Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SANTO TOMS
ARICA
CREACI
NE
IMPLEMENTACIN
DE UN SISTEMA DE RIEGO TECNIFICADO
ALUMNOS:
- ALEX ANDRS ARNGUIZ CALDERN
- MICHAEL AGUIRRE SAAVEDRA
PROFESOR GUA:
ING. CSAR VALDENEGRO ORTIZ
ARICA 2016
DEDICATORIA
Patricia
AGRADECIMIENTOS
Agradezco a los Profesores del rea de Informtica de este Instituto Profesional, Sr.
Juan Stanovich, Sr. Edward Villar, Sr. Boris Gutirrez, Sr. Eugenio Gana y Sra. Gloria Tarque,
por transmitir sus conocimientos en las horas de clases, por el gran apoyo y motivacin que me
entregaron para la culminacin de mis estudios, por los malos ratos que les hice pasar junto con mis
compaeros, por su dedicacin y entrega para formar buenos profesionales y por sus consejos que
siempre fueron recibidos de buena manera y a quienes recordare por siempre.
I.
II.
FUNDAMENTOS..................................................................................................1
I.1
INTRODUCCIN.....................................................................................1
I.2
II.1.1
II.1.2
II.1.3
II.1.4
II.1.5
II.2
III.
LA AUDITORIA INFORMTICA...............................................................7
III.1.1
III.1.2
III.1.3
III.2
III.2.1
Los Cuestionarios..................................................................12
III.2.2
Entrevistas........................................................................... 13
III.2.3
Checklist.............................................................................. 13
III.2.4
III.2.5
Software De Interrogacin.......................................................18
III.3
III.3.1
Auditora Interna....................................................................20
III.3.2
Auditora Externa...................................................................20
III.3.3
III.4
III.4.1
III.4.2
Tipos de Auditoria...................................................................24
III.4.3
III.4.4
III.4.5
Planificacin de la Auditoria.....................................................26
III.4.6
III.4.7
III.4.8
Informe de Auditora...............................................................32
III.4.9
III.4.10
III.4.11
III.4.12
Procesos de Auditora.............................................................48
III.4.13
Evaluacin de la Seguridad......................................................52
III.5.
INFORME FINAL..................................................................................70
III.5.1
IV.
36
PRODUCTO FINAL............................................................................................74
AUDITORA DE SEGURIDAD INFORMATICA REALIZADA A LA SECCIN O.S.7 ARICA
75
V.
ASPECTOS COMPLEMENTARIOS...................................................................87
V.1
CONCLUSIN........................................................................................87
V.2
BIBLIOGRAFA.......................................................................................88
V.3
ANEXOS................................................................................................89
ANEXO 1............................................................................................................ 89
ANEXO 2............................................................................................................ 90
ANEXO 3............................................................................................................ 91
NDICE DE TABLAS
Tabla 1. ESTRUCTURA DE PROGRAMA DE AUDITORA........................................29
NDICE DE FIGURAS
Figura 1. UBICACIN DE LA SECCION O.S7 ARICA.................................................3
Figura 2. FOTOGRAFA DE LA SECCIN O.S.7 ARICA.............................................3
Figura 3. LOGO DE CARABINEROS DE CHILE.........................................................4
Figura 4. LOGO DE LA SECCIN O.S.7......................................................................4
Figura 5. JEFE DE SECCIN.......................................................................................5
Figura 6. JEFE AREA DE INTELIGENCIA OPERATIVOS...........................................5
Figura 7. ORGANIGRAMA O.S.7 ARICA.....................................................................5
Figura 8. SISTEMAS DE CARABINEROS...................................................................6
Figura 9. PARTICIPANTES DE UNA AUDITORA........................................................7
Figura 10. PLAN DE CONTINGENCIA PARA UN BACKUP......................................11
Figura 11. HERRAMIENTAS Y TECNICAS DE UNA AUDITORA.............................12
Figura 12. SELECCIN DE UNA AUDITORA...........................................................19
Figura 13. AUDITORA INTERNA...............................................................................20
Figura 14. AUDITORA EXTERNA.............................................................................20
GLOSARIO
Aplicacin: Aunque se suele utilizar indistintamente como sinnimo genrico de programa es
necesario subrayar que se trata de un tipo de programa especficamente dedicado al proceso de una
funcin concreta dentro de la empresa.
Archivo de datos: Cualquier archivo creado dentro de una aplicacin: por ejemplo, un documento
creado por un procesador de textos, una hoja de clculo, una base de datos o un grfico. Tambin
denominado Documento.
Archivo de programa:
Auditor: Persona que efecta una auditora.
Auditora: Examen de las operaciones de una empresa por especialistas ajenos a ella y con objetivos
de evaluar la situacin de la misma.
Cliente: Cliente o 'programa cliente' es aquel programa que permite conectarse a un determinado
sistema, servicio o red.
Confidencialidad: Se refiere a que la informacin solo puede ser conocida por individuos
autorizados.
Costos estimados: Son los clculos anticipados de los gastos que predominarn en el futuro (mano
de obra, material, etc), dentro de un periodo dado, con la intencin de pronosticar un costo total.
Datos: Trmino general para la informacin procesada por un ordenador.
Factibilidad: Es la disponibilidad de los recursos necesarios para llevar a cabo los objetivos o metas
sealadas, sirve para recopilar datos relevantes sobre el desarrollo de un proyecto y en base a ello
tomar la mejor decisin.
Gobernabilidad de TI:
Hardware: Conjunto de dispositivos de los que consiste un sistema. Comprende componentes tales
como el teclado, el Mouse, las unidades de disco y el monitor.
Integridad: La habilidad de determinar que la informacin recibida es la misma que la informacin
enviada.
10
conexiones permanentes entre los ordenadores que la forman. Esta estructura es propia de redes no
profesionales con el fin de abaratar su mantenimiento.
Servidor o server: Ordenador que ejecuta uno o ms programas simultneamente con el fin de
distribuir informacin a los ordenadores que se conecten con l para dicho fin. Vocablo ms conocido
bajo su denominacin inglesa 'server'.
Sistema de informacin: Se denomina Sistema de Informacin al conjunto de procedimientos
manuales y/o automatizados que estn orientados a proporcionar informacin para la toma de
decisiones.
Software: Componentes inmateriales del ordenador: como los programas, sistemas operativos, etc.
T.I: Tecnologas de la Informacin.
Tcnicas: Conjunto de procedimientos de una ciencia los cuales nos ayudan a solucionar problemas.
RESUMEN
INSTITUTO PROFESIONAL SANTOTOMAS
INGENIERIA DE EJECUCIN EN INFORMATICA
ARICA
1 SEMESTRE DEL AO 2016
AUDITORA DE
SEGURIDAD INFORMTICA
Autor
11
Profesor Gua
I.
I.1
FUNDAMENTOS
INTRODUCCIN
Arduino es una plataforma de hardware libre, basada en una placa con un microcontrolador y
un entorno de desarrollo, diseada para facilitar el uso de la electrnica en proyectos relativamente
sencillos. Hoy en da es cada vez mayor la accesibilidad a nuevas tecnologas inteligentes, las cuales
podran ayudar en distintas reas en el campo laboral.
El presente Proyecto de Tesis propone la resolucin de un problema de la vida real el cual se
plante con el afn de darle una solucin eficaz por medio de la automatizacin para un invernadero.
Esta idea fue orientada hacia el rubro Agropecuario, ms directamente hacia el cultivo de plantas de
invernadero. Para ello la automatizacin es la capacidad de un sistema para llevar a cabo
determinadas tareas sin intervencin humana, por lo que es posible que diversos sistemas sean tan
12
13
I.2
14
En una prxima etapa del proyecto tenemos contemplado implementar un sistema de tratamiento del
agua, aumentando su pureza, para as cosechar un fruto de mejor calibre y calidad.
Y como ltimo objetivo, acercar a los clientes a nuevas tecnologas, para en un futuro no muy lejano,
automatizar nuevos procesos del cultivo como por ejemplo: temperatura y humedad, fumigacin y
fertilizacin, y as asegurar un uso optimo de los recursos y una mejor calidad del producto final.
Con esto se espera hacer ms eficiente el uso del agua y el rendimiento de mt2 de suelo cultivable.
II.
II.1
Direccin Arica
RUT
: 61.101.082-6
Telfono
: (58) 2243235
Correo electrnico
: ccliarica@cosale.cl
Pgina web
: http://www.cosale.cl
15
II.1.2
Centro de Atencin Sanitaria, con el objeto de prestar atencin ambulatoria de primer nivel, el cual se
asent en dependencias de la Enfermera del Regimiento de Infantera N 4 Rancagua, ubicada en
General Velsquez N 1700.
En el ao 1998 cambia de denominacin a Centro Clnico Militar Arica, con el objeto de
aumentar su cobertura de salud Mdica y Dental a un segundo nivel ambulatorio. Por orden Comando
N 6436/1 del 20 de junio del 2003, se dispuso la reestructuracin y modernizacin del Sistema de
Salud del Ejrcito, pasando a depender ste Centro Clnico Militar al Comando de Salud, JIS.
Su superficie es de 1.618,68 m2 y una capacidad construida de 1.077,27 m2.
16
II.1.3
Salud del Ejrcito (SISAE), efectuando acciones de fomento, proteccin y recuperacin de la Salud
de acuerdo a las Polticas, Normas, Planes y Programas que para ello determine el Comando de
Salud del Ejrcito. As mismo se incluir en esta atencin a los dems integrantes de las FF.AA.
Activos y Pasivos y sus cargas familiares, personal de las FFAA. Activos y Cargas familiares cuya
Previsin de Salud es FONASA, ISAPRE e Instituciones en Convenio.
II.1.4
Figura 5. DIRECTOR
Subdirector Administrativo
17
II.1.5
II.2
computadores como a todo elemento que forma parte de l. Entindase impresoras, proyectores,
UPS, dispositivos de conectividad, etc. lo que conlleva a que todo el sistema tanto computacional
como tecnolgico funcione al 100%.
Adems pude participar en la supervisin de los sistemas actuales que mantiene esa
Institucin y capacitacin a la mayora los funcionarios, en relacin a uso y cuidado de los elementos
tecnolgicos e computacionales. Adems pude participar en la planificacin, desarrollo y
programacin de un proyecto Informtico, como lo es el Sistema R A.C. (Registro y Anlisis
18
Carretero), cuyo objetivo es registrar en el sistema a todos los vehculos que ingresen a la Zona Norte
y mantener una estadstica actual, para as evaluar e identificar posibles delitos.
Figura 8.
SISTEMAS DE CARABINEROS
III.
III.1
LA AUDITORIA INFORMTICA.
19
III.1.1
III.1.2
20
Por otro lado, la auditora externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la auditora Interna,
debido al mayor distanciamiento entre auditores y auditados.
La auditora en informtica interna cuenta con algunas ventajas adicionales muy
importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las
auditorias convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente
realizando revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados
conocen estos planes y se habitan a las auditorias, especialmente cuando las consecuencias de las
recomendaciones habidas benefician su trabajo.
Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones
contratar servicios de auditora externa. Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios
no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de
emisin interna de graves recomendaciones que chocan con la opinin generalizada de la
propia empresa.
21
externas
III.1.3
Las empresas acuden a las auditorias en informtica cuando existen sntomas que son
claramente perceptibles y que indican debilidad. Estos sntomas pueden agruparse en clases:
Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energa o de aluna forma sufre una
explosin, Cmo sigo operando en otro lugar?, Lo que generalmente se pide es que se hagan
Backups de la informacin diariamente y que aparte, sea doble, para tener un Backup en la empresa
y otro afuera de sta.
Una empresa puede tener unas oficinas paralelas que posean servicios bsicos (luz,
telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le provea
telfono la compaa Entel y a las oficinas paralelas la compaa Telefnica. En este caso, si se
produce una inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir
operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo
que estipule la empresa, y despus se van reciclando a travs del tiempo.
23
III.2
24
III.2.1
Los Cuestionarios.
III.2.2
Entrevistas.
preestablecido de antemano
25
III.2.3
Checklist.
El auditor profesional y experto es aqul que elabora muchas veces sus cuestionarios
en funcin de los escenarios auditados. Tiene claro lo que necesita saber y por qu. Sus
cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere
decir que haya que someter al auditado a unas preguntas innecesarias que no conducen a nada. Muy
por el contrario, el auditor conversar y har preguntas "normales", que en realidad servirn para la
complementacin sistemtica de sus Cuestionarios..
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle
una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. El
profesionalismo pasa por un procesamiento interno de informacin a fin de obtener respuestas
coherentes que permitan una correcta descripcin de puntos dbiles y fuertes. El profesionalismo
pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las
Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier
otra forma.
Segn la claridad de las preguntas y el talante del auditor, el auditado responder
desde posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente informtico
de profesin, percibe con cierta facilidad el perfil tcnico y los conocimientos del auditor, precisamente
a travs de las preguntas que ste le formula. Esta percepcin configura el principio de autoridad y
prestigio que el auditor debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su
formulacin. Las empresas externas de Auditora Informtica guardan sus Checklists, pero de poco
sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la funcin auditora
se ejerce sobre bases de autoridad, prestigio y tica.
26
La utilizacin del Checklist por parte del auditor deber ser a modo de que el auditado
responda clara y escuetamente. Se deber interrumpir lo menos posible, y solamente se har en los
casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se
har necesario invitar a que se exponga con mayor amplitud sobre un tema concreto y en algunos
casos, se deber evitar absolutamente la presin sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a las
mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se
podrn descubrir con mayor facilidad los puntos contradictorios; el auditor deber analizar los matices
de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones,
hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del auditado, y
nunca escribir cruces ni marcar cuestionarios en su presencia.
a. Checklist de rango:
Contiene varias preguntas que el auditor debe puntuar dentro de un rango
preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo)
Ejemplo de un Checklist de rango:
Realizaremos una auditoria sobre la seguridad fsica de una instalacin y dentro de
ella, se analiza el control de los accesos de las personas y cosas al Centro de Clculo. Podran
formularse las preguntas que figuran a continuacin, en donde las respuestas tienen un significado de
acuerdo a la siguiente puntuacin:
1. Muy deficiente.
2. Deficiente.
3. Mejorable.
4. Aceptable.
5. Correcto.
Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin
que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeo
guin. La complementacin del Checklist no debe realizarse en presencia del auditado, como se
muesra a continuacion:.
27
b. Checklist Binaria:
Esta opcin est constituida por preguntas con dos respuestas nicas y excluyente: Si
o No. Aritmticamente, equivalen a 1 (uno) o 0(cero), respectivamente.
Ejemplo de Checklist Binaria:
Se supone que se est realizando una Revisin de los mtodos de pruebas de programas en el
mbito de Desarrollo de Proyectos.
Existe Normativa de que el usuario final compruebe los resultados finales de los programas?
<Puntuacin: 1>
Conoce el personal de Desarrollo la existencia de la anterior normativa? <Puntuacin: 1>
Se aplica dicha norma en todos los casos? <Puntuacin: 0>
Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de
Bases de Datos reales? <Puntuacin: 0>
28
<Puntuacin: 0>
Se aplica en todos los casos?
<Puntuacin: 0>
No existen checklists estndar para todas y cada una de las instalaciones informticas
a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacin
correspondientes en las preguntas a realizar.
III.2.4
Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los
sistemas como del usuario se realizan exactamente las funciones previstas, y no otras. Para ello se
apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los
caminos que siguen los datos a travs del programa.
29
Del mismo modo, el Sistema genera automticamente una exacta informacin sobre el
tratamiento de errores de la maquina central, perifricos, etc. (La auditora financiero-contable
convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo
correcto de los clculos de nminas, primas, etc.).
*Log:
El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando
(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar a lo que llamamos las
transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de datos;
toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va haciendo la
Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log. La
transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca todo a la base
de datos. Si en el medio de la transaccin hubo una interrupcin por alguna razn, lo que se hace es
volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la
informacin que est en el Sistema o que existe dentro de la base de datos.
III.2.5
Software De Interrogacin.
30
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e
informacin parcial generada por la organizacin informtica de la Compaa.
Efectivamente, conectados como terminales al "Host", almacenan los datos
proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado
(naturalmente, dependiendo del alcance de la auditora) a recabar informacin de los mencionados
usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos.
Con todo, las opiniones ms autorizadas indican que el trabajo de campo del auditor informtico debe
realizarse principalmente con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione
personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta
soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc.
III.3
31
III.3.1
Auditora Interna.
32
III.3.2
Auditora Externa.
III.3.3
33
34
Servir como mecanismo protector de posibles auditoras informticas externas decretadas por
la misma empresa.
Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la
misma empresa, por lo tanto, es necesario que se le realicen auditoras externas como para
tener una visin desde afuera de la empresa.
La auditora informtica, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La
funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto
es, por encargo de la direccin o cliente.
La auditora en informtica deber comprender no slo la evaluacin de los equipos de
cmputo o de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas
de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y
obtencin de informacin. Ello debe incluir los equipos de cmputo como la herramienta que permite
obtener la informacin adecuada y la organizacin especfica (departamento de TIC, departamento de
informtica, gerencia de procesos electrnicos, etc.) que har posible el uso de los equipos de
computacin.
III.4
III.4.1
36
III.4.3
III.4.4
Se requieren varios pasos para realizar una auditora. El auditor de sistemas debe
evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de
control y procedimientos de auditoria que deben satisfacer esos objetivos.
El proceso de auditoria exige que el auditor de sistemas rena evidencia, evale
fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare
un informe de auditora que presente esos temas en forma objetiva a la gerencia. Asimismo, la
gerencia de auditoria debe garantizar una disponibilidad y asignacin adecuada de recursos para
37
realizar el trabajo de auditoria adems de las revisiones de seguimiento sobre las acciones
correctivas emprendidas por la gerencia.
III.4.5
Planificacin de la Auditoria.
Al planificar una auditoria, el auditor de sistemas debe tener una comprensin de suficiente del
ambiente total que se revisa. Debe incluir una comprensin general de las diversas prcticas
comerciales y funciones relacionadas con el tema de la auditoria, as como los tipos de sistemas que
se utilizan. El auditor de sistemas tambin debe comprender el ambiente normativo en el que opera el
negocio. Por ejemplo, a un banco se le exigir requisitos de integridad de sistemas de informacin y
de control que no estn presentes en una empresa manufacturera. Los pasos que puede llevar a
cabo un auditor de sistemas para obtener una comprensin del negocio son: Recorrer las
instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa
industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas
comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisin de planes
estratgicos a largo plazo. Revisin de informes de auditoras anteriores.
III.4.5.2
Se puede definir los riesgos de auditoria como aquellos riesgos de que la informacin
pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha
ocurrido. Los riesgos en auditoria pueden clasificarse de la siguiente manera:
Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no
existen controles compensatorios relacionados que se puedan establecer.
Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma
oportuna por el sistema de control interno.
Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas exitosas a partir de un
procedimiento inadecuado.
38
III.4.5.3
III.4.6
39
III.4.6.1
Procedimientos de Auditora.
III.4.6.2
40
Recopilacin de datos.
Identificacin de lista de personas a entrevistar.
Identificacin y seleccin del enfoque del trabajo Identificacin y obtencin de polticas,
normas y directivas.
Desarrollo de herramientas y metodologa para probar y verificar los controles
existentes.
Procedimientos para evaluar los resultados de las pruebas y revisiones.
Procedimientos de comunicacin con la gerencia.
Procedimientos de seguimiento.
El programa de auditoria se convierte tambin en una gua para documentar los
diversos pasos de auditoria y para sealar la ubicacin del material de evidencia. Generalmente tiene
la siguiente estructura:
PROCEDIMIENTOS DE
AUDITORIA
LUGAR
PAPELES
TRABAJO
REFERENCIA
HECHO
POR FECHA:
III.4.6.3
41
Los recursos deben comprender tambin las habilidades con las que cuenta el grupo
de trabajo de auditoria y el entrenamiento y experiencia que estos tengan. Tener en cuenta la
disponibilidad del personal para la realizacin del trabajo de auditoria, como los perodos de
vacaciones que estos tengan, otros trabajos que estn realizando, etc.
III.4.7
III.4.8
Informe de Auditora.
Los informes de auditora son el producto final del trabajo del auditor de sistemas, este
informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aqu tambin se
expone la opinin sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados
durante la auditoria, no existe un formato especfico para exponer un informe de auditora de sistemas
de informacin, pero generalmente tiene la siguiente estructura o contenido:
43
III.4.8.1
III.4.8.2
44
grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos,
alcance recurso que usara, definir la metodologa de trabajo, la duracin de la auditoria,
Presentar el plan de trabajo y analizara detalladamente cada problema encontrado con todo
lo anteriormente analizado en este folleto.
Comunicacin de resultados: Se elaborara el borrador del informe a ser discutido con los
ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara
esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque
los problemas encontrados, los efectos y las recomendaciones de la Auditoria.
III.4.8.3
Motivos de la Auditoria.
Objetivos.
Alcance.
Estructura Orgnico-Funcional del rea
Informtica.
El conjunto de disposiciones metdicas: Cuyo fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados,
rdenes impartidas y principios admitidos.
III.4.9
Controles Preventivos: Son aquellos que reducen la frecuencia con que ocurren las causas
del riesgo, permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones o actualizar el
sistemas de claves de acceso.
Controles Detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que
los detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven
para evaluar la eficiencia de los controles preventivos.
45
Ejemplo: Archivos y procesos que sirvan como pistas de auditoria y los procedimientos
de validacin.
Controles Correctivos: Ayudan a la investigacin y correccin de las causas del riesgo. La
correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de
controles detectivos sobre los controles correctivos, debido a que la correccin de errores es
en s una actividad altamente propensa a errores.
III.4.9.1
Existen Controles particulares tanto en la parte fsica como en la parte lgica. Los
cambios de las claves de acceso a los programas se deben realizar peridicamente. Normalmente los
usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar las
claves peridicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen
claves de usuarios del sistema de computacin.
Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.
No es conveniente que la clave este compuesta por cdigos de empleados, ya que una
persona no autorizada a travs de pruebas simples o de deducciones puede dar con dicha clave.
Para redefinir claves es necesario considerar los tipos de claves que existen:
Individuales: Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave
permite al momento de efectuar las transacciones registrar a los responsables de cualquier
cambio.
Confidenciales: De forma confidencial los usuarios debern ser instruidos formalmente
respecto al uso de las claves.
No significativas: Las claves no deben corresponder a nmeros secuenciales ni a nombres o
fechas.
Verificacin de datos de entrada: Incluir rutinas que verifiquen la compatibilidad de los datos
mas no su exactitud o precisin; tal es el caso de la validacin del tipo de datos que contienen
los campos o verificar si se encuentran dentro de un rango.
46
III.4.10
Controles de Preinstalacin
Controles de Organizacin y Planificacin
Controles de Sistemas en Desarrollo y Produccin
Controles de Procesamiento
Controles de Operacin
Controles de uso de Microcomputadores.
47
III.4.10.1
Controles de Preinstalacin.
Acciones a seguir:
Elaboracin de un informe tcnico en el que se justifique la adquisicin del equipo, software y
servicios de computacin, incluyendo un estudio costo-beneficio.
Formacin de un comit que coordine y se responsabilice de todo el proceso de adquisicin e
instalacin.
Elaborar un plan de instalacin de equipo y software (fechas, actividades, responsables) el
mismo que debe contar con la aprobacin de los proveedores del equipo.
Elaborar un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos,
programas y servicios computacionales. Este proceso debe enmarcarse en normas y
disposiciones legales.
Efectuar las acciones necesarias para una mayor participacin de proveedores.
Asegurar respaldo de mantenimiento y asistencia tcnica.
III.4.10.2
48
Disear un sistema
Elaborar los programas
Operar el sistema
Control de calidad
Se debe evitar que una misma persona tenga el control de toda una operacin. Es
importante la utilizacin ptima de recursos mediante la preparacin de planes a ser evaluados
continuamente.
Acciones a seguir:
La unidad informtica debe estar al ms alto nivel de la pirmide administrativa de manera que
cumpla con sus objetivos, cuente con el apoyo necesario y la direccin efectiva.
Las funciones de operacin, programacin y diseo de sistemas deben estar claramente
delimitadas.
Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no
tengan acceso a la operacin del computador y los operadores a su vez no conozcan la
documentacin de programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos de entrada como de los
resultados del procesamiento.
El manejo y custodia de dispositivos y archivos magnticos deben estar expresamente
definidos por escrito.
Las actividades del equipo deben obedecer a planificaciones a corto, mediano y largo plazo
sujetos a evaluacin y ajustes peridicos "Plan Maestro de Informtica".
Debe existir una participacin efectiva de directivos, usuarios y personal del rea de
Informtica en la planificacin y evaluacin del cumplimiento del plan.
Las instrucciones deben impartirse por escrito.
49
III.4.10.3
Se debe justificar que los sistemas han sido la mejor opcin para la empresa, bajo una
relacin costo-beneficio que proporcionen oportuna y efectiva informacin, que los sistemas se han
desarrollado bajo un proceso planificado y se encuentren debidamente documentados.
Acciones a seguir:
Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan
conocimiento y experiencia de su rea y esta actividad facilita el proceso de cambio
El personal de auditoria interna/control debe formar parte del grupo de diseo para sugerir y
solicitar la implantacin de rutinas de control.
El desarrollo, diseo y mantenimiento de sistemas obedece a planes especficos,
metodologas estndares, procedimientos y en general a normatividad escrita y aprobada.
Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas
u otros mecanismos a fin de evitar reclamos posteriores.
Los programas antes de pasar a Produccin deben ser probados con datos que agoten todas
las excepciones posibles.
Todos los sistemas deben estar
documentacin deber contener:
debidamente
documentados
actualizados.
La
Informe de factibilidad
Diagrama de bloque
Diagrama de lgica del programa
Objetivos del programa
Listado original del programa y versiones que incluyan los cambios efectuados con
antecedentes de pedido y aprobacin de modificaciones.
Formatos de salida
Resultados de pruebas realizadas
Implantar procedimientos de solicitud, aprobacin y ejecucin de cambios a programas,
formatos de los sistemas en desarrollo.
50
III.4.10.4
Controles de Procesamiento.
51
III.4.10.5
Controles de Operacin.
52
Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, as
como extintores de incendio, conexiones elctricas seguras, entre otras.
Instalar equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje
como: reguladores de voltaje, supresores pico, UPS, generadores de energa.
Contratar plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que
se produzca por casos fortuitos o mala operacin.
III.4.10.6
53
III.4.11
III.4.11.1
Planificacin de la Auditoria.
III.4.11.2
54
55
III.4.11.4
56
Sin tener en cuenta la manera en que se hace esto, el auditor deber establecer lo
siguiente:
Duracin total de la auditora.
Ubicacin y hora de inicio.
mbito y reas que se van visitar.
Agenda, detallando el progreso de la auditora, siempre y cuando sea de aplicacin, ej. si hay
que visitar varios departamentos.
Planificar la reunin final para aprobar los resultados de la auditora y debatir los requisitos de
la accin correctora.
Personal responsable que deber estar relacionado con la auditora, en cada etapa de la
misma.
Tal y como se ha establecido previamente, si esto no se comprende claramente
durante la preparacin de esta etapa, aumentar el grado de incomprensin. El dilogo en esta etapa
establece el "tono" de la auditora, y puede afectar al compromiso y nivel de cooperacin que se
muestra en el rea durante sta y posteriores auditoras.
III.4.11.5
57
58
III.4.12
Procesos de Auditora.
59
III.4.12.1
Entradas
Salidas
Controles
Mecanismos
Resultados
Situar la escena:
Introduccin y explicaciones informales para:
Relajar al auditado.
Informar al auditado del proceso de auditora.
2.
60
Establecer el proceso:
Volver a comprobarlo:
6.
Cierre.
Agradezca la cooperacin.
Resuma las conclusiones hasta el momento.
Informe al auditado de lo que va a ocurrir a continuacin.
Es normal que los auditores dividan el proceso en pequeas partes para facilitar el
trabajo. Esto significa que las etapas 3,4 y 5 pueden repetirse varias veces en un mismo proceso, ej.
En lugar de examinar todo un proceso de inspeccin final dentro de una empresa. Se puede dividir
en:
Ensayo del producto final
Salida del producto de reas de despacho
Producto en rea de envo
61
Este ciclo tambin se puede repetir a un pequeo nivel en cada paso del proceso. Este
sistema puede resultar especialmente til para las situaciones siguientes:
El auditor posee un conocimiento limitado del proceso que se va a auditar.
No existe un procedimiento documentado del proceso que se va a auditar.
Finalmente, las listas de comprobacin estructuradas y recopiladas de manera
apropiada, aseguran que la auditora est estructurada de manera que evita la evaluacin limitada y
superficial de un proceso.
III.4.13
Evaluacin de la Seguridad.
En primer lugar se repasan los principales estndares (ISO 27001) y las legislaciones,
que nos ayudarn a tener una visin global de los elementos que intervienen en la infraestructura de
seguridad y los controles que pueden establecerse.
A continuacin se repasan los principios bsicos y los requisitos que se han de cumplir
respecto a la seguridad.
III.4.13.1
Imagnese que, por una u otra razn, la base de datos de un banco sea destruido o
usados inapropiadamente, cunto tiempo pasara para que esta organizacin estuviese nuevamente
en operacin? La informacin de una empresa puede ser el activo ms valioso y al mismo tiempo el
ms vulnerable.
En la situacin actual de criminologa, los delitos de "cuello blanco" han incluido la
modalidad de los delitos hechos mediante la computadora o los sistemas de informacin de los
cuales el 95% de los detectados han sido descubiertos por accidentes y la gran mayora no han sido
divulgados para evitar dar ideas a personas mal intencionadas. Es as como la computadora ha
modificado las circunstancias tradicionales del crimen; muestra de ello son los fraudes, falsificaciones
y venta de informacin hechos a las computadoras o por medio de computadoras.
Durante mucho tiempo se consider que los procedimientos de auditora y seguridad
eran responsabilidad de la persona que elabora los sistemas sin considerar que son responsabilidad
del usuario y del departamento de auditora interna.
Entre los crmenes ms conocidos (muchos de ellos no son identificados o divulgados
para evitar repercusiones) estn el del Banco Wells Fargo Co. ($21.3 millones de dlares), en el cual
se evidenci que la proteccin de los archivos es todava inadecuada, y la publicada el 17 de
62
septiembre de 1987 en la que dos alemanes entraron a los archivos confidenciales de la NASA. Otro
de los delitos que se han cometido en los bancos estn en insertar mensajes fraudulentos o bien
transferir dinero de una cuenta, otra, con la consecuente ganancia de los intereses.
Existe tambin el caso de un muchacho de 15 aos que entr a la computadora de la
Universidad de Berkeley en California y destruy los archivos, y el estudiante de la escuela Dalton en
Manhattan que entr a la red canadiense, identificndose como un usuario de alta prioridad y tom el
control de los sistemas de una embotelladora de Canad. Ejemplos como stos existen muchos y la
mayora de ellos no se dan a conocer para no dar ideas a personas que puedan cometer delitos o
bien para evitar problemas de publicidad negativa.
En chile tenemos un caso reciente en donde una joven de 19 aos fue condenada por
sabotaje informtico ya que fue investigada por la Fiscala de Chilln debido a que, tras acceder a la
plataforma digital del DEMRE, cancel la solicitud de postulacin universitaria de una estudiante.
La indagatoria dirigida por la fiscal Paulina Valdebenito, quien permiti determinar que
la imputada cancel desde su computador la postulacin universitaria de la estudiante perjudicada,
quien egres de un colegio de la capital de uble, y que aspiraba a ingresar a estudiar a una
universidad de Santiago.
Segn se inform, la vctima, tras recibir los resultados de la PSU, postul a la carrera
de Derecho de la Pontificia Universidad Catlica. Su puntaje le alcanzaba para ingresar a la carrera,
sin embargo, cuando se publicaron las listas de seleccionados ella no apareca. En la universidad le
expusieron que nunca se haba hecho la postulacin, a lo que replic exhibiendo el comprobante que
otorga la plataforma digital en la que se realiza el trmite.
Revisando el sistema, le indicaron que si bien su postulacin ingres, ms tarde fue
cancelada. Se hizo la denuncia a la Brigada del Cibercrimen de la PDI, quienes despus de una
investigacin obtuvieron la direccin IP desde donde se efecto la cancelacin.
Finalmente se logr dar con la joven responsable, instancia en la que revel que
obtuvo los datos personales de la vctima a travs de una fotografa que esta public en Instagram,
en la que se exhiba la cartola de postulacin.
63
64
que aparentemente tuvo buenas intenciones, gener mensajes en forma exponencial bloqueando
toda la red internacional de la compaa.
Otro virus es el conocido como Pakistan, debido a que fue elaborado por estudiantes
pakistanes de 19 a 26 aos. Este virus fue introducido en un paquete de computadoras personales y
fue copiado para todo turista que comprara el paquete en Pakistn como una forma de "escarmiento"
para los que adquiran esa copia pirata.
stos son solamente algunos ejemplos de virus que existen, los cuales tambin
pueden ser activados como si fueran "bomba de tiempo", en una fecha determinada y pueden causar
la destruccin de la informacin, el que suene la bocina de la computadora en forma constante o que
aparezca un carcter en la pantalla que se mueve por todo el video.
Al auditar los sistemas, se debe tener cuidado que no se tengan copias "piratas"
o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de
transmisin del virus.
El crecimiento de los fraudes por computadora ha hecho patente que la potencialidad
de los crmenes crece en forma ms rpida que en los sistemas de seguridad (se considera que en
los Estados Unidos se cometieron anualmente crmenes, denunciados o no, por ms de tres mil
millones de dlares).
Los motivos de los delitos por computadora normalmente son por:
Beneficio personal.
Beneficios para la organizacin.
Sndrome de Robn Hood (por beneficiar a otras personas).
Jugando a jugar.
Fcil desfalcar.
El departamento es deshonesto.
Odio a la organizacin (revancha).
El individuo tiene problemas financieros.
La computadora no tiene sentimientos ni delata.
Equivocacin de ego (deseo de sobresalir en alguna forma).
Mentalidad turbada.
65
Se considera que hay en cuatro factores que han permitido el incremento en los delitos
cibernticos. Estos factores son:
1. El aumento de personas que se encuentran estudiando Computacin.
2. El aumento del nmero de empleados que tienen acceso a los equipos.
3. La facilidad en el uso de los equipos de computacin.
4. El incremento en la concentracin del nmero de las aplicaciones y consecuentemente, de la
informacin.
.
En la actualidad las compaas cuentan con grandes dispositivos para seguridad fsica
de las computadoras y se tiene la idea que los sistemas no pueden ser violados si no se entra al
centro de cmputo, olvidndose del uso de terminales y de sistemas remotos de teleproceso. Se
piensa, como en el caso de la seguridad de incendio o robo, que "eso no me puede suceder a m o es
poco probable que suceda aqu".
Algunos gerentes creen que las computadoras y sus programas son tan complejos que
nadie fuera de su organizacin los va a entender y no les van a servir; pero en la actualidad existe un
gran nmero de personas que pueden captar y usar la informacin que contiene un sistema y
considerar hacer esto como un segundo ingreso.
En forma paralela al aumento de los fraudes hechos a los sistemas computarizados, se
han perfeccionado los sistemas de seguridad tanto fsica como lgica; pero la gran desventaja del
aumento en la seguridad lgica es que se requiere consumir un nmero mayor de recursos de
cmputo para lograr tener una adecuada seguridad, lo ideal es encontrar un sistema de acceso
adecuado al nivel de seguridad requerido por el sistema con el menor costo posible. En los desfalcos
66
por computadora (desde un punto de vista tcnico), hay que tener cuidado con los "caballos de troya"
que son programas a los que se les encajan rutinas que sern activadas con una seal especfica.
El tipo de seguridad puede comenzar desde la simple llave de acceso (contrasea o
password) hasta, sistemas ms complicados, pero se debe evaluar que, cuando ms complicados
sean los dispositivos de seguridad, resultan ms costosos. Por lo tanto, se debe mantener una
adecuada relacin de seguridad-costo en los sistemas de informacin.
67
Uno de los puntos que se debe auditar con ms detalle es el de tener las cifras de
control y el medio adecuado que nos permita conocer en el momento que se produce un cambio o un
fraude en el sistema. Otro ejemplo es en el caso de la contabilidad en forma manual. Se tienen una
serie de indicadores (volumen de operaciones, cantidades, etc.) que nos permiten auditar en forma
rpida y eficiente al sistema; este tipo de indicadores deben ser incluidos dentro del sistema
computarizado, logrando en lo posible que el mismo sistema y la computadora "acte" como su
propio auditor.
Se debe evaluar el nivel de riesgo que puede tener la informacin para poder hacer un
adecuado estudio costo/beneficio entre el costo por prdida de informacin y el costo de un sistema
de seguridad, para lo cual se debe considerar lo siguiente:
Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) identificar aquellas
aplicaciones que tengan un alto riesgo.
Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un
alto riesgo
Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se
requiera.
Una vez que hemos definido el grado de riesgo, hay que elaborar una lista de los
sistemas con las medidas preventivas que se deben tomar, as como las correctivas en caso de
desastre sealndole a cada uno su prioridad.
En caso de desastre se procurar trabajar los sistemas de acuerdo con sus
prioridades, ya que no se podrn trabajar los sistemas en otra instalacin, en la misma forma que se
venan trabajando en la instalacin original.
Hay que tener mucho cuidado con la informacin que sale de la oficina, su utilizacin y
que sea borrada al momento de dejar la instalacin que est dando respaldo.
Segn una de las 8 grandes firmas estadounidenses de contadores pblicos, los
planes de seguridad deben asegurar la integridad y exactitud de los datos; permitir identificar la
informacin que sea confidencial, de uso exclusivo o delicada en alguna otra forma; proteger y
conservar los activos de desastres provocados por la mano del hombre y de actos abiertamente
hostiles; asegurar la capacidad de la organizacin para sobrevivir accidentes; proteger a los
empleados contra tentaciones o sospechas innecesarias y la administracin contra cargos por
imprudencia.
68
Un ejemplo de alto riesgo puede ser la informacin confidencial de tipo nacional o bien
la informacin sobre el mercado y la publicidad de una compaa.
Un ejemplo de riesgo medio es la nmina, la cual puede ser hecha a mano, utilizar
procedimientos alternos o bien un adecuado sistema de respaldos.
Un ejemplo de bajo riesgo pueden ser los balances, los cuales pueden ser
reestructurados con cierta facilidad, salvo el caso de los das de presentacin con fines fiscales.
Para cuantificar el riesgo es necesario que se efecten entrevistas con los altos niveles
administrativos que sean directamente afectados por la suspensin en el procesamiento y que
cuantifiquen el impacto que les puede causar este tipo de situaciones.
III.4.13.2
Seguridad en el Personal.
69
Seguridad Fsica.
70
Otras de las precauciones referentes al material y construccin del edificio del centro
de informtica es que existen materiales que son altamente inflamables, que despiden humo
sumamente txicos o bien paredes que no queda perfectamente selladas y despiden polvos (ejemplo,
el tiro) planchado).
Tambin en lo posible se debe tomar precauciones en cuanto a la orientacin del Sala
de Informtica (por ejemplo, Sala Informtica sumamente caluroso por todo el da le est dando el
sol) y se deben evitar en lo posible las grandes ventanas, los cuales adems permite la entrada del
sol pueden ser arriesgados para la seguridad del centro de informtico.
Entre las precauciones que se deben revisar estn:
Los ductos del aire acondicionado deben estar limpios, ya que son una
de las principales
causas de polvo y se habr de contar con detectores
de humo que indiquen la posible
presencia de fuego.
En las instalaciones de alto riesgo se debe tener equipos de fuente no
en la computadora corno en la red y los equipos de teleproceso.
interrumpible, tanto
En cuanto a los extintores, se debe revisar en nmero de stos, su capacidad, fcil acceso,
peso y tipo de producto que utilizan. Es muy frecuente que se tengan los extintores, pero
puede suceder que no se
encuentren recargados o bien que sean de difcil acceso de un
peso tal que sea difcil el utilizarlos.
Estos es comn en lugares en donde se encuentran trabajando hombre y mujeres y los
extintores estn a tal altura o con un peso tan grande que una mujer no pueda utilizarlo.
Otro de los problemas es la utilizacin de extintores inadecuados que pueden provocar mayor
perjuicio a las mquinas (extintores lquidos) o que producen gases txicos.
Tambin debe ver si el personal sabe usar los equipos contra incendio y si ha habido prcticas
en cuanto a su uso.
Se debe verificar que existan suficientes salidas de emergencia y que estn debidamente
controladas Para evitar robos por medio de estas salidas.
Los materiales ms peligro son las cintas magnticas que, al quemarse producen gases
txicos y el papel carbn es altamente inflamable.
III.4.13.4
Seguros.
Los seguros de los equipo en algunas ocasiones se dejan en segundo trmino, aunque
son de gran importancia. Existe un gran problema en la obtencin de seguros ya que a veces el
agente de seguros es una persona que conoce mucho de seguros, riesgos comerciales, riesgos de
vida, etc. Pero muy poco sobre computadoras, y el personal de informtica conoce mucho sobre
computacin y muy poco sobre seguros.
71
Se tiene poco conocimiento de los riesgos que entraa la computacin, ya que muchas
veces el riesgo no es claro para los vendedores de seguros, debido a lo nuevo de la herramienta y la
poca experiencia existe sobre desastres.
Como ejemplo de lo anterior tenemos las plizas de seguro contra desastres, ya que
algunos conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual hace, que se
duplique el seguro o bien sobrevienen desastres que no son normales en cualquier otro tipo de
ambiente.
Se debe verificar las fechas de vencimiento de las plizas, puede suceder que se tenga
la pliza adecuada pero vencida, y que se encuentre actualizada con los nuevos equipos.
El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una
sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas (existe equipo que pueda
ser unidades de disco duro) por lo que tal vez convenga tener dos o ms plizas por separado, cada
una con las especificaciones necesarias.
Debemos tomar en cuenta que existen riesgos que son difciles de evaluar y de
asegurar como el caso de negligencia.
El costo de los equipos puede variar, principalmente en aquellos pases que tienen
grandes tasas de inflacin o de devaluacin, por lo que los seguros deben estar a precio de compra
(valor de adquisicin de nuevo equipo con iguales caractersticas) y no a precio al momento de
contratacin del seguro.
El seguro debe cubrir tanto daos causados por factores externos (terremoto,
inundacin, etc.) como por factores internos (daos ocasionados por negligencia de los operadores,
daos debidos al aire acondicionado, etc.). Tambin se debe asegurar la prdida de los programas
(software), de la informacin, de los equipos y el costo de recuperacin de lo anterior.
En el caso de los programas se tendr en cuenta en el momento de asegurarlos el
costo de elaborarlos en determinado equipo, el costo de crearlos nuevamente y su valor comercial.
En el caso del personal, se pueden tener fianzas contra robo, negligencia, daos causados por el
personal, sabotaje, acciones deshonestas, etc.
Es importante que la direccin de informtica est preparada para evitar en lo posible
el dao fsico al personal, oficinas, equipo de cmputo, as como al sistema de operacin. Adems
deber tener cuidado de que existan normas y prcticas eficaces.
III.4.13.5
72
En la actualidad los programas y los equipos son altamente sofisticados y slo algunas
personas dentro del centro de cmputo conocen al detalle el diseo, lo que puede provocar que
puedan producir algn deterioro a los sistemas si no se toman las siguientes medidas:
1. Se debe restringir el acceso a los programas y a los archivos.
2. Los operadores deben trabajar con poca supervisin y sin la participacin de los
programadores, y no deben modificar los programas ni los archivos.
3. Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados,
procurando no usar respaldos inadecuados.
4. No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales.
5. En los casos de informacin confidencial debe usarse, de ser posible, en forma codificada o
criptografiada.
6. Se debe realizar peridicamente una verificacin fsica del uso de terminales y de los reportes
obtenidos.
7. Se debe monitorear peridicamente el uso que se les est dando a las terminales.
8. Se deben hacer auditoras peridicas sobre el rea de operacin y la utilizacin de las
terminales.
9. El usuario debe ser responsable de los datos, por lo que debe asegurarse que los datos
recolectados sean procesados completamente. Esto slo se lograr por medio de los
controles adecuados, los cuales deben ser definidos desde el momento del diseo general
del sistema.
10. Debe existir una perfecta divisin de responsabilidades entre los capturistas de datos y los
operadores de computadora, y entre los operadores y las personas responsables de las
libreras.
11. Deben existir registros que reflejen la transferencia de informacin entre las diferentes
funciones de un sistema.
12. Debe controlarse la distribucin de las salidas (reportes, cintas, etc.).
13. Se deben guardar copias de los archivos y programas en lugares ajenos al centro de cmputo
y en las instalaciones de alta seguridad; por ejemplo: los bancos.
14. Se debe tener un estricto control sobre el transporte de discos y cintas de la sala de cmputo
al local de almacenaje distante.
73
confidencial.
procesos con
74
III.4.13.6
75
76
III.4.13.7
77
El plan en caso de desastre debe considerar todos los puntos por separado y en forma
integral como sistema. La documentacin estar en todo momento tan actualizada como sea posible,
ya que en muchas ocasiones no se tienen actualizadas las ltimas modificaciones y eso provoca que
el plan de emergencia no pueda ser utilizado.
Cuando el plan sea requerido debido a una emergencia, el grupo deber:
Asegurar que todos los miembros sean notificados.
Informar al director de informtica.
Cuantificar el dao o prdida del equipo, archivos y documentos para definir qu parte del
plan debe ser activada.
Determinar el estado de todos los sistemas en proceso.
Notificar a los proveedores del equipo cul fue el dao.
78
Por otro lado, se debe establecer una coordinacin estrecha con el personal de
seguridad a fin de proteger la informacin.
III.5.
INFORME FINAL.
79
III.5.1
III.5.1.1
80
El informe debe incluir solamente hechos importantes. La inclusin de hechos poco relevantes
o accesorios desva la atencin del lector.
El Informe debe consolidar los hechos que se describen en el mismo. El trmino de "hechos
consolidados" adquiere un especial significado de verificacin objetiva y de estar
documentalmente probados y soportados.
La consolidacin de los hechos debe satisfacer, al menos los siguientes criterios:
1.
2.
3.
4.
III.5.1.3
1. Hecho encontrado.
Ha de ser relevante para el auditor y para el cliente.
Ha de ser exacto, y adems convincente.
No deben existir hechos repetidos.
2. Consecuencias del hecho.
81
Las consecuencias deben redactarse de modo que sean directamente deducibles del
hecho.
3. Repercusin del hecho.
Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos
informticos u otros mbitos de la empresa.
4. Conclusin del hecho.
No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido
muy extensa o compleja.
5. Recomendacin del auditor informtico.
Deber entenderse por s sola, por simple lectura.
Deber estar suficientemente soportada en el propio texto.
Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementacin.
La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o
personas que puedan implementarla.
Carta de introduccin o presentacin del informe final:
La carta de introduccin tiene especial importancia porque en ella ha de resumirse la
auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona
concreta que encargo o contrato la auditora.
As como pueden existir tantas copias del informe final como solicite el cliente, la
auditora no har copias de la citada carta de introduccin.
82
IV.
PRODUCTO FINAL
INSTITUTO PROFESIONAL
SANTO TOMS
ARICA
INFORME
FINAL
83
AL SEOR
JEFE DE LA SECCIN O.S.7 ARICA
TTE. CORONEL ESTEBAN F. DAZ URBINA
84
85
1.- ORGANIZACIN.
1.1.-
86
Recursos Humanos, otras capacitaciones especficas que permitan mejorar la gestin de la oficina
TIC y por ende la calidad de sus servicios.
Al respecto, cabe precisar, que la observacin realizada se
efectu sobre el perodo auditado, para el cual se careca, adems, de un plan de capacitacin; en
todo caso, en base a los antecedentes aportados, se levanta la observacin formulada.
1.2.-
1.3.-
Aplicaciones.
87
almacenamiento, operan las herramientas de rescate que cuentan con una tasa de recuperablidad
de un 98%.
En cuanto a los procedimientos de parches de los sistemas
operativos y aplicaciones de oficina, se establece la restriccin en el uso de los equipos por parte de
los usuarios, que impide la instalacin de software o modificacin de configuraciones del sistema,
dejando esta ltima facultad al Administrador de los Sistemas.
Lo sealado en los prrafos precedentes no permite subsanar
completamente las observaciones advertidas, cuya regularizacin definitiva se verificar en una
prxima fiscalizacin.
88
89
90
software que maneja el sistema comercial la posee. Adicionalmente, el riesgo de seguridad para
acceder a la informacin se ve resguardado mediante la comparacin que realiza la oficina de anlisis
de esa unidad, que corresponde al procesamiento analtico en lnea y que tiene por ventaja realizar
consultas con una mayor velocidad de respuesta, puesto que en una base de datos relacional se
almacenan entidades en tablas discretas si han sido normalizadas.
Respecto de la deteccin de intrusiones se cuenta con un
sistema IDS que cuenta con un Firewall WatchGuard, que reporta posibles intrusiones detectadas en
el enlace principal, sin embargo, se reconoce la falta de escrituracin del procedimiento, por lo que se
incluirn las observaciones para una futura implantacin.
Finalmente, la autoridad seala que cuenta con manuales de
procedimientos, operaciones y diagramas de flujos de datos de los sistemas; sin embargo, en el
perodo en que se llev a cabo la auditora no se entreg informacin respecto de manuales de
procedimientos y operaciones de los sistemas.
En consecuencia, considerando que parte de lo observado
obedeci a la falta de entrega de antecedentes actualizados por esa entidad, la materia ser objeto
de futuras fiscalizaciones.
5.- REDES.
La normativa interna carece de instrucciones para regular las
extensiones de puntos de red, la ampliacin de seal, los layout de rack y la administracin de
anchos de banda. Se verific la omisin de procedimientos para el anlisis de las vulnerabilidades de
red interna y la ausencia de identificacin de los equipos computacionales y los respectivos usuarios
propietarios que se encuentren conectados a la red.
En la respuesta se indica que se cuenta con un sistema de
inventario que mantiene la identificacin completa de los equipos conectados a la red y que, sin
perjuicio de ello, se instruy la adopcin de medidas tendientes a dar solucin a las observaciones
antes mencionadas.
Cabe hacer presente, que en el periodo fiscalizado no se inform
acerca de la utilizacin del sistema de inventario que actualmente mantiene un registro de los
equipos conectados.
En el entendido que se dispondrn las medidas sealadas, se
levanta lo observado inicialmente, cuyo cumplimiento ser objeto de futuras fiscalizaciones.
6.- POLTICAS Y REGLAS.
91
92
CONCLUSIONES:
1.- En mrito de lo expuesto, la autoridad deber dar efectivo
cumplimiento a las medidas enunciadas en los numerales 1.2; 1.3 y; 5 del presente informe,
tendientes a solucionar las observaciones planteadas, cuya efectividad ser comprobada en una
futura visita que se realice a esa unidad de Carabineros de Chile.
2.- Respecto de lo sealado en los puntos 3 y 4, cabe sealar
que, considerando que en su oportunidad se dispuso de informacin que se encontraba en proceso
de cambio, segn se advierte de la respuesta al Preinforme respectivo, las observaciones
inicialmente planteadas sern evaluadas en una prxima auditora.
93
V.
V.1
ASPECTOS COMPLEMENTARIOS
CONCLUSIN.
94
V.2
BIBLIOGRAFA.
[1].
[2].
[3].
[4].
[5].
[6].
RADIO BIOBIO, Condena por Saboteo Informtico Noticia Publicada por Gerson Guzmn,
01 de Marzo de 2014.
Link: http://www.biobiochile.cl/2014/03/01/condenan-a-joven-que-saboteo-la-postulacion-a-launiversidad-de-una-estudiante-en-chillan.shtml
95
V.3
ANEXOS.
ANEXO 1.
96
97
ANEXO 2.
98
ANEXO 3.
99
100