Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Auditora DE SISTEMAS
Objetivo A travs del presente trabajo intentamos dar una introduccin a la auditoria de sistemas. Si bien su alcance es bastante amplio y muchos de los puntos de control que se mencionaran en el presente documento mereceran de un exhaustivo estudio, simplificamos los conceptos para poder hacer de ellos elementos representativos de una actividad de no muchas veces la asociamos a nuestra carrera. Si desean profundizar los conceptos, pueden recurrir a la bibliografa que se menciona al final del documento. I. Introduccin La utilizacin de la computadora ha ocasionado en las empresas una serie de problemas. Se enumeran algunos: 1. Concentracin de informacin los sistemas de informacin de
2. Falta de registros visibles. 3. Posibilidades de alterar los programas y/o la informacin si dejar huellas o rastros visibles.
4. Factibilidad de hacer desaparecer la informacin con extremada rapidez.
5. Los sistemas Online presentan el problema de armonizar la eficiencia operativa con los
aspectos de controles. 6. Complejidad de la operatoria.
Segn el estudio realizado sobre la base de los avisos publicados en los diarios de varios pases y revistas especializadas surge que el perfil del auditor en sistemas es el siguiente: 1. Formacin universitaria, preferencia en Ciencias econmicas o administracin, en la actualidad se piden profesionales de Informtica. 2. Actuacin anterior en importantes Estudios de Auditora o en auditorias internas de empresas de envergadura. 3. Conocimientos profundos de Computacin. Slida experiencia en anlisis, diseo y programacin de sistemas. Muy buenos conocimientos de sistemas operativos (OS, VM, etc.) 4. Anlisis y codificacin de programas de auditoria. 5. Dominio de las tcnicas de auditoria por computadoras. 6. Excepcionales condiciones personales y profesionales para poder tratar con los sectores auditados, que en el rea de procesamiento de datos poseen una alta formacin tcnica. 7. Alta adaptacin a los cambios tecnolgicos y metodolgicos. Auditora
d) Lograr que en la ejecucin de las operaciones se cumplan las polticas establecidas por los administradores de la Empresa. A. Objetivo del Auditor
B. Evaluar la eficiencia y eficacia con que se est operando para que por medio de cursos
alternativos de accin se tomen decisiones que permitan corregir los errores en caso de que existan, o bien mejorar la forma de actuacin. La Auditora debe ser ms amplia que la simple deteccin de errores, debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solucin. El examen que conforma una auditora informtica abarca una serie de controles, verificaciones, y juicios, etc. que concluyen en un conjunto de recomendaciones y un plan de accin. Es la elaboracin de este plan de accin lo que diferencia a la auditora informtica de lo que sera una auditora tradicional. Por ejemplo, cuando un auditor efecta un recuento de fondos, no esta poniendo en tela de juicio la honorabilidad del cajero. Esta cumpliendo con una exigencia profesional que impone el recuento de los bienes tangibles. Aplicado a la auditoria de sistemas, no se trata de ingresar al centro de cmputos para realizar una labor de espionaje por cuanto se duda de sus integrantes, sino de llevar a cabo una tarea profesional tendiente a la obtencin de elementos de juicio que permitan emitir una dictamen sobre la razonabilidad de los estados contables.
a. Control de Calidad: mediante una definicin de la forma en que se deben llevar a cabo y
documentar su actividad los analistas y programadores, pueden establecerse pautas de calidad y practicarse los controles correspondientes.
Consistencia: establecer la relacin que debe existir entre dos o ms campos de un mismo registro. Rango Limites Cdigos.
Verificaciones cruzadas: es la suma o sustraccin de dos o ms campos y el balanceo del resultado a cero contra el resultado original.
B. Se merece un anlisis integral del tema a los efectos de determinar los riesgos ms comunes,
posibilidades de implantar medidas de prevencin y sus costos y el estudio de los medios de backup y recuperacin. Los sistemas de computacin deben ser protegidos de tres tipos de peligros: desastres naturales, errores y omisiones humanas y actos intencionales. Seguridad Seguridad de la informacin: proteccin contra destruccin accidental o intencional, revelacin a terceros o modificacin. Seguridad del procesamiento de datos: comprende medidas preventivas de caracteres tecnolgico y las polticas gerenciales aplicables al hardware, software e informacin para obtener la salvaguarda de los activos de la entidad y la privacidad individual. Privacidad Dada la gran capacidad de almacenamiento de los medios magnticos y de los computadores empleado es factible la creacin de bases de datos de miles de individuos. Confidencialidad Informacin que deba mantenerse en secreto. Integridad Cuando la informacin no difiere de la contenida en los documentos originales. 1. Evitar: Anlisis de actividades que debern interrumpirse por cuantas los riesgos son muy grandes. Disuadir: Contar con medidas de proteccin que inspiren respeto. Como para mover a alguien a desistir de sus propsitos. Prevenir: Ligada a los aspectos fsicos. Detectar: Muchas medidas preventivas no resultaran efectivas de no incorporarse la posibilidad de la deteccin del riesgo en el sistema de seguridad.
Recuperar y corregir: Resultado vital, dada la vulnerabilidad de una operacin electrnica contar con las medidas y los medios que posibiliten su recuperacin ante cualquier falla de hardware, software, errores de operacin o informacin errnea. 2. Funciones de la seguridad 3. Estrategias de Seguridad Cada riesgo debera ser atacado de tres formas: a. Minimizar la posibilidad de ocurrencia b. Reducir al mnimo el perjuicio sufrido, si no ha podido evitarse que ocurriera.
c. Diseo de mtodos para una rpida recuperacin de los daos experimentados. d. Correccin de las medidas de seguridad en funcin de la experiencia recogida
(retroalimentacin del proceso). A. Anlisis de Riesgos Muchas de las decisiones gerenciales estn basadas en la premisa de la existencia de ciertos riesgos que en el caso de concretarse implicaran que los cursos de accin previstos podran verse alterados. En una operatoria electrnica de los riesgos son muchos y de variada naturaleza. Para la toma de decisiones basadas en elementos de juicio que posibiliten la eliminacin de la incertidumbre resultara necesario un anlisis de los riesgos que permitan su conocimiento, probabilidad de ocurrencia y cuantificacin (matriz de riesgo). Dos elementos claves en el anlisis de riesgo son: Determinacin del impacto que originara un acontecimiento Fijacin de la probabilidad de ocurrencia de un hecho, dentro de un lapso especificado.
2. Soportarlo o tolerarlo con la debida conciencia, tratndose de casos en los que el perjuicio
ocasionara efectos menores. 3. Reducirlo, adoptando contramedidas
B. Comprende todas las disposiciones convenientes en materia de control fsico de acceso a las
instalaciones, registraciones sobre ingreso y egreso de personas,
vigilancia, circuitos cerrados de televisin, etc. Integran la seguridad general de cualquier entorno. Nos dedicaremos a los riesgos ms importantes que corren en un centro de cmputos. Resultara necesario estudiar las medidas de adopcin ms convenientes para salvar una circunstancia de tipo accidental o intencional que impida la continuidad de la operatoria, como consecuencia de algn inconveniente de cualquier tipo. En este tema confluyen los aspectos de tipo operativo con los requerimientos del sistema de control interno electrnico. C. Resguardo y Recuperacin.
D. Seguridad Lgica.
Se refiere a los controles de software o controles interno de hardware existentes en el sistema para prevenir o detectar el ingreso d la informacin no autorizada al sistema o accesos no autorizados a la informacin de la empresa. A. Concepto de Auditoria Informtica
2. Evaluacin del diseo lgico del sistema. 3. Evaluacin del desarrollo fsico del sistema 4. Control de proyectos 5. Control de sistemas y programacin 6. Instructivos y documentacin 7. Formas de implantacin 8. Seguridad lgica y fsica de los sistemas y sus datos. 9. Confidencialidad de los sistemas 10. Controles de mantenimiento y forma de respaldo de los sistemas. 11. Utilizacin de los sistemas. c) Evaluacin del proceso de datos y de los equipos de procesamiento. 1. Controles de los datos fuentes y manejo de cifras de control 2. Control de operacin 3. Control de salida 4. Control de asignacin de trabajos 5. Control de asignacin de medios de almacenamiento masivos 6. Control de otros elementos de cmputo 7. Orden en el Centro de Procesamiento. 8. Seguridad fsica y lgica. 9. Respaldos. La definicin de los objetivos perseguidos en la auditoria informtica debe preceder a la eleccin de los medios y de las acciones, si se pretende evitar el predominio de estos ltimos. Para lograr un buena planeacin es conveniente primero obtener informacin general sobre la organizacin y sobre la funcin informtica a evaluar. Para ello es preciso una investigacin preliminar y algunas entrevistas previas, para establecer
un programa de trabajo en el que se incluir el tiempo, costo, personal documentos auxiliares a solicitar o formular durante el desarrollo de la AI. A. Investigacin Preliminar B. Planeacin de la Auditoria Informtica
necesario y
Se debe recopilar informacin para obtener una visin general del rea a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, as como el programa detallado de la investigacin. La planeacin de la auditora debe sealar en forma detallada el alcance y direccin esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito. Se debe hacer una investigacin preliminar solicitando y revisando la informacin de cada una de las reas de la organizacin. Para poder analizar y dimensionar la estructura por auditar se debe solicitar: 1- A nivel Organizacin Total: a. Objetivos a corto y largo plazo b. Manual de la Organizacin
g. Planes de expansin h. Ubicacin general de los equipos i. Polticas de operacin j. Polticas de uso o de equipos 4- Sistemas
a. Manual de formularios.
b. Manual de procedimientos de los sistemas c. Descripcin genrica
b) en el caso de que se tenga la informacin pero no se use, se debe analizar porque no se usa: es incompleta, no esta actualizada, no sea la adecuada, etc. Como resultado de los trabajos preliminares se debe explicitar: objetivo alcance limitaciones y colaboracin necesarias grado de responsabilidad Informes que se entregaran I. Fases de la Auditora Informtica A. TOMA DE CONTACTO B. PLANIFICACION DE LA OPERACION C. DESARROLLO DE LA AUDITORIA D. FASE DE DIAGNOSTICO E. PRESENTACION DE LAS CONCLUSIONES F. FORMULACION DEL PLAN DE MEJORAS A. Esta fase tendr mucho mas sentido si el equipo auditor es externo a la organizacin, ya que en ella se recaba toda la informacin preliminar. Estudio preliminar y determinacin de alcances. Es en definitiva una larga lista de elementos que permiten al auditor conocer la organizacin donde se ubicar para efectuar su trabajo. B. Toma de Contacto En esta etapa se debern establecer: - Definitivamente el objetivo de la AI - Las reas a cubrir - Personas de la Organizacin que habrn de colaborar y en que momentos de la auditoria - Plan de trabajo: - tareas - calendario - resultados parciales - presupuesto
- equipo auditor necesario C. Planificacin de la Operacin D. Desarrollo de la Auditoria Informtica Es el momento de ejecutar las tareas que se enunciaron en la fase anterior. Es esta una fase de observacin, de recoleccin de datos, situaciones, deficiencias, en resumen un perodo en el que:
se observarn las situaciones deficientes, no solo las aparentes, sino las que hasta ahora no
necesidad de recursos, como la optimizacin de programas, o de la documentacin, e incluso de algunos aspectos de diseo de los sistemas. Para finalizar, las consideraciones a largo plazo, pueden llevar cambios sustanciales en las polticas, medios o incluso estructuras del servicio de informtica. Estas mejoras pueden pasar por la reconsideracin de los sistemas en uso o de los medios, humanos y materiales, conque se cuenta, llegando si es preciso a una seria reconsideracin del plan informtico. ALGUNAS RECOMENDACIONES A TENER EN CUENTA: 1- No hacer juicios sin la suficiente fundamentacin 2- Cuidar los aspectos de imagen, presentacin y protocolo 3- No adelantar resultados parciales que pueden distorsionar el resultado final 4- Las entrevistas iniciales son un aspecto muy a cuidar. Hay que prepararlas muy bien para que surtan el efecto que de ellas se espera. 5- En todo momento, por cordiales que resulten las relaciones con los auditados, no perder de vista el papel de consultores experimentados que han de tener los auditores informticos. 6- Exponer la idea que los resultados de la auditoria no harn ms que intentar mejorar, a todos los efectos, el servicio de informtica con el beneficio que ello supondra para todos los implicados en el rea. 7- Exponer la idea que al final de la auditoria no se trata de castigar a nadie. El objetivo fundamental es el de encontrar deficiencias y corregirlas. 8- Estudiar hechos y no opiniones. (no se toman en cuenta rumores ni informacin sin fundamento) 9- Investigar las causas, no los efectos. 10- Atender razones, no excusas. 11- Criticar objetivamente y a fondo todos los informes y los datos recabados.
ENTORNO DE HARDWARE: donde se vigilar entre otras cosas los locales, el software de acceso, alarmas, sistemas anti-incendios, proteccin de los sistemas, fiabilidad del Hardware, etc. ENTORNO DEL SOFTWARE: en esta rea la Auditoria Informtica analizar los sistemas de prevencin y deteccin de fraudes, los exmenes a aplicaciones concretas, los controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y seguridad del software. A. Planificacin 1. Objetivos B. Clasificacin por reas de Aplicacin de la Auditoria Informtica Determinar que planes del proceso de datos estn coordinados con los planes generales de la organizacin. Revisar planes de informtica y determinar su idoneidad. Contrastar el plan con su realizacin Determinar el grado de participacin y responsabilidad de directivos y usuarios en la planificacin. Participar incluso en el proceso de la planificacin Revisar los planes de desarrollo de software de aplicaciones.
El auditor informtico centrar especialmente su atencin en: a. El sistema de informacin b. La planificacin del desarrollo c. La planificacin de proyectos
1. Esta orientada a asegurar que existe suficiente proteccin: control interno, separacin de
funciones, seguridad y fiabilidad del sistema, continuidad y seguridad en los procedimientos en las distintas reas: a. rea de control o Produccin 2. Auditoria de los procedimientos Comprobar la calidad de los trabajos entregados. Establecer separacin de funciones
a. Implementaciones Registro de streams (jobs) Existencia de jobs para reprocesos y recuperacin de sistemas. Existencia de estndares, instrucciones y manuales adecuados que gobiernen la preparacin de los jobs. a. Mantenimiento de programas Existencia de una metodologa de control de cambios. Incluye los mtodos para solicitar y autorizar modificaciones. Existencia de registro de las modificaciones.
Verificar si el personal de desarrollo no tiene acceso a datos operativos. Documentacin adecuada de todos los trabajos. a. Programador
Existencia de supervisin eficaz, con control sobre la calidad de los trabajos (cumplimiento de normas de programacin) Prueba de los sistemas, documentadas y sin datos reales. Existencia de programas en libreras de desarrollo y su envo a produccin cuenta con la autorizacin necesaria. Trabajos de mantenimiento controlados y debidamente documentados y autorizados. a. Seccin de despacho
Existencia de estndares y procedimientos adecuados para el despacho de trabajos y su prioridad. Existencia de procedimientos para manejar informacin confidencial. Existencia de registro de errores y problemas Existencia de impresos controlados en manos de personas no autorizadas o manipuladas incorrectamente. Existencia de mtodos de destruccin de impresos caducados y asegurarse de que no se corren riesgos innecesarios. a. Biblioteca de documentacin (s existiera)
Responsabilidad de las personas para que las modificaciones de software o sistemas sean
depositadas (sus copias) en la biblioteca. Existencia de encargados de mantener registro, seguridad de documentos, actualizacin de copias y autorizacin la salida de documentos. a. Equipo de backup Determinar los distintos niveles de fallos del sistema y equipos asociados. Debern establecerse las necesidades mnimas del usuario para cada nivel y duracin de la avera. Existencia de un anlisis de riesgos, posibles perdidas o efectos, disponiendo de la cobertura de seguros. a. Seguridad de archivos y datos. Existencia de estndares y procedimientos para el almacenamiento y proteccin de los datos. Existencia de condiciones y tiempos de retencin de documentos y archivos de las aplicaciones. a. Control de teleproceso Examinar el registro de control de teleproceso Probar la seguridad del sistema y procesos de teleproceso. Inspeccionar algunos procesos de entrada y analizar la eficacia del control.
Desarrollo de Sistemas
A. El auditor deber conocer en detalle las distintas etapas en la formulacin de los sistemas y
las metodologas ms usuales en la construccin de los mismos. Se debe hacer auditoria cada vez que se realice una aplicacin nueva o una modificacin importante. El objetivo es que la calidad de las estructuras y procedimientos del sistema sea tan buena como sea posible. 1. Objetivos y puntos a verificar
Examinar metodologa de construccin en uso. Revisar la definicin de los objetivos del sistema, analizar si cumple con las necesidades de los
usuarios.
Revisar el control y planificacin del proyecto. Verificar que el control de datos sea adecuado. Verificar el control de formularios. Controlar si los manuales son suficientes (en cantidad de informacin). Existencia de una adecuada separacin de funciones entre las reas administrativas y las
mecanizadas. Asegurar la fiabilidad y continuidad del sistema
Verificar los medios dispuestos para el desarrollo del sistema Analizar los medios de seguridad con que se va a dotar al sistema.
Analizar las insuficiencias detectadas y su impacto en los procedimientos futuros.
Se deber asegurar en el desarrollo del sistema: seguridad, precisin y eficacia. 1. Momento para efectuar la auditoria de desarrollo. a. Cuando esta realizndose el desarrollo: las modificaciones sugeridas pueden incorporarse al sistema en forma oportuna y econmica.
b. Antes del desarrollo: las recomendaciones del auditor se resumen a pautas tericas y los
esquemas de diseo iniciales pueden variar durante el desarrollo, con lo cual realizar una auditoria en este momento, seria una perdida de tiempo.
c. Despus de implementar, su nico objetivo seria poder medir la efectividad del sistema.
1. Distintos tipos de Auditoria Durante el Desarrollo Auditoria del comienzo del desarrollo del sistema En esta etapa se deber tomar contacto con las propuestas nuevas, analizar los elementos de gestin y de control, tomar contacto con los estndares de procedimientos, control de proyecto y de documentacin.
Auditoria de la propuesta de mecanizacin La propuesta de mecanizacin define las pautas del nuevo sistema y una vez aceptada se emprendera el trabajo de diseo y programacin. La auditoria debera asegurarse de que son adecuados los principios bsicos de diseo, en todo lo relacionado a control y verificacin interna. Auditoria de la propuesta detallada. Aqu se brinda detalle sobre las variaciones y particularidades del esquema general de actividad y contempla los procedimientos mecanizados y los administrativos (diagramas, diseos, registros, etc.). Se verifica las propuestas de implementacin y la calidad de las comprobaciones internas, la separacin de las funciones y fiabilidad del control. Ahora deben solucionarse los puntos dbiles o tenerse en cuenta para planificar futuras auditorias. Las especificaciones planteadas tratarn sobre la entrada, procesos, salida de archivos y su control, y las instrucciones operativas. La auditoria verificar los procedimientos para asegurar: Evidencia que deja el sistema es suficiente para rastrear errores y corregirlos. Procedimientos de salida llevan incorporados sistemas correctos de validacin y deteccin de errores. El diseo de datos de salida puede adaptarse a las modificaciones que vayan surgiendo. Documentacin de todos los archivos magnticos obedece a los estndares adecuados. Si todos los archivos estn sometidos a controles. Si la ejecucin de los procesos contiene una validacin suficiente. Proteger al sistema contra usos no autorizados. se ha planificado adecuadamente todas las tiempo, recursos y costos, previendo los puntos de control. etapas de desarrollo, con
Si
Previsin de una capacitacin adecuada. Prever emergencias e interrupciones del proceso al igual que la rutina normal de trabajo.
Auditoria de los programas y pruebas. Se realizan comprobaciones en el trabajo real de programacin:
Auditoria del aprovisionamiento del sistema y planificacin de la implantacin. Es importante asignar suficiente tiempo a la adquisicin de equipos y material para el nuevo sistema y a especificarlo minuciosamente. El equipo de auditoria deber asegurarse de que se
preparen unas especificaciones adecuadas indicando la calidad, nivel, capacidad, posibilidades y plazo de entrega. Los analistas debern trazar un plan de desarrollo e implantacin del sistema, dividiendo en etapas, indicando los tiempos y recursos necesarios. La auditoria verificar que este plan sirva para gestionar y gobernar las tareas y tendr en cuenta los tiempos para adaptar su auditoria al ritmo del proyecto. Auditoria de la documentacin y manuales de usuario y operacin del sistema. Cuando el sistema quede operativo deber preparar una documentacin completa de todos sus aspectos. El auditor asegurar que estn todos los documentos que corresponden, completos y actualizados. La auditoria deber verificar si los manuales describen procedimientos de emergencia y respaldo, as como la rutina normal de trabajo. Tambin deber existir un buen sistema de actualizacin de manuales. Auditoria de la conversin de archivos. Cuando se desarrollan sistemas nuevos suele hacer falta preparar archivos magnticos y convertir todos los datos que se tengan al formato del nuevo medio. La auditoria se preocupar que la conversin de los archivos permita que el sistema arranque con datos exactos y verificar que: La conversin de archivos se ha planificado totalmente Programas utilizados para la conversin de archivos han sido probados suficientemente. Utiliza un sistema de informacin adecuado que identifique claramente los errores.
Auditoria de las pruebas del sistema. Cuando los programadores enlazan sus programas para formar una secuencia, sta ha de probarse en su conjunto para garantizar que cumplen su cometido. La auditoria deber verificar, si la preparacin de los datos de prueba deber llevar consigo:
Recopilacin de un conjunto de datos que refleje todas las variantes de los valores y errores
que puedan surgir. Preparacin de una planificacin de los resultados que ha de producir el sistema cuando ejecute los datos de prueba.
Una vez verificada la preparacin de los datos de prueba, el auditor se preocupar de la calidad de la verificacin de los resultados, la oportunidad de las pruebas y que las mismas no han provocado corrupciones en las rutinas y/o archivos. Auditoria de la implantacin.
Se puede tener un sistema paralelo, en donde esta fase es una ampliacin de las pruebas del sistema. Si se hace directamente, el sistema arranca inmediatamente. Se estudiar el sistema de control para corroborar que los empleados lo utilizan bien desde el principio y evaluar la calidad de dicho sistema. Auditoria de la continuidad del sistema Los sistemas importantes deben ser capaces de funcionar en todo momento. Las averas de los equipos, errores en archivos, falta de energa y otros recursos no deberan interrumpir las actividades esenciales. La auditoria debera asegurarse que: Se mantienen copias de seguridad de datos, archivos e instrucciones a un nivel de permita su recuperacin dentro de un plazo preestablecido. Existencia de medidas alternativas para utilizar equipos auxiliar (durante las cadas) sin problemas para verificar si la reactivacin ha sido correcta. A. Explotacin 1. Objetivos Evaluar la eficiencia y eficacia de operacin del rea de produccin. Comprende la evaluacin de los equipos de computacin, procedimientos de entradas de datos, controles, archivos, seguridad y obtencin de la informacin. El campo de accin de este tipo de auditoria sera:
Que el retorno al trabajo normal se haga con facilidad y que los controles enlacen al sistema
Control de operaciones Documentacin de los procedimientos Modificacin de programas Control de almacenamiento de soportes. Plan de mantenimiento preventivo Personal de produccin Control de la utilizacin del ordenador A. Entorno del Hardware 1. Objetivo Determinacin de la performance del hardware Revisar la utilizacin del hardware Examinar los estudios de adquisicin del hardware Comprobar condiciones ambientales y de seguridad del hardware Verificar los controles de acceso y seguridad fsica
Examinar las seguridades y debilidades de los componentes fsicos del equipo, de 1. Seguridad fsica del local
Riesgos naturales (inundaciones, descargas elctricas, etc.) vibraciones, etc.) Riesgos del propio edificio (almacenamiento de material combustible, polvo, etc.) Suministro de energa (generador de energa, UPS, etc.) Acondicionador de aire Armarios ignfugos.
1. Controlar el acceso a los recursos para protegerlos de cualquier uso no autorizado, dao,
perdida o modificaciones. 2. Control de acceso y seguridad fsica
En caso de interrupciones inesperadas deben existir planes adecuados para el respaldo de recursos crticos del centro de cmputos y para el reestablecimiento de los servicios de sistemas de informacin. a. Tipos de desastres 3. Planes de desastre. Destruccin total
a. Un desastre puede ocurrir en alguna fase avanzada del desarrollo de una aplicacin vital y
ser necesario tomar medidas para garantizar que no se retrase o pierda la inversin. b. Aplicaciones en proceso de desarrollo 1. Mantener copias actualizadas de programas, documentacin, jobs, procedimientos operativos. 2. Sistemas y programacin 3. Operaciones de procesamiento c. Aplicaciones terminadas Comprender el sistema completo. La planeacin debe incluir las actividades y los procedimientos del usuario, los recursos de transmisin y redes, el procesamiento centralizado y la redistribucin de los resultados. a. Procedimientos en casos de desastres Existencia de procedimientos formales (por escrito), en donde se haga referencia detalladamente los diversos tipos de desastres. Se debe especificar:
Estos planes deben ser los ms detallados posibles. Todo el personal requiere adiestramiento regular en el plan contra desastres. El plan de emergencia, una vez aprobado, se distribuye entre el personal responsable de su operacin (informacin confidencial o de acceso restringido). El plan en caso de desastre debe incluir: Polticas de la direccin Objetivos Responsabilidades Equipo humano
Una vez que todos los riesgos han sido clasificados se est en condiciones de fijar los procedimientos que aseguraran la continuidad del funcionamiento del negocio. a. Seguros contra desastres. A pesar que existan medidas para reducir el riesgo de interrupciones de las actividades y un plan de emergencia adecuado, en caso de ocurrir un siniestro, los gastosresultarn muy oneroso. El seguro es una forma de transferir el riesgo de que se produzca un acontecimiento muy costoso. Tipos de seguros: Todo riesgo Daos determinados
Seguro contra averas Seguro de fidelidad que las actividades informticas se interrumpiesen. a. Plan de desastre, respaldo y recuperacin.
Seguro contra interrupcin del negocio; cubre las perdidas que sufriran la empresa en el caso
Lineamientos de control que cubren los elementos de respaldo y recuperacin. 1. Plan de recuperacin en caso de siniestro: debe existir un plan documentacin de respaldo para el procesamiento de trabajos crticos. 2. Procedimientos de urgencia y capacitacin del personal: deben garantizar la seguridad del personal. 3. Aplicaciones criticas: el plan de respaldo debe contener una prioridad preestablecida para el procesamiento de las aplicaciones.
Documentacin de programas Procedimientos para la creacin y mantenimiento de archivos. Seguridad fsica Compartir recursos / autorizacin 1. Sistemas Online
El usuario tiene acceso directo al sistema y lo controla de algn modo a travs de terminales del software disponible. Problemas de auditoria: 1. Sistemas de consultas 2. Entrada de datos Online (validaciones) 3. Actualizacin de datos Online (actualizacin de archivos maestros) 4. Remote Job Entry (un punto remoto acta con control total del ordenador central) 5. Programacin Online (permite a los programadores trabajar desde puntos remotos del equipo central) a. Anlisis del acceso Online Ningn usuario puede acceder a datos que no debera o realizar procesos no permitidos. Verificar que las passwords de los usuarios posean cambios peridicos Perfiles de usuarios (acceso limitado a archivos) Bloqueo de terminales (time out o intentos de acceso) Logueo de actividades del usuario Encriptacin de datos. a. Anlisis de las consultas Online Verificar que el usuario no pueda modificar datos de los archivos. Control de acceso al sistema Uso de la informacin obtenida. Tiempo de respuesta.
Controles que protejan contra omisiones o duplicaciones de datos. Calidad de la validacin Existencia de registros de las correcciones efectuadas en caso de fallo del sistema: Mtodos que determinen que transacciones se ha perdido Procedimientos Batch de reemplazo.
Mantener una relacin de los archivos maestros que se hayan modificado, indicando
b. El control de los programas y archivos ser responsabilidad del sistema central y deber
verificarse los niveles de autorizacin del usuario. c. Anlisis de la programacin Online. Se deber comprobar que: Acceso de programadores autorizados
Sistemas de Informacin. Auditoria de Sistemas. Ing. Horacio Via. K5AT2. CEIT. 2000. Handbook of IT Auditing. Warren, Edelson, Parker, Thrun. RIA Group. 1998. Auditoria y Seguridad de los Sistemas de Computacin. Jorge Nardelli. Ed. Cangallo. 1984. A. Matriz de Riesgo B. Anexo I
Poco frecuente Grado de Frecuencia Muy frecuente ElevadasPerdidas ProbablesBajas 1 2 3 4 5 6 Grado 1 Frecuencia Terremoto Grado Perdida $/ao 10 Robo de informacin Cortes de elctrica Intrusiones energa 1 2 3 4 5
Una vez en 1000 1 aos Una vez en 100 2 aos Una vez en 10 aos 3 Una vez por ao 10 veces al ao 4 5 6
100
3 4 5