Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Johnnatan Chacha
AUDITORA DE SISTEMAS
SEXTO CICLO
Contenido
Contenido ...................................................................................................................................... 2
UNIDAD I: FUNDAMENTOS DE AUDITORIA DE SISTEMAS............................................................. 6
1.
1.1
Origen de la auditoria................................................................................................ 7
1.2
1.2.1
1.3
1.4
1.5
1.5.1
1.6
1.6.1
Tipos de auditoria................................................................................................ 10
1.6.2
1.6.3
1.6.4
1.6.5
1.7
1.8
2.1
EL AUDITOR INFORMTICO..................................................................................... 20
El auditor ............................................................................................................................. 20
2.1.1
2.1.2
2.1.3
2.2
FASES DE LA AUDITORIA.......................................................................................... 24
2.2.1
2.2.2
2.2.3
2.2.3.1
ANLISIS DE SISTEMAS
Pgina 2
AUDITORA DE SISTEMAS
SEXTO CICLO
2.2.3.2
2.2.3.3
2.2.3.3.1
2.2.3.3.2
2.2.4
2.2.4.1
2.3
La operatividad ........................................................................................................ 31
3.1
3.2
3.3
3.4
3.5
3.6
3.7
3.8
3.8.1
3.8.2
3.8.3
3.9
3.9.1
3.9.2
3.9.2.1
3.9.2.2
3.9.2.3
4.1
4.1.1
ANLISIS DE SISTEMAS
Pgina 3
AUDITORA DE SISTEMAS
SEXTO CICLO
4.1.2
4.1.3
4.1.4
4.2
4.3
4.3.1
4.3.2
4.4
4.5
4.5.1
4.5.2
4.5.3
4.6
Evidencias ................................................................................................................ 54
4.7
4.7.1
Cuestionarios ....................................................................................................... 55
4.7.2
Entrevistas ........................................................................................................... 56
4.7.3
Checklist .............................................................................................................. 56
4.7.4
4.7.5
4.7.6
4.7.7
Log ....................................................................................................................... 58
4.7.8
5.1
5.2
5.3
5.4
5.4.1
5.4.2
5.4.3
5.4.4
5.4.5
ANLISIS DE SISTEMAS
Pgina 4
AUDITORA DE SISTEMAS
SEXTO CICLO
5.6
Encriptamiento ........................................................................................................ 67
5.7
5.7.1
5.7.2
5.8
5.9
5.9.1
5.9.2
5.10
5.11
5.12
WEB-GRAFA................................................................................................................................ 77
ANLISIS DE SISTEMAS
Pgina 5
AUDITORA DE SISTEMAS
SEXTO CICLO
UNIDAD I:
FUNDAMENTOS DE
AUDITORIA DE SISTEMAS
ANLISIS DE SISTEMAS
Pgina 6
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 7
AUDITORA DE SISTEMAS
SEXTO CICLO
evaluar la eficiencia y eficacia con que se est operando para que, por medio del
sealamiento de cursos alternativos de accin, se tomen decisiones que permitan
corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin.
La Auditoria, es una disciplina expresada en normas, conceptos, tcnicas,
procedimientos y metodologa, que tiene por objeto examinar y evaluar crticamente una
determinada realidad, para emitir una opinin independiente sobe un aspecto o la
totalidad del objeto auditado.
Pgina 8
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 9
AUDITORA DE SISTEMAS
SEXTO CICLO
Auditoria
externa
Auditoria interna
AUDITORIAS
POR SU
REA
DE
APLICACIN
AUDITORIAS
AUDITORIA
EN
ESPECIALIZADAS SISTEMAS
EN REAS
COMPUTACIONALES
ESPECIFICAS
Auditora
financiera
Auditoria
administrativa
Auditoria
operacional
Auditoria
integral
Auditoria
gubernamental
Auditoria de
sistema
Auditoria
al
desarrollo de
obras
y
construcciones
Auditoria fiscal
Auditoria laboral
Auditoria
de
proyectos de
inversin
Auditoria a la caja
menor
Auditoria
al
manejo de
mercancas
Auditoria
ambiental
ANLISIS DE SISTEMAS
Auditoria informtica
Auditoria con la
computadora
Auditoria sin la
computadora
Auditoria a la gestin
informtica
Auditoria al sistema
de computo
Auditoria alrededor de
la computadora
Auditoria de la
seguridad en sistemas
computacionales
Auditoria a los
sistemas de redes
Auditoria integral a
los centros de computo
Auditoria ISO-9000 a
los
sistemas
computacionales
Pgina 10
AUDITORA DE SISTEMAS
SEXTO CICLO
Auditoria ergonmica
de
sistemas
computacionales
Auditoria se la
seguridad informtica
Auditoria informtica
para aplicaciones de
internet.
Pgina 11
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 12
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 13
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 14
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 15
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 16
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 17
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 18
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 19
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 20
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 21
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 22
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 23
AUDITORA DE SISTEMAS
SEXTO CICLO
punto y los criterios y obligaciones de carcter tico y moral que adquiere este
profesional al emitir un dictamen, mismo que fundamenta en un juicio sereno, el
cual apoya con las evidencias de que dispone y con las pruebas obtenidas con
sus herramientas de evaluacin.
Acatar y hacer cumplir las normas morales y ticas: Parece reiterativo decir que el
auditor debe acatar y hacer cumplir las normas tico-morales que regulan su actuacin
como profesional, lo cual se aplica invariablemente a su actuacin tanto en el mbito
profesional, como en el mbito personal y social.
Esto es lo que esperan de su actuacin los funcionarios y empleados de las empresas
que audita, sus colegas, las asociaciones a las que pertenezca y la comunidad en general.
Todos esperan que su actuacin como auditor se apegue invariablemente a un estricto
cumplimiento de las normas morales y ticas que regulan a la sociedad.
ANLISIS DE SISTEMAS
Pgina 24
AUDITORA DE SISTEMAS
SEXTO CICLO
Para realizar una auditora de sistemas se requiere planear una serie ordenada de
acciones y procedimientos especficos, que deben ser ejecutados de forma secuencial,
cronolgica y ordenada, teniendo en cuenta etapas, eventos y actividades que se
requieran para su ejecucin que sern establecidos de acuerdo a las necesidades de la
empresa. Estos procedimientos se adaptarn de acuerdo al tipo de auditora de sistemas
que se vaya a realizar y con el cumplimiento estricto de las necesidades, tcnicas y
mtodos de evaluacin del rea de sistematizacin. Los mtodos deben seguirse para la
determinacin de las herramientas e instrumentos de revisin que sern utilizados en la
auditoria, la metodologa cubre tres etapas: la primera de planeacin, la segunda de
ejecucin y la tercera del dictamen de la auditoria.
ANLISIS DE SISTEMAS
Pgina 25
AUDITORA DE SISTEMAS
SEXTO CICLO
2.2.3.1
Para realizar dicho estudio se deben examinar las funciones y actividades generales de
la informtica. Para su realizacin el auditor debe conocer lo siguiente:
Organizacin: Para el equipo auditor, el conocimiento de quin ordena, quin disea y
quin ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:
Organigrama: El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de
manifiesto tal circunstancia.
ANLISIS DE SISTEMAS
Pgina 26
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 27
AUDITORA DE SISTEMAS
SEXTO CICLO
2.2.3.2
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea
general de los procesos informticos realizados en la empresa auditada. Para ello
debern conocer lo siguiente:
Volumen, antigedad y complejidad de las Aplicaciones
Metodologa del Diseo: Se clasificar globalmente la existencia total o parcial
de metodologa en el desarrollo de las aplicaciones. Si se han utilizados varias a
lo largo del tiempo se pondr de manifiesto.
Documentacin: La existencia de una adecuada documentacin de las
aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. La
documentacin de programas disminuye gravemente el mantenimiento de los
mismos.
Cantidad y complejidad de Bases de Datos y Archivos: El auditor recabar
informacin de tamao y caractersticas de las Bases de Datos, clasificndolas
en relacin y jerarquas. Hallar un promedio de nmero de accesos a ellas por
hora o das. Esta operacin se repetir con los archivos, as como la frecuencia
de actualizaciones de los mismos. Estos datos proporcionan una visin aceptable
de las caractersticas de la carga informtica.
2.2.3.3
Pgina 28
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 29
AUDITORA DE SISTEMAS
SEXTO CICLO
2.2.4.1
Pgina 30
AUDITORA DE SISTEMAS
SEXTO CICLO
Planeacin de la
Auditoria de
Sistemas
1.
2.
3.
4.
5.
6.
7.
Ejecucin de la
Auditoria de
Sistemas
Dictamen de la
Auditoria de
Sistemas
PASOS A REALIZAR
Identificar el origen de la auditora.
Realizar una visita preliminar al rea que ser evaluada.
Establecer los objetivos de la auditora.
Determinar los puntos que sern evaluados en la auditora.
Elaborar planes, programas y presupuestos para realizar la
auditora.
Identificar y seleccionar los mtodos, herramientas,
instrumentos y procedimientos necesarios para la auditora.
Asignar los recursos y sistemas computacionales para la
auditora.
2.3 La operatividad
Se encarga de verificar que la organizacin y las maquinas funcionen, siquiera
mnimamente. No es aceptable detener los recursos de cmputo para descubrir sus fallos
y comenzar de nuevo. Cuando los sistemas estn operando la auditoria inicia su
actividad. De ah que la principal preocupacin del auditor informtico es la de
mantener la operatividad de los sistemas y para lograrlo debe verificar que se estn
realizando los siguientes tipos de controles: Controles Tcnicos Generales de
Operatividad y Controles Tcnicos Especficos de Operatividad.
ANLISIS DE SISTEMAS
Pgina 31
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 32
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 33
AUDITORA DE SISTEMAS
SEXTO CICLO
3. RIESGO Y CONTROL
El control interno surge por la necesidad de evaluar y satisfacer la eficiencia, eficacia,
razonabilidad, oportunidad y confiabilidad en la proteccin, proteccin y seguridad en
los bienes de una empresa, as como ayudar a controlar el desarrollo de sus operaciones,
actividades y resultados financieros que se esperaban obtener en el desempeo de las
funciones y operaciones de toda la empresa.
ANLISIS DE SISTEMAS
Pgina 34
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 35
AUDITORA DE SISTEMAS
SEXTO CICLO
Con base en el anlisis anterior, se puede concentrar la utilidad del control en los
siguientes conceptos:
Permite disear y establecer las normas, estndares y criterios de medicin para
poder evaluar el cumplimiento de planes y programas.
Ayuda a evaluar el cumplimiento y desempeo de las funciones, actividades y
tareas de los integrantes de una empresa, comparando lo alcanzado contra lo
esperado.
Permite medir la eficiencia y eficacia en el cumplimiento de las operaciones de
una empresa, al comparar lo realmente alcanzado contra lo esperado.
Contribuye a la deteccin de fallas y desviaciones, as como a la correccin de
errores en el desempeo de las actividades y operaciones de una empresa.
Ayuda a modificar los planes y programas como consecuencia de la valoracin
de los resultados.
Retroalimenta la planeacin y programacin de las empresas.
stas son algunas de las muchas utilidades que puede tener el establecimiento del
control en las empresas; dichas utilidades se pueden ampliar conforme a las
caractersticas y necesidades de cada institucin.
ANLISIS DE SISTEMAS
Pgina 36
AUDITORA DE SISTEMAS
SEXTO CICLO
Para que el control sea til, debe sealar resultados correctos sin desviaciones ni
alteraciones y sin errores de ningn tipo, a fin de que se pueda confiar en que
dichos resultados siempre son valorados con los mismos parmetros.
Estndares y normas de evaluacin.
Al medir los resultados alcanzados, stos debern compararse de acuerdo con
los estndares y normas previamente establecidos, a fin de contemplar las
mismas unidades para planear y controlar; con esto se logra una estandarizacin
que permite valorar adecuadamente los alcances obtenidos.
Pgina 37
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 38
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 39
AUDITORA DE SISTEMAS
SEXTO CICLO
Sin embargo, se puede agregar que la utilidad del control interno se distingue por el
establecimiento y vigilancia del cumplimiento de reglas, mtodos y procedimientos que
se determinan para mantener la integridad y seguridad de los bienes de la empresa, as
como para el manejo adecuado de los datos, para la confiabilidad en los registros y
archivos contables, para la emisin de resultados financieros y para la definicin de
normas, lineamientos, procedimientos y reglas de actuacin para el desarrollo de las
actividades de la empresa. Adems, con el control interno se establecen un conjunto de
medidas y reglas concretas, que definen concretamente los alcances y limitaciones de
actuacin de los funcionarios y empleados de la institucin.
Es precisamente en esas consideraciones donde se fundamenta la importancia de la
auditoria, debido a que por medio del control interno se determinan las actividades,
acciones y dems elementos que permiten satisfacer las necesidades de las instituciones.
Adems, recordemos que de la definicin de la auditoria se desprende lo siguiente: es la
revisin de las funciones, acciones, operaciones o de cualquier actividad de una entidad
administrativa. Por esta razn, se evalan la existencia y el cumplimiento del control
interno en la empresa, as como la forma en que se aplica; tambin se evala su utilidad
en la salvaguarda y proteccin de archivos y en el desarrollo de las actividades de la
empresa, adems de la existencia de los elementos que integran el sealado control
interno. Es evidente que la importancia del control interno se fundamenta en la
evaluacin de lo que se determina por medio de l.
ANLISIS DE SISTEMAS
Pgina 40
AUDITORA DE SISTEMAS
SEXTO CICLO
Realizar en los diferentes sistemas (centrales, departamentales, redes locales, PC's, etc.)
y entornos informticos (produccin, desarrollo o pruebas) el control de las diferentes
actividades operativas sobre:
El cumplimiento de procedimiento, normas y controles dictados. Merece
resaltarse la vigilancia sobre el control de cambios y versiones del software.
Controles sobre la produccin diaria.
Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
software y del servicio informtica.
Controles en las redes de comunicaciones.
Controles sobre el software de base.
Controles en los sistemas microinformticos.
La seguridad informtica (su responsabilidad puede estar asignada a control
interno o bien puede asignrsele la responsabilidad de control dual de la misma
cuando est encargada a otro rgano):
Usuarios, responsables y perfiles de uso de archivos y bases de datos.
Normas de seguridad.
Control de informacin clasificada.
Control dual de la seguridad informtica.
Asesorar y transmitir cultura sobre el riesgo informtico.
Pgina 41
AUDITORA DE SISTEMAS
SEXTO CICLO
3.9.2.1
3.9.2.2
ANLISIS DE SISTEMAS
Pgina 42
AUDITORA DE SISTEMAS
SEXTO CICLO
Para cumplir con este elemento de control interno informtico, es necesario utilizar
alguna de las metodologas para el anlisis y diseo de sistemas. La metodologa
general para el desarrollo de sistemas (anlisis, diseo, programacin, pruebas y
correcciones, documentacin, capacitacin, implementacin y mantenimiento) garantiza
el anlisis, desarrollo e implementacin correctos de cualquier sistema.
3.9.2.3
3.9.2.4
3.9.2.5
ANLISIS DE SISTEMAS
Pgina 43
AUDITORA DE SISTEMAS
SEXTO CICLO
Tambin es importante determinar todo lo relacionado con los riesgos y amenazas que
afectan a los sistemas de informacin, as como la prevencin de contingencias y la
recuperacin de la informacin de sistemas en caso de que ocurra alguna contingencia
que afecte su funcionamiento.
Esto es muy importante para el establecimiento de este control interno informtico, ya
que la informacin del rea de sistemas es el activo ms valioso de la empresa y todas
las medidas que se adopten par a la prevencin de contingencias sern en beneficio de la
proteccin de los activos de la institucin.
Con el establecimiento de los siguientes sub-elementos de control interno informtico se
busca determinar las bases fundamentales sobre las que se establecern los
requerimientos para manejar la seguridad de los sistemas de informacin, el siguiente
cuadro los resume:
ANLISIS DE SISTEMAS
Controles para la
seguridad del rea fsica
de sistemas
Controles para la
seguridad lgica de los
sistemas
Controles para la
seguridad de las bases de
datos
Controles para la
seguridad en la operacin
de los sistemas
computacionales
ANLISIS DE SISTEMAS
AUDITORA DE SISTEMAS
SEXTO CICLO
Inventario
del
hardware,
mobiliario y equipo
Resguardo del equipo de cmputo
Bitcoras de mantenimiento y
correcciones
Controles de acceso del personal al
rea de sistemas
Control del mantenimiento a
instalaciones y construcciones
Seguros y fianzas para el personal,
equipos y sistemas
Contratos
de
actualizacin,
asesora y mantenimiento del
hardware
Control para el acceso al sistema, a
los programas y a la informacin
Establecimiento de niveles de
acceso
Dgitos verificadores y cifras de
control
Palabras clave de acceso
Controles para el seguimiento de
las secuencias y rutinas lgicas del
sistema
Programas de proteccin para
impedir el uso inadecuado y la
alteracin de datos de uso
exclusivo
Respaldos
peridicos
de
informacin
Planes y programas para prevenir
contingencias
y
recuperar
informacin
Control de acceso a las bases de
datos
Rutinas de monitoreo y evaluacin
de operaciones relacionadas con
las bases de datos
Controles para los procedimientos
de operacin
Controles para el procesamiento de
informacin
Controles para la emisin de
resultados
Controles especficos para la
operacin del computador
Controles para el almacenamiento
de la informacin
Controles para el mantenimiento
Pgina 45
Controles para la
seguridad del personal de
informtica
Controles para la
seguridad en sistemas de
redes y multiusuarios
AUDITORA DE SISTEMAS
SEXTO CICLO
del sistema
Controles
administrativos
de
personal
Seguros y finanzas para el
personad de sistemas
Planes
y
programas
de
capacitacin
Controles para evitar modificar la
configuracin de una red
Implementar herramientas de
gestin de la red con el fin de
valorar
su
rendimiento,
planificacin y control
Control a las conexiones remotas
Existencia de un grupo de control
de red
Controles para asegurar la
compatibilidad de un conjunto de
datos entre aplicaciones cuando la
red es distribuida
Verificacin de protocolos de
comunicacin,
contraseas
y
medios
controlados
de
transmisin, hasta la adopcin de
medidas de verificacin de
trasmisin de la informacin
ANLISIS DE SISTEMAS
Pgina 46
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 47
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 48
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 49
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 50
AUDITORA DE SISTEMAS
SEXTO CICLO
Cuestionario
Entrevista al personal
Entrevista usuario
Entrevista funcionario
Observacin
Comentario especial
Entrevista
Virus informtico, disco
contaminado
Observacin importante
Confirmar preguntas
Pgina 51
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 52
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 53
AUDITORA DE SISTEMAS
SEXTO CICLO
4.6 Evidencias
La recopilacin de material que ayude en la generacin de una opinin lo ms correcta
posible es un paso clave en el proceso de la auditoria. El auditor debe conocer las
diversas formas de evidencias y de cmo estas pueden ser recopiladas y examinadas
para respaldar los hallazgos de la auditoria.
Una vez recopilada evidencia suficiente, subsecuentemente se evala la informacin
recopilada con la finalidad de emitir opiniones y recomendaciones finales.
Evidencia ocular:
Comparacin; es observar la similitud o diferencia existente entre dos o ms
elementos.
Observacin; es el examen ocular para cerciorarse como se ejecutan las
operaciones.
Evidencia Oral:
Se obtiene de otras personas en forma de declaraciones hechas en el curso de
investigaciones o entrevistas. Las declaraciones que sean importantes para la
auditoria debern corroborarse siempre que sea posible mediante evidencia
adicional. Tambin ser necesario evaluar la evidencia testimonial para
cerciorarse que los informantes no hayan estado influidos por prejuicios o
tuvieran slo un conocimiento parcial del rea auditada.
Indagacin; es el acto de obtener informacin verbal sobre un asunto mediante
averiguaciones directas o conversaciones con los funcionarios de la empresa.
Entrevistas; pueden ser efectuadas al personal de la empresa auditada o
personas beneficiarias de los programas o proyectos.
Encuestas; pueden ser tiles para recopilar informacin de un gran universo de
datos o grupos de personas.
Evidencia Escrita:
Analizar; consiste en la separacin y evaluacin crtica, objetiva y minuciosa de
los elementos o partes que conforman una operacin, actividad, transaccin o
proceso, con el fin de establecer su naturaleza, su relacin y conformidad con los
criterios normativos y tcnicos existentes.
Confirmacin; es la tcnica que permite comprobar la autenticidad de los
registros y documentos analizados, a travs de informacin directa y por escrito,
otorgada por funcionarios que participan o realizan las operaciones sujetas a
examen.
ANLISIS DE SISTEMAS
Pgina 54
AUDITORA DE SISTEMAS
SEXTO CICLO
4.7.1 Cuestionarios
Las Auditorias informticas se materializan consiguiendo informacin y documentacin
de todo tipo. Los informes finales de los auditores dependen de sus capacidades para
analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de
campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un
juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin
evidencias.
Para esto, suele ser lo habitual comenzar solicitando el diligenciamiento de
cuestionarios pre-impresos que se envan a las personas concretas que el auditor cree
adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales
de las diversas reas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino
diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su
forma. Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal
ANLISIS DE SISTEMAS
Pgina 55
AUDITORA DE SISTEMAS
SEXTO CICLO
4.7.2 Entrevistas
El auditor comienza a continuacin las relaciones personales con el auditado.
Lo hace de tres formas:
Mediante la peticin de documentacin concreta sobre alguna materia de su
responsabilidad.
Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un
mtodo estricto de sometimiento a un cuestionario.
Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de
antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor; en ellas,
ste recoge ms informacin, y mejor matizada, que la proporcionada por medios
propios puramente tcnicos o por las respuestas escritas a cuestionarios.
La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de
interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo.
El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema
previamente establecido, consistente en que bajo la forma de una conversacin correcta
y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie
de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente.
Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente
para cada caso particular.
4.7.3 Checklist
El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios
en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus
cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo
cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas
que no conducen a nada.
Muy por el contrario, el auditor conversar y har preguntas "normales", que en realidad
servirn para el cumplimiento sistemtica de sus Cuestionarios, de sus
Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle
una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor
informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo.
El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener
respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes.
El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
ANLISIS DE SISTEMAS
Pgina 56
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 57
AUDITORA DE SISTEMAS
SEXTO CICLO
4.7.7 Log
El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando
(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se
llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro de
una base de datos; toda esa serie de cambios se encuadra dentro de una transaccin, y
todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa
transaccin, queda grabado en el log.
La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca
todo a la base de datos. Si en el medio de la transaccin se cort por x razn, lo que se
hace es volver para atrs. El log te permite analizar cronolgicamente que es lo que
sucedi con la informacin que est en el Sistema o que existe dentro de la base de
datos.
ANLISIS DE SISTEMAS
Pgina 58
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 59
AUDITORA DE SISTEMAS
SEXTO CICLO
UNIDAD V: EVALUACIN
DE SEGURIDADES
ANLISIS DE SISTEMAS
Pgina 60
AUDITORA DE SISTEMAS
SEXTO CICLO
5. EVALUACIN DE LA SEGURIDAD
Para muchos la seguridad sigue siendo el rea principal a auditar, hasta el punto de que
en algunas entidades se cre inicialmente la funcin de auditora informtica para
revisar la seguridad, aunque despus se hayan ido ampliando los objetivos.
Ya sabemos que puede haber seguridad sin auditora, puede existir auditora de otras
reas, y queda un espacio de encuentro: la auditora de la seguridad y cuya rea puede
ser mayor o menor segn la entidad y el momento.
Lo cierto es que cada da es mayor la importancia de la informacin, especialmente
relacionada con sistemas basados en el uso de tecnologas de la informacin y
comunicaciones, por lo que el impacto de los fallos, los accesos no autorizados, la
revelacin de la informacin, y otras incidencias, tienen un impacto mucho mayor que
hace unos aos: de ah la necesidad de protecciones adecuadas que se evaluarn o
recomendarn en la auditora de seguridad.
Tambin es cierto que en muchos casos tan necesario o ms que la proteccin de la
informacin puede ser que las inversiones en sistemas y tecnologas de la informacin
estn alineadas con las estrategias de la entidad, huyendo del enfoque de la tecnologa
por la tecnologa.
La gran importancia del tema sobre seguridad, justifica la extensin de este ultimo
capitulo y que en el se presentan los puntos de vista de Mario G. Piattini y Emilio del
Peso, David H. Lee, Enrique Hernndez y Jos Antonio Echenique entre otros, autores
de gran prestigio y estn a la vanguardia de todos los temas relacionados con la
auditora informtica.
Pgina 61
AUDITORA DE SISTEMAS
SEXTO CICLO
tiene diferentes intenciones se encuentra principalmente para paquetes que son copiados
sin autorizacin ("piratas") y borra toda la informacin que se tiene en un disco. Al
auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que,
al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin
del virus.
El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de
mquina para usos ajenos de la organizacin, la copia de programas para fines de
comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a
bases de datos a fin de modificar la informacin con propsitos fraudulentos.
Un mtodo eficaz para proteger sistemas de computacin es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso
no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a
informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos
en el mundo de las computadoras grandes, y los principales proveedores ponen a
disposicin de clientes algunos de estos paquetes.
El sistema integral de seguridad debe comprender:
Elementos administrativos
Definicin de una poltica de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes (incendio, terremotos, etc.)
Prcticas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeacin de programas de desastre y su prueba.
Se debe evaluar el nivel de riesgo que puede tener la informacin para poder hacer un
adecuado estudio costo/beneficio entre el costo por prdida de informacin y el costo de
un sistema de seguridad, para lo cual se debe considerar lo siguiente:
Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo).
Identificar aquellas aplicaciones que tengan un alto riesgo.
Cuantificar el impacto en el caso de suspensin del servicio en aquellas
aplicaciones con un alto riesgo.
Formular las medidas de seguridad necesarias dependiendo del nivel de
seguridad que se requiera.
La justificacin del costo de implantar las medidas de seguridad para poder clasificar el
riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente:
Qu sucedera si no se puede usar el sistema?
Si 1a Contestacin es que no se podra seguir trabajando, esto nos sita en un sistema de
alto riego. La siguiente pregunta es:
Qu implicaciones tiene el que no se obtenga el sistema y cunto tiempo
podramos estar sin utilizarlo?
Existe un procedimiento alterno y que problemas nos ocasionara?
ANLISIS DE SISTEMAS
Pgina 62
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 63
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 64
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 65
AUDITORA DE SISTEMAS
SEXTO CICLO
Pgina 66
AUDITORA DE SISTEMAS
SEXTO CICLO
5.6 Encriptamiento
El Encriptamiento es una forma efectiva de disminuir los riesgos en el uso de
tecnologa.
Implica la codificacin de informacin que puede ser transmitida va una red de
cmputo o un disco para que solo el emisor y el receptor la puedan leer.
En teora, cualquier tipo de informacin computarizada puede ser encriptada. En la
prctica, se le utiliza con mayor frecuencia cuando la informacin se transmite por
correo electrnico o internet.
La informacin es encriptada por el emisor utilizando un programa para "confundir o
entremezclar" la informacin utilizando un cdigo "asegurado". El receptor descifra la
informacin utilizando un cdigo anlogo exclusivo. Cualquier persona que intercepte
el mensaje ver simplemente informacin entremezclada que no tendr ningn sentido
sin el cdigo o llave necesaria.
Existen distintos tipos de encriptamiento y distintos niveles de complejidad para
hacerlo.
Como con cualquier cdigo, los de encriptamiento pueden ser rotos si se cuenta con
tiempo y recursos suficientes. Los altamente sofisticados niveles de encriptamiento con
que se cuenta hoy en da hacen muy difcil descifrar la informacin encriptada.
Una forma muy comn de Encriptamiento son los sistemas criptogrficos de llave
pblicallave abierta. Este sistema utiliza dos llaves diferentes para cerrar y abrir los
archivos y mensajes.
Las dos llaves estn matemticamente ligadas. Una persona puede distribuir su llave
pblica a otros usuarios y uti1izarla para enviarle mensajes encriptados. La persona
guarda en secreto la llave privada y la utiliza para decodificar los mensajes que le han
enviado con la llave pblica.
Otro elemento del encriptamiento es la autentificacin el proceso de verificar que un
archivo o mensaje no ha sido alterado a lo largo del trayecto entre el emisor y el
receptor.
El encriptamiento de la informacin tiene distintos usos para propsitos electorales.
Cuando se enva informacin sensible a travs de una red pblica, es recomendable
encriptarla; esto es particularmente importante cuando se enva informacin personal o
sobre la votacin a travs de una red, en especial por internet o correo electrnico.
La tecnologa para el encriptamiento est en constante evolucin. Si se est
considerando alguna de ella es recomendable consultar a un experto para asegurar que
se est utilizando la ms reciente.
Pgina 67
AUDITORA DE SISTEMAS
SEXTO CICLO
no autorizado a las instalaciones de cmputo. Este acceso puede tomar muchas formas,
como el uso de la cuenta de otro usuario para tener acceso a la red y sus recursos. En
general, se considera que el uso de cualquier recurso de la red sin permiso previo es un
acceso no autorizado. La gravedad del acceso no autorizado depende del sitio y de la
naturaleza de la perdida potencial. En algunos sitios, el solo hecho de conceder acceso a
un usuario no autorizado puede causar daos irreparables por la cobertura negativa de
los medios.
Algunos sitios, debido a su tamao y visibilidad, pueden ser objetivos ms frecuentes
que otros. El Equipo de Respuesta de Emergencias de Computo (CERT) ha hecho la
observacin de que, en general, las universidades de prestigio, los sitios del gobierno y
las zonas militares parecen atraer ms intrusos. En la seccin "Equipo de respuesta de
seguridad", puede encontrarse mayor informacin acerca de CERT, as como sobre
otras organizaciones similares.
Pgina 68
AUDITORA DE SISTEMAS
SEXTO CICLO
1. Lineamientos acerca del uso de los recursos de red, tales como que los usuarios estn
restringidos
2. Que constituye un abuso en trminos de usar recursos de red y afectar el desempeo
del sistema y de la red.
3. Est permitido que los usuarios compartan cuentas o permitan a otros usar la suya.
4. Pueden los usuarios revelar su contrasea en forma temporal, para permitir que otros
que trabajen en un proyecto tengan acceso a sus cuentas.
5. Poltica de contrasea de usuario: con qu frecuencia deben cambiar de contrasea
los usuarios y que otras restricciones o requerimientos hayal respecto.
6. Los usuarios son responsables de hacer respaldos de sus datos o es esto
responsabilidad del administrador del sistema.
7. Consecuencias para los usuarios que divulguen informacin que pueda estar
patentada.
Que acciones legales u otros castigos pueden implantarse.
8. Una declaracin sobre la privacidad del correo electrnico (Ley de Privacidad en las
Comunicaciones Electrnicas)
9. Una poltica respecto a correo o publicaciones controversiales en las listas de correo o
grupos de discusin.
10. Una poltica sobre comunicaciones electrnicas, tales como falsificacin de correo.
La Asociacin de Correo Electrnico (EMA, Electrnica Mail Asociacin) recomienda
que todo sitio debe tener una poltica acerca de la proteccin de la privacidad de los
empleados.
Pgina 69
AUDITORA DE SISTEMAS
SEXTO CICLO
datos, as como a la de los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los
datos, procesos y programas, as como la del ordenado y autorizado acceso de los
usuarios a la informacin.
Un mtodo eficaz para proteger sistemas de computacin es el software de control de
acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso
no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a
informacin confidencial.
Dichos paquetes han sido populares desde hace muchos aos en el mundo de las
computadoras grandes, y los principales proveedores ponen a disposicin de clientes
algunos de estos paquetes.
Pgina 70
AUDITORA DE SISTEMAS
SEXTO CICLO
Definir y trabajar sobre todo las reas donde se pueden lograr mejoras
relativamente rpidas.
Mejorar las comunicaciones internas.
Identificar claramente las reas de mayor riesgo corporativo y trabajar con ellas
planteando soluciones de alto nivel.
Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo
para el manejo del software, hardware y con respecto a la seguridad fsica.
Beneficios de un sistema de seguridad
Los beneficios de un sistema de seguridad bien elaborados son inmediatos, ya que l la
organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes
puntos:
Aumento de la productividad.
Aumento de la motivacin del personal.
Compromiso con la misin de la compaa.
Mejora de las relaciones laborales.
Ayuda a formar equipos competentes.
Mejora de los climas laborales para los RR.HH.
5.10
Plan de contingencias
El Plan de Contingencias implica un anlisis de los posibles riesgos a los cuales pueden
estar expuestos nuestros equipos de cmputo y la informacin contenida en los diversos
medios de almacenamiento, por lo que en este Manual haremos un anlisis de los
riesgos, cmo reducir su posibilidad de ocurrencia y los procedimientos a seguir en caso
que se presentara el problema.
Pese a todas nuestras medidas de seguridad puede ocurrir un desastre, por tanto es
necesario que el Plan de Contingencias incluya un Plan de Recuperacin de Desastres,
el cual tendr como objetivo, restaurar el Servicio de Cmputo en forma rpida,
eficiente y con el menor osto y prdidas posibles.
Si bien es cierto que se pueden presentar diferentes niveles de daos, tambin se hace
necesario presuponer que el dao ha sido total, con la finalidad de tener un Plan de
Contingencias lo ms completo posible.
Vamos a trabajar en base a un ejemplo que presupone un incendio en nuestro local, el
cual nos ha dejado sin equipos de cmputo y sin los archivos magnticos (programas y
datos) contenidos en dichos equipos y en las oficinas del local.
Hay dos mbitos que vamos a analizar. El primero abarca las actividades que se deben
realizar y los grupos de trabajo o responsables de operarias. El segundo, el control, esto
es, las pruebas y verificaciones peridicas de que el Plan de Contingencias est
operativo y actualizado.
Haciendo un esquema, el Plan de Contingencias abarcar los siguientes aspectos:
Plan de Reduccin de Riesgos (Plan de Seguridad).
Plan de Recuperacin de Desastres.
Actividades Previas al Desastre.
ANLISIS DE SISTEMAS
Pgina 71
AUDITORA DE SISTEMAS
SEXTO CICLO
5.11
Anlisis de riesgos
Qu puede ir mal?
Con qu frecuencia puede ocurrir?
Cules seran sus consecuencias?
Qu fiabilidad tienen las respuestas a las tres primeras preguntas?
Qu se intenta proteger?
Cul es su valor para uno o para la organizacin?
Frente a qu se intenta proteger?
Cul es la probabilidad de un ataque?
ANLISIS DE SISTEMAS
Pgina 72
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 73
AUDITORA DE SISTEMAS
SEXTO CICLO
5.12
Factores de riesgo
Para cada riesgo, se debe determinar la probabilidad del factor de riesgo. Como ejemplo
se mencionan algunos factores de riesgo:
Factor de riesgo bajo
Factor de riesgo muy bajo
Factor de riesgo alto
Factor de riesgo muy alto
Factor de riesgo medio
Luego se efectuar un resumen de los riesgos ordenados por el factor de riesgo de cada
uno. Ejemplo:
ANLISIS DE SISTEMAS
Pgina 74
AUDITORA DE SISTEMAS
SEXTO CICLO
ANLISIS DE SISTEMAS
Pgina 75
AUDITORA DE SISTEMAS
SEXTO CICLO
Tarea: Con la ayuda del siguiente Link, determine los pasos a seguir para implementar
un Sistema de Gestin de la Seguridad de la Informacin (SGSI). Elabore un informe
detallado.
http://cert.inteco.es/extfrontinteco/img/File/intecocert/sgsi/swf/video_13.swf
ANLISIS DE SISTEMAS
Pgina 76
AUDITORA DE SISTEMAS
SEXTO CICLO
WEB-GRAFA
Etapas de una Auditoria de Sistemas
http://www.geronet.com.ar/?p=48
ANLISIS DE SISTEMAS
Pgina 77