Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Por consiguiente, la Auditoría Interna debe funcionar como una actividad concebida para
agregar valor y mejorar las operaciones de una organización, así como contribuir al
cumplimiento de sus objetivos y metas; aportando un enfoque sistemático y disciplinado para
evaluar y mejorar la eficacia de los procesos de gestión.
La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son
vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes.
La auditoría contiene elementos de análisis, de verificación y de exposición de debilidades y
disfunciones.
*Control de integridad de registros: Hay Aplicaciones que comparten registros, son registros
comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar
no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería.
*Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y
corregir errores sea eficiente.
Establecer las características de la Auditoria Informática
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a
ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría
de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una
auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de
Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de
ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de
ellas.
Estas tres auditorías, más la auditoría de Seguridad, son las cuatro Áreas Generales de la
Auditoría Informática más importantes.
Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática:
de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las
Áreas Especificas de la Auditoría Informática más importantes.
Cada Área Específica puede ser auditada desde los siguientes criterios generales:
Desde su propio funcionamiento interno.
Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de
cumplimiento de las directrices de ésta.
Desde la perspectiva de los usuarios, destinatarios reales de la informática.
Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama
auditada.
Auditoria social.-se refiere a la revisión del entorno social en que se ubica y desarrolla una
empresa, con el fin de valorar aspectos externos e internos que infieran en la productividad de
la misma.
Los Controles Técnicos Generales son los que se realizan para verificar la compatibilidad
de funcionamiento simultáneo del Sistema Operativo y el Software de base con todos
los subsistemas existentes, así como la compatibilidad del Hardware y del Software
instalados. Estos controles son importantes en las instalaciones que cuentan con varios
competidores, debido a que la profusión de entornos de trabajo muy diferenciados
obliga a la contratación de diversos productos de Software básico, con el consiguiente
riesgo de abonar más de una vez el mismo producto o desaprovechar parte del Software
abonado. Puede ocurrir también con los productos de Software básico desarrollados
por el personal de Sistemas Interno, sobre todo cuando los diversos equipos están
ubicados en Centros de Proceso de Datos geográficamente alejados. Lo negativo de esta
situación es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso
de Datos tal vez sea operativo trabajando independientemente, pero no será posible la
interconexión e intercomunicación de todos los Centros de Proceso de Datos si no
existen productos comunes y compatibles.
Los Controles Técnicos Específicos, de modo menos acusado, son igualmente necesarios
para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar
mal son parámetros de asignación automática de espacio en disco* que dificulten o
impidan su utilización posterior por una Sección distinta de la que lo generó. También,
los periodos de retención de ficheros comunes a varias Aplicaciones pueden estar
definidos con distintos plazos en cada una de ellas, de modo que la pérdida de
información es un hecho que podrá producirse con facilidad, quedando inoperativa la
explotación de alguna de las Aplicaciones mencionadas.
1. Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial sin
estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas que
carezcan de normativa, y sobre todo verificando que esta Normativa General Informática no
está en contradicción con alguna Norma General no informática de la empresa.
Auditar Explotación consiste en auditar las secciones que la componen y sus interrelaciones. La
Explotación Informática se divide en tres grandes áreas: Planificación, Producción y Soporte
Técnico, en la que cada cual tiene varios grupos.
Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de
debilidad. Estos síntomas pueden agruparse en clases:
Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo sigo operando en otro
lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y
que aparte, sea doble, para tener un Backup en la empresa y otro afuera de ésta. Una empresa
puede tener unas oficinas paralelas que posean servicios básicos (luz, teléfono, agua) distintos
de los de la empresa principal, es decir, si a la empresa principal le proveía teléfono Telecom, a
las oficinas paralelas, Telefónica. En este caso, si se produce la inoperancia de Sistemas en la
empresa principal, se utilizaría el Backup para seguir operando en las oficinas paralelas. Los
Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y después
se van reciclando.
1. Planeamiento
El planeamiento garantiza que la auditoria satisfaga sus objetivos y tenga efectos productivos ya
que promueve significativos ahorros en el presupuesto de tiempo programado.
Los enfoques que pueden utilizarse para la selección son: consideración de los problemas y
debilidades conocidas e identificación de áreas importantes no auditadas anteriormente.
Los indicios pueden emerger de diversas fuentes, entre ellas: a) reuniones de trabajo, b) quejas
y reclamos, y c) indicadores de rendimiento.
2. Instrumentación
Etapa en la cual se seleccionan y aplican las técnicas de recolección, así como la supervisión
necesaria para mantener una coordinación efectiva.
Recopilación de información: Esta tarea debe enfocarse al registro de todo tipo de hallazgo y
evidencias que haga posible su examen objetivo; de otra manera se puede incurrir en errores
de interpretación que causen retrasos u obliguen a recapturar la información, reprogramar la
auditoria o, en su caso, a suspenderla.
Supervisión del trabajo: Para tener la seguridad de que se sigue y respeta el programa aprobado,
es necesario ejercer una estrecha supervisión sobre el trabajo que realizan los auditores,
delegando la autoridad sobre quien posea experiencia, conocimiento y capacidad.
3. Examen
Consiste en dividir o separar los elementos componentes para conocer la naturaleza, las
características y el origen de su comportamiento.
4. Informe
5. Seguimiento
Las observaciones que se producen como resultado de la auditoria deben sujetarse a un estricto
seguimiento, ya que no sólo se orientan a corregir las fallas detectadas, sino también a evitar su
recurrencia. En este sentido, el seguimiento no se limita a la determinación de observaciones o
deficiencias, a sino a aportar elementos de crecimiento a la organización
Auditoria de aplicaciones
Es una herramienta de mejora para potenciar los procesos de negocios de las empresas y con
ello ayudar a conseguir de mejor manera los objetivos de esta. La auditoría de aplicaciones nos
va ayudar a planificar, programar y llevar a cabo auditorias para verificar el grado de
cumplimiento de los objetivos para las que fueron creadas.
Generalmente el propósito de las aplicaciones es: Registrar las operaciones que lleva a cabo la
organización. Realizar procesos de cálculos con la información almacenada. Facilitar consultas
sobre la información registrada. Generar los informes de interés de la organización.
Necesidades, Se acude a las auditorias de aplicaciones cuando existen factores tales como:
descoordinación y desorganización, mala imagen e insatisfacción de los usuarios. El sistema
comienza a quedar obsoleto, su seguridad no es la correcta, no está cumpliendo con el perfil,
Síntomas de Inseguridad.
Normativas En la auditoria de aplicaciones se debe cumplir ciertas normativas, entre ellas: Los
requisitos mínimos de calidad relativos a la personalidad del auditor como tal. Al trabajo que
desempeña (estándar, métodos y procedimientos). La información que rinde como resultado
de este trabajo a sus clientes o interesados.
Futuras tendencias Las futuras tendencias en la auditoria de aplicaciones van de la mano con la
exigencia de los usuarios y empresas clientes del software auditados. El campo laboral para las
empresas auditoras ira en incremento, de esta misma forma los software de auditoría
aumentaran sus ventas gradualmente.
Conclusión: la auditoria de aplicaciones es muy importante para el desarrollo del proceso del
negocio y puede llegar a ser muy complicado ya que el auditor debe obtener toda la información
(manuales de usuario, revisión de base de datos, etc.), no solo de la aplicación, sino que también
de todo su entorno, e incluso debe buscar al personal con el mejor perfil en cada área o modulo
que utilice el software, para con el comprender los mecanismos y los procesos en el que se
desenvuelve la aplicación, todo esto para optimizar y garantizar, dentro de lo posible, el mejor
uso del sistema y ver las posibles amenazas en cuanto a su funcionamiento y con esto realizar
los planes de trabajo y contingencia en caso de dificultades.
Una de las funciones de la Auditoria de Sistemas es realizar una revisión a las aplicaciones que
se encuentran en funcionamiento en la empresa, pues son estas las que están expuestas a
riesgos por mal manejo de las mismas. Con la Auditoria de Aplicativos, evaluamos la efectividad
de los controles existentes y sugerir nuevos controles, de tal forma que se pueda minimizar los
riesgos y fortalecer el control de dichas aplicaciones. Esas Aplicaciones son:
OBJETIVOS
La oficina moderna hace uso, cada vez con mayor frecuencia, de herramientas de computación
que implican no solamente el procesador de texto y el correo electrónico, sino que a veces
incluyen también formas de procesamientos de datos que enlazan microcomputadoras con
acceso a la computadora central. Este es un ambiente que interesa al auditor en virtud de la
diversidad de posibles accesos a información sensible.
SISTEMAS INTEGRADOS
Los sistemas modernos automatizados procuran integrar las diversas operaciones que forman
parte de los procesos administrativos. La integración incluye todas las áreas o departamentos
de la organización, ejemplo: desde las operaciones de compras de materias primas y pago a
proveedores, hasta ventas, facturación y cuentas por cobrar; pasando por recepción,
almacenamiento, trabajo en proceso, productos terminados, control de inventarios. En este
caso, el auditor debe cubrir en su revisión áreas diversas y flujos de datos que atraviesan
horizontalmente esas áreas; deberá, en tal ambiente, hacer hincapié en la revisión del control
interno por oposición de intereses.
En una aplicación debemos tener en cuenta las tres actividades que debe realizar un sistema de
información para poder producir los datos que la empresa requiere para la toma de decisiones
y el control de las operaciones. En cada una de estas actividades se debe ejercer un control, el
cual posteriormente dará los parámetros para la auditoría.
Los controles en el ingreso de datos son preventivos, pues tratan de evitar la producción de
errores exigiendo el ajuste de los datos introducidos a patrones de formato y estructura (fecha
valida, dato numérico, dato dentro de un rango específico, introducción de dígitos de chequeo,
etc.).
Las pantallas de captura de datos deben ser diseñadas de manera similar consistente con los
documentos fuente. En el ingreso de los datos, la aplicación debe tener adecuados mensajes de
ayuda, con el fin de facilitar los ingresos de estos. Restringir el acceso de los usuarios a las
diferentes opciones de la aplicación. Verificar en cada pantalla de captura que los campos de los
datos importantes sean de obligatoria digitación. En toda la aplicación, cada campo debe tener
el formato de datos apropiado. Para los campos numéricos y campos fecha, implantar controles
de limite.
En la captura o modificación de datos críticos debe dejarse una pista (log) donde se identifique
lo siguiente: nombre del usuario, fecha y hora, valor del campo y donde se realizó la transacción.
Verificar que los log´s de la aplicación sean revisados por los responsables para investigar
accesos y manipulaciones no autorizadas. Al ir ingresando los datos, el sistema debe ir
comparando con los registros de los archivos maestros para determinar la validez de los datos
ingresados. En la captura numérica, se debe controlar la correcta digitación de cantidades. La
aplicación debe permitir imprimir listados de datos ingresados para que estos sean revisados
por los usuarios, con el propósito de verificar la correcta inclusión de los datos.
La aplicación no debe permitir que los datos de los archivos maestros puedan ser borrados del
sistema. Los números de documentos fuente, no deben permitir ser ingresados para el
procesamiento más de una vez. Controlar si en el ingreso de los datos hay un rechazo por el
sistema; ese dato sea analizado y corregido por el usuarios.
Dentro del área de control de entrada de datos se localizan los siguientes Puntos de Control:
2. Punto de control: usuario y operador de entrada de datos. Los objetivos de este punto de
control se apoyan en la necesidad de:
Los programas de computación deben ser sometidos a pruebas antes de ser lanzados a
producción rutinaria, y los datos de entrada también deben ser controlados antes de ingresar a
un procesamiento, el auditor debe revisar las condiciones bajo las cuales se realiza el
procesamiento interno. Programar controles sobre el procesamiento tiene sus razones; una de
ellas es que un programa puede ser modificado indebidamente (con intención o
accidentalmente). Los controles que comprueban el procesamiento de la computadora son:
1. Custodia de los formulario críticos o negociables, estos son los formularios en blanco
que serán destinados para ser impresos por computadora.
2. Conciliación entre formularios salidos del inventario y aquellos procesados (impresos).
Una persona ajena a quien genere la impresión deberá conciliar y fundamentar las
razones de las diferencias por errores de impresión, mutilaciones, etc.
3. Conciliación de importes totales contenidos en las salidas: El encargado del Control de
Datos deberá conciliar los importes totales de salida con los respectivos importes totales
de datos de entrada.
4. Control de distribución y verificación de recepción: mantener la confidencialidad de la
información reservada.
5. Tiempo de retención de informes: La política de retención deberá determinar los
tiempos fijados desde el punto de vista legal y desde la normativa interna de la empresa.
6. Información de salida para corrección de errores: Los programas prevén métodos de
detención de errores, en estos casos, los errores se imprimen en un listado o bien se
muestran por pantalla pero lo realmente importante es verificar que los mismos queden
registrados en almacenamiento transitorio hasta tanto se verifique su corrección y
reingreso al proceso.
Son las herramientas que auxilia al administrador para llevar a cabo el proceso de control. Las
técnicas de planeación son, a su vez, de control y, en esencia, los controles no son más que
sistemas de información.
b) Reportes de información que presentan datos más extensos a fin de que la gerencia pueda
formular planes.
1.-Unidad del tema. Cada informe debe referirse a un solo tema a fin de evitar confusiones.
2.- Concentración sobre las excepciones. Debe revelar indicadores importantes, puntos débiles
y fuertes más que situaciones comunes.
3.- Claridad y concisión. Los informes muy largos, detallados y genéricos, originan confusión y
desatención por parte de quien los recibe.
5.- Equilibrio entre la uniformidad y la variedad. La empresa debe contar con una estructura
fundamental de informes, mismos que no deben cambiarse constantemente
6.- Frecuencia de los reportes. El hecho de que para controlar sea necesario contar con
información oportuna y periódica.
Son elementos indispensables para la transmisión y registro de datos relativos las actividades
que se desarrollan en cada departamento; existen multitud de formas que se utilizan en las
empresas que van desde una tarjeta de control de asistencia hasta una póliza de contabilidad.
Facilitan la transmisión de información a la vez que sirven para registrar adecuadamente las
operaciones. Al diseñar las formas es conveniente observar los siguientes lineamentos:
Control interno
Técnicas administrativas.
Mediante esta técnica, el auditor establece las aplicaciones críticas o módulos específicos dentro
de dichas aplicaciones que necesitan ser revisadas periódicamente, que permitan obtener
información relevante respecto a las operaciones normales del negocio. Esta técnica es muy
utilizada por los auditores internos de empresas corporativas grandes o medianas con un alto
volumen de transacciones y exige que el departamento de auditoría interna construya sus
propios aplicativos (con la ayuda del departamento de sistemas), para que puedan realizar su
trabajo de forma eficiente.
Modelaje
Esta técnica es muy similar a la técnica de Selección de Áreas de Auditoria, cuya diferencia radica
en los objetivos y criterios de selección de las áreas de interés; ya que esta técnica tiene como
objetivo medir la gestión financiera de la organización y todo lo que ello involucra.
Sistema de puntajes
Se basa sobre el mismo concepto de los sistemas distribuidos, en el que una organización con
varias sucursales u oficinas remotas, dispone de un software de auditoria capaz de ser utilizado
en dichas sucursales y a la vez, pueda actualizar y almacenar la información resultante en una
base de datos principal, generalmente ubicada en la matriz de la organización.
Centros de competencia
Las empresas cada vez más dependen de los sistemas como medio para alcanzar los objetivos
definidos, el auditor interno cada vez más debe interiorizarse del funcionamiento de dichas
aplicaciones, de los riegos que las mismas acarrean así como la forma de monitorear y mitigar
dichos riesgos. Un aspecto principal a la hora de analizar el control interno dentro de una
organización es poder diferenciar que es “Un control de aplicación” vs. “Controles generales del
ambiente de computo”.
En primer término, los “Controles de aplicación” son aquellos controles que son aplicables para
un determinado proceso de negocio o aplicación, entre ellos podemos encontrar la edición de
registros, segregación de funciones, totales de control, logs de transacciones y reportes de
errores. El objetivo principal de los controles de aplicación es asegurar:
En este sentido pueden existir distintos tipos de controles de aplicación como ser:
Controles de Ingreso: Los cuales son utilizados para mantener la integridad de los datos que son
ingresados al sistema,
Logs: Principalmente utilizados como “Audit Trail”, permiten a la gerencia identificar hechos
inusuales para posterior investigar los mismos. Adicionalmente como otra clasificación podemos
estar encontrando los controles preventivos, básicamente asociados a los controles automáticos
de una aplicación. Y los controles detectivos, principalmente asociados a controles de aplicación
y manuales posteriores.
Por otro lado tenemos los controles generales del ambiente de cómputo (ITGC). Estos controles
aplican a todos los sistemas, controles y datos.
Un aspecto importante a considerar para el Auditor Interno, es que la confianza que tengamos
sobre los Controles de aplicación estará directamente asociada con la confianza que
depositemos en los ITGC. El segundo aspecto a considerar es la complejidad del ambiente de
sistemas que tengamos. Un ambiente menos complejos, tendrá un menor volumen de
transacciones, y no tendremos un gran número de controles inherentes o configurables en que
la gerencia pueda confiar.
1. Definir el universo de aplicaciones, bases de datos y tecnología de soporte que utilizan los
controles de aplicación,
2. Definir los factores de riesgo asociados con cada aplicación. Por ejemplo:
¿Es control clave? ¿El diseño es efectivo? ¿Es un software pre configurado o bien desarrollo
propio? ¿La aplicación soporta más de un proceso crítica? ¿Cuál es la frecuencia de los cambios
de la aplicación? ¿Cuál es la complejidad de los cambios? ¿Cuál es el impacto financiero? ¿Cuál
es la efectividad de los ITGC?
Todos estos elementos ponderados terminarán dando para cada aplicación un total que
determinará el ranking del nivel de riesgo para cada aplicación, considerando tanto factores
cuantitativos como cualitativos, como por ejemplo: -Controles con Bajo, medio o alto impacto ó
-Por ejemplo 1= Control fuerte a 5= inadecuado control
Una vez rankeada todas las aplicaciones, y evaluado los resultados, debemos generar un plan de
acción basado en la evaluación de riesgos enunciada anteriormente, que tienda a mitigar los
riesgos asociados con las aplicaciones que tuvieron un mayor score en el ranking.
Técnicas para seleccionar y monitorear transacciones
Para la realización de una transacción o seleccionar una información o datos, se debe usar
técnicas y procedimientos y que permitan la buena ejecución del mismo además de que debe
llevar un monitoreo de los procesos.
Estas técnicas para la selección monitoreo de transacciones, tienen como objetivo la selección
y análisis de transacciones significativas de forma permanente utilizando procedimientos
analíticos y técnicas de muestreo.
No solo los archivos necesitan ser examinados, los programas también deben pasar por un
examen para saber de su funcionamiento, se necesitan o no de actualizaciones, se deben o no
ser cambiados por unos mejores, para saber si realmente es importante para la organización,
entre otros. Esto es importante porque permite saber con qué contamos, cuál es su aplicación
y cuáles son los beneficios para la organización, es importante también porque brinda
información por la cual la gerencia puede tomar decisiones sea para la compra o no de otro
programa, de cómo optimizar lo que ya tiene para el mejor desempeño de las actividades dentro
de la organización.
Programa de auditoria a la medida: son rutinas diseñadas para evaluar los procesos
sistematizados de la empresa. Se dividen en dos tipos, la primera es diseñada por el
departamento de programación o sistema de la empresa para monitorear o diseñar medidas de
control y el segundo es realizado por el mismo auditor. Este programa es diseñado a la necesidad
de la empresa y disponibilidad del auditor.
Se define a los programas de aplicación como aquellos que siendo estandarizados y a la medida
tiene como objetivo resolver problemas utilizando el computador. Snapshot (Imagen
Instantánea ), Mapping (Mapeo), Tracing (Rastreo), Flujogramas de control (control
flowcharting), Comparaciones de código, Control de bytes, Análisis de la lógica de los programas.
UNIDAD III
AMBIENTE DE CONTROL
EVALUACIÓN DE RIESGOS
Riesgos. Los factores que pueden incidir interfiriendo el cumplimiento de los objetivos
propuestos por el sistema ( organización) , se denominan riesgos. Estos pueden provenir del
medio ambiente ó de la organización misma. Se debe entonces establecer un proceso amplio
que identifique y analice las interrelaciones relevantes de todas las áreas de la organización y de
estas con el medio circundante, para así determinar los riesgos posibles.
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
La capacidad gerencial de una organización está dada en función de la obtención y uso de una
información adecuada y oportuna. La entidad debe contar con sistemas de información
eficientes orientados a producir informes sobre la gestión, la realidad financiera y el
cumplimiento de la normatividad para así lograr su manejo y control.
SUPERVISIÓN Y SEGUIMIENTO
Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que
impida los accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad
diaria para detectar errores u omisiones.
Configuración del ordenador base: Configuración del soporte físico, en torno del sistema
operativo, software con particiones, entornos (pruebas y real), bibliotecas de programas y
conjunto de datos.
Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e
información, integridad del sistema, controles de supervisión, etc.
Para la implantación de un sistema de controles internos informáticos habrá que definir:
Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para
el diseño y la implantación de los sistemas de información y de los controles correspondientes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el software del
sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
6. Informe de auditoría.
UNIDAD IV
Una política de seguridad informática PSI es una forma de comunicarse con los usuarios y los
gerentes. Las PSI establecen el canal formal de actuación del personal, en relación con los
recursos y servicios informáticos, importantes de la organización. No se trata de una descripción
técnica de mecanismos de seguridad, ni de una expresión legal que involucre sanciones a
conductas de los empleados. Es más bien una descripción de los que deseamos proteger y el
porqué de ello. Cada PSI es consciente y vigilante del personal por el uso y limitaciones de los
recursos y servicios informáticos críticos de la compañía.
Como mencionábamos en el apartado anterior, una PSI debe orientar las decisiones que se
toman en relación con la seguridad. Por tanto, requiere de una disposición por parte de cada
uno de los miembros de la empresa para lograr una visión conjunta de lo que se considera
importante. Las PSI deben considerar entre otros, los siguientes elementos:
· Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la cual aplica. Es una
invitación de la organización a cada uno de sus miembros a reconocer la información como uno
de sus principales activos así como, un motor de intercambio y desarrollo en el ámbito de sus
negocios. Invitación que debe concluir en una posición.
· Responsabilidades por cada uno de los servicios y recursos informáticos a todos los niveles de
la organización.
· Responsabilidades de los usuarios con respecto a la información a la que ella tiene acceso. Las
PSI deben ofrecer explicaciones comprensibles acerca de por qué deben tomarse ciertas
decisiones, transmitir por qué son importantes estos u otros recursos o servicios.
Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el
punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad
de la misma será nula si no se ha previsto como combatir un incendio.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema
informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la
detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de
operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la
sala, que intentar acceder vía lógica a la misma.
Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante
y restrictiva, aunque siempre deberemos tenerla en cuenta. A continuación mencionaremos
algunos de los problemas de seguridad física con los que nos podemos enfrentar y las medidas
que podemos tomar para evitarlos o al menos minimizar su impacto.
Entonces, ¿qué conceptos deberíamos conocer que puedan ayudarnos a proteger nuestra red
y prevenir esta nueva ola de ataques cibernéticos modernos?
Encriptación: En el caso de que los datos sean interceptados, la encriptación dificulta que los
hackers hagan algo con ellos. Esto se debe a que los datos encriptados son ilegibles para usuarios
no autorizados sin la clave de encriptación. La encriptación no se debe dejar para el final, y debe
ser cuidadosamente integrada en la red y el flujo de trabajo existente para que sea más exitosa.
Detección de intrusión y respuesta ante una brecha de seguridad: Si en la red ocurren acciones
de aspecto sospechoso, como alguien o algo que intenta entrar, la detección de intrusos se
activará. Los sistemas de detección de intrusos de red (NIDS) supervisan de forma continua y
pasiva el tráfico de la red en busca de un comportamiento que parezca ilícito o anómalo y lo
marcan para su revisión. Los NIDS no sólo bloquean ese tráfico, sino que también recopilan
información sobre él y alertan a los administradores de red.
Firewall: Software o hardware diseñado con un conjunto de reglas para bloquear el acceso a la
red de usuarios no autorizados. Son excelentes líneas de defensa para evitar la interceptación
de datos y bloquear el malware que intenta entrar en la red, y también evitan que la información
importante salga, como contraseñas o datos confidenciales.
Análisis de vulnerabilidades: Los hackers suelen analizar las redes de forma activa o pasiva en
busca de agujeros y vulnerabilidades. Los analistas de seguridad de datos y los profesionales de
la evaluación de vulnerabilidades son elementos clave en la identificación de posibles agujeros
y en cerrarlos. El software de análisis de seguridad se utiliza para aprovechar cualquier
vulnerabilidad de un ordenador, red o infraestructura de comunicaciones, priorizando y
abordando cada uno de ellos con planes de seguridad de datos que protegen, detectan y
reaccionan.
Información de seguridad y gestión de eventos: Hay una línea aún más holística de defensa que
se puede emplear para mantener los ojos en cada punto de contacto. Es lo que se conoce como
Información de Seguridad y Gestión de Eventos (SIEM). SIEM es un enfoque integral que
monitoriza y reúne cualquier detalle sobre la actividad relacionada con la seguridad de TI que
pueda ocurrir en cualquier lugar de la red, ya sea en servidores, dispositivos de usuario o
software de seguridad como NIDS y firewalls. Los sistemas SIEM luego compilan y hacen que esa
información esté centralizada y disponible para que se pueda administrar y analizar los registros
en tiempo real, e identificar de esta forma los patrones que destacan.
Ciberseguridad: HTTPS, SSL y TLS: Las conexiones cifradas y las páginas seguras con protocolos
HTTPS pueden ocultar y proteger los datos enviados y recibidos en los navegadores. Para crear
canales de comunicación seguros, los profesionales de seguridad de Internet pueden
implementar protocolos TCP/IP (con medidas de criptografía entretejidas) y métodos de
encriptación como Secure Sockets Layer (SSL) o TLS (Transport Layer Security).
Detección de amenazas en punto final: Los usuarios reales, junto con los dispositivos que usan
para acceder a la red (por ejemplo, teléfonos móviles, ordenadores portátiles o sistemas TPV
móviles), suelen ser el eslabón más débil de la cadena de seguridad. Se deben implementar
varios niveles de protección, como tecnología de autorización que otorga acceso a un dispositivo
a la red.
Prevención de pérdida de datos (DLP): Puede implementarse software DLP para supervisar la
red y asegurarse de que los usuarios finales autorizados no estén copiando o compartiendo
información privada o datos que no deberían.
La cantidad de experiencia necesaria para administrar una nube eclipsa la experiencia que la
mayoría de las empresas individuales pueden tener. La experiencia que se encuentra en los
proveedores de servicios gestionados por la nube está muy centrada en la seguridad de datos.
La mayoría de soluciones locales se desarrollan a lo largo de años, a veces hasta décadas. Cuando
surgen inquietudes y nuevos requisitos, los arquitectos y los gestores de soluciones se ven
obligados a mejorar y actualizar sus sistemas. Este ciclo de desarrollo es similar para soluciones
en la nube con una diferencia importante: la seguridad se desarrolla en la solución desde el
principio.
Auditoría continua
Automatización y Repetibilidad
La idea de que las infraestructuras locales son más seguras que las infraestructuras en la nube
es un mito. Las peores infracciones ocurren detrás de los firewalls de las empresas y de sus
propios empleados. Las economías de escala requeridas por los proveedores de la nube han
mostrado un menor número de interrupciones del servicio y recuperaciones más rápidas,
reduciendo el tiempo de inactividad sufrido por los clientes de la nube. La monitorización y la
dotación de personal 24/7/365 permite identificar y resolver problemas rápidamente.
Las mejores soluciones de seguridad ayudan a las organizaciones a reducir el riesgo de seguridad
de datos, respaldan las auditorías para el cumplimiento con regulaciones y privacidad, frenan el
abuso de información privilegiada y protege los datos confidenciales y confidenciales.
Comprender el riesgo de los datos sensibles es clave. El análisis de riesgo de datos incluye
descubrir, identificar y clasificarlo, por lo que los administradores de datos pueden tomar
medidas tácticas y estratégicas para asegurar que los datos sean seguros.
Riesgo de cumplimiento
Se hace necesario el uso de algunas herramientas que ayuden a mitigar todo esto:
UNIDAD V
Confirmación: El auditor deberá estar plenamente seguro de que los datos y hechos que
sustentan su dictamen son verídicos y confiables, por lo que deberá confirmar que hayan sido
obtenidos con técnicas de auditoria válidas. Algunos ejemplos de confirmaciones son: Revisar
las licencias del software instalado en los sistemas de cómputo con el objetivo de confirmar que
no hay software pirata Confirmar la confiabilidad de los accesos, protecciones, password y
medidas de seguridad establecidas para el acceso a los sistemas y a las bases de datos con el fin
de confirmar que no son vulnerables. Comparación: Se utiliza para validar la confiabilidad de los
sistemas y procedimientos. Consiste en procesar los mismos datos en dos sistemas similares
para medir la veracidad la oportunidad y la confiabilidad de dichos sistemas. También se puede
realizar una comparación de datos procesados por el sistema con datos procesados de forma
manual. Algunos ejemplos de comparación en el área de sistemas son: Comparar las similitudes
y diferencias en la aplicación de una metodología para análisis y diseño de sistemas entre
diferentes proyectos de sistemas Determinar la eficiencia y efectividad de una instalación
computacional comparando las actividades desarrolladas en dos centros de cómputo similares.
Revisión de documentos: Esta es una herramienta muy socorrida por las auditorias fiscales y
financieras y consiste en revisar los documentos que sustenten los registros del software.
Las herramientas son el conjunto de elementos que permiten llevar a cabo las acciones definidas
en las técnicas. Las herramientas utilizadas son: cuestionarios, entrevistas, checklist, trazas y
software de interrogación.
De rango: las preguntas han de ser puntuadas en un rango establecido (por ejemplo de
1 a 5, siendo 1 la respuesta más negativa y 5 la más positiva), permite una mayor
precisión en la evaluación, aunque depende, claro está, del equipo auditor.
Binaria: las respuestas sólo tienen dos valores (de ahí su nombre) cuya respuesta puede
ser Si o No, con una elaboración más compleja, deben ser más precisos.
La siguiente herramienta que se utiliza, las trazas, se basa en el uso de software, que permiten
conocer todos los pasos seguidos por la información, sin interferir el sistema.
Además del uso de las trazas, el auditor utilizará, los ficheros que el próximo sistema genera y
que recoge todas las actividades que se realizan y la modificación de los datos, que se conoce
con el nombre de log. El log almacena toda aquella información que ha ido cambiando y como
ha ido cambiando, de forma cronológica. En los últimos años se ha utilizado el software de
interrogación para auditar ficheros y bases de datos de la organización. Las herramientas de
productividad permiten optimizar recursos en el desarrollo del proyecto.
El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso
entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los
efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones
de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser
auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.
Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los
objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del
cliente, de forma que las metas fijadas puedan ser cumplidas. Una vez definidos los objetivos
(objetivos específicos), éstos se añadirán a los objetivos generales y comunes de a toda auditoría
Informática: La operatividad de los Sistemas y los Controles Generales de Gestión Informática.
Organización: Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién
ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:
5) Los flujos de información entre los grupos de una organización son necesarios para su
eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. En
ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin
los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen
porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa.
Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales
o simple comodidad. Estos flujos de información son indeseables y producen graves
perturbaciones en la organización.
6) Flujos de Información: El equipo auditor comprobará que los nombres de los Puesto de los
Puestos de Trabajo de la organización corresponden a las funciones reales distintas. Es frecuente
que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de
funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales;
los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo
verdaderamente diferentes.
8) Número de personas por Puesto de Trabajo. Es un parámetro que los auditores informáticos
deben considerar. La inadecuación del personal determina que el número de personas que
realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos
humanos y materiales que han de emplearse en la auditoría.
Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son
proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse
igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas
de uso entre el auditor y cliente.
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos
de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cual
habrá de convenir, tiempo de máquina, espacio de disco, impresoras ocupadas, etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las características y perfiles del
personal seleccionado depende de la materia auditable. Es igualmente reseñable que la
auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de
probada experiencia multidisciplinaria.
Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen
un plan de trabajo. Decidido éste, se procede a la programación del mismo. El plan se elabora
teniendo en cuenta, entre otros criterios, los siguientes:
a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la
elaboración es más compleja y costosa.
Auditoría por temas generales o por áreas específicas: La auditoría Informática general se realiza
por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente
la mayor calidad y el empleo de más tiempo total y mayores recursos. Cuando la auditoría se
realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que afectan a la
misma, de forma que el resultado se obtiene más rápidamente y con menor calidad.
Técnicas de Trabajo:
Herramientas:
El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo.
Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas,
con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.
- El informe debe incluir solamente hechos importantes. La inclusión de hechos poco relevantes
o accesorios desvía la atención del lector.
Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación.
La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares
existentes en la instalación.
1. – Hecho encontrado.
o Ha de ser relevante para el auditor y pera el cliente.
o Ha de ser exacto, y además convincente.
o No deben existir hechos repetidos.
2. – Consecuencias del hecho
o Las consecuencias deben redactarse de modo que sean directamente
deducibles del hecho.
3. – Repercusión del hecho
o Se redactará las influencias directas que el hecho pueda tener sobre otros
aspectos informáticos u otros ámbitos de la empresa.
4. – Conclusión del hecho
o No deben redactarse conclusiones más que en los casos en que la exposición
haya sido muy extensa o compleja.
5. – Recomendación del auditor informático
o Deberá entenderse por sí sola, por simple lectura.
o Deberá estar suficientemente soportada en el propio texto.
o Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementación.
o La recomendación se redactará de forma que vaya dirigida expresamente a la
persona o personas que puedan implementarla.