales y necesarios
para cualquier organización empresarial, los
Sistemas de Información de la empresa.

La Informática hoy, está subsumida en la

gestión integral de la empresa, y por eso las
normas y estándares propiamente informáticos
deben estar, por lo tanto, sometidos a los
generales de la misma. En consecuencia, las
organizaciones informáticas forman parte de lo
que se ha denominado el “management” o
gestión de la empresa. Cabe aclarar que la
Informática no gestiona propiamente la
empresa, ayuda a la toma de decisiones, pero
no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una
empresa, existe la Auditoría Informática.

El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha

considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A
causa de esto, se ha tomado la frase “Tiene Auditoría” como sinónimo de que, en dicha
entidad, antes de realizarse la auditoría, ya se habían detectado fallas.

El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza
con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una
entidad, etc.
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor,
que se refiere a todo aquel que tiene la virtud de oír.

Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas
colegiado. En un principio esta definición carece de la explicación del objetivo
fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.

Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de contadores

nos dice: “ La auditoría no es una actividad meramente mecánica que implique la
aplicación de ciertos procedimientos cuyos resultados, una vez llevado a cabo son de
carácter indudable.”

De todo esto sacamos como deducción que la auditoría es un examen crítico pero no
mecánico, que no implica la preexistencia de fallas en la entidad auditada y que
persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un
organismo.

1
 [8.1 CONCEPTOS DE ADMON CENTROS
AUDITORIA] COMPUTO

Los principales objetivos que constituyen a la auditoría Informática son el control de la

función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta,
la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la
revisión de la eficaz gestión de los recursos materiales y humanos informáticos.

El auditor informático ha de velar por la correcta utilización de los amplios recursos que
la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información.
Claro está, que para la realización de una auditoría informática eficaz, se debe entender a
la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital
son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la
informática para gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener
beneficios económicos y de costes.

Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de
Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control
correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta
herramienta se puede deducir de varios aspectos. He aquí algunos:

• Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos

apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En
este caso interviene la Auditoría Informática de Seguridad.
• Las computadoras creadas para procesar y difundir resultados o información
elaborada pueden producir resultados o información errónea si dichos datos son, a su
vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que
terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus
Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y
afecte a Aplicaciones independientes. En este caso interviene la Auditoría Informática
de Datos.
• Un Sistema Informático mal diseñado puede convertirse en una herramienta harto
peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes
recibidas y la modelización de la empresa está determinada por las computadoras que
materializan los Sistemas de Información, la gestión y la organización de la empresa
no puede depender de un Software y Hardware mal diseñados.

Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema
Informático, por eso, la necesidad de la Auditoría de Sistemas.

Auditoría:

La auditoría nace como un órgano de control de algunas instituciones estatales y

privadas. Su función inicial es estrictamente económico-financiero, y los casos inmediatos
se encuentran en las peritaciones judiciales y las contrataciones de contables expertos
por parte de Bancos Oficiales.

La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo,

ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones
pertinentes. La auditoría contiene elementos de análisis, de verificación y de exposición
de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción
para eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en
el Informe final reciben el nombre de Recomendaciones.

2
 [8.1 CONCEPTOS DE ADMON CENTROS
AUDITORIA] COMPUTO

Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con
la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus
tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en
ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran
complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen
disponer para realizar su tarea.

Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de
cuestionario. Dichos cuestionarios, llamados Check List, son guardados celosamente por
las empresas auditoras, ya que son activos importantes de su actividad. Las Check List
tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y
mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la
empresa auditora. La Check List puede llegar a explicar cómo ocurren los hechos pero no
por qué ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al método.
Sólo una metodología precisa puede desentrañar las causas por las cuales se realizan
actividades teóricamente inadecuadas o se omiten otras correctas.

El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones
incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.

En Informatica, tenemos distitas areas de auditoria y algunas empresas que se dedican a

ello las aplican en menor o mayor grado. Por ejemplo, la mas solicitada es sobre Auditoria
de Seguridad; veamos algunos conceptos que esto comprende.

¿Qué comprende la Auditoria de Seguridad de la información?

El término de Auditoria es empleado incorrectamente con frecuencia ya que se considera

como una evaluación cuyo único fin es detectar errores y señalar fallas. El concepto de
auditoria es mucho más amplio. Es un análisis crítico que se realiza con el fin de evaluar y
mejorar la eficacia y eficiencia de un proceso, de un departamento, un organismo, una
entidad, etc. Con el fin de proporcionar la información que la empresa necesita para
alcanzar sus objetivos, los recursos de IT deben ser administrados por un conjunto de
procesos de IT agrupados de forma tal de obtener un modelo de referencia a
implementar.

El marco o Modelo de Referencia adoptado para realizar los distintos tipos de auditorias
están basados en los modelos y normas internacionales universalmente reconocidos:
COBIT, ITIL, ISO, NFPA, IEEE, TIA.

Como el campo de acción de la Auditoria informática es muy amplio, efectuamos distintos

tipos de auditorias con el fin de cubrirlo en su totalidad puntualizando y profundizando
cada área, departamento, organización o proceso bajo estudio, adoptando el modelo de
referencia o las normas que correspondan a cada caso en estudio.

1. Auditoria de Seguridad Informática ISO 17799

1.1 - Auditoria de Seguridad Global

3
 [8.1 CONCEPTOS DE ADMON CENTROS
AUDITORIA] COMPUTO

1.2 - Auditoria de Seguridad del Centro de Computos

1.3 - Auditoria de Seguridad de los Sistemas Operativos
1.4 - Auditoria de Impacto de los Riesgos de la Seguridad Informática
1.5 - Test de Penetración e Intrusión (Ethical Hacking)

2. Auditoria de Aplicaciones
3. Auditoria de Desarrollo de Software
4. Auditoria Forense
5. Auditoria de Control Interno y Monitoreo
6. Auditoria de Adquisición e Implementación
7. Auditoria de Comunicaciones

1- Auditoria de Seguridad Informática ISO 17799

Cuando hablamos de seguridad la mayoría de las personas automáticamente asocian

este termino frente a ataques externos a la empresa. Se limitan a investigar la seguridad
en la periferia de la empresa, que tan vulnerable es la misma frente a ataques externos,
ya sea por virus, hacking, phishing, etc.

El termino de Seguridad Informática es mas amplio y abarcativo, y así lo entienden las

organizaciones internacionales de las cuales somos miembros, la seguridad interna es
tanto o mas importante que la externa. No nos limitamos a asegurar el exterior sino que
analizamos y auditamos la seguridad interna y externa.

Se estima que el 70% de los ataques que sufren las empresas provienen desde el interior
de la misma.

La Seguridad de la Información basada en la norma ISO 17799, la podemos definir como

la preservación de las siguientes características:

a) confidencialidad: se garantiza que la información sea accesible sólo a aquellas

personas autorizadas a tener acceso a ella.
b) integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de
procesamiento.
c) disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la
información y a los recursos relacionados con ella toda vez que se requiera.

La seguridad informática abarca los conceptos de seguridad física y seguridad lógica. La

seguridad física se refiere a la protección del Hardware y de los soportes de datos, así
como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de
incendios, sabotajes, robos, catástrofes naturales, etc.

La seguridad lógica se refiere a la seguridad de los activos digitales, uso del software,
protección de los datos, procesos, así como a los procedimientos, normas de orden y
autorización de acceso de los usuarios a la información, etc.

4
 [8.1 CONCEPTOS DE ADMON CENTROS
AUDITORIA] COMPUTO

Se elaboran "matrices de riesgo", en donde se consideran los factores críticos de éxito,

las "Amenazas" a las que está sometida y los "Impactos" que aquellas puedan causar
cuando se presentan.

La auditoria de Seguridad Informática podemos dividirla en:

1.1 - Auditoria de Seguridad Global , basados en las normas ISO 17799 – BS7799 –
ISO 27001
1.2 - Auditoria de Seguridad del Centro de Cómputos (Data Centers)basados en las
normas NFPA75, TIA 942.
1.3 - Auditoria de Seguridad de Sistemas Operativos y Componentes de Red.
(Vulnerability Assesment.)
1.4 - Auditoria de Impacto de los Riesgos de la Seguridad Informática.
1.5 - Test de Penetración e Intrusión. (Ethical Hacking).

1.1 - Auditoria Informática de Seguridad Global , basados en las normas ISO 17799 –
BS7799 – ISO 27001

La decisión de realizar una Auditoria Informática de Seguridad Global en una empresa, se

fundamenta en el estudio cuidadoso de los riesgos potenciales a los que está sometida.
Es esencial para una organización identificar sus requerimientos en materia de seguridad.
Existen tres recursos principales para lograrlo.

El primer recurso consiste en evaluar los riesgos que enfrenta la organización. Mediante
la evaluación de riesgos se identifican las amenazas a los activos, se evalúan las
vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial.

El segundo recurso está constituido por los requisitos legales, normativos, reglamentarios
y contractuales que deben cumplir la organización, sus socios comerciales, los
contratistas y los prestadores de servicios.

El tercer recurso es el conjunto específico de principios, objetivos y requisitos para el

procesamiento de la información, que ha desarrollado la organización para respaldar sus
operaciones.

Con origen en la norma británica BS7799, la ISO 17799 es la especificación técnica de

nivel internacional en materia de Seguridad de la Información. Establece la base común
para desarrollar normas de seguridad dentro de las organizaciones. Define diez dominios
de control que cubren por completo la Gestión de la Seguridad de la Información.

Cuando se ejecuta esta auditoria los trabajos se basan en los dominios y objetivos que
dictamina dicha norma.

1.2 - Auditoria Seguridad de Centro de Cómputos (Data Centers) basados en las

normas NFPA75, TIA 942.

5
 [8.1 CONCEPTOS DE ADMON CENTROS
AUDITORIA] COMPUTO

La auditoria de Seguridad de Centro de Cómputos (Data Centers) está basada en las

normas NFPA75 y TIA 942. El propósito del estándar TIA 942 es proveer los
requerimientos y las guías para el diseño e instalación de Centros de Cómputo (Data
Centers). Se auditará la planificación de la ubicación, sistemas de cableado y diseño de la
red, topología del piso para lograr el balance apropiado entre seguridad, densidad de
racks, etc.

TIA-942 permite que el diseño del Data Center sea considerado desde el proceso de
desarrollo del edificio, contribuyendo a consideraciones arquitectónicas sobre distintos
esfuerzos en el área de diseño, promoviendo así la cooperación entre las fases de su
construcción.

El estándar NFPA 75 fue elaborado por la National Fire Protection Associaton y establece
los requisitos para la construcción con computadoras necesitando protección contra
incendios y edificación, habitaciones, áreas, o ambientes operacionales especiales. La
aplicación esta basada en consideraciones de riesgo tal como los aspectos de
interrupción de negocio de la función o amenazas de fuego a la instalación.

1.3 - Auditoria de Seguridad de Sistemas Operativos y Componentes de Red.

(Vulnerability Assesment.)

Se analizarán y cuantificarán las vulnerabilidades encontradas en los sistemas operativos

y componentes de red. Se estudiarán las políticas de seguridad implementadas, los
responsables designados para el mantenimiento de los mismos. Se evaluará si los
sistemas están actualizados con las últimas versiones del fabricante, indagando las
causas de las omisiones si las hubiera. El análisis de las versiones de los Sistemas
Operativos permite descubrir las posibles incompatibilidades entre otros productos de
Software Básico adquiridos por la instalación y determinadas versiones de aquellas. Se
revisarán los parámetros variables de las Librerías más importantes de los Sistemas, por
si difieren de los valores habituales aconsejados por el desarrollador.

1.4 - Auditoria del Impacto de los Riesgos de la Seguridad Informática.

Los requerimientos de seguridad se identifican mediante una evaluación metódica de los

riesgos de seguridad. La evaluación de riesgos es una consideración sistemática de los
siguientes puntos:

a) impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las
potenciales consecuencias por una pérdida de la confidencialidad, integridad o
disponibilidad de la información y otros recursos;
b) probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y
vulnerabilidades predominantes, y los controles actualmente implementados.

Los resultados de esta evaluación ayudarán a orientar y a determinar las prioridades y

acciones de gestión adecuadas para la administración de los riesgos concernientes de la
seguridad de la información, y para la implementación de los controles seleccionados a fin
de brindar protección contra dichos riesgos.

6
 [8.1 CONCEPTOS DE ADMON CENTROS
AUDITORIA] COMPUTO

Puede resultar necesario que el proceso de evaluación de riesgos y selección de

controles deba llevarse acabo en varias ocasiones, a fin de cubrir diferentes partes de la
organización o sistemas de información individuales.

Es importante llevar a cabo revisiones periódicas de los riesgos de seguridad y de los

controles implementados a fin de:

a) reflejar los cambios en los requerimientos y prioridades de la empresa;

b) considerar nuevas amenazas y vulnerabilidades;
c) corroborar que los controles siguen siendo eficaces y apropiados.

Las revisiones deben llevarse a cabo con diferentes niveles de profundidad según los
resultados de evaluaciones anteriores y los niveles variables de riesgo que la gerencia
está dispuesta a aceptar. Frecuentemente, las evaluaciones de riesgos se realizan
primero en un nivel alto, a fin de priorizar recursos en áreas de alto riesgo, y
posteriormente en un nivel más detallado, con el objeto de abordar riesgos específicos.

1.5- Test de Penetración e Intrusión. (Ethical Hacking).

El Test de Penetración es un método de auditoria mediante el cual se evalúa la seguridad

de los sistemas de protección perimetral de una empresa así como los diferentes
sistemas que están accesibles desde Internet (routers exteriores, firewall, servidores web,
de correo, de noticias, etc), intentando penetrar en ellos y de esta forma alcanzar zonas
de la red de una empresa como puede ser la red interna o la DMZ.
Las metodologías en las que basamos nuestros trabajos son OpenSource OSSTMM e
ISSAF.

Los aspectos relevados son:

• Estudio de la Red: Análisis de la red del cliente con el objetivo de obtener un

mapa detallado de la misma.
• Escaneo de puertos e identificación de servicios: Análisis de las posibles vías
de entrada a las máquinas contratadas identificando las características y servicios
de las mismas. Se realiza un escaneo automático y manual (selectivo) de puertos
sobre cada una de las IPs contratadas por el cliente.
• Test automático de vulnerabilidades: Utilizando tanto herramientas propias
como externas se determinan los deficiencias de seguridad que existen en los
sistemas analizados.
• Password cracking: Se intentan obtener cuentas de usuarios (login y password)
del sistema analizado a través de herramientas automáticas utilizadas por los
hackers. Se utilizan passwords por defecto del sistema, ataques por fuerza bruta,
diccionarios de passwords, etc.
• Documentación Alcanzada: Recopilación de la mayor cantidad de información
susceptible de ser utilizada para quebrar cualquiera de las protecciones de las que
pudiera disponer la empresa. Utilizando toda la información que se encuentre
accesible desde Internet: web corporativa y de los empleados, grupos de noticias,
bases de datos de búsqueda de trabajo, etc.

7
 [8.1 CONCEPTOS DE ADMON CENTROS
AUDITORIA] COMPUTO

• Test de los sistemas de confianza: El objetivo es encontrar vulnerabilidades en

los sistemas analizando las relaciones de confianza o dependencias que existen
entre ellos.
• Test de las medidas de contención: Comprueba la existencia de herramientas
de contención y el nivel de defensa que ofrecen frente a la llegada de código
malicioso (troyanos, ActiveX o applets dañinos, etc.).
• Test del sistema de detección de intrusos (IDS): Análisis de los IDS con la
finalidad de estudiar su reacción al recibir múltiples y variados ataques. Análisis de
los logs del IDS.

2- Auditoria de Aplicaciones

La Auditoria de Aplicaciones se basa en la observación y el análisis de cuatro grandes

áreas:

a. Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se

asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el
fácil mantenimiento de las mismas.
b. Control Interno de las Aplicaciones: se revisan las fases que presuntamente han
debido seguir en el área correspondiente de Desarrollo:

o Estudio de Viabilidad de la Aplicación.

o Definición Lógica de la Aplicación. Se analizará que se han observado los
postulados lógicos de actuación, en función de la metodología elegida y la
finalidad que persigue el proyecto.
o Desarrollo Técnico de la Aplicación. Se verificará que éste sea ordenado y
correcto. Cuales fueron las herramientas y técnicas utilizadas en desarrollo
de la aplicación.
o Diseño del Sistema
o Métodos de Pruebas (Testing). Se evaluara si existe un documento de
testing y como fueron ejecutadas de acuerdo a las Normas adoptas.
o Documentación.
o Equipo de Programación.

c. Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien

desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario
que la solicitó.
d. Control de Procesos y Ejecuciones de Programas Críticos: Separación de
ambientes. Se ha de comprobar la correspondencia biunívoca y exclusiva entre el
programa codificado y su compilación. Si los programas fuente y los programa
módulo no coincidieran pueden provocar, altos costos de mantenimiento, fraudes,
acciones de sabotaje, espionaje industrial-informativo, etc. Se analizara si existe
separación de ambientes, personal responsables de los mismos, etc.

3- Auditoria de Desarrollo de Software

Sintéticamente el desarrollo de software comprende las siguientes áreas:

• Análisis y Gestión de Requerimientos

8
 [8.1 CONCEPTOS DE ADMON CENTROS
AUDITORIA] COMPUTO

• Documentación
• Análisis y Diseño
• Implementación
• Validación y Verificación (Testing)
• Control de la Configuración
• Proceso de Desarrollo de Software en general

Estas áreas deben estar sometidas a un exigente control interno, porque en caso
contrario, además del aumento de los costos, se puede producir la insatisfacción del
usuario.

4- Auditoria Forense

La auditoria forense es una metodología de estudio apta para el análisis a posteriori de

incidentes, mediante la cual se trata de reconstruir cómo se ha penetrado en el sistema, a
la par que se valoran los daños ocasionados y se determinan los controles a implementar.

5- Auditoria de Control Interno y Monitoreo

Todos los procesos necesitan ser evaluados regularmente a través del tiempo para
verificar su calidad y suficiencia en cuanto a los requerimientos de control. Este dominio
también advierte a la Administración sobre la necesidad de asegurar procesos de control
independientes, los cuales son provistos por auditorías internas y externas u obtenidas de
fuentes alternativas.

6- Auditoria de Adquisición e Implementación

Las soluciones de IT deben ser identificadas, desarrolladas o adquiridas, así como

implementadas e integradas dentro del proceso del negocio. Además, este dominio cubre
los cambios y el mantenimiento realizados a sistemas existentes, para asegurar que el
ciclo de vida sea continuo para esos sistemas. Esta auditoria hace hincapié en el análisis
del desarrollo de las etapas mencionadas anteriormente, al grado de cumplimiento y a la
segregación de funciones que debe existir en la empresa para el aseguramiento del éxito
en la misma.

7- Auditoria de Comunicaciones

El objetivo de esta auditoria es evaluar los sistemas de comunicaciones de la compañía

analizando los índices de utilización de las líneas contratadas, trafico de la mismas,
índices pactados en los contratos, etc. La empresa deberá contar con la topología de la
Red de Comunicaciones, actualizada. Se estudiarán las disfunciones organizativas, roles
y encargados del cumplimiento y del mantenimiento de los servicios de comunicaciones
de la empresa auditada.