Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

AUDITORIA INFORMTI CA Y DE SISTEMAS
UNIVERSIDAD PERUANA LOS ANDES FACULTAD DE INGENIERA

EDUCACIN A DISTANCIA
AUDITORIA DE INFORMTICA Y SISTEMAS

INGENIERA DE SISTEMAS Y COMPUTACIN
Ing. YOVANA BLANCAS ESPINOZA
HUANCAYO - PER 2009
TABLA DE CONVERSIONES
PRESENTACIN
Las empresas de hoy estn expuestas a diversos riesgos que pueden afectar la continuidad del negocio; riesgos que pueden generar gastos imprevistos, prdidas e incluso fracasos en los negocios. La experiencia ha demostrado que la mayora de los problemas se deriva de una inadecuada administracin de los riesgos operativos y tecnolgicos en la empresa. Las organizaciones se enfrentan a mercados globales, la consolidacin de su sector y el incremento de la competencia, as como el uso de nuevas tecnologas. Precisamente la incursin cada vez mayor de las organizaciones en el uso de la tecnologa, que les provee de ventaja competitiva, tambin las expone a diversa amenazas que obligan a una administracin del riesgo basado en el fortalecimiento del control interno en el mbito tecnolgico. Los temas asociados a las tecnologas de informacin(TI) deben tambin ser consideradas ineludiblemente por la funcin de auditoria, para descargar adecuadamente sus responsabilidades frente a los accionistas, si fuera pertinente, a la Alta Direccin de la entidad y a las entidades reguladoras y de gobierno, de ser el caso. La Informtica hoy, est subsumida en la gestin integral de la empresa y por eso las normas y estndares propiamente informticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informticas forman parte de lo que se ha denominado el "management" o gestin de la empresa. Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica. La Auditora es un examen crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo. El presente texto ofrece una visin de conjunto de los procesos y aspectos de la Tecnologa de la Informacin(TI) que estn expuestos a diversos riesgos que puedan impactar negativamente la continuidad del negocio. En el texto se brinda los conocimientos necesarios para la ejecucin de una auditoria y para 3
la evaluacin de los controles implantados para mitigar los principales riesgos, exponindose tcnicas y herramientas de auditoria en las cuales se puede apoyar el auditor, las que se sustentan en estndares y practicas para la auditoria de sistemas, aceptadas por los profesionales en control, auditoria y seguridad de sistemas a nivel mundial.
La autora.
TABLA DE CONTENIDOS (NDICE)
PRESENTACIN
03
1 UNIDAD ACADMICA N 1:
1.1 Conceptos generales 1.1.1 Concepto de auditoria 1.1.2 Auditoria informtica vs auditoria por medio del ordenador 1.1.3 Razones para la auditoria y el control de los sistemas 1.1.4 control interno informtico 1.1.5 Definicin de auditoria informtica 1.2 Breve historia de la auditoria informtica 1.3 Causas de una auditoria informtica 1.4 Objetivo fundamental de la auditoria informtica 1.5 Caractersticas de la auditoria informtica 1.6 Auditora interna y auditora externa 1.7 Herramientas y tcnicas para la auditora informtica 1.8 Tipos de la auditoria informtica 1.9 El auditor y el departamento de auditoria informtica 10 10 10 11 15 16 16 18 19 21 22 24 28 31
UNIDAD ACADMICA N 2:
36 37 38 38 39 40 40
2.1 Metodologa 2.2. Metodologas de Evaluacin de Sistemas 2.2.1 Metodologas Cualitativas 2.2.2 Metodologas Cuantitativas 2.3 Metodologa en Auditoria Informtica 2.3.1 Metodologa ROA (RISK ORIENTED APPROACH) 2.3.2 Metodologa Tradicional en Auditoria Informtica
3.
5
3.1 Planeacin De La Auditoria En Informtica 3.1.1 Toma De Contacto 3.1.2 Validacin De La Informacin 3.1.3 Anlisis Preliminar 3.1.4 Desarrollo 3.1.5 Pruebas Sustantivas 3.1.6 Presentacin De Conclusiones 3.1.7 Formacin De Plan De Mejoras 3.2 El Informe De Auditoria 3.2.1 Las Normas 3.2.2 Las Evidencias 3.2.3 Las Pruebas De Cumplimiento 3.2.4 Las Irregularidades 3.2.5 La Documentacin 3.2.6 El Informe 3.2.7 Recomendaciones Para Elaborar El Informe Final 3.2.8 Conclusiones
45 46 48 49 50 52 53 53 54 55 56 56 57 58 59 60 61
4.
65 65 66 66 67 69 69 70 70 72 73 75 75 6 4.1.1 Qu Es La Seguridad Informtica? 4.1.2 Seguridad De La Informacin 4.1.3 Componentes De La Seguridad Informtica 4.1.4 Que Es C-I-A? 4.1.5 El Anlisis Y La Gestin De Riesgos
4.1 Fundamentos De La Seguridad Informtica
4.2 Auditoria De Seguridad Informtica 4.2.1 Modelos De Seguridad 4.2.2 Justificacin De La Auditoria 4.2.3 reas Que Puede Cubrir La Auditora De La Seguridad 4.2.4 Evaluacin De Riesgos 4.2.5 Fases De La Auditoria De Seguridad 4.2.6 Auditoria De La Seguridad Fsica
4.2.7 Auditora De La Seguridad Lgica 4.2.8 Auditora De La Seguridad Y El Desarrollo De Aplicaciones 4.2.9 Auditora De La Seguridad En El rea De Produccin 4.2.10 Auditora De La Seguridad De Los Datos 4.2.11 Auditora De La Seguridad En Las Comunicaciones Y Redes 4.2.12 Auditora De La Continuidad De Las Operaciones 4.2.13 Regulacin De Auditora Con Administracin De Seguridad 4.3 Conclusiones
76 77 77 78 79 80 81 81
5.
90 91 92 92 94 96 5.1.1 Qu es una Auditoria de Base de Datos? 5.1.2 Objetivos de la Auditoria de Base de Datos 5.1.3 Niveles de Auditoria de Base de Datos 5.1.4 Metodologas para Auditoria de Base de Batos 5.1.5 Tcnicas para Auditoria de Base de Datos
5.1 Auditoria de Base de Datos
5.1.6 Aspectos a tomar en cuenta en una Auditoria de Base de Datos 98 5.1.7 Practica de Auditoria de Base de Datos 5.2 Auditoria de Aplicaciones 5.2.1 Problemtica de la Auditoria de una Aplicacin Informtica. 99 103 103
5.2.2 Herramientas de uso ms comn en la Auditora de una Aplicacin 106 5.2.3 Etapas de la auditora de una Aplicacin Informtica 5.3 Conclusiones 109 110
6.
6.1 Auditoria de Redes 6.2 Terminologa de Redes 6.3 vulnerabilidad en Redes 6.4 Protocolos de alto nivel 6.5 Redes Abiertas TCP/IP 6.5.1 Auditando la Gerencia de Comunicaciones 6.5.2 Auditando la Red Fsica 115 116 117 118 119 120 121 7
6.5.3 Auditando la Red Lgica 6.6 Auditoria a Sistemas en Internet 6.2.1 Componentes en Ambientes Internet 6.2.2 Riesgos asociados a estos ambientes 6.2.3 Vulnerabilidades de Seguridad en Internet ms criticas 6.7 Evaluacin de seguridad
122 122 123 123 124 127
7.
133
7.1 Planificacin Estratgica 7.1.1 Comit De Direccin De Sistemas 7.1.2 Polticas Y Procedimientos 7.1.3 Prcticas De Gestin De Sistemas De Informacin (SI) 7.2 Auditoria De La Gestin De Tecnologas de Informacin 7.2.1 Planificar 7.2.2 Organizar Y Controlar 7.2.3 Control Y Seguimiento
134 134 136 137 139 146
8.
151
8.1 Organismos e Instituciones Dedicadas A La Seguridad Y Auditoria Informtica.
8.1.1 ISACA (Asociacin De Auditoria Y Control De Sistemas De Informacin) 8.1.2 ISACA en el Per: APACSI 8.2 Deontolgica Aplicada A Los Auditores Informticos 151 152 154
8.2.1 Principios Deontolgicos Aplicables A Los Auditores Informticos Y Cdigos ticos 8.2.2 Cdigos De Conducta De Algunas Asociaciones 8.2.3 Cdigo De tica De ISACA Per 8.3 Seguridad De La Informacin En Latinoamrica: Tendencias 2009 8.4 Convergencia De La Seguridad 8.4.1 Definicin De Convergencia 8.4.2 Convergencia En La Seguridad Informtica 154 157 159 160 162 164 165 8
UNIDAD ACADMICA I
FUNDAMENTOS DE AUDITORIA INFORMTICA Y DE SISTEMAS
En este primer fascculo, se exponen diversos conceptos fundamentales de la auditoria informtica. En primer lugar se describe la utilizacin de la informtica como herramienta en las auditorias de hoy en da, mientras que en segundo lugar analizaremos la relacin de la auditoria inform tica con el control interno informtico, y finalmente se plantea los conceptos bsicos de la auditoria informtica propiamente dicha.
Al finalizar el estudio del presente fascculo el estudiante:
Identifica los tipos de auditoria informtica y los conceptos relacionados con este entorno. Diferencia las bases de la evolucin de la auditoria informtica. Identifica el concepto y los objetivos de una auditoria informtica. Reconoce y diferencia las principales funciones que tienen la auditoria informtica y el control interno.
1.1CONCEPTOS GENERALES
1.1.1 CONCEPTO DE AUDITORIA Actividad para determinar, por medio de la investigacin, la adecuacin procedimientos instrucciones, de los
establecidos, especificaciones,
codificaciones y estndares u otros requisitos, la adhesin a los mismos y la eficiencia de su implantacin. El concepto de auditora es
mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc. La palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or. Segn ISO 9000: 2005 Proceso sistemtico independiente y documentado para obtener evidencias de la auditoria y evaluarlas de manera objetivo con el fin de determinar la extensin en que se cumplen los criterios de auditoria.
1.1.2 AUDITORIA INFORMTICA vs ORDENADOR
AUDITORIA POR MEDIO DEL
Es frecuente encontrar una confusin entre dos funciones bien distintas; a veces se denomina auditoria informtica a la auditoria financiera o contable realizada por auditores que utilizan las facilidades de elevada capacidad de seleccin, acceso, clasificacin y clculo de los ordenadores. Dichos auditores 10
utilizan el ordenador como una herramienta de trabajo, igual que utilizan una calculadora de mesa o un bolgrafo. El uso del ordenador, con sus peculiaridades, les obliga a tener una serie de conocimientos sobre el mismo, o a utilizar el apoyo de un tcnico informtico. El objetivo de la auditoria que realizan estas personas no es el computador, el centro en que est ubicado, la existencia y cumplimiento de normas de seguridad, etc. sino el de la auditoria financiera o contable. En adelante, se dir que este personal hace auditoria por medio del computador o por medio de la informtica, y se reservar el trmino auditoria informtica para referirse a aquella auditoria cuyo objetivo a examinar sean productos informticos, procesos informticos, un departamento de informtica como unidad organizativa, o en su mbito ms amplio, la funcin informtica dentro de una organizacin, estudiando y evaluando no solo los procesos informticos en si, sino tambin los procesos administrativos y la organizacin que interacta con aque llos.
1.1.4 RAZONES PARA LA AUDITORIA Y EL CONTROL DE LOS SISTEMAS
Debido a la cada vez mayor dependencia de las organizaciones de su sistema informtico, dado que los ordenadores juegan un papel decisivo en el procesamiento de los datos y en la toma de decisiones, es importante que su utilizacin sea controlada. Hay 7 razones principales, que se muestran en la figura 1.1, para establecer una funcin que examine los controles establecidos sobre el procesamiento de datos por ordenador. Los siguientes apartados examinan estas razones.
11
Figura 1.1 Factores que llevan a una organizacin hacia el control y la auditoria.
Costes organizacionales por prdida de los datos Los datos de una organizacin son un recurso crtico necesario para que esta contine operando. Los datos suministran a las organizaciones una imagen de s mismas, su entorno, su historia y su futuro. Si esta imagen es precisa, se incrementa la habilidad de una organizacin para adaptarse y sobrevivir en un entorno cada vez ms cambiante. Consideremos el caso de una organizacin que pierda su fichero de cuentas a pagar. No podra pagar sus deudas a tiempo y sufrira tanto una prdida de su nivel de crdito nivel de crdito como cualquier descuento que pudiese tener por pronto pago. Si pidiese ayuda a sus acreedores, tendra que confiar en la honestidad de sus acreedores para saber la cantidad adeudada. Adems, los acreedores pondran en cuestin la competencia de dicha organizacin y podran eliminar el nivel del crdito en el futuro.
12
Tales prdidas pueden provenir de controles dbiles en los sistemas informticos. La direccin puede no haber previsto respaldos adecuados de los ficheros, por lo que la prdida de un fichero debida a un error en un programa, a un sabotaje, o a un desastre natural significara que el fichero no se podra recuperar y las operaciones de la organizacin quedaran deterioradas. Toma de decisiones incorrectas La importancia de la exactitud de los datos depende del tipo de decisiones que se tomen en una organizacin. Por ejemplo, los datos utilizados en la toma de decisiones de nivel estratgico probablemente tolerarn cierto margen de error debido a la naturaleza de las decisiones estratgicas su perspectiva a largo plazo y su nivel de incertidumbre -. Sin embargo, las decisiones del nivel del control y de las operaciones normalmente requieren datos exactos. Los datos inexactos pueden acarrear costosas investigaciones o procesos fuera de control sin detectar. Incluso personas de fuera de la organizacin, accionistas, gobierno , sindicatos, grupos de presin como los medioambientales, pueden necesitar datos exactos para tomar decisiones sobre la organizacin. Fraude informtico Una definicin de fraude informtico puede ser cualquier incidente asociado con la tecnologa informtica en el que una vctima sufre o puede sufrir prdidas y un causante intencionadamente gana o puede ganar. El control del fraude informtico es a menudo difcil debido a temas legales. Puede ser muy difcil encausar a alguien que realiza una utilizacin de un sistema informtico de forma no autorizada, debido a que la ley no considera que un ordenador sea una persona fsica o jurdica- y solo las personas pueden ser defraudadas. Valor del hardware, software y del personal Adems de los datos, el hardware, software y el personal son recursos crticos en una organizacin. Incluso con aseguramiento adecuado, la perdida 13
intencionada o no del hardware puede causar interrupciones considerables. Si el software se corrompe o destruye, puede que la organizacin no pueda continuar las operaciones si no lo recupera prontamente. Finalmente, el personal siempre es un recurso muy valioso, particularmente en el entorno informtico debido al alto nivel de cualificacin requerido. Altos costes de los errores informticos Los sistemas informticos realizan muchas funciones crticas. Controlan robots, monitorizan las condiciones de un paciente durante una operacin, calculan y pagan intereses en cuentas de inversin, dirigen el rumbo de un barco. Consecuentemente, el coste de un error informtico puede ser muy alto. Privacidad Hoy en da se recogen muchos datos acerca de nosotros como individuos, impuestos, crditos, datos de salud, de educacin, empleo, residencia, etc. Aunque antes tambin se recogan este tipo de datos, la posibilidad del procesamiento automtico de estos datos hace que la gente se pregunte si se est erosionando la privacidad de los datos personales y de las organizaciones. Muchas naciones consideran que la privacidad es un derecho humano y que la responsabilidad del personal informtico es que el uso de la informtica no pase al nivel en que los diferentes datos personales puedan ser recogidos, integrados, procesados y recuperados rpidamente. Otra responsabilidad es que los datos solo sean utilizados para el nico propsito para el que hayan sido recogidos. La evolucin controlada del uso de las tecnologas de la informacin La tecnologa es neutral, ni buena ni mala. Es su uso el que puede producir problemas sociales. An se tienen que tomar grandes decisiones en como se deben utilizar los ordenadores en nuestra sociedad, por ejemplo, hasta qu nivel se puede permitir a la informtica desplazar el trabajo de las personas?
14
Concierne a los gobiernos, asociaciones profesionales y grupos de presin la evaluacin del uso de la tecnologa, pero tambin se entiende que las organizaciones deben tener una conciencia social del uso de la informtica.
1.1.4CONTROL INTERNO INFORMATICO
Controla diariamente que todas las actividades de sistemas de informacin sean llevadas a cabo, cumpliendo los procedimientos, estndares y normas fijadas por la direccin de la organizacin y/o la direccin de informtica, as como los requerimientos legales. Suele ser un rgano staff de la direccin del departamento de informtica y esta dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. OBJETIVOS: controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales, asesorar sobre el conocimiento de las normas, .colaborar y apoyar el trabajo de auditoria informtica, as como las auditorias externas al grupo, definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los grados adecuados del servicio informtico
15
Cuadro 1.1 Diferencias y similitudes entre el Control Interno y Auditoria Informtico 1.1.5DEFINICIN DE AUDITORIA INFORMATICA No existe una definicin oficial de Auditoria Informtica. Como se menciono anteriormente, es la auditoria aplicada al campo informtico y auditoria esel examen
metodolgico de una situacin relativa a un producto, proceso u organizacin, realizado en cooperacin con los inters .
1.2BREVE HISTORIA DE LA AUDITORIA INFORMATICA La Auditoria Informtica ha surgido cuando las empresas e instituciones han tomado conciencia de que la informacin que adquieren, conservan, procesan y emiten, es vital para su propia supervivencia diaria y proyeccin de progreso. Por tanto, han elevado a la categora de sistemas crticos prcticamente todos los sistemas internos que manejan informacin, agregndolos en uno solo denominado sistema de informacin. En consecuencia, por su 16
naturaleza crtica, el enfoque de auditoria debe adoptar una perspectiva que se adecue absolutamente a estos sistemas, sea mediante la transformacin de mtodos, tcnicas y procedimientos de la auditoria tradicional, o sea mediante la creacin de unos nuevos. Pero al principio esto no era as. La introduccin de las mquinas de proceso de datos en las empresas se produjo en los aos 50, principalmente dedicadas a sustituir a los empleados en las tareas repetitivas en el clculo de nminas y facturas de clientes. Dada su utilizacin como sper calculadoras, con un volumen considerable de datos de entrada, y un volumen similar de datos de salida en funcin de los anteriores, el auditor se limitaba a verificar la correccin de los datos de salida frente a los datos de entrada, ignorando la lgica y funcionamiento interno de las mquinas de proceso de datos. Este tipo de auditoria se suele denominar auditoria alrededor del ordenador. Prcticamente era una auditoria
convencional con un elemento extico que produca informacin de distinta manera que los empleados de la empresa. Esta situacin se prolong hasta mediados de la dcada de los 60, cuando las organizaciones de auditora propugnaron un cambio en el enfoque, en base a los resultados de baja calidad obtenidos en las auditoras de reas que comportaban proceso de datos a travs de ordenadores. Este cambio consista fundamentalmente en la adaptacin de los criterios para la evaluacin del control interno, en los sistemas organizativos, financieros y contables, al centro de proceso de datos y, concretamente, a la sala del ordenador. Esta etapa se suele denominar auditora del ordenador. Con la introduccin de nuevas tecnologas, como las comunicaciones entre ordenadores en tiempo real, pronto se detectaron las limitaciones del enfoque, ya que se producan prdidas progresivas de las pistas de auditora y el auditor era incapaz de controlar determinadas actividades. 17
As, a finales de los aos 70, se llega a una tercera etapa: la auditora a travs del ordenador. En este enfoque se estudia tambin el tratamiento lgico de la informacin a travs de los programas y las aplicaciones que los integran. Posteriormente, a principios de los aos 80, se empieza a aplicar tcnicas de tratamiento de la informacin por medio de ordenadores, como apoyo a la labor de los auditores. El auditor informtico empieza a ser tambin experto en el uso de lenguajes informticos que le sirven para escribir, compilar y ejecutar programas para la consecucin de pruebas y obtencin de evidencia. Surge de este modo la denominada auditora con el ordenador. En la misma dcada se empieza a aplicar los principios bsicos de la auditora operativa a la auditoria informtica, dando lugar a la auditora operativa de proceso de datos, que se centra principalmente en la eficacia y eficiencia del tratamiento automtico de los datos.
1.3CAUSAS DE UNA AUDITORIA INFORMTICA La auditoria informtica no suele realizarse de forma peridica en las organizaciones, sino que surge como consecuencias de problemas reales o potenciales, excepto cuando alguna normativa legal obliga, peridicamente o no, a su realizacin. Agrupando por reas esos problemas, las causas que pueden originar la realizacin de una auditoria informtica estaran entre las siguientes: Desorganizacin/ Descoordinacin. No coincidencia de objetivos del sistema de informacin con los objetivos de la organizacin. Los circuitos de informacin no son los adecuados. Duplicidad de informaciones No disponibilidad de la informacin o del resto de recursos de TI.
Insatisfaccin de usuarios No resolucin de incidencias y averas. No atencin de peticiones de cambios 18
Inadecuado soporte informtico No cumplimiento de plazos de entrega en resultados peridicos.
Debilidades econmicas financieras. Incremento inadecuado de las inversiones Incremento constante de los costos Desviaciones presupuestarias significativas Incremento de recursos en el desarrollo de proyectos
Inseguridad de los seguridad informticas Escasa confidencialidad de la informacin Falta de proteccin fsica y lgica Inexistencia de planteamientos en cuanto a la continuidad del servicio Cumplimiento de la legalidad. Proteccin de datos de carcter personal Cumplimiento en TI por la ley Sarbanes-Oxley.
1.4OBJETIVO FUNDAMENTAL DE LA AUDITORIA INFORMTICA Se invierte una considerable cantidad de recursos en personal, equipos y tecnologa, adems de los recursos derivados de la posible organizacin estructural que muchas veces conlleva la introduccin de estas tecnologas. Esta importante inversin debe ser constantemente justificada e n trminos de eficacia y eficiencia. Por tanto, el propsito a alcanzar por una organizacin al realizar una auditoria de sistemas de cualquier parte de su sistema de informacin es asegurar que sus objetivos estratgicos son los mismos que los de la propia organizacin y que los sistemas prestan el apoyo adecuado a la consecuencia de estos objetivos, tanteen el presente como en su evolucin futura. Se considera como objetivos fundamentales de la auditoria informtica: el mantenimiento de la operatividad
19
la mejora de la eficacia, la seguridad y la rentabilidad del sistema de informacin sobre el que acta La operatividad reside en el funcionamiento, aunque se abajo mnimos, del sistema de informacin (su organizacin y sus recursos). La eficacia se basara la aportacin por parte del sistema de informacin de una informacin valida, exacta completa, actualizada y oportuna que ayude a la toma de decisiones. La seguridad esta constituida por la confidencialidad, integridad y disponibilidad del sistema de informacin. La rentabilidad implicara la utilizacin ptima de los recursos del sistema de informacin, con el control de la calidad, los plazos y los costos. 1.5ALCANCE DE LA AUDITORIA INFORMTICA: El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditoria informtica, se complementa con los objetivos de sta. Ejemplo: Se sometern los registros grabados a un control de integridad exhaustivo*? Se comprobar que los controles de validacin de errores son adecuados y suficientes*?. La indefinicin de los alcances de la auditora compromete el xito de la misma. El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la Auditoria informtica, se complementa con los objetivos de sta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: Se sometern los registros grabados a un control de integridad exhaustivo? Se comprobar que los controles de validacin de errores son adecuados y suficientes? La indefinicin de los alcances de la Auditoria compromete el xito de la misma.
20
1.6CARACTERSTICAS DE LA AUDITORIA INFORMTICA La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informticas, materia de la que se ocupa la Auditoria de Inversin informtica. Del mismo modo, los Sistemas Informticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informtica en general, o a la Auditoria de Seguridad de alguna de sus reas, como pudieran ser Desarrollo o Tcnicas de Sistemas. Cuando se producen cambios estructurales en la Informtica, se reorganiza de alguna forma su funcin: se est en el campo de la Auditoria de Organizacin Informtica. Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una Auditoria parcial. De otra manera: cuando se realiza una auditoria del rea de Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas. Dentro de las reas generales, se establecen las siguientes divisiones de Auditora Informtica. Cada rea Especifica puede ser auditada desde los siguientes criterios generales: Desde su propio funcionamiento interno. Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado de cumplimiento de las directrices de sta. Desde la perspectiva de los usuarios, destinatarios reales de la informtica. Desde el punto de vista de la seguridad que ofrece la Informtica en general o la rama auditada.
21
1.7AUDITORA INTERNA Y AUDITORA EXTERNA:
La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. La Auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la Auditora externa, las cuales no son tan perceptibles como en las auditorias convencionales. La Auditora interna tiene la ventaja de que puede actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. La auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados. La Auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados. Objetivos auditora Interna Revisin y evaluacin de controles contables, financieros y operativos Determinacin de la utilidad de polticas, planes y procedimientos, as como su nivel de cumplimiento Custodia y contabilizacin de activos Examen de la fiabilidad de los datos Divulgacin de polticas y procedimientos establecidos. Informacin exacta a la gerencia Objetivos auditora Externa Obtencin de elementos de juicio fundamentados en la naturaleza de los hechos examinados Medicin de la magnitud de un error ya conocido, deteccin de errores supuestos o confirmacin de la ausencia de errores Propuesta de sugerencias, en tono constructivo, para ayudar a la gerencia Deteccin de los hechos importantes ocurridos tras el cierre del ejercicio 22
Control de las actividades de investigacin y desarrollo En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora propia y permanente, mientras que el resto acuden a las auditorias externas. Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditoria Interna de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de Control Interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera independiente. Hoy, ya existen varias organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas. Una Empresa o Institucin que posee Auditoria interna puede y debe en ocasiones contratar servicios de Auditoria externa. Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditoras informticas externas decretadas por la misma empresa.
Aunque la Auditoria interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorias externas como para tener una visin desde afuera de la empresa.
La Auditoria informtica, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente. 23
1.8HERRAMIENTAS Y TCNICAS PARA LA AUDITORA INFORMTICA ENTREVISTAS: El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad 2. Mediante entrevistas en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular CUESTIONARIOS: El auditor en las entrevistas con los auditados utilizara como herramienta los cuestionarios para la obtencin de informacin. Los cuestionarios o checklist son conjuntos de preguntas personalizadas o reelaboradas en funcin de los escenarios auditados. Los cuestionarios utilizados en la auditoria informtica deben ser contestados oralmente por el auditado, planteados de forma flexible por el auditor y con los 24
posibles respuestas muy estudiadas, una vez pasada la entrevistas , con las respuestas obtenidas del auditado. En funcin del tipo de calificacin o evaluacin los cuestionarios pueden ser: De rango: las respuestas a las preguntas estn en un rango
preestablecido. Por ejemplo de 1 a 5. Al final se puede obtener un resultado global calculando la media aritmtica, este tipo es adecuado cuando el equipo auditor no es grande y mantiene criterios homogneos en las valoraciones. Binario: contiene respuestas nicas y excluyentes, por ej. Con si o no. Su elaboracin inicial es mas compleja que los anteriores, ya que exigen precisin, aunque menor uniformidad en el equipo auditor.
CHECKLIST: El auditor conversar y har preguntas "normales", que en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un
procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier otra forma. No existen Checklists estndar para todas y cada una de las instalaciones informticas a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacin correspondientes en las preguntas a realizar. 25
TRAZAS Y/O HUELLAS: Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a travs del programa. Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo. Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean productos que comprueban los Valores asignados por Tcnica de Sistemas a cada uno de los parmetros variables de las Libreras ms importantes del mismo. Estos parmetros variables deben estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el nmero de iniciadores de trabajos de determinados entornos o toman criterios especialmente restrictivos o permisivos en la asignacin de unidades de servicio segn cuales tipos carga. Estas actuaciones, en principio tiles, pueden resultar contraproducentes si se traspasan los lmites. No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de la auditora informtica de Sistemas: el auditor informtico emplea preferentemente la amplia informacin que proporciona el propio Sistema: As, los ficheros de <Accounting> o de <contabilidad>, en donde se encuentra la produccin completa de aqul, y los <Log> de dicho Sistema, en donde se Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento de errores de maquina central, recogen las modificaciones de datos y se pormenoriza la actividad general. Del mismo modo, el Sistema genera automticamente exacta informacin sobre el tratamiento de errores de maquina central, perifricos, etc.
26
[La auditora financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los clculos de nminas, primas, etc.]. LOG: El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando (informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va haciendo la Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log. La transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transaccin se cort por X razn, lo que se hace es volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la informacin que est en el Sistema o que existe dentro de la base de datos. SOFTWARE DE INTERROGACIN: Hasta hace ya algunos aos se han utilizado productos software llamados genricamente <paquetes de auditora>, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informtico. Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una instalacin. En la actualidad, los productos Software especiales para la auditora informtica se orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin.
27
Del mismo modo, la proliferacin de las redes locales y de la filosofa "Clienteservidor , han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre computadoras personales y mainframe, de modo que el auditor informtico copia en su propia PC la informacin ms relevante para su trabajo. Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e informacin parcial generada por la organizacin informtica de la Compaa. Efectivamente, conectados como terminales al "Host", almacenan los datos proporcionados por este, que son tratados posteriormente en modo PC . El auditor se ve obligado (naturalmente, dependiendo del alcance de la auditora) a recabar informacin de los mencionados usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos. Con todo, las opiniones ms autorizadas indican que el trabajo de campo del auditor informtico debe realizarse principalmente con los productos del cliente. Finalmente, ha de indicarse la conveniencia de que el auditor confeccione personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc.
1.9TIPOS DE LA AUDITORIA INFORMATICA En la empresa podemos distinguir varios tipos de auditorias, entres las principales estn:
28
Figura 1.1 Auditoria de Estados Financieros Auditoria de Gestin, que analiza que las decisiones de gestin han sido tomadas de forma consistente con la existencia de
informaciones suficientes y oportuna. Auditoria operacional, para determinar hasta que punto una organizacin, una unidad o funcin dentro de una organizacin esta cumpliendo con los objetivos establecidos por la Direccion; asi como identificar las condiciones que necesiten mejora. Auditoria financiera, examen y y verificacin de los estados financieros de la empresa, para emitir una opinin fundada sobre el grado de fiabilidad de los de dichos estados. Auditoria contable, Auditoria organizativa Auditoria de calidad Auditoria informtica
29
Centrados en la auditoria informtica, podemos distinguir varios tipos en funcin a las reas a considerar, al realizador, al mbito de aplicacin o la especialidad. El departamento de Informtica posee una actividad proyectada al exterior, al usuario, aunque el "exterior" siga siendo la misma empresa. He aqu, la Auditoria Informtica de Usuario. Se hace esta distincin para contraponerla a la informtica interna, en donde se hace la informtica cotidiana y real. En consecuencia, existe una Auditoria Informtica de Actividades Internas. El control del funcionamiento del departamento de informtica con el exterior, con el usuario se realiza por medio de la Direccin. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compaa. Una informtica eficiente y eficaz requiere el apoyo continuado de su Direccin frente al "exterior". Revisar estas interrelaciones constituye el objeto de la Auditoria Informtica de Direccin. Estas tres auditorias, mas la Auditoria de Seguridad, son las cuatro reas Generales de la Auditoria Informtica ms importantes. Dentro de las reas generales, se establecen las siguientes divisiones de Auditoria Informtica: de Explotacin, de Sistemas, de comunicaciones y de Desarrollo de Proyectos. Estas son las reas Especificas de la Auditoria Informtica ms importantes.
reas Especficas Explotacin Desarrollo Sistemas
reas Generales Interna Direccin Usuario Seguridad
30
Comunicaciones Seguridad
Cuadro 1.1: reas de la Auditoria Informtica Cada rea Especifica puede ser auditada desde los siguientes criterios generales: Desde su propio funcionamiento interno. Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado de cumplimiento de las directrices de sta. Desde la perspectiva de los usuarios, destinatarios reales de la informtica. Desde el punto de vista de la seguridad que ofrece la Informtica en general o la rama auditada. Estas combinaciones pueden ser ampliadas y reducidas segn las
caractersticas de la empresa auditada.
1.9EL AUDITOR Y EL DEPARTAMENTO DE AUDITORIA INFORMATICA A. EL AUDITOR INFORMATICO El auditor informtico observa, juzga y recomienda. Debe ser independiente de la funcin o elemento auditado, y no puede ser ni responsable de la funcin, ni realizador, ni usuario. En EE.UU., donde la auditoria informtica es algo mas habitual que en Per, loa auditores deben ser certificarse con el titulo CISA()otorgado por la ISCA(). este certificado se consigue aprobando un examen y demostrando experiencia en auditoria informtica, y se renueva peridicamente. Los auditores peruanos tambin pueden conseguir el certificado CISA a travs del capitulo peruano de la ISACA, cuya URL es http://www.isaca.org.pe. 31
El auditor informtico debe tener una buena preparacin, tanto terica como practica, aparte de otras caractersticas como: independencia,
responsabilidad, integridad, objetividad,.. La cualificacin del auditor debe ser: educacin y experiencia, habilidad para comunicarse, entrenamiento especifico en sistemas de informacin y tcnicas de auditoria informtica, participacin en auditoria informtica. Importante para el auditor es la necesidad constante de: participantes regulares, es decir, mantener su capacidad a lo largo del tiempo, a travs de: participaciones regulares de manera activa en auditoria informtica, revisar y estudiar normas, cdigos, instrucciones y otras docume ntaciones relativas de auditoria informtica.
Caractersticas del auditor:
Que deben hacer los auditores

Recomendar Ser independiente, objetivos Ser competentes en auditoria informtica Diagnosticar en funcin a verificaciones Actualizarse en cuanto a avances
Que no deben hace

Obligar o amenazar Actuar en beneficio propio Asumir trabajos sin preparacin adecuada Diagnosticar en funcin a suposiciones Dejar obs oletos sus conocimientos
Figura 1.2: Caractersticas de una Auditor
Algunas reglas bsicas que debe respetar el auditor son:

Fomentar la cooperacin con el auditado. No emitir juicios que no estn slidamente basados. Evitar las situaciones preventivas del auditado entre el auditor. No adelantar resultados parciales sobre un rea o funcin determinadas, una visin parcial puede resultar errnea.
Comentar con los interesados los resultados antes de presentarlos a niveles superiores, excepto en casos de fraude.
32
Extrapolar la idea de colaboracin con informtica y la intencin de descubrir las debilidades para mejorar.
Comunicar que no se trata de castigar sino de detectar deficiencias y corregirlas.
Estas reglas suelen estar incluidas en los Cdigos deontolgico, que son un conjunto de preceptos que establecen los deberes exigibles a aquellos profesionales que ejerciten una determinada actividad y tienen como finalidad incidir en sus comportamientos profesionales estimulando que
estos se ajusten a determinados principios morales que deben serviles de gua. Estos cdigos son elaborados por los propios profesionales en el marco de los colegios profesionales, asociaciones o agrupaciones que los representen. B. EL DEPARTAMENTO DE AUDITORIA INFORMTICA En las empresas de tamao medio-grande existe un rea con al responsabilidad de realizar la auditoria informtica. Deben estar
perfectamente delimitadas las funciones de esta rea, ya que pueden solaparse con las funciones de los auditores financieros o auditores organizativos, y al revs pueden quedar zonas sin descubrir.
El nivel organizativo del departamento de auditoria interna debe ser suficiente para permitir el cumplimiento de sus responsabilidades. El director del departamento debe ser responsable ante una persona de la organizacin, con suficiente autoridad para promover la independencia ya segurar una amplia cobertura
33
Elegir una organizacin de su entorno, del cual se debe comentar su perfil informtico, objetivos y metas de control interno de Tecnologas de Informacin.
Toda empresa pblica o privada, que posean Sistemas de Informacin media deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. La empresa hoy, debe / precisa informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una empresa puede tener un staff de gente de primera, pero tiene un sistema informtico propenso a errores, lento, vulnerable e inestable; si no hay un balance entre estas dos cosas, la empresa nunca saldr a adelante. En cuanto al trabajo de la Auditora en s, podemos remarcar que se precisa de gran conocimiento de Informtica, seriedad, capacidad, minuciosidad y responsabilidad; la Auditora de Sistemas debe hacerse por gente altamente capacitada, una Auditora mal hecha puede acarrear consecuencias econmicas. drsticas para la empresa auditada, principalmente
Littlejhon Shider, Debra, Superutilidades y deteccin de Delitos Informaticos, Edit. Anaya, 1era. Edicin, 2003 . Jones J., Keith, Superutilidades Hackers , Edit. Mc.Graw Hill, 1era. Edicin, 2003.
34
Cougias,Dorian/E.L.
Heiberg,
Herramientas
de
Proteccin
Recuperacin de Datos , Edit. Anaya, 1era. Edicin, 2004 Sols Montes, Gustavo Adolfo, Reingeniera de la Auditoria, Edit. Trillas, 1ra. Edicin. 2002. Piattini Mario G., Auditoria Informtica. Edit. AlfaOmega, 2da. Edicin 2001. Echenique GARCIA, Jos Antonio, Auditoria en Informtica, Edit. Mc. Graw Hill, 2da. Edicin, 2001. Radlow J. Informtica y computadoras en la sociedad, Edit. Mc. Graw Hill. 1ra. Edicin 2001. INEI, Auditoria de Sistemas, Edicin 2002 COBIT versin 4.0 , Manual de Objetivos de Control de ISACA,.
En el siguiente fascculo se
describe las principales metodologas para la
realizacin de una auditoria informtica.
Cules son los elementos fundamentales del concepto de auditora informtica?
o o o
Cuantas clases diferentes de auditoria existen? Qu diferencias existen entre la auditoria y el control interno? Cules son las funciones del control interno informtico?
35
UNIDAD ACADMICA II
METODOLOGAS PARA LA AUDITORIA INFORMTICA
Las metodologas son necesarias para desarrollar c ualquier proyecto que nos propongamos de manera ordenada y eficaz. El contenido de este fascculo tratara las metodologas principales para una evaluacin de la seguridad y auditoria informtica en forma general, as como de manera particular la metodologa tradicional para realizar una auditoria informtica. En primer lugar, se describe las metodologas de seguridad y auditora informtica en forma general. En segundo lugar se profundiza sobre una metodologa tradicional en particular para la realizacin de una auditoria informtica.
Conocer y evaluar que tipos de metodologas entre las existentes se puede aplicar en cada caso de auditoria informtica. Conocer y entender la importancia de cada una de las fases de una auditoria informtica.
36
2.1 METODOLOGA Siendo el mtodo un modo ordenado de decir o hacer una cosa determinada, podemos decir que la metodologa es un conjunto de mtodos que se siguen en una investigacin cientfica, lo cual significa que cada proceso cientfico debe estar sujeto a una disciplina de proceso definida con anterioridad a la cual se le da el nombre de metodologa. La metodologa se hace necesaria en materias como la informtica, ya que sus aspectos son muy complejos y la cual se utiliza en cada doctrina que compone dicha materia, siendo de gran ayuda en la auditoria de los sistemas de informacin. El nacimiento de metodologa en el mundo de la auditoria y el control informtico se puede observar en los primeros aos de los ochenta, naciendo a la par con la informtica, la cual utiliza la metodologa en disciplinas como la seguridad de los sistemas de informacin, la cual la definimos como la doctrina que trata de los riesgos informticos, en donde la auditoria se involucra en este proceso de proteccin y preservacin de la informacin y de sus medios de proceso. La informtica crea unos riesgos informticos los cuales pueden causar grandes problemas en entidades, por lo cual hay que proteger y preservar dichas entidades con un entramado de contramedidas, y la calidad y la eficacia de la mismas es el objetivo a evaluar para poder identificar as sus puntos dbiles y mejorarlos, siendo esta una funcin de los auditores informticos. 2.2 METODOLOGAS DE EVALUACIN DE SISTEMAS
En el mundo de la seguridad de sistemas se utiliza todas las metodologas necesarias para realizar un plan de seguridad adems de la auditora informtica. Las dos metodologas de evaluacin de sistemas por antonomasia son el anlisis de riesgo y la auditoria informtica. Las metodologas son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.
37
La auditoria informtica solo identifica el nivel de exposicin por la falta de controles mientras el anlisis de riesgos facilita la evaluacin de los riesgos y recomienda acciones en base al costo-beneficio de la misma. Todas las
metodologas existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo mas baja posible o al menos quede reducida de una forma razonable en costo-beneficio.
Todas las metodologas existentes desarrolladas y utilizadas en la auditora y el control informtico, se puede agrupar en dos grandes familias: 2.2.1METODOLOGIAS CUANTITATIVAS Basadas en un modelo matemtico numrico que ayuda a la realizacin del trabajo, estn diseadas par producir una lista de riesgos que pueden compararse entre s con facilidad por tener asignados unos valores numrico. Estn diseadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numricos. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el nmero de incidencias tiende al infinito.
2.2.2 METODOLOGAS CUALITATIVAS Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/gua). Basadas en mtodos estadsticos y lgica borrosa, que requiere menos recursos humanos / tiempo que las metodologas cuantitativas. Ventajas: Enfoque lo amplio que se desee. Plan de trabajo flexible y reactivo. Se concentra en la identificacin de eventos. 38
Desventajas Depende fuertemente de la habilidad y calidad del personal involucrado. Identificacin de eventos reales ms claros al no tener que aplicarles probabilidades complejas de calcular. Dependencia profesional. 2.3 METODOLOGAS EN AUDITORIA INFORMTICA. Metodologa es una secuencia de pasos lgica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologas para llevar a cabo una auditoria informtica. Las metodologas de auditoria informtica son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen en gran profesionalidad y formacin continua. Solo existen dos tipos de metodologas bsicas para la auditora informtica: Controles Generales.- Son el producto estndar de los auditores profesionales. El objetivo aqu es dar una opinin sobre la fiabilidad de los datos del computador para la auditora financiera, es resultado es escueto y forma parte del informe de auditora, en donde se hacen notar las vulnerabilidades encontradas. Estn desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan. Metodologas de los auditores internos.Estn formuladas por
recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. Tambin se define el objetivo de la misma, que habr que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genricos, con una orientacin de los controles a revisar. El auditor interno debe crear sus metodologas necesarias para auditar los distintos aspectos o reas en el plan auditor.
39
2.2.1 METODOLOGA ROA (Risk Oriented Approach) En la actualidad se utilizan tres tipos de metodologas de auditoria informtica: R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestin de base de Datos DB2; paquete de seguridad RACF, etc.).
En s las tres metodologas estn basadas en la minimizacin de los riesgos, que se conseguir en funcin de que existan los controles y de que stos funcionen. En consecuencia el auditor deber revisar estos controles y su funcionamiento. 2.2.2 METODOLOGA TRADICIONAL DE UNA AUDITORIA INFORMTICA La metodologa o ciencia del mtodo es segn el diccionario el conjunto de mtodos que se siguen en una investigacin cientfica o en una exposicin doctrinal. Mtodo es el modo de hacer con orden una cosa. En una auditoria informtica deben emplearse unas tcnicas y herramientas determinadas, intervienen diversos participantes, han de obtenerse unos resultados concretos y documentados, y por tanto se convierte en necesario la aplicacin de una metodologa.
La metodologa empleada en la auditoria informtica es similar a las fases que componen una auditoria tradicional: primero se planea para obtener y entender los procesos de negocio; en segundo lugar se analiza y evala el control interno establecido para determinar la probable eficacia y eficiencia del mismo, posteriormente, se aplican pruebas de auditorias para verificar la efectividad de los procedimientos de control(pruebas de cumplimiento), o de los productos de los procesos de trabajo(pruebas sustantivas).
40
Despus se informan los resultados de las auditorias, con el fin de reportar las sugerencias correspondientes a las oportunidades de mejora encontradas y, finalmente, se efecta el seguimiento para evaluar el nivel del cumplimiento y el impacto de las recomendaciones hechas. Esta metodologa nos proporcionara los pasos a seguir desde la contratacin por parte del cliente o la orden de la Direccin (segn se externa o interna la auditoria) hasta la confeccin y entrega por escrito del informe final. Las fases de una metodologa tpica son: Fase 01: Definicin de mbito y objetivos Fase 02: Estudio previo Fase 03: Determinacin de recursos Fase 04: Elaboracin del Plan Fase 05: Realizacin Fase 06: Elaboracin del Informe Final.
La preparacin y planificacin de la auditoria informtica abarca las cuatro primeras fases metodolgicas y tiene como objetivo disponer de todo lo necesario para el comienzo de la auditoria informtica. Con mayor detalle se trata el planeamiento en el fascculo siguiente.
41
Caso Prctico: Auditoria de Seguridad A continuacin, un caso de auditora en el rea de seguridad para proporcionar una visin ms desarrollada y amplia de la funcin auditora. Es una auditora de Seguridad Informtica que tiene como misin revisar tanto la seguridad fsica y lgica de una cabina de Internet con sus funciones informticas ms importantes. Se pide realizar las fases 01 y 02 de la metodologa tradicional de una auditoria informtica. Indicar los supuestos que se esta definiendo para desarrollar dichos caso.
En el presente fascculo se presenta las principales metodologas para realizar una evaluacin de la seguridad informtica y a su vez para una auditoria informtica, haciendo nfasis en la descripcin de las fases de las metodologas mas utilizadas en el campo informtico.
42
Sols Montes, Gustavo Adolfo, Reingeniera de la Auditoria, Edit. Trillas, 1ra. Edicin. 2002. Piattini Mario G., Auditoria Informtica. Edit. AlfaOmega, 2da. Edicin 2001. Echenique GARCIA, Jos Antonio, Auditoria en Informtica, Edit. Mc. Graw Hill, 2da. Edicin, 2001.
En el siguiente fascculo se describe todo el proceso de la auditoria de la gestin de Tecnologas de Informacin.
1. Para qu sirve definir los alcances y objetivos en una auditora? 2. Por qu es ms costosa una auditora general que una especfica? 3. En qu consiste la etapa del estudio previo? 4. Qu tipo de recursos insume una auditora Informtica? 5. Cuales son las principales tcnicas de trabajo en una auditoria informtica? 6. De qu herramientas se disponen para realizar una auditora?
43
UNIDAD ACADMICA III

AUDITORIA DE UN SISTEMA DE INFORMACIN
Para hacer una adecuada planeacin de la auditoria en informtica hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Con ello podremos determinar el nmero y
caractersticas del personal de auditora, las herramientas necesarias, el tiempo y costo, as como definir los alcances de la auditoria para, en caso necesario, poder elaborar el contrato de servicios. Dentro de la auditoria en general, la planeacin es uno de los pasos importantes, ya que una inadecuada planeacin provocara una serie de problemas que pueden impedir que se cumpla con la auditoria o bien hacer que no se efectu con el profesionalismo que debe tener cualquier auditor. El trabajo de auditora deber incluir la planeacin de la auditoria, el examen y la evaluacin de la informacin, la comunicacin de los resultados y el seguimiento.
Conocer y aplicar las diferentes fases de la auditoria de un sistema de informacin. Conocer y entender la importancia de cada una de las fases de la auditoria ed sistemas de informacin.
44
3.1 PLANEACIN DE LA AUDITORIA EN INFORMTICA El desarrollo de una auditoria se puede considerar como un proyecto en s. Entonces, dicho proyecto constara de fases, cada fase de actividades, y cada actividad de tareas concretas. Las fases, actividades y tareas se denominan genricamente como pasos. Cada paso tendr sus objetivos, resultados previstos, planificacin temporal, estimacin de recursos, tcnicas y
herramientas de soporte, todo ello supeditado al paso de grado superior. Las pautas para identificar, establecer o aplicar correctamente cada una de estos elementos emanan de normas y metodologas de auditora. En la auditoria informtica, se disponen de COBIT, un marco metodolgico elaborado, mantenido y en constante perfeccionamiento a cargo de la Information Systems Audit and Control Association(ISACA), que tiene reconocimiento mundial y oficial en algunos pases. COBIT es el acrnimo de Control Objectives for IT, y es un moderno y estndar conjunto de Objetivos de Control de las Tecnologas de Informacin generalmente aceptados para la utilizacin diaria de los ejecutivos y auditores de sistemas de informacin (ISACAF, 2000).
La realizacin de una auditoria informtica se compone de varias fases o pasos: toma de contacto, validacin de la informacin, anlisis preliminar, desarrollo, pruebas sustantivas, presentacin de conclusiones y formacin del plan de mejoras. La fase de desarrollo tiene varias subfases: anlisis detallado, pruebas, y anlisis y controles de pruebas de usuario.
45
Grafico 3.1: Fases de una auditoria informtica 3.1.1 TOMA DE CONTACTO Objetivo: se pretende tomar contacto con todos aquellos elementos
informativos que puedan se interesantes para la consecucin del trabajo, y as, lograr alcanzar un profundo conocimiento de la idiosincrasia organizativa a todos los niveles para poder desenvolverse en el mbito de la empresa con total comodidad y conocimiento del funcionamiento interno de esta. Realizacin: Se debe tener en cuenta dos puntos de vista a la hora de obtener conocimiento general. Organizativo: La propia estructura organizativa de la empresa, su organigrama, volumen, lneas de producto, situacin en el mercado, etc. Recursos informticos: Estructura del departamento, relaciones funcionales y jerrquicos, recursos humanos, materiales (SGBD, SO, comunicaciones, etc), aplicaciones de desarrollo en sistema de explotacin. Esta es una fase en que intervienen fundamentalmente los auditores externos. Por tanto, para que estos se puedan asegurar de que las conclusiones 46
obtenidas en su anlisis preliminar son las correctas, es recomendable que se puedan contrastar con las conclusiones emitidas por los auditores internos. En esta fase tambin se da el visto bueno o el rechazo a la viabilidad de la realizacin de la auditoria por diversas razones como, por ejemplo, la carencia de capacidad para auditar el sistema, ya que excede el campo de actuacin del auditor, o la necesidad de realizar otro tipo de auditoria, ya que auditando informativamente no se alcanzaran a resolver los problemas que la empresa tenga.
Herramientas y documentacin: En esta fase se utilizan principalmente dos herramientas intangibles que son: La experiencia propia: El auditor con la experiencia adquirida en la realizacin de otras auditorias interpreta de una forma ms efectiva toda aquella informacin. Implicacin de directivos y usuarios: Para que el auditor pueda realizar las labores de aproximacin al problema de una forma optima necesita la cooperacin de todos y cada uno de los integrantes de la estructura organizativa de la empresa hacindoles participes en todo el proceso de ejecucin de la auditoria, porque son ellos quienes han de ser capaces de transmitir cuales son los puntos clave a ser auditados. Adems de los dos puntos enumerados anteriormente el auditor tiene que ayudarse de todo tipo de formularios que pueda rellenar el personal y que despus puedan ser de inters a la hora de extraer conclusiones. Tambin se puede utilizar todo tipo de material informtico como programas de interpretacin de datos obtenidos, estadsticos, etc, pero nunca perdiendo de vista las interpretaciones mas subjetivas, que no por ello errneas, de todos los aspectos interesantes. Por ultimo cabe destacar la importancia que se le tiene que dar a esta fase, ya que, sobre todas las conclusiones extradas se basaran el resto de fases, es decir, una mala interpretacin de la filosofa de la empresa podra repercutir en una mala realizacin de la auditoria.
47
3.1.2 VALIDACIN DE LA INFORMACIN Objetivo: Se pretende validar toda la informacin obtenida en la fase anterior, as como definir los resultados esperados en la fase de operacin. Realizacin: Una vez finalizada la fase de toma de contacto, el auditor tiene que estar seguro de que toda la informacin recogida es valida, precisa, eficiente y de real importancia para su trabajo. Con toda esta informacin hay que ser capaces de tratar los siguientes temas que son de importancia vital: Concentracin de objetivos: Fijar los objetivos a nivel global que el auditor espera en su trabajo, hasta donde llegara co mo lo quiero hacer. Las reas que cubrir: que partes exactas de la empresa y, en este caso, del sistema, sern auditadas. Personas de la Organizacin: empleados que debern colaborar directa e indirectamente y en que momento concreto. Plan de Trabajo: comprende los siguientes elementos: Tareas que se debern realizar. Calendario, tanto de todas las fases as como la de consecucin del trabajo. Presupuesto, partiendo de la base de las inevitables limitaciones presupuestarias, si existen, aspecto que es bueno tener siempre presente. Equipo auditor necesario: una vez obtenido todo el material de partida el encargado tiene que ser capaz de realizar una estimacin lo mas exacta posible del equipo de auditores necesario, en cuanto a numero y especialidades, o reas de conocimiento.
Herramientas y Documentacin: El auditor debe disponer de todo tipo de manuales de los diferentes sistemas informticos tanto de software como hardware. Por otro lado, el grado de conocimiento de las personas de la empresa que deben colaborar con el auditor tiene que ser alto y la capacidad de movilidad del auditor en la organizacin tiene que ser mxima. Al auditor tambin debe estar familiarizado con los controles directivos y con la aplicacin para ser capaz ms delante de determinar donde puede haber fallos en la 48
utilizacin o si, por otro lado, son los propios controles los que no funcionan adecuadamente. Y por ultimo, se tendr que utilizar constantemente la documentacin obtenida de los cuestionarios realizados en la fase anterior.
3.1.3 ANLISIS PRELIMINAR Objetivos: Obtener la informacin necesaria para tomar la decisin sobre como proceder con la auditoria. Pueden seguirse tres caminos: a) Renunciar a la auditoria: el auditor carece de la competencia tcnica para realizar la auditoria. b) Realizar un anlisis detallado del sistema de control interno. c) Desconfiar del sistema de control interno. Existen dos razones para tomar esta decisin: Quiz sea mas rentable realizar directamente las pruebas substantivas; o el control de la funcin informtica duplicara los controles existentes en el ares de usuario. Realizacin: Esta fase incluye el anlisis general del riesgo que comprende principalmente, el anlisis de los controles directivos y los controles de aplicacin, Durante el anlisis de los primeros se trata de comprender la organizacin y las practicas directivas utilizadas en cada nivel de la jerarqua de la instalacin. Durante el segundo anlisis, deben comprenderse los controles realizados sobre las transacciones ms importantes que fluye n a travs de los sistemas de aplicacin en la instalacin. En primer lugar, durante esta fase, se realizan entrevistas con el personal de la instalacin, se observan las actividades de la instalacin y se analiza la documentacin de la instalacin. Las evidencias han de documentarse completando cuestionarios, construyendo diagramas de flujo y tablas de decisin y preparando informes. En la siguiente subseccin se describe con ms detalle este tipo de anlisis.
El anlisis preliminar realizado por los auditores internos difiere del realizado por los auditores externos en tres aspectos: a) Los auditores internos requieren menos tiempo para realizar el anlisis, sobre todo en temas de control de direccin, ya que estn familiarizados con el tema. 49
b) Loa auditores internos poseen una amplia perspectiva que incluye consideraciones de eficacia y eficiencia al sistema. c) si los auditores internos piensan que existen debilidades en el sistema de control interno cuanto completan la fase de anlisis preliminar, antes de proceder directamente con las pruebas substantivas, siguen realizando unas pruebas detalladas del sistema de control interno en vista de hacer recomendaciones especificas para mejorar. 3.1.4 DESARROLLO: ANALISIS DETALLADO Objetivo: Obtener informacin necesaria para que el auditor tenga un conocimiento profundo de los controles usados en la instalacin informtica. De nuevo debe decidir si la auditoria se lleva cabo o se rechaza, o se procede conforme a la fase de pruebas con la expectativa de que la dependencia puede estar situada sobre el sistema de control interno, o proceder directamente al anlisis de los controles de usuario o procedimiento de pruebas substantivas. Realizacin: Tanto los controles de direccin, como los controles de aplicacin han de analizarse y a ser posible en este orden. Es importante identificar las cusas de perdida y riesgos existentes en al instalacin y establecer los controles para reducir los efectos de las cusas de perdida. Al final de comprobarse si los controles reducen las prdidas a un nivel aceptable. Aun dentro de esta fase no se sabe con certeza si los controles son eficaces, la evaluacin supone la fiabilidad de las funciones a menos que haya una clara evidencia de lo contrario. PRUEBAS Objetivo: Determinar si el sistema de control interno opera del modo que lo corresponde. Se trata de determinar si existen de hecho los controles y si trabajan correctamente. Realizacin: A menudo deben utilizarse tcnicas asistidas por ordenador que determinan la existencia y la fiabilidad de los controles. Al final de esta fase,
50
deben ser evaluados los sistemas de control interno para ratificar la fiabilidad de los controles individuales. ANALISIS Y CONTROLES DE PRUEBAS DE USUARIO Objetivos: Determinar si existen controles de los usuarios que compensan cualquier debilidad en el sistema de control interno informtico. Realizacin: Los usuarios realizan controles que compensan cualquier debilidad en el sistema de control interno de proceso de datos. Estos controles no deben estar duplicados, es decir, en algunos casos ser til eliminar cualquiera de los dos, tanto los controles de usuario como los controles informatizados. Herramientas y Documentacin: En las tres subfases de la fase de desarrollo, y con respecto a la documentacin, el auditor tiene que apoyarse en al experiencia que ha obtenido de otros sistemas para poder comparar resultados de rendimientos anteriores con los que le presta el sistema actual. En cuanto a las herramientas, puede ser interesante que se utilice algn tipo de herramienta informtica que le ayude a interpretar los cuestionarios realizados por los usuarios. A menudo, tambin deben utilizarse tcnicas asistidas por ordenador que determinen la existencia y la fiabilidad de los controles. Adems, se puede disponer de: Los juegos de ensayo que son una herramienta eficiente y significativa que se utiliza para probar programas enrevesados, aunque la realizacin de buenos juegos de ensayo no siempre ser una tarea til. Los programas de auditoria desarrollados por las principales firmas auditoras. Las tcnicas de ejecucin en paralelo para verificar el correcto
funcionamiento de los programas que se tienen que revisar.
51
3.1.5 PRUEBAS SUSTANTIVAS Objetivo: Conseguir evidencias suficientes para poder emitir una valoracin final sobre la existencia o no perdidas o la posibilidad de que ocurran durante los procesos informticos. El auditor externo emite esta valoracin como una opinin. Realizacin: Segn Davis (Davis, 1983), existen cinco tipos de pruebas substantivas que se realizan en una instalacin informtica: pruebas que identifican los procesos errneos; pruebas para asegurar la calidad de la informacin, pruebas para identificar la informacin inconsistente, pruebas para comparar la informacin con los cmputos, y confirmacin de la informacin con fuentes externas. Algunas de estas pruebas requieren soporte informtico .Herramientas y documentacin: En lo referente a la documentacin, la informacin no tiene porque ser til solo para los auditores sino, en general, para cua lquier consultor informtico. Entre esta documentacin cabe destacar los tipos siguientes: Organigrama de la empresa y en especial del servicio informtico. Documentos de organizacin interna. Aspectos econmicos como gastos, presupuestos, costes humanos y materiales, etc. Estudios informticos realizados y en curso. Actividades desarrolladas por el propio personal o por terceros. Configuraciones de maquina: ordenadores, unidades de disco.
Comunicaciones, etc. Documentos de input de datos. Listado de operacin de consola Plannings. Para las aplicaciones existentes se pueden citar: el anlisis funcional y orgnico, los cuadernos de carga, el diseo ensayo, las pruebas de programa, etc. En cuanto a las herramientas, hay que decir que se debe continuar con las utilizadas hasta ahora, pero siempre teniendo en cuenta su utilizacin en cada fase, ya que esta es diferente. 52 e ficheros, los juegos de
3.1.6 PRESENTACIN DE CONCLUSIONES Objetivo: Mostrar las conclusiones obtenidas en las fases anteriores a los responsables directos mediante la documentacin necesaria. Realizacin: Antes que los responsables conozcan las conclusiones
obtenidas por los auditores en la realizacin de la fase anterior, estas deben discutirse con las afectadas, por lo que deben estar bien argumentadas, probadas, y documentadas para que no se puedan refutar en las primeras discusiones. Esta fase es claramente delicada porque es el momento en el que se presentan deficiencias, situaciones anmalas o por lo menos mejorables. Por eso es recomendable que los auditores tengan el suficiente tales como para presentar estas conclusiones como un plan de mejoras en beneficio de todos, mas que como una reprobacin de los afectados, excepto en los casos en que esto ultimo sea necesario, pues hay situaciones en las que alguien puede ser sustituible y es aconsejable que el auditor (como consultor al servicio de la direccin) tenga la obligacin de hacer conocer estas situaciones. Tambin hay que resaltar la importancia de la forma que debe tener la presentacin de conclusiones, es decir, tiene que ser clara, relevante, y que no de lugar a la ambigedad. Herramientas y Documentacin: La documentacin a presentar es el informe final de auditoria y la carta de presentacin que lo acompaa. La herramientas son las necesarias para elaborar estos documentados. 3.1.7 FORMACIN DE PLAN DE MEJORAS Objetivo: Inclusin del plan de mejoras que permitirn solventar las deficiencias encontradas en la auditoria. Realizacin: En el inicio de esta fase, la direccin ya conoce las deficiencias que el equipo auditor ha observado en su departamento informtico y que tambin han sido discutidas. Entonces, los auditores deben de adjuntar, al informe de auditora, el plan de mejoras que permitirn solventar las deficiencias encontradas. Ese informe comprende las deficiencias encontradas en los pasos anteriores abordando los puntos relativos a auditoria funcional, como son la gestin de recursos humanos, la seguridad fsica, los costes, etc., 53
abordando tambin aspectos de auditora operatividad, tales como el cumplimiento de plazos, los procedimientos de control, la calidad y fiabilidad. El plan de mejoras debe abarcar todas las recomendaciones que intenten soslayar las deficiencias detectadas en la realizacin de la auditoria. Para ello se tendrn en cuenta los recursos disponibles, o al menos potencialmente disponibles, o al menos potencialmente disponibles, por parte de la empresa objeto de la auditoria. De cara a la ejecucin de las recomendaciones contenidas en el plan, es posible distinguir entre las medidas que se pueden realizar a corto plazo, de las que son a medio y por ltimo, de las ejecutables a largo plazo. Entre las primeras, se incluirn aquellas mejoras puntuales y de fcil realizacin como son las mejoras en plazo, calidad, planificacin o formacin. Las medidas a medio plazo necesitaran de uno a dos aos para poderse concretar. Aqu pues, caben ya mejoras algo mas profundas y con mayor necesidad de recursos, como la optimizacin d programas, o de la documentacin, e incluso algunos aspectos de diseo del sistema. Para concluir, las consideraciones a largo plazo, como cabe pensar fcilmente, pueden llevar a cambios sustanciales en las polticas, medios o incluso estructuras de servicio de informtica. Lgicamente con ms tiempo mas
medios es posible afrontar profundas modificaciones si con ello se consiguen las mejoras redactadas por el equipo auditor. Estas mejoras pueden pasar por la reconsideracin de los sistemas en uso o de los medios humanos y materiales con que se cuenta, llegando si es preciso a una seria reconsideracin del plan informtico. Todo esto comporta un riesgo adicional, por lo que se requiere una profunda reflexin por parte de la empresa, as como un considerable grado de confianza en el equipo auditor.
3.2 EL INFORME DE AUDITORIA El informe de Auditoria Informtica es el objeto de la Auditoria Informtica. El contexto en el cual se desenvuelve hoy su prctica es muy cambiante, las
tecnologas de informacin dominan de modo imparable las relaciones humanas presentando un ciclo de vida cada vez mas corto. Desfase entre las expectativas de los usuarios y los Informes de Auditoria. La complejidad de los 54
sistemas de informacin crece con sus prestaciones y caractersticas. Dependencia de los sistemas y necesidad ms marcada de expertos eficientes (no infalibles) en Auditoria Informtica. La informtica es muy joven, por tanto la Auditoria informtica lo es ms. Se tratara de fijar en este fascculo la prctica de Auditoria Informtica en funcin del Informe. Para ello se repasara aspectos previos fundamentales, como son las normas, el concepto de evidencia en Auditoria, la documentacin y finalmente el informe, sus componentes, caractersticas y tendencias detectadas como tambin algunas conclusiones.
3.2.1 LAS NORMAS En 1996 la Unin europea public el Libro Verde de la Auditoria, dedicado al papel, la posicin y la responsabilidad del Auditor Legal. Su contenido afecta a la Auditoria informtica. En principio el libro acepta las Normas Internacionales IFAC para su adaptacin adecuada a la Unin Europea. Otra fuente de Normas Internacionales es ISACF, ya ms especifica de Auditoria Informtica. La normativa espaola oficial que afecta, en mayor o menor medida, a la Auditoria Informtica es: ICAC: Normas Tcnicas de Auditoria: punto 2.4.10, Estudio y Evaluacin del Sistema de Control Interno. AGENCIA DE PROTECCION DE DATOS: Instruccin relativa a la prestacin de servicios sobre solvencia patrimonial y crditos, Norma Cuarta: Forma de Comprobacin. La Auditoria Informtica no esta muy desarrollada y, por aadidura, se encuentra en un punto crucial para la definicin del modelo en que deber implantarse y practicarse. Hay dos tendencias legislativas y de practicas de disciplinas: la anglosajona, basada en la Common Law, con pocas leyes y jurisprudencia relevante y la latina, basada en el Derecho romano, de legislacin muy detallada. El sabio uso de los principios generalmente aceptados har posible la adaptacin suficiente a la realidad de cada poca. Los organismos de armonizacin, normalizacin, homologacin, acreditacin y certificacin tendrn que funcionar a un ritmo ms acorde con las necesidades
55
cambiantes. La aparicin de multitud de organizaciones privadas, consorcios y asociaciones que pretenden unificar normas y promocionar estndares. 3.2.2 LA EVIDENCIA La Evidencia es la base razonable de la opinin del auditor informtico, es decir el informe de Auditoria Informtica. La Evidencia tiene una serie de calificativos a saber: La Evidencia Relevante , que tiene una relacin lgica con los objetivos de la auditoria. La Evidencia Fiable, que es valida y objetiva aunque, con nivel de confianza, La Evidencia Suficiente , que es de tipo cuantitativo para soportar la opinin profesional La evidencia Adecuada , que es conclusiones del auditor En principio, las pruebas son de cumplimiento o sustantivas. La opinin deber estar basada en evidencias justificadas, si es preciso con evidencia adicional 3.2.3 LAS PRUEBAS DE CUMPLIMIENTO Las desviaciones nos permiten soportarnos para determinar si se deposita confianza en los controles internos. Antes de comenzar a probar los controles en los cuales se depositar confianza, debemos definir aquello que se constituir una desviacin de cumplimiento. Se entiende por desviacin de cumplimiento a todo procedimiento que de acuerdo con las normas establecidas debe efectuarse y no se efecta. Ejemplo. Pude existir entonces que no se ha realizado un asiento contable o que el mismo este mal hecho, el cual el mismo debera estar bajo a supervisin del encargado del departamento contable. del auditor. las
de tipo cualitativo para afectar
La determinacin del desvo nada tiene que ver con el valor monetario dado que el propsito de la prueba de cumplimiento es reunir evidencia respecto del cumplimiento de un control y no sobre el intercambio en particular tales desvos se producen por: 56
PRUEBAS SUSTANTIVAS. Una prueba sustantiva es un procedimiento diseado para probar el valor monetario de saldos o la inexistencia de errores monetarios que afecten la presentacin de los estados financieros. Dichos errores (normalmente conocidos como errores monetarios) son una clara indicacin de que los saldos de las cuentas pueden estar desvirtuados. La nica duda que el auditor debe resolver, es de s estos errores son suficientemente importantes como para requerir ajuste o su divulgacin en los estados financieros Deben ejecutarse para determinar si los errores monetarios han ocurrido realmente. Una vez valorados los resultados de las pruebas se obtienen conclusiones que sern comentadas y discutidas con los responsables directos de las reas afectadas con el fin de corroborar los resultados. Por ltimo, el auditor deber emitir una serie de comentarios donde se describa la situacin, el riesgo existente y la deficiencia a solucionar, y en su caso, sugerir la posible solucin. 3.2.4 LAS IRREGULARIDADES
Las Irregularidades, o sea, los fraudes y los errores. En las organizaciones y las empresas, la direccin tiene la responsabilidad principal y primaria de la deteccin de irregularidades, fraudes y errores: La responsabilidad del auditor se centra en planificar, llevar a cabo y evaluar su trabajo para obtener una expectativa razonable de su deteccin Es Pues indudablemente necesario disear pruebas antifraude que
lgicamente incrementaran el coste de la auditoria, previo anlisis de riesgos Por prudencia y actitud, convendr aclarar al mximo de ser posible- si el informe de auditoria es propiamente de auditoria y no de consultara o asesora informtica, o de otra materia a fin o prxima. Aunque siempre debe prevalecer el deber de secreto profesional del auditor. Conviene recordar que en el caso de detectar fraude durante el proceso de auditoria se procede actuar en consecuencia, con la debida prudencia, sobre 57
todo si afecta a los administradores de la organizacin , Objeto de la Auditoria. Ante un caso as conviene consultar a la comisin Deontolgico profesional , al asesor jurdico y leer detenidamente las normas profesionales el cdigo penal y otras disposiciones 3.2.5 LA DOCUMENTACIN En el argot de auditoria se conoce como papeles de trabajo la totalidad de los documentos preparados o recibidos por el auditor, de manera que ,en conjunto, constituye un compendio de la informacin utilizada y de las pruebas efectuadas en la ejecucin de su trabajo, junto con las decisiones que a debido tomar para llegar a formarse su opinin. El informe de auditor tiene que estar basado en la documentacin o papeles de trabajo, como utilidad inmediata previa supervisin. No debemos omitir la caracterstica registral del informe , tanto en su parte cronolgica como en la organizacin, con procedimientos de archivo, bsqueda, custodia y conservacin de su documentacin cumpliendo toda la norma legal y profesional. Los trabajos utilizados, en el curso de una labor, de otros auditores externos ,as como de los auditores internos , forman parte de la documentacin. Adems ,se incluirn: el contrato cliente/auditor informtico y la carta propuesta del auditor informtico. Las declaraciones de la direccin. los contratos o equivalentes, que afectan al sistema de informacin. el informe sobre terceros vnculos. Conocimiento de la actividad del cliente.
58
3.2.6 EL INFORME Es momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculacin con el factor riesgo. Tambin es cuestin previa decidir si el informe es largo o, por el contrario, corto. En lo referente a su redaccin, el informe deber ser claro, adecuado, suficiente y comprensible. Los puntos esenciales, genricos y mnimos del informe de auditoria informtica, son los siguientes: 1. Identificacin del informe. 2. Identificacin del cliente. 3. Identificacin de la entidad auditora. 4. Objetivos de la auditoria informtica. 5. Normas aplicadas y excepciones. 6. Alcance de la auditoria. 7. Conclusiones: informe corto de opinin. El informe debe contener uno de los siguientes tipos de opinin: favorable o sin salvedades, con salvedades, desfavorables o adversa, y denegada. I. II. III. IV. V. 9. 10. 11. 12. 13. Opinin favorable Opinin con salvedades Opinin desfavorable Opinin denegada Resumen
Resultados: informe largo y otros informes. Informes previos. Fecha del informe. Identificacin y firma del auditor. Distribucin del informe.
59
3.2.7 RECOMENDACIONES PARA ELABORAR EL INFORME FINAL: Buscar la clarificacin del panorama normativo: La Auditoria Informtica no esta muy desarrollada y por aadidura, se encuentra en un punto crucial para la definicin del modelo en que deber implantarse y practicarse. Conviene que se clarifique el panorama normativo, de prcticas y responsabilidades en lo que concierne a los problemas planteados por los servicios profesionales multidisciplinarios, ya que el informe de Auditoria Informtica se compone de 3 trminos: Informtica, A uditoria e Informe. Entender la evidencia como base razonable de la opinin del Auditor Informtico (Informe de Auditoria Informtica): La evidencia tiene una serie de calificativos como: evidencia relevante, evidencia fiable, evidencia suficiente, evidencia adecuada. En principio, las pruebas son de cumplimiento o sustantivas. La opinin deber estar basada en evidencias justificativas, desprovistas de prejuicios, si es posible con evidencia adicional. Controlar las irregularidades: Pueden ser fraudes o errores. Es
indudablemente necesario disear pruebas antifraude, que aumentara el coste de la Auditoria, previo anlisis de riesgos. En caso de detectar fraude durante el proceso de Auditoria procede actuar con la debida prudencia que aconseja episodio tan delicado y conflictivo. Conocer la documentacin empleada en el Informe de Auditoria Informtica: La totalidad de los documentos preparados o recibidos por el Auditor (papeles de trabajo) constituyen en conjunto un compendio de la informacin utilizada y de las pruebas efectuadas en la ejecucin de su trabajo, junto con las decisiones que ha debido tomar para formar su opinin. Los trabajos utilizados formaran parte de la documentacin adems se incluirn: El contrato cliente / Auditor Informtico y / o la carta propuesta del Auditor Informtico: Las declaraciones de la Direccin: Los contratos, o equivalentes, que afecten al sistema de informacin, asi como el informe de la asesoria
60
jurdica del cliente sobre sus asuntos actuales y previsibles.El informe sobre terceros. Conocimiento de la actividad del cliente. Redaccin del Informe de Auditoria Informtica: Es momento adecuado de separar lo significativo de lo no significativo, debidamente evaluados por su importancia y vinculacin con el factor riesgo, tarea eminentemente de carcter profesional y tico, segn el leal saber y entender del Auditor Informtico. En lo referente a su redaccin, el informe deber ser claro, adecuado, suficiente y compresible. Una utilizacin apropiada del lenguaje informtico resulta recomendable. Los puntos esenciales, genricos y mnimos del Informe de Auditoria informtica son los siguientes:
Identificacin del Informe,
Identificacin del cliente, identificacin de la
entidad auditada, objetivos de la Auditoria Informtica, normativa Aplicada y excepciones, alcance de la Auditoria, conclusiones: Informe corto de opinin, opinin favorable. opinin con salvedades, opinin desfavorable, opinin denegada, resumen, resultados: informe largo y otros informes, informes previos, fecha del informe, Identificacin y firma del Audito, distribucin del informe. 3.2. 3 CONCLUSIONES Diferenciar el informe de auditoria informtica con otros tipos de informes (consultora, asesora, servicios profesionales) de informtica. Antes de redactar el informe de auditoria, se debe de tener en cuenta que el asunto este muy claro, no por la expectativas, sino porque cada termino tiene un contenido usual muy concreto. Al aplicar criterios en trminos de probabilidad, hay que evitar la predisposicin a algn posible tipo de manipulacin. Es importante emitir el informe de auditoria informtica de acuerdo con la aplicacin de la Auditoria Informtica. El informe de auditoria informtica no viene a ser ms que los objetivos de la auditoria informtica propiamente dicha. Los trabajos utilizados, en el curso de una labor, de otros auditores externos, as como de los auditores internos, forman parte de la documentacin. 61
Adems ,se incluirn: el contrato cliente/auditor informtico y la carta propuesta del auditor informtico. Las declaraciones de la direccin. los contratos o equivalentes, que afectan al sistema de informacin. el informe sobre terceros vnculos. Conocimiento de la actividad del cliente.
Caso Prctico: Auditoria de Seguridad A continuacin, un caso de auditora en el rea de seguridad para proporcionar una visin ms desarrollada y amplia de la funcin auditora. Es una auditora de Seguridad Informtica que tiene como misin revisar tanto la seguridad fsica y lgica de una cabina de Internet con sus funciones informticas ms importantes. Se pide realizar las fases 01 y 02 de la metodologa tradicional de una auditoria informtica. Indicar los supuestos q se esta definiendo para desarrollar dichos caso.
En el presente fascculo se presenta y describe las etapas de la planeacin de auditoria, examen y le evaluacin de la informacin, la comunicacin de los resultados y el seguimiento del mismo.
62
Piattini Mario G., Auditoria Informtica. Edit. AlfaOmega, 2da. Edicin 2001. Echenique GARCIA, Jos Antonio, Auditoria en Informtica, Edit. Mc. Graw Hill, 2da. Edicin, 2001. Radlow J. Informtica y computadoras en la sociedad, Edit. Mc. Graw Hill. 1ra. Edicin 2001.
En el siguiente fascculo se describe algunos aspectos muy relevantes en la auditoria de tecnologas de informacin, que en la actualidad se estn integrando al trabajo de un auditor informtica.
63
UNIDAD ACADMICA IV
AUDITORIA DE LA SEGURIDAD INFORMTICA
La dependencia que tienen actualmente los negocios de las tecnologas de la informacin obliga a la bsqueda de mtodos, tcnica y medios que ayuden a mantener la seguridad del funcionamiento correcto de los sistemas de informacin utilizados de tales tecnologas. La seguridad de los sistemas de informacin se apoya principalmente en tres conceptos: disponibilidad, integridad y confidencialidad, que para mantenerlos en un nivel aceptable es necesario dedicar recursos y normalmente presupuesto econmico, lo que convierte al mantenimiento de la seguridad en una tarea de gestin. En la primera parte del presente fascculo se definen algunos conceptos utilizados en la seguridad de los sistemas de informacin, se detallan algunos mecanismos que ayudan a mantener la seguridad y por ultimo se detalla la importancia del anlisis de riesgo .en la seguridad informtica; en la segunda parte se detalla las fases de una auditoria de seguridad informtica, se detalla tambin la importancia de la seguridad fsica y lgica y los aspectos que 64
debemos tener en cuenta en relacin con las otras reas de las tecnologas de informacin, como comunicaciones, etc. el desarrollo de sistemas de informacin, redes,
Al finalizar el estudio del presente fascculo el estudiante:
Conocer los conceptos bsicos de la seguridad informtica. Conocer los procedimientos de auditora de la seguridad. Conocer las reas que cubre la auditora de la seguridad. Conocer y comprender la evaluacin de riesgos. Conocer las fases de la auditoria de la seguridad. Conocer la auditora de la seguridad en comunicacin y redes. 4.1 FUNDAMENTOS DE LA SEGURIDAD INFORMTICA La creciente dependencia de las empresas, y de la sociedad en general, de las tecnologas de la informacin y las comunicaciones, as como el entorno cada vez ms complejo en que estas se desarrollan, ha provocado la aparicin de
vulnerabilidades en los recursos utilizados, que deben minimizar con las medidas de seguridad oportunas. 65
4.1.1 QU ES LA SEGURIDAD INFORMATICA? La seguridad informtica, generalmente consiste en asegurar que los recursos del sistema de informacin (material informtico o programas) de una organizacin sean utilizados de la manera que se decidi. La seguridad informtica busca la proteccin contra los riesgos liados a la informtica. Los riesgos son en funcin de varios elementos: Las amenazas que pesan sobre los activos a proteger. Las vulnerabilidades de estos activos. Su sensibilidad, la cual es la conjuncin de diferentes factores: la confidencialidad, disponibilidad o accesibilidad. 4.1.2 SEGURIDAD DE LA INFORMACIN Los datos y la informacin son los activos ms estratgicos y valiosos relacionados con los SI y el uso de las TI. Segn la ISO: Es la preservacin de la confidencialidad, integridad y disponibi lidad de la informacin; adems, otras propiedades como autenticidad, no repudio y fiabilidad pueden ser tambin consideradas segn [ISO/IEC 27002:2005]. 4.1.3 COMPONENTES DE LA SEGURIDAD INFORMTICA En diversas iniciativas internacionales, incluidas las emprendidas por la organizacin ISO (Internaciontal Estndar Organization) con sus guas, se han clarificado los componentes fundamenta les de la seguridad desde la perspectiva de la modelizacin. As se distinguen: los activos, las amenazas, las vulnerabilidades, los riesgos, los impactos y las
salvaguardas. A. ACTIVO DE INFORMACIN En relacin con la seguridad de la informacin, se refiere a cualquier informacin o sistema relacionado con el tratamiento de la misma informacin o sistema relacionado con el tratamiento de la misma que tenga 66
valor para la organizacin. Segn [ISO/EC 13335-1:2004]: cualquier cosa que tiene valor para la organizacin. Ejemplo: Ficha Medica de un paciente
B. RIESGO Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad para causar una perdida o dao en un activo de informacin. Segn [ISO Gua 73:2002]: combinacin de la posibilidad de un evento y sus consecuencias.
C. AMENAZA Segn [ISO/IEC 13335-1:2004]: causa potencial de un incidente no deseado, el cual puede causar el dao a un sistema o la organizacin.
D. VULNERABILIDAD Debilidad en la seguridad de la informacin de una organizacin que potencialmente permite que una amenaza afecte a un activo. Segn [ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que puede ser explotado por una amenaza. E. IMPACTO El impacto es la medida del dao producido a la organizacin por un
incidente posible. Se centra sobre los activos y por tanto puede medirse econmicamente. F. CONTROL Las poltica, procedimientos, las practica y las estructuras organizativas concebidas para mantener los riesgos de seguridad de la informacin por debajo del nivel de riesgo asumido.
67
G. SISTEMA DE GESTIN DE LA SEGURIDAD DE LA INFORMACIN (SCSI) (Ingles:ISMS)Sistema de gestin de la seguridad de la informacin. Segn [ISO/IEC 27001:2005]: la parte de un sistema global de gestin que, basado en el anlisis de riesgos, establece, implementa, opera, monitores, revisa, mantiene y mejora la seguridad de la informacin. 4.1.4 QUE ES C-I-A? Son los principios de seguridad, que en general se suele decir que son los tres objetivos fundamentales de la seguridad informtica:
CONFIDENCIALIDAD (Ingles:Confidenciality). Acceso a la informacin por parte nicamente de quienes estn autorizados. Segn [ISO/IEC 133351:2004]:caracterstica/propiedad por la informacin no esta disponible o revelada a individuos, entidades, o procesos no autorizados.
INTEGRIDAD (Ingles: Integrity). Mantenimiento de la exactitud y completitud de la informacin y sus mtodos de proceso. Segn [ ISO/IEC 13335-1:2004]: propiedad/caracterstica de salvaguardar la exactitud y completitud de los activos.
DISPONIBILIDAD (Ingles: Availability). Acceso a la informacin y los sistemas de tratamiento de la misma por parte de los usuarios autorizados cuando lo requieran. Segn [ISO/IEC 13335-1:2004]: caracterstica o propiedad de permanecer accesible y disponible para su uso cuando lo requiera una entidad autorizada.
68
Figura 4.1: Triangulo ID 4.1.5 EL ANLISIS Y LA GESTIN DE RIESGOS El anlisis y gestin de riesgos es un mtodo formal para investigar los riesgos de un sistema de informacin y recomendar las medidas apropiadas que deberan adoptarse para controlar estos riesgos. A su ves es una salvaguarda preventiva que intenta buscar ordenadamente otras salvaguardas para proteger el sistema de informacin. El anlisis de riesgos introduce un enfoque riguroso y consecuente para la investigacin de los factores que contribuyen a los riesgos. En general implica la evaluacin del impacto que una violacin de la seguridad tendra en las empresas; seala los riegos existentes, identificando las amenazas que afectan al sistema informtico: y la determinacin de las vulnerabilidades del sistema a dichas amenazas. Su objetivo es proporcionar una medida de las posibles amenazas y vulnerabilidades del sistema de manera que los medios de seguridad puedan ser seleccionados y distribuidos eficazmente para reducir al mnimo las posibles perdidas. La gestin de riesgos es un proceso separado que utiliza los resultados de la anlisis de riesgos para seleccionar e implantar las medidas de seguridad (salvaguardas) adecuadas para controlar los riesgos identificados.
69
4.2 AUDITORIA DE SEGURIDAD INFORMTICA Para muchos, la seguridad sigue siendo el rea principal a auditar. En algunas entidades, se cre inicialmente la funcin de auditoria informtica para revisar la seguridad, aunque despus hayan ido ampliando los objetivos. Puede haber seguridad sin auditoria, puede e xistir auditoria de otras reas y queda un espacio de encuentro: la auditoria de la seguridad, pudiendo sta rea ser mayor o menor segn la entidad y el momento.
Figura 4.2: Encuentro entre seguridad y auditoria
4.2.1 MODELOS DE SEGURIDAD Deben evaluarse si estn en consonancia con las nuevas arquitecturas, las distintas plataformas y las posibilidades de las comunicaciones. No se puede auditar con conceptos, tcnicas o recomendaciones de hace algunos aos. 4.2.2 JUSTIFICACIN DE LA AUDITORIA Tanto la normativa como la auditoria son necesarias: una auditora no basada en polticas de la entidad auditada sera subjetiva y hasta peligrosa la existencia de normatividad sin auditora sera equivalente a la no existencia de polica de trnsito
Grupos de Controles Adems de poderlos dividir en controles manuales y automticos, o en controles generales y de aplicacin, los dividimos en: 70
Controles directivos, establecen las bases, como las polticas, o la creacin de comits relaciones o de funciones: de administracin de seguridad o auditora de sistemas de informacin interna. Controles preventivos, antes del hecho, como la identificacin de las visitas (seguridad fsica) o las contraseas (seguridad lgica). Controles de deteccin, como determinadas revisiones de accesos producidos o la deteccin de incendios. Controles correctivos, para rectificar errores, negligencias o acciones intencionadas, como la recuperacin de un archivo daado a partir de una copia. Controles de recuperacin, que facilitan la vuelta a la normalidad despus de accidentes o contingencias, como puede ser un plan de continuidad adecuado.
Objetivos de Control respecto de la seguridad Son las declaraciones sobre el resultado final deseado o propsito general a ser alcanzado mediante las protecciones y los procedimientos de control. Cada entidad ha de definir sus propios objetivos de control en cuanto a seguridad y otras reas, y crear y mantener un Sistema de Control Interno que pueda garantizar que se cumplan los objetivos de control. Los auditores son los ojos y odos de la Direccin, que a menudo no puede o no debe, o no sabe como realizar las verificaciones o evaluaciones. En los informes se recomendar la implantacin o refuerzo de controles, y en algunos casos incluso la supresin de algn control, si resulta redundante o ya no es necesario. El Sistema de Control Interno ha de basarse en las polticas y se implanta con el apoyo de herramientas.
71
A menudo encontramos en las auditoras que existe la implantacin parcial de controles de acceso lgico a travs de paquetes o sistemas basada en el criterio de los tcnicos y no de la normativa, o bien habiendo partido sta de los tcnicos sin aprobaciones de otro nivel En realidad, el control interno no esta generalizado fuera de los procesos que implican gastos, sin embargo existen riesgos tan importantes o ms que las prdidas monetarias directas, relacionados con la gestin adecuada de los recursos informticos o con la propia proteccin de la informacin, que podran suponer prdidas muy importantes para la entidad Cuando existe un sistema de control interno adecuado, los procesos de auditora, especialmente si son peridicos, son revisiones necesarias pero ms rpidas, con informes ms breves En cambio, si el sistema de control interno es dbil, la auditora llevar ms tiempo y esfuerzo, su coste ser mayor, y las garantas de que se pongan en marcha las recomendaciones son mucho menores. Podramos hacer una analoga con la situacin de un paciente que se somete a un chequeo luego de varios aos sin control 4.2.3 REAS QUE PUEDE CUBRIR LA AUDITORA DE LA SEGURIDAD Los controles directivos, es decir, los fundamentos de la seguridad: polticas, planes, funciones, existencia y funcionamiento de algn comit relacionado, objetivos de control, presupuesto, as como mtodos de evaluacin peridica de riesgos. El desarrollo de las polticas: procedimientos, posibles estndares, normas y guas, sin ser suficiente que existan estas ltimas. El marco jurdico aplicable, as como las regulaciones o los requerimientos aplicables a cada entidad. Otro aspecto es el cumplimiento de los contratos Amenazas fsicas externas: inundaciones, incendios, explosiones, cortes de lneas o de suministros, terremotos, terrorismo, huelgas... Control de accesos adecuado, tanto fsicos como lgicos, para que cada usuario pueda acceder a los recursos a que esta autorizado y realice slo las funciones permitidas y quedando las pistas necesarias para control y auditora, 72
tanto de los accesos producidos al menos a los recursos ms crticos como los intentos en determinados casos. Proteccin de datos: lo que fije la LOPD en cuanto a los datos de carcter personal bajo tratamiento automatizado, y otros controles en cuanto a los datos en general, segn la clasificacin que exista, la designacin de propietarios y los riesgos a que estn sometidos. Comunicaciones y redes: topologa y tipo de comunicaciones, posible uso cifrado, protecciones ante virus, stas tambin en sistemas aislados aunque el impacto ser menor que en una red El entorno de produccin, entendiendo como tal la explotacin ms tcnica de sistemas, y con especial nfasis en los elementos de contratos en lo que se refiere a protecciones, tanto cuando se refiera a terceros cuando se trata de una entidad que presta servicios, como el servicio recibido de otros, y de forma especial en el caso de subcontratacin total o outsourcing. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que stos resulten auditables y tambin la continuidad de las operaciones. stas reas, casi todas tienen puntos de enlace y partes comunes: comunicaciones con control de acceso, cifrado con comunicaciones y soportes, datos con soportes y con comunicaciones, explotacin con varias de ellas, y as en otros casos. 4.2.4 EVALUACIN DE RIESGOS Se trata de identificar los riesgos. Cuantificar su probabilidad e impacto, y analizar medidas de que los eliminen o que disminuyan la probabilidad de su ocurrencia o mitigar su impacto. Para evaluar estos riesgos haya que considerar, entre otros factores: El tipo de informacin almacenada, procesada y transmitida La criticidad de las aplicaciones La tecnologa usada El marco legal aplicable El sector de la entidad, la entidad misma y el momento 73
Es necesario revisar si se han considerado amenazas, y de todo tipo: Errores y negligencias en general. Desastres naturales Fallos de instalaciones Fraudes o delitos Y que puedan traducirse en daos a: Personas Datos Programas Redes Instalaciones
Debemos pensar que las medidas deben considerarse como inversiones en seguridad, y transmitir a los auditores que a dems tiene un impacto favorable en la imagen de las entidades. La proteccin no ha de basarse en slo en dispositivos y medios fsicos, sino en formacin e informacin adecuada al personal, empezando por la mentalizacin a los directivos. El factor humano es el principal a considerar. Es necesaria una separacin de funciones: es peligroso que una misma persona realice una transaccin, la autorice y revise despus los resultados, porque podra planificar un fraude o encubrir cualquier anomala, y sobre todo equivocarse y no detectarse. Una vez identificados y medidos los riesgos, lo mejor seria poder eliminarlos. Si la entidad auditada est en medio de un proceso de implantacin de la seguridad, la evaluacin se centrar en los objetivos, los planes, que proyectos hay en curso y los medios usados o previstos. En la auditoria externa se trata de saber si la entidad, a tra vs de funciones como administracin de la seguridad, auditoria interna, ha evaluado de adecuada los riesgos. Al hablar de seguridad de seguridad se habla de sus tres dimensiones clsicas: confidencialidad, integridad, y disponibilidad de la informacin. 74 forma
Confidencialidad.- se cumple cuando solo las personas autorizadas, pueden conocer los datos o la informacin correspondiente. La integridad.- consiste en que solo los usuarios autorizados puedan variar (modificar o borrar) los datos, deben quedar pistas para control posterior de auditoria. La disponibilidad.- se alcanza si las personal autorizadas pueden acceder a la informacin a la que estn autorizadas. 4.2.5 FASES DE LA AUDITORIA DE SEGURIDAD Con carcter general para una auditoria informtica pueden ser: Concrecin de los objetivos y del alcance y profundidad de la auditoria. Anlisis de posibles fuentes y recopilacin de informacin: en el caso de los internos este proceso puede no existir. Determinacin del plan de trabajo y de los recursos y plazos. Adaptacin herramientas Realizacin de entrevistas y pruebas Anlisis de resultados y valoracin de riesgos Presentacin y discusin del informe provisional Informe definitivo 4.2.6 AUDITORIA DE LA SEGURIDAD FSICA Se evaluaran las protecciones fsicas de datos, programas, instalaciones, equipos, redes y soportes y por supuesto las personas. Las amenazas son muy diversas: sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios inundaciones, averas importantes, derrumbamientos, explosiones, axial como otros que afecten a las personas y puedan impactar el funcionamiento de los centros, tales como errores, negligencias, etc. Desde la perspectiva de las protecciones fsicas algunos aspectos a considerar son: de cuestionarios y a veces consideracin de
75
Ubicacin del Centro de procesamiento de datos, de los servidores locales, y de cualquier elemento a proteger, como tambin los terminales. Estructura, diseo, construccin y distribucin de los edificios. Riesgos a los que estn expuestos, tanto por agentes externos, causales o no, como por acceso fsico no controlados. Amenazas de fuego, riesgo por agua, problemas en el suministro elctrico. A dems del acceso, debe controlarse el contenido de carteras, paquetes, bolsas o cajas. Se evaluaran las protecciones fsicas de datos, programas, instalaciones, equipos, redes y soportes y por supuesto las personas. Proteccin de los soportes magnticos en cuanto a acceso, almacenamiento y posible transporte, a dems de otras protecciones no fsicas, todo bajo unos sistemas de inventario, as como de documentos impresos y de cualquier tipo de informacin clasificada. 4.2.7 AUDITORA DE LA SEGURIDAD LGICA Es necesario verificar que cada usuario solo pueda accedes a los recursos que el propietario lo autorice. (disco, aplicacin, BD, librera de programa, tipo de transaccin, programas). As como (lectura, modificacin, borrado, ejecucin). Revisar como se identifican, autentifican los usuarios, as como quien los
autoriza y como; adems de verificar quien se entera, cuando y que se hace cuando ocurre una transgresin. El mtodo ms utilizado es la contrasea, consideraciones: Quien asigna la contrasea: inicial y sucesivas. Longitud mnima y composicin de caracteres. Vigencia. Numero de intentos que se permiten al usuario. Si las contraseas estn cifradas y bajo que sistema. Proteccin y cambio de contraseas iniciales. Controles existentes para evitar detectar caballos de Troya. La no-cesin y el uso individual y responsable a partir de la normativa 76
Cuando se cuenta con distintos sistemas los cuales requieren identificacin. Los usuarios pueden tener las mismas contraseas, lo cual supone una vulnerabilidad si la proteccin es desigual. Lo ms adecuado es utilizar sistemas de autentificacin nicos. Debemos verificar que el proceso de alta es realizado segn la normativa en vigor, as como las variaciones y bajas, y que los usuarios siguen activos y cuales inactivos y porque. Otra debilidad es si pueden crearse situaciones de bloqueo. Porque solo existe un administrador. Se recomienda la existencia de algn usuario no asignado con perfil especial y contrasea protegida que puedan ser utilizadas en caso de emergencia. Todas las operaciones debern quedar registradas para control y auditorias 4.2.8 AUDITORA DE LA SEGURIDAD Y EL DESARROLLO DE
APLICACIONES Todos desarrollo debe estar autorizado a distinto nivel segn la importancia e incluso autorizadas por un comit si los costes o los riesgos superan unos umbrales Se revisara la participacin de usuarios y auditores internos, a que libreras puedan acceder, si hay separacin suficiente de entornos, metodologas, ciclo de vida, gestin de proyectos, consideraciones especiales respecto a aplicaciones que traten datos clasificados o tengan transacciones econmicas o de riesgo especial, trminos de contrato y cumplimiento, seleccin y uso de paquetes, pruebas a distinto nivel, mantenimiento posterior, as como desarrollo de usuarios final. El pase al entorno de explotacin real, debe estar controlado, no descartndose la revisin del programa. Para descartar caballos de Troya, bombas lgicas y similares adems de la calidad. Proteccin de los programas, (propios, y las que tienen licencias). 4.2.9 AUDITORA DE LA SEGURIDAD EN EL REA DE PRODUCCIN
77
Las entidades han de cuidar especialmente las medias de proteccin en caso de contrataciones de servicios: (Impresiones de etiquetas, outsourcing, etc.), sin destacar que en el contrato se prevea la revisin por los auditores internos o externos de las instalaciones de la entidad que prev el servicio. Debe revisarse la proteccin de utilidades o programas especialmente peligrosos, as como el control de la generacin y cambios posteriores de todo el software del sistema y de forma especial el de control de acceso. Revisar el control de formularios crticos, control de problemas y cambios y la calidad. 4.2.10 AUDITORA DE LA SEGURIDAD DE LOS DATOS La proteccin de los datos pueden tener barios enfoques. Confidencialidad. Como datos mdicos. Disponibilidad. Si se pierden o pueden utilizarse a tiempo. Integridad. Cuando su perdida no puede detectarse fcilmente o no es fcil recuperarlo. Controles en los diferentes ciclos de vida de los datos. Desde el origen de datos, que puede ser dentro o fuera de la entidad y puede incluir preparacin, autorizacin, incorporacin al sistema Proceso de los Datos: controles de validacin integridad,
almacenamiento: que existan copias suficientes, sincronizadas y protegidas. Salida de resultados: Controles en transmisiones, en impresoras, en distribuciones, en servicios contratados de manipulacin y en el envi; conciliacin previa de salidas con entradas por personas diferentes. Para detectar errores y posibles intentos de fraudes Retencin de la informacin y Proteccin en funcin de su clasificacin: destruccin de los deferentes soportes que las contengan cuando ya no sea necesario o bien des magnetizacin.
78
Es necesaria la designacin de propietarios, clasificacin de los datos, e incluso de muescas para poder detectar usos no autorizados, as como la proteccin, controles y auditoria del SGBD. En cuanto a la clasificacin de datos o informacin debe revisarse quien la ha realizado, segn que criterio y estndares.(no suele ser prctico que haya ms de 4 o 5 niveles). En aplicaciones Cliente-servidor es necesario verificar los controles en varios puntos y no solo en la central. Y a veces en plataformas heterogenia con niveles y caractersticas de seguridad muy diferentes. Tambin pueden usarse BD distribuidas, lo que puede a adir complejidad al sistema y a los controles a establecer. Si entra en los objetivos se analizara la destruccin de la informacin clasificada sea fsica o lgica. Y donde se almacena la informacin antes de ser destruido. Si son lgicas deben seguir un procedimiento adecuado y ser sometidos a varias grabaciones antes de ser utilizados. En el caso necesario de transporte debe ser por canales seguros cifrados o en compartimiento cerrados sin que el transportista tenga las llaves 4.2.11 AUDITORA DE LA SEGURIDAD EN LAS COMUNICACIONES Y REDES En las polticas de la entidad debe reconocerse que los sistemas, redes y mensajes son propiedad de la entidad y no deben utilizarse para otros fines no autorizados, salvo emergencias. En habr previsto en uso de cifrado. Se evaluara y se llegar a recomendar, y se revisarn la generacin, longitud, almacenamiento y vigencia de las claves, especialmente de las maestras. Cada usuario solo debe recibir en el men lo que pueda seleccionar. Y cargar nicamente los programas autorizados. Siendo los tcnicos autorizados los nicos que podrn modificar las configuraciones. Deben existir proteccin de distinto tipo, as como detecciones de accesos no autorizados (externas o internas), y frente a virus por diferentes vas de infeccin. 79
Se
revisaran
las
redes
cuando
existan
repercusiones
econmicas
(transferencias de fondos o correo electrnico). Puntos complementarios: Tipo de redes y conexiones. Informacin de programas transmitidos, y uso de cifrado. Tipo de transacciones. Tipo de terminales y proteccin: fsica, lgica, llamadas de retorno. Proteccin de conversaciones de voz en caso necesario. Proteccin de transmisiones por fax si el contenido esta clasificado. Consideraciones especiales a travs de gateway y routers. Internet e Intranet. Separacin de dominios y medidas de control especiales como normas y cortafuegos. El correo Electrnico. Tanto por privacidad y para evitar virus como para que el uso del correo sea adecuado y referido a la propia funcin y no para fines personales. Proteccin de programas. El uso no adecuado de programas
propietarios o de los que tengan licencia. El control sobre las pginas Web. Quien puede modificarlos y desde donde. Para evitar la publicidad acerca de seguridad. Es necesarios que queden registrados los accesos a la red para facilitar los trabajos de control y auditorias. 4.2.12 AUDITORA DE LA CONTINUIDAD DE LAS OPERACIONES Es uno de los puntos que nunca se deber pasa por alto, estamos hablando de los planes de contingencia, no vasta con ver los manuales sino que es imprescindible ver si funciona con las garantas necesarias y cubrir los requerimientos de tiempos all denominados. Se debe evaluar su idoneidad as como los resultados de las pruebas que se han realizados, si las revisiones no nos aportan garanta suficientes debemos sugerir pruebas complementarios o hacerlo constar en el informe e incluso indicarlos en el apartado de limitaciones. 80
Es fundamental la existencia de copias actualizadas de recursos vitales en un lugar distante y de consideracin adecuada tanto fsica como de proteccin. No debe existir copia del plan fuera de las inhalaciones primarias En caso de los sistemas distribuidos es necesario conocer el caractersticas del centro o sistemas alternativos y deben revisarse si la capacidad de proceso, la de comunicacin y la de almacenamiento del sistema del sistema alternativo sean suficientes, as como las medidas de proteccin. 4.2.13 REGULACIN DE AUDITORA CON ADMINISTRACIN DE
SEGURIDAD La funcin de Administracin de seguridad en parte ser interlocutora en los procesos de auditora de seguridad, si bien los auditores no podemos perder nuestra necesaria independencia, ya que podemos evaluar el
desempeo de la funcin de administracin de seguridad, desde si sus funciones son adecuadas y estn respaldadas por algn documento aprobado a nivel suficiente, hasta el cumplimiento de esas funciones si no hay conflicto con otras. La funcin de auditora de sistemas de informacin y de la administracin de seguridad pueden ser complementarias, si bien sin perder su independencia: se trata de funciones que contribuyen a una mayor y mejor proteccin, y resulta como anillos protectores, como se muestra en la figura: 4.3 CONCLUSIONES Se espera que siga la tendencia y las entidades vayan entendiendo cada vez ms la utilidad de la proteccin de informacin y de la auditora. Tambin es cierto que han surgido bastantes entidades suministradoras que han incluido la seguridad y la auditora entre sus posibles servicios o simplemente han aceptado trabajos, en ambos casos sin disponer de expertos. Por otra parte hemos podido verificar que la auditora de la seguridad informtica, su filosofa, as como sus tcnicas y mtodos, interesan cada vez ms a los responsables de sistemas de informacin, a veces 81
para conocer como pueden evaluar los auditores sus reas, por a menudo saber cuales pueden ser los riesgos y que controles implantar.
ACTIVIDAD 01: Definiendo los Activos de Informacin de la Organizacin Utilice los siguientes formatos para documentar los activos de informacin de su organizacin. a) Defina un activo de informacin en algn proceso de su organizacin e identifique al (los) propietario (s)
Perfil de Activo de Informacin Nombre del Activo de Informacin Fecha de Creacin Definido por:
Versin
Descripcin del Activo de informacin
Propietarios del Activo de Informacin
82
b) Identifique los medios de almacenamiento del Activo de informacin

Perfil de Activo de Informacin Nombre del Activo de Informacin Fecha de Creacin Sistemas y Aplicaciones Aplicaciones
Versin Medios de Almacenamiento
Sistemas Operativos Hardware Servidores
Redes PC y Otros Personas Funcionarios de Negocios Personal Tcnico Otros Otros Medios
Ubicacin Fsica Papeles Otros lugares
83
c) Defina los requerimientos de seguridad para los activos de informacin identificados

Perfil de Activo de Informacin
Nombre del Activo de Informacin Fecha de Creacin
Versin
Requerimientos de Seguridad Confidencialidad
Integridad
Disponibilidad
84
d) Determine el valor para su organizacin del Activo de informacin

Perfil de Activo de Informacin
Nombre del Activo de Informacin Fecha de Creacin
Versin
Valuacin del Activo de Informacin
e) De las fichas anteriores, elaborar un resumen del inventario de activos de informacin que se encontr segn el formato siguiente:
85
Inventario de Activos de Inf ormacin Prepa rado por: Revisado y Aprobado por: Fecha Fecha
Requerimientos de Seguridad
Tipo de Activo Descripcin del Activo Proceso de Negocio Fecha Creacin Propietario Medios de Almacenamiento Confidencialidad La informa cin debe ser a ccedida slo por personal de ventas, fa ctura cin e alma cn. Cualquier otro requeri miento de a cceso debe ser autori zado por el Gerente Comercial . No aplicable Integridad Se requiere que la informa cin sea exa cta y completa. Los sistemas que ma neja n dicha informa cin deben tener procedi mientos y mecanismos de valida cin. No aplicable Disponibilidad Como pa rte del proceso de fa ctura cin se requiere que la informa cin se encuentre disponible durante 12 horas del da de lunes a viernes . Valor de Activo de Informacin La informa cin de los clientes es de vi tal i mporta ncia pa ra el negoci o. El a cceso no autori zado podra ocasiona r que la empresas competidoras los conta cten y perdamos ventaja competi ti va . Daos o inhabili ta cin del servidor ocasiona ra fal ta de comunica ciones
Informa cin de Informa cin Comercializa cin 12/03/2005 los clientes
Gerente Comercial
Sis tema Comercial (ERP) Reportes de Clientes
Ha rdwa re
Servidor de Correo Electrnico
Comuni ca cin interna y externa
10/03/2005
Jefe de Infraes tructura
Da ta Center
Se requiere que el a cti vo se encuentre disponible 24x7x365.
86
La seguridad sigue siendo el rea ms importante a auditar, la importancia de la informacin especialmente relacionada con los sistemas basadas en el uso de la tecnologa de la informacin y comunicaciones, tienen un impacto mayor que hace unos aos, de ah las necesidades de protecciones adecuadas que se evalan y recomiendan en la auditora de seguridad. Los grandes grupos de control son los siguientes: controles directivos, controles preventivos controles de deteccin, controles correctivos, controles de recuperacin. Cada entidad ha definir sus propios objetivos de control en cuanto a seguridad de otras reas y crear y mantener un sistema de control interno (funciones, procesos, actividades, dispositivos...) que puedan garantizar que se cumplen los objetivos de control. El sistema de control interno ha de basarse en las polticas y se implanta con apoyo de herramientas, lo que encontramos a menudo en las auditoras que lo que existe es ms bien la implantacin
parcial de control de acceso lgico a travs de paquetes o sistemas basados en el criterio de los tcnicos pero no sustentadas en normativa. Desde la perspectiva de la auditora de la seguridad es necesario revisar si se han considerado las amenazas, o bien evaluarlas si es el objetivo, y de todo tipo; errores y negligencias en general desastres naturales, fallos de instalaciones, o bien fraudes o delitos y que pueden traducirse en fallos a personas, datos, programas redes instalaciones y otros activos. En auditora de seguridad fsica se evaluarn las protecciones fsicas de datos, programas , instalaciones , equipos redes, y soportes y por supuesto habr que considerar a las personas que estn protegidas y existan medidas de evacuacin,
alarmas , salidas alternativas as como que no estn expuestas a riesgos superiores a los considerando admisibles en la entidad. Las amenazas pueden ser sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios inundaciones , averas importantes derrumbamientos , explosiones , as como
87
otros que afectan a las personas y pueden impactar el funcionamiento de los centros tales como errores, negligencias , huelgas epidemias o intoxicaciones. En las polticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son de propiedad de la entidad y no deben usarse para otros fines no autorizados por seguridad y por productividad, tal vez salvo emergencias concretas si as se han especificado. En el informe se hacen constar los antecedentes y los objetivos, para que quines lean el informe puedan fijarse que ha habido una comunicacin adecuada as como que metodologa de evaluacin de riesgos y estndares se han utilizado.
Littlejhon Shider, Debra, Superutilidades y deteccin de Delitos Informticos, Edit. Anaya, 1era. Edicin, 2003 . Jones J., Keith, Superutilidades Hackers , Edit. Mc.Graw Hill, 1era. Edicin, 2003. Cougias,D orian/E.L. Heiberg, Herramientas de Proteccin y
Recuperacin de Datos, Edit. Anaya, 1era. Edicin, 2004 Sols Montes, Gustavo Adolfo, Reingeniera de la Auditoria, Edit. Trillas, 1ra. Edicin. 2002. Piattini Mario G., Auditoria Informtica. Edit. AlfaOmega, 2da. Edicin 2001. Echenique GARCIA, Jos Antonio, Auditoria en Informtica, Edit. Mc. Graw Hill, 2da. Edicin, 2001. Radlow J. Informtica y computadoras en la sociedad, Edit. Mc. Graw Hill. 1ra. Edicin 2001. INEI, Auditoria de Sistemas, E dicin 2002 COBIT versin 4.0 , Manual de Objetivos de Control de ISACA,. 88
En el siguiente fascculo se desarrolla los puntos importantes de una auditoria de base de datos, as como tambin su importancia para iniciar una auditoria de las aplicaciones que la utilizan.
1. La seguridad de la informacin en Per, situacin se conocen realmente riesgos? Perspectivas. 2. El perfil del auditor en seguridad del sistema de informacin. 3. Estndares para la auditoria de la seguridad. 4. La comunicacin a auditados y el factor sorpresa en auditorias de seguridad. 5. Qu debe hacer el auditor si le pide que omita o vari algn punto en su informe? 6. Auditoria de la seguridad en las prximas dcadas: nuevos riesgos, tcnicas y herramientas. 7. Equilibrio entre seguridad, calidad y productividad. 8. Qu es mas critico: datos, personas, comunicaciones, instalaciones,? 9. Relaciones entre Administracin de Seguridad y Auditoria de sistemas de informacin interna y externa. 10. Calculo de la rentabilidad de la auditoria de seguridad informtica.
89
UNIDAD ACADMICA V
AUDITORIA DE BASE DE DATOS Y APLICACIONES Las aplicaciones o sistemas de informacin son uno de los productos finales que genera la infraestructura de TI en las organizaciones y por ende son el aspecto de mayor visibilidad desde la perspectiva de negocio. Los errores o las deficiencias de control en las aplicaciones y por ende en las bases de datos en las cuales se trabajan, tienen un impacto directo en los intereses de las empresas, ya sea econmico, de eficiencia, de imagen, de cumplimiento legal normativo, etc. En el presente fascculo se presentara en primer lugar las metodologas para una auditoria de Base de Datos, debido a la importancia como punto de
partida para una auditoria de aplicaciones, para luego detalla r una metodologa completa para realizar una auditoria de aplicaciones.
Al finalizar el estudio del presente fascculo el estudiante: Conocer la gran difusin de los SGBD como uno de los recursos
fundamentales de las empresas. Conocer las diferentes metodologas que se utilizan para la auditoria de Base de Datos. Entender la importancia de planificar, preparar y realizar auditorias de aplicaciones en funcionamiento en cuanto al grado del cumplimiento de los objetivos para los que las mismas fueron creados. Conocer la problemtica que afronta la utilizacin de una aplicacin informtica y las medidas tendentes a solucionarlas.
90
Conocer las herramientas utilizadas dentro de una auditoria de una aplicacin as como sus requisitos y consejos para poder utilizarlos
efectivamente. Conocer las diversas etapas de la auditoria de una aplicacin informtica y lo necesario para realizarla. 5.1 AUDITORIA DE BASE DE DATOS
La gran difusin de los sistemas de gestin de base de datos (SGBD), junto con la consagracin de los datos como uno de los recursos fundamentales de las empresas, han hecho que los temas relativos a su control interno y auditoria cobren, cada da, mayor inters. Como ya se ha comentado, normalmente la auditoria informtica se aplica de dos formas distintas; por un lado, se auditan las principales reas del departamento de informtica: explotacin, direccin, metodologa de desarrollo, sistema operativo, etc. y por otro se auditan las aplicaciones que funcionan en la empresa. La importancia de la auditoria del entorno de base de datos radica en que es el punto de partida para poder realizar la auditoria de aplicaciones que utiliza esta tecnologa. Los Sistemas de Gestin de Bases de Datos proveen mecanismos que garantizan la seguridad, consistencia y reglas de integridad. Es de gran importancia par el auditor de sistemas, conocerlos y apoyarse en ellos para verificar el ambiente de control establecido en la instalacin. 5.1.1 QU ES UNA AUDITORIA DE BASE DE DATOS? Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacin almacenada en las bases de datos incluyendo la capacidad de determinar: Quien accede a los datos. Cuando se accedi a los datos. 91
Desde que tipo de dispositivo/aplicacin. Desde que ubicacin en la red. Cual fue la sentencia SQL ejecutada. Cual fue la sentencia del acceso a la base de datos. Es uno de los procesos fundamentales para apoyar la responsabilidad delegada a TI (Tecnologas de Informacin) por la organizacin frente a las regulaciones y su entorno de negocios o actividad.
Caractersticas: Debe ser independiente de las aplicaciones. Es una auditoria selectiva. La auditoria de Base de Datos tiene como mbito posible lo que ocurre dentro del gestor y por tanto no puede dar razn de lo que ocurra fuera. La auditoria depende de la tecnologa del gestor de base de datos.
5.1.2 OBJETIVOS DE LA AUDITORIA DE BASE DE DATOS Es obtener informacin de las operaciones que cada usuario realiza sobre los objetos de una Base de Datos. As como tambin, disponer de mecanismos que permitan tener trazas de auditoria completas y automticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de: Apoyar el cumplimiento regulatorio, mitigar los riesgos asociados con el manejo inadecuado de los datos y satisfacer los requerimientos de los auditores. 5.1.3 NIVELES DE AUDITORIA DE BASE DE DATOS
A. Agregada: son estadsticas sobre el nmero de operaciones realizadas sobre un objeto de BD, por cada usuario. Como cualquier estadstica, su medida puede hacerse con tcnicas censales o mustrales. Censal : El gestor toma datos de todas las operaciones que reciben el gestor, esto se ejecutara en paralelo a las operaciones auditadas. 92
Muestral : Peridicamente se toman datos de las operaciones que se tienen en ese momento por el gestor. B. Detallado: Incluye todas las operaciones realizadas sobre cada objeto de la base de datos. Cambios: El contenido de los datos, debe contener los mismos datos anteriores y posteriores a la operacin de cambios. Accesos: limitada a los cambios de acceso al contenido de los datos y tiene dos niveles de detalle: operacin (Sentencia SQL que se ejecut) y resultado (los datos que se usan en la sentencia SQL ejecutada). Otros: Copias de seguridad y reconstruccin de estados. Niveles de auditoria BD ms utilizados: Reconstruccin a un punto en el tiempo. Backup, Restore y Recover Resultado de la operacin de acceso. Operacin acceso Cambio de estructura Cambio de Contenido Agregado muestral Agregado censal.
93
Cuadro 5.1 Niveles de auditoria en los diferentes SGBD 5.1.4 METODOLOGAS PARA AUDITORIA DE BASE DE DATOS
Aunque existen distintas metodologas que se aplican en auditoria informtica (prcticamente cada firma o consultora de auditores y cada empresa desarrolla la suya propia), se pueden agrupar en dos clases: A. Metodologa Tradicional: en este tipo de metodologa el auditor revisa el entorno de la base de datos con la ayuda de una lista de verificacin (checklist), que consta de una serie de cuestiones a verificar. Este tipo de tcnica suele ser aplicada a la auditoria de productos de bases de datos, especificndose en la lista de control todos los aspectos a tener en cuenta.
94
Figura 5.1: Ejemplo de checklist B. Metodologa de Evaluacin de Riesgos : ROA (Risk Oriented Approach) que es propuesto por ISACA basado en objetivos de control. Este tipo de metodologa inicia fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Un objetivo de control puede llevar asociadas varias tcnicas que permiten cubrirlo en su totalidad. Estas tcnicas pueden ser preventivas correctivas. En caso de que los controles existan, se disean unas pruebas que permiten verificar la consistencia de los mismos.
95
Figura 5.2 Ciclo de vida de una Base de Datos
5.1.5 TCNICAS PARA AUDITORIA DE BD Anlisis de los caminos de acceso: Con esta tcnica se documentan el flujo, almacenamiento y
procesamiento de los datos en todas las fases por las que pasan desde el momento en que se introducen, identificando los componentes del sistema que atraviesan (tanto hardware como software) y los controles asociados. Con este mtodo el auditor puede identificar las debilidades que expongan los datos a riesgos de integridad, confidencialidad y seguridad, las distintas interfaces entre componentes y la complecin de los controles.
96
Figura 5.3: Anlisis de los caminos de acceso.
Revisin de entorno de BD Cuando el auditor, se encuentra el sistema en explotacin, deber estudiar el SGBD y su entorno. El gran problema de las bases de datos es que su entorno cada vez es ms complejo y no puede limitarse solo al propio SGBD. En la figura se muestra un posible entorno de bases de datos en el que aparecen los elementos ms usuales.
97
Figura 5.4.: Entorno de Base de Datos
5.1.6 ASPECTOS A TOMAR EN CUENTA EN UNA AUDITORIA DE BASE DE DATOS No se debe comprometer el desempeo de las base de datos: soportar diferentes esquemas de auditoria se debe tomar en cuenta el tamao de las base de datos a a uditar y los posibles SAL establecidos. Segregacin de funciones: el sistema de auditoria de base de datos no puede ser administrado por los DBA del rea de IT. Proveer valor a la operacin del negocio: informacin para auditoria y seguridad Informacin para apoyar la toma de decisiones de la organizacin Informacin para mejorar el desempeo de la organizacin Auditoria completa y extensiva: Cubrir gran cantidad de manejadores de base de datos Estandarizar los reportes y de reglas de auditoria 98
5.1.7 PRACTICA DE AUDITORIA DE BASE DE DATOS A continuacin desarrollamos un ejercicio prctico, el cual muestra cmo usar los triggers (procedimientos almacenados) para hacer un control de cambios sobre una tabla. Esta tarea es muy comn en muchas empresas o productos, por lo cual es importante saber cmo hacerla., para esto necesitamos tener instalado el gestor de base de datos del SQL Server 2000 como mnimo: 1. Planteamos el problema: Disponemos de una tabla ALUMNOS, la cual nos piden que cada vez que alguien modifique un campo en especial esto quede guardado en otra tabla; lo mismo si alguien borra registros. 2. Para empezar a trabajar crearemos primero la tabla en cuestin ALUMNOS:
CREA TE TABLE ALUMNOS (CODIGO INT PRIMARY KEY, NOMBRE VARCHAR (50), APELLIDOS CHAR (60), FECHA_INGRESO DA TE TIME DEFA ULT GE TDA TE () )
3. Luego lo que haremos es insertar algunos registros para poderlo usar luego en nuestro control.
DECLARE @N INT SET @N = 1 WHILE @N < 250 BEGIN INSERT INTO ALUMNOS VALUES (@N,'ANA ' + CONVERT(CHAR(4),@N),'GONZALES',GE TDA TE ()) SET @N = @N + 1 END
4. La tabla Auditoria tendr la siguiente estructura:

CREA TE TABLE AUDITORIA_ALUMNOS ( CODIGO INT,
99
NOMBRE VARCHA R(50), CUIT CHA R(15), FECHA_INGRESO DA TE TIME, USUARIO VARCHA R(100) DEFA ULT S USER_SNAME(), FECHA_AUDITORIA DA TE TIME DEFAULT GE TDA TE(), TIPO CHA R(1) CHE CK (TIP O='U' OR TIPO='D')
5. Bien, ahora tenemos nuestra tabla ALUMNOS
y nuestra tabla
AUDITORIA_ALUMNOS, lo que nos queda por hacer son los triggers, para que cuando se borren o reemplacen registros en nuestra tabla ALUMNOS, actualice la tabla AUDITORIA_ALUMNOS. El primer trigger que haremos ser el del DELETE; para que si alguien borra registros, los datos de los mismos se pasen a la tabla de auditoria.
CREA TE TRIGGE R TR_A LUMNOS_BORRA R ON CLIENTES FOR DE LE TE AS INSE RT INTO A UDITORIA_A LUMNOS SELECT CODIGO, NOMBRE, CUIT, FECHA_INGRESO, SUSER_SNAME(), GETDA TE (),D' FROM DELE TE D
6. Ahora probaremos si lo que hemos hecho realmente funciona. Para poder hacer esto no hay nada mejor que borrar registros; esto lo haremos en 2 etapas: en la primera solo borraremos 1 registro, y en la segunda borraremos 5 registros; veremos que en ambos casos el trigger funciona.
100
Primera Prueba: Esto lo usamos solo para ver que registro vamos a eliminar. SELECT * FROM ALUMNOS WHERE CODIGO=1 DELETE FROM ALUMNOS WHERE CODIGO=1 Aqu acabamos de borrar un registro.
SELECT * FROM AUDITORIA _ALUMNOS
Si todo sali bien, veremos en nuestra tabla AUDITORIA_ALUMNOS el registro que se elimin y los datos del usuario (conexin activa), y en qu fecha se produjo la accin. Segunda prueba:
SELECT TOP 5 * FROM ALUMNOS ORDE R BY CODIGO DES C
Estos sern los registros que se va a eliminar.

DELE TE ALUMNOS FROM ( SELECT TOP 5 * FROM ALUMNOS ORDE R BY CODIGO DES C) AS t1 WHERE ALUMNOS. CODIGO = t1.iD
Aqu acabo de borrar los registros.

SELECT * FROM AUDITORIA _ALUMNOS
Ahora veremos que en nuestra tabla AUDITORIA_ALUMNOS no solo est el registro anterior sino estos cinco nuevos, o sea que nos da un total de seis registros en la tabla de auditoria que se han borrado. 7. Ahora solo nos quedara armar el otro trigger para cuando alguien haga un Update sobre los registros.
101
CREA TE TRIGGE R TR_A LUMNOS_ACTUA LIZA R ON ALUMNOS FOR UPDA TE AS INSE RT INTO A UDITORIA_A LUMNOS SELECT D.CODIGO, D.NOMBRE, D.CUIT, D.FECHA_INGRESO, SUSER_SNAME(), GETDA TE (),'U' FROM DELE TE D D INNE R JOIN INSERTE D I ON D.CODIGO = I.CODIGO AND (D.NOMBRE <> I.NOMBRE OR D. CUIT <> I.CUIT)
Como vern, este trigger lo que hace es solo insertar en la tabla AUDITORIA_ALUMNOS si hay algn cambio en el campo nombre CUIT. Esto es as porque sino cada vez que alguien ejecute un Update el trigger querr insertar en la tabla AUDITORIA_ALUMNOS llenndola de basura si realmente no se ha modificado nada.
UPDA TE ALUMNOS SET NOMB RE='MA XI' WHE RE CODIGO= 100 UPDA TE ALUMNOS SET NOMB RE='MA XI' WHE RE CODIGO= 100 UPDA TE ALUMNOS SET NOMB RE='MA XI' WHE RE CODIGO= 100 SELECT * FROM AUDITORIA _ALUMNOS WHERE TIP O='U
Ahora haremos esto:

TRUNCA TE TAB LE AUDITORIA__ALUMNOS UPDA TE ALUMNOS SET NOMB RE='NN SELECT * FROM AUDITORIA _ALUMNOS WHERE TIP O='U
102
5.2 AUDITORIA DE APLICACIONES
Una meticulosa y exhaustiva auditora de una aplicacin informtica de relevancia en una empresa o entidad podra dar pie para poner en funcionamiento la prctica
totalidad de la extensa gama de tcnicas y rica metodologa de la auditoria informtica. Este mtodo se va ha centrar en la fase final de la vida de la aplicacin informtica, la de su funcionamiento ordinario, una vez superada la crtica etapa de su
implantacin, que habr cerrado el ciclo precedido por las de concepcin y desarrollo. Uno de los objetivos este captulo consiste en tratar de ayudar a planificar, preparar y llevar acabo auditoras de aplicaciones en funcionamiento en cuanto al grado de cumplimiento de los objetivos para los que las mismas fueron creadas: con carcter general, stos estarn en la lnea de servir de eficaces herramientas operativas y de gestin que potencien la ms eficiente contribucin, por parte de las organizaciones usuarias de las aplicaciones, a la consecucin de los objetivos generales de la empresa, grupo o entidad a la que pertenecen. 5.2.1 PROBLEMTICA DE LA AUDITORIA DE UNA APLICACIN INFORMTICA.
Una aplicacin informtica o sistema de informacin habitualmente persigue como finalidad: Registrar fielmente la informacin considerada de inters entorno a las operaciones llevadas a cabo por una determinada organizacin. Permitir la realizacin de cuantos procesos de clculo y edicin sean necesarios a partir de la informacin registrada. 103
Facilitar respuestas a las consultas de todo tipo sobre la informacin almacenada. Generar informes que sirvan de ayuda para cualquier finalidad de inters en la organizacin, presentando la informacin adecuada
Ni el rigor en la creacin de la aplicacin ni la profesionalidad en el uso de la misma pueden ser garantizados. Adems la profundidad no inmuniza contra el cansancio y el estrs. Asumido esta tambin que de humano es equivocarse, cometer errores y omisiones involuntariamente. Y tampoco es imposible que en un momento determinado un empleado descontento comete errores intencionadamente o que otros, en apuros econmicos, sucumba a la tentacin de intentar un fraude perfecto si considera mnima la probabilidad de ser descubierto, tal y como funciona el sistema y la organizacin, que puede no estar dando muestras de ejercer un control interno riguroso. Y no son estas las nicas amenazas al normal cumplimiento de la finalidad de nuestra aplicacin: La posibilidad de fallo en cualquiera de los elementos que intervienen en el proceso informtico. La conexin cada vez ms generalizada de las empresas a entornos abiertos como el Internet multiplica los riesgos que amenazan la confidencialidad e integridad de la informacin de nuestros sistemas.
Para cada una de estas amenazas y cualquier otras que pueda ser identificada se habrn debido estudiar las posibles medidas tendentes a eliminar el riesgo que entraa o a reducir la probabilidad de su materializacin. Dichas medidas son fundamentalmente medidas de control interno. En el terreno de una aplicacin informtica, el control interno se materializa fundamentalmente en controles de 2 tipos: 104
Controles manuales: a realizar normalmente por parte de personal del rea usuaria. Controles automticos: incorporados a los programas de aplicacin que sirvan de ayuda para tratar de asegurar que la informacin se registre y mantenga completa y exacta. Controles que, segn su finalidad, se suelen clasificar en: Controles preventivos. Controles detectivos. Controles correctivos. Y pueden ser utilizados: En las transacciones de recogido o toma de datos. En todos los procesos de informacin que la aplicacin realiza. En la generacin de informes y resultados de salida. Es importante realizar la conveniencia de la participacin de auditora interna en la revisin de los controles diseados durante el desarrollo de la aplicacin. La participacin de auditora interna en le desarrollo de un sistema informtico debe tener un alcance mas amplio que el referente al sistema informtico, ya que debe contemplar no solo los riesgos relacionados con la aplicacin, sino todos los que puedan afectar al proceso completo al que la misma sirva de herramienta. Podemos centrar la problemtica de la auditora de una aplicacin: se trata de realizar una revisin de la eficacia del funcionamiento de los controles diseados para cada uno de los pasos de la misma frente a los riesgos que, trata de eliminar o minimizar, como medios para asegurar la fiabilidad, seguridad, disponibilidad y confidencialidad de la informacin gestionada por la aplicacin.
105
5.2.2 HERRAMIENTAS DE USO MS COMN EN LA AUDITORA DE UNA APLICACIN La tremenda evolucin de las tecnologas, en todo lo referente a los
sistemas de informacin, obliga a un esfuerzo considerable de informacin a todo el personal de auditora interna, y en particular a los especialistas en auditora informtica. Este reto debe estar asumido por la direccin de auditora, que debe impulsar la respuesta adecuada al mismo, recogida d un ambicioso plan de formacin, que incluya la atencin a las nuevas tendencias y preocupaciones. Ello no es bice para que, dentro de la poltica de la empresa, se contemple la posibilidad de contratar la realizacin de determinadas auditoras informticas muy especializadas (outsourcing) o personal auditor que participe en trabajos. A. ENTREVISTAS De amplia utilizacin a lo largo de todas las etapas de la auditora, las entrevistas deben cumplir una serie de requisitos: Las personas a entrevistar deben ser aquellas que mas puedan aportar al propsito pretendido. La entrevista debe ser preparada con rigor de cara a sacar el mximo partido de ella. Para ello es indispensable escribir el guin de temas y apartados a tratar, para evitar que quede sin tratar algn asunto de inters, tambin exige haber alcanzado el nivel de conocimientos sobre la aplicacin necesario en ese momento para conducir con soltura la entrevista. Ha de ser concertada con los interlocutores con antelacin suficiente informndoles del motivo y las materias a tratar en ella. Las jefaturas de las personas a entrevistas deben estar informadas de las actuaciones previstas. Durante el desarrollo de la entrevista, el auditor tomara las anotaciones imprescindibles. 106
B. ENCUESTAS Con las lgicas salvedades, la mayor parte de los requisitos enumerados para las entrevistas son tambin de aplicacin para las encuestas: En este caso si que hay que preparar un cuestionario que pueda ser contestado con la mayor rapidez a base de marcar las respuestas entre las posibles. Conviene que todas las preguntas vayan seguidas de un espacio destinado a observaciones. Aunque no puede ni debe exigirse la identificacin personal del encuestado, si debe hacerse de la organizacin a la que pertenece. C. OBSERVACIN DEL TRABAJO REALIZADO POR LOS USUARIOS Aunque por otros medios puede llegarse a comprobar que la aplicacin funciona con garantas de exactitud y fiabilidad, es conveniente observar como algn usuario hace uso de aquellas transacciones ms significativas por su volumen o riesgo. D. PRUEBAS DE CONFORMIDAD De uso general en todo el campo de la auditora, son actuaciones orientadas especficamente a comprobar que determinados procedimientos, normas internos, se cumplen o funcionen de acuerdo con lo previsto y esperado. La comprobacin debe de llevar a la evidencia a travs de la inspeccin de los resultados producidos. La evidencia de incumplimiento puede ser puesta de manifiesto a travs de informes de excepcin. Los testimonios de incumplimiento no implican evidencia pero, si parten de varias personas, es probable que la organizacin asuma como validos dichos testimonios. 107
E. PRUEBAS SUBSTANTIVAS O DE VALIDACIN Orientadas a destacar la presencia o ausencia de errores o irregularidades en procesos, actividades, transacciones o
controles internos integrados en ellos. Todo tipo de error o incidencia imaginable puede ser objeto de investigacin en esta clase de pruebas. Infinidad de recursos pueden ser utilizados para detectar indicios, en primera instancia, de posibles errores. Otros recursos clsicos utilizados para la deteccin de errores o sus indicios son de ejecucin manual. Ejemplo de estos recursos de ejecucin manual son: arqueo, inventario, inspeccin. F. USO DEL COMPUTADOR El uso de computadores constituye una de las herramientas mas valiosas en la realizacin de la auditora de una aplicacin informtica. Existen en el mercado infinidad de productos de software concebidos para facilitar la tarea del auditor. Sin restar su valor a estos productos, y desde la ptica del auditor interno, se pueden obtener resultados similares haciendo uso de herramientas disponibles en la organizacin y no necesariamente diseadas para funciones de auditora. Las pistas de auditora de que esta provista la aplicacin deben constituir un apoyo importante a la hora de utilizar el computador para detectar situaciones o indicios de posible error. Tambin hay que considerar la posibilidad de utilizar la propia aplicacin.
108
5.2.3 ETAPAS DE LA AUDITORA DE UNA APLICACIN INFORMTICA
A. RECOGIDA DE INFORMACIN Y DOCUMENTACIN SOBRE LA APLICACIN. Para cubrir esta etapa del trabajo de auditora resulta til confeccionar unas guas que nos permitan seguir una determinada pauta en las primeras entrevistas y contengan la relacin de documentos a solicitar todos aquellos que ayuden a: Adquirir una primera visin global del sistema: Descripcin general de la aplicacin, presentaciones que hayan podido realizarse de la aplicacin con distintas finalidades a lo largo de su vida. Conocer la organizacin y los procedimientos de los servicios que utilizan la aplicacin. Describir el entorno en el que se desarrolla la aplicacin. Entender el entorno de software bsico de la aplicacin. Asimilar la arquitectura y caractersticas lgicas de la aplicacin. Conocer las condiciones de explotacin de la aplicacin y los riesgos que se puedan dar. Conocer las condiciones de seguridad de que dispone la aplicacin. Disponer de informacin relativa a: estadsticas de tiempos de explotacin para cada proceso, de tiempos de respuesta de transacciones on line. B. DETERMINACIN DE LOS OBJETIVOS Y ALCANCE DE LA AUDITORA Es de desear que los objetivos propuestos sean consensuados con el equipo responsable de la aplicacin en la organizacin usuaria. Es preciso conseguir una gran claridad y precisin en la definicin de los objetivos de la auditora y del trabajo y pruebas 109
que se propone realizar, delimitando perfectamente su alcance d manera que no ofrezcan dudas de interpretacin. En la preparacin del plan de trabajo trataremos de incluir: La planificacin de los trabajos y el tiempo a emplear. Las herramientas y mtodos. El programa de trabajo detallado. Test de confirmacin, test sobre los datos y los resultados.
La auditoria de una aplicacin informtica, debe ser objeto de una planificacin cuidadosa. En este caso es de crucial importancia acertar con el momento mas adecuado para su realizacin: Por una parte no conviene que coincida con el periodo de su implantacin, especialmente critico, en que los usuarios no dominan todava la aplicacin y estn ms agobiados con la tarea diaria. Por otra parte el retraso excesivo en el comienzo de la auditora puede alargar el periodo de exposicin a riesgos superiores que pueden y deben ser aminorados como resultados de ella. Tambin hay que establecer el mbito de actuacin. Para la seleccin de ese limitado numero de centros en los que llevar a cabo el trabajo de campo. Debe conseguir cuanto antes, solicitndolo ya en la primera toma de contacto. C. TRABAJO DE CAMPO, INFORME E IMPLANTACIN DE MEJORAS. La etapa de realizacin del trabajo de campo consiste en la ejecucin del programa de trabajos establecidos. Una recomendacin de cara a esta etapa es la de plantearse la mnima utilizacin de papeles de trabajo, en el sentido literal, fsico, potenciando la utilizacin de PCs.
110
La situacin ptima a alcanzar es conseguir que la organizacin auditada asuma las propuestas de actuacin para implantar las recomendaciones como objetivos de la organizacin.
5.3 CONCLUSIONES La creciente importancia asignada a los sistemas de informacin como ayuda inestimable e imprescindible en el desarrollo de los procesos de negocio, aportando no ya informacin, sino conocimiento. Efectivamente, si la base de la toma de decisiones no es segura, fiable y confidencial los resultados pueden ser exactamente los contrarios a los pretendidos. Por otro lado el enorme y continuo avance tecnolgico en este terreno y la apertura de los sistemas al exterior, exige un gran esfuerzo de formacin a los auditores informticos.
ACTIVIDAD 01:
CASO: Problemas de Segregacin de Funciones En una universidad de prestigio un DBA modifico la informacin acadmica de estudiantes para conseguir compensacin econmica. El DBA tena el poder para borrar o detener los procesos de auditoria, no exista segregacin de funciones. Durante 5 aos el DBA estuvo falsificando registros de estudiantes y el problema fue identificado por casualidad por un profesor al ver un resumen de un antiguo estudiante. 111
Las consecuencias de este problema son muy graves consecuencias en la reputacin de la universidad, prdidas econmicas y afectadas en la credibilidad de sus registros acadmicos, de la universidad, La administracin general de la universidad, debido a los hechos descritos en lneas anteriores ha decidido establecer contacto con una Compaa especializada en la realizacin de Auditorias Externas, para que efecte este estudio.
De las distintas fases que componen una auditoria, realizar solamente: Definir el alcance de la auditoria externa. Objetivos de Control y Pruebas a realizar para evaluar los distintos riesgos, que permitieron los problemas que se detallaron. ACTIVIDAD 02: Realizar un anlisis de todas las herramientas de software que se ofrecen actualmente en el mercado, para realizar una auditoria de base de datos, en las empresas que se utilizan gestores de base de datos como el SQL Server, MySQL u Oracle.
La gran difusin de los sistemas de gestin de bases de datos, (SGBD) junto con la consagracin de los datos como uno de los recursos fundamentales de las empresas, ha hecho que los temas relativos a su Control interno y auditora cobren cada da mayor inters.
Aunque existan distintas metodologas que se aplican en auditora informtica se pueden agrupar en dos Clases: Metodologa tradicional, metodologa de evaluacin de riesgos .Algunos objetivos y tcnicas de control a cuenta a lo largo del ciclo de vida de una BD que abarca desde el estudio previo hasta su explotacin. 112
Asimismo, la importancia asignada a los sistemas de informacin como ayuda inestimable e imprescindible en el desarrollo de los procesos de negocio, aportando no ya informacin, sino conocimiento, se esta demandando que apoye la correcta toma de decisiones atribuye esa misma importancia a la auditoria de las aplicaciones informtica, garantes del correcto cumplimiento de la funcin encomendada a las mismas.
Cougias,Dorian/E.L.
Heiberg,
Herramientas
de
Proteccin
Recuperacin de Datos , Edit. Anaya, 1era. Edicin, 2004 Sols Montes, Gustavo Adolfo, Reingeniera de la Auditoria, Edit. Trillas, 1ra. Edicin. 2002. Piattini Mario G., Auditoria Informtica. Edit. AlfaOmega, 2da. Edicin 2001. COBIT versin 4.0,Manual de Objetivos de Control de ISACA .
En el siguiente fascculo se desarrollara los aspectos mas importantes para desarrollar una auditoria de redes y telecomunicaciones.
113
1. Establezca objetivos de control relativos al diseo de una base de datos. 2. Defina un procedimiento para la adquisicin de SGBD 3. Cules son las diferencias ms importantes entre las funciones de un administrador de datos y las de un administrador de base de datos? 4. Por qu resulta tan crtico un diccionario de datos? 5. Qu controles establecera sobre la distribucin de listados extrados a partir de la base de datos? 6. Objetivos de control sobre la formacin del personal relacionado con el SGBD (usuarios finales, administradores, diseadores, etc.). 7. Qu riesgos adicionales implica el hecho de distribuir las bases de datos? 8. Qu controles establecera para desarrollos que empleen lenguajes visuales que acceden a base de datos? 9. Analice el soporte que ofrecen las herramientas de minera de datos al auditor informtico. 10. Enumer las principales amenazas que pueden impedir a las aplicaciones informticas cumplir sus objetivos. 11. Valore la importancia del manual de usuario para la auditoria de aplicaciones. 12. Proponga tcnicas para medir el nivel de satisfaccin del usuario con el modo de operar de las aplicaciones. 13. Cmo verificara el grado de fiabilidad de la informacin tratada por una aplicacin?
114
UNIDAD ACADMICA VI
AUDITORIA DE REDES DE COMPUTADORAS
Las tecnologas de transmisin de datos a travs de redes de computadoras son el eje central del funcionamiento de un entorno informtico que presta servicios de tipo cliente/servidor. Un excelente desempeo de la red trae como consecuencia un aumento de la productividad informtica.
El ingreso de nuevos equipos en la red, la existencia de protocolos no necesarios, la mala configuracin de equipos, activos de red o el escaso mantenimiento del cableado estructurado y el envejecimiento de los equipos de conexin, pueden causar la decadencia y el envejecimiento de la red. A travs de pruebas, captura de paquetes, anlisis de flujo de datos y verificacin de la configuracin de equipos activos (switch, routers), la auditoria de redes permite control y para optimar el funcionamiento de red.
Conocer las capas del modelo denominado OSI. Especificar los tres tipos de incidencias que pueden producirse en una red de comunicaciones.
Brindar un conocimiento de los principales protocolos de alto nivel. Conocer los objetivos de control tener en cuenta para auditar la gerencia de comunicaciones.
Dar a conocer los principales controles para auditar la red fsica y lgica.
115
6.1 AUDITORIA DE REDES
6.1.1 TERMINOLOGA DE REDES Para poder auditar redes, lo primero y fundamental es utilizar el mismo vocabulario que los expertos en comunicaciones que las manejan. Debido a la constante evolucin en este campo, un primer punto de referencia es poder referirse a un modelo comnmente aceptable. El modelo comn de referencia, adoptado por ISO (International Standards Organization) se denomina OSI (Open Systems Interconection), y consta de siete capas:
Grafico: 6.1 Niveles OSI
La potencia del Modelo OSI proviene de que cada capa no tiene que preocuparse de qu es lo que hagan las capas superiores ni las inferiores: cada capa se comunica con su igual en el interlocutor, con un protocolo de comunicaciones especfico. Para establecer una comunicacin, la informacin atraviesa
descendentemente la pila formada por las siete capas, atraviesa el medio fsico y asciende a travs de las siete capas en la pila de destino. Por tanto, cada capa tiene unos mtodos prefijados para comunicarse con las inmediatamente inferior y superior.
116
La red LAN Ms extendida, ETHERNET, est basada en que cada emisor enva, cuando desea, una trama al medio fsico, sabiendo que todos los destinatarios estn permanentemente en escucha. Justo antes de enviar, el emisor se pone a la escucha, y si no hay trafico, procede directamente al envo. S al escuchar detecta que otro emisor est enviando, espera un tiempo aleatorio antes de volverse a poner a la escucha. La LAN Token Ring, desarrollada por IBM, est normalizada como IEEE 802.5, tiene velocidades de 4 y 16 Mbps y una mejor utilizacin del canal Cuando se incremente el trfico. Para redes WAN, est muy extendido el X.25, se basa en fragmentar la informacin en paquetes, habitualmente de 128 caracteres. Estos paquetes se entregan a un transportista habitualmente pblico que se encarga de ir envindolos saltando entre diversos nodos intermedios hacia el destino. 6.1.2 VULNERABILIDAD EN REDES La informacin transita por lugares fsicamente alejados de las personas responsables. Esto presupone un compromiso en la seguridad, ya que no existen procedimientos fsicos para garantizar la inviolabilidad de la informacin.
En las redes de comunicaciones, por causas propias de la tecnologa, pueden producirse bsicamente tres tipos de incidencias: Alteracin de bits , por error en los medios de transmisin, una trama puede sufrir variaciones en parte de su contenido. Ausencia de Tramas , por error en el medio o en algn, o por sobrecarga, alguna trama puede desaparecer en el camino del emisor al receptor. Alteracin de Secuencia , el orden en el que se envan y se reciben las tramas no coincide.
Por causas dolosas, y teniendo en cuenta que es fsicamente posible interceptar la informacin, los tres mayores riesgos a atajar son: 117
Indagacin, Un mensaje puede ser ledo por un tercero, obteniendo la informacin que contenga. Suplantacin, Un tercero puede introducir un mensaje espurio que el receptor cree proveniente del emisor legtimo. Modificacin, Un tercero puede alterar el contenido de un mensaje.
Para este tipo de actuaciones dolosas, la nica medida prcticamente efectiva en redes MAN y WAN (cuando la informacin sale del edificio) es la criptografa. 6.1.3 PROTOCOLOS DE ALTO NIVEL Como protocolos de alto nivel, los ms importantes por orden de aparicin en la industria son: SNA, OSI, Netbios, IPX y TCP/IP. SNA, System Network Architecture , fue diseado por IBM a partir de los aos setenta, al principio con una red estrictamente jerarquizado, y luego pasando a una estructura ms distribuida, fundamentalmente con el tipo de sesin denominado LU 6.2. OSI, Fue diseado por el antiguo comit Consultivo Internacional de Telfonos y telgrafos (CCITT), se disearon todas las capas, desde los medios fsicos hasta las aplicaciones como transferencia de archivos o Terminal virtual. Donde ha tenido xito es en el protocolo de red X.25 y en el correo electrnico X.400. Netbios, este protocolo fue el que se propuso por Microsoft, para comunicar entre s computadoras personales en redes locales. Es una extensin a red del Basic Input/Output System del sistema operativo DOS. Est muy orientado a la utilizacin en LAN, siendo bastante gil y efectivo. IPX, es el protocolo propietario de Novell que, al alcanzar en su momento una posicin de predominio en el sistema operativo en red, ha gozado de gran difusin.
118
TCP/IP,(Transfer Control Protocolo/Internet Protocol) Diseado originalmente en los aos setenta, la enorme versatilidad de este protocolo y su aceptacin generalizada le ha hecho el paradigma de protocolo abierto, siendo la base de interconexin de redes que forman la Internet. La transmisin de archivos FTP (File Transfer Protocol), el correo electrnico SMTP (Simple Mail Transfer Protocol) o el Terminal virtual Telnet han de correr precisamente sobre una pila de protocolo TCP/IP. Se establece as un retroalimentacin donde las utilidades refuerzan al protocolo TCP/IP, que se vuelve cada vez ms atractivo para que los desarrolladores escriban nuevas utilidades. 6.1.4 REDES ABIERTAS TCP/IP Ante el auge que est tomando el protocolo TCP/IP, como una primera clasificacin de redes, se est adoptando la siguiente nomenclatura para las redes basadas en este protocolo: Intranet: Es la red interna, privada y segura de una empresa, utilice o no medios de transporte de terceros. Extranet: Es una red privada y segura, compartida por un conjunto de empresas, aunque utilice medios de transporte ajenos e inseguros, como pudiera ser Internet. Internet: Es la red de redes, metared a donde se conecta cualquier red que se desee abrir al exterior, pblica e insegura, de alcance mundial, donde puede comunicar cualquier pareja o conjunto de interlocutores, dotada adems le todo tipo de servicios de valor aadido.
Figura 6.1 Cortafuegos. 119
Un dispositivo especficamente dedicado a la proteccin de una lntranet ante una Extranet, y fundamentalmente ante Internet, es el cortafuegos (Firewall). Esta es una mquina dedicada en exclusiva a leer cada paquete que entra o sale de una red para permitir su paso o desecharlo directamente. Esta autorizacin o rechazo est basada en unas tablas que identifican, para cada pareja de interlocutores (bien sea basado en el tipo de interlocutor o inclusive en su identificacin individual) los tipos de servicios que pueden ser establecidos. Para llevar a cabo su misin, existen diversas configuraciones, donde se pueden incluir encaminadores (routers),
servidores de proximidad (proxy), zonas desmilitarizadas, bastiones, etc. 6.1.5 AUDITANDO LA GERENCIA DE COMUNICACIONES Cada vez mas las comunicaciones estn tomando un papel determinante en el tratamiento de datos, cumplindose el lema el computador es la red siempre esta importancia queda adecuadamente reflejada dentro de la estructura organizativa de proceso de datos, especialmente en organizaciones de tipo tradicional, donde la adaptacin a los cambios no se produce inmediatamente.
Mientras
que
comnmente
el
directivo
informtico
tiene
amplios
conocimientos de proceso de datos, no siempre sus habilidades y cualificaciones en temas de comunicaciones estn a la misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de comunicaciones en el esquema organizativo existe. Por su parte, los informticos a cargo de las comunicaciones suelen auto considerarse exclusivamente tcnicos,
obviando considerar las aplicaciones organizativas de su tarea. Todos estos factores convergen en que la auditoria de comunicaciones no siempre se practique con la frecuencia y profundidad equivalentes a las de otras reas del proceso de datos.
120
Por tanto, el primer punto de una auditoria es determinar que la funcin de gestin de redes y comunicaciones est claramente definida, debiendo ser responsable, en general de las siguientes reas: Gestin de la red, invento de equipamiento y normativa de conectividad. Monitorizacin de problemas. Revisin de costes y su asignacin de proveedores y ser vcios de transporte, equipamiento. Participacin activa en la estrategia de proceso de datos, fijacin de estndares a ser usados en el desarrollo de aplicaciones y evaluacin de necesidades en comunicaciones. 6.1.6 AUDITANDO LA RED FSICA En general, muchas veces se parte del supuesto de que si no existe acceso fsico desde el exterior a la red interna de una empresa las comunicaciones internas quedan a salvo. Debe comprobarse que efectivamente los accesos fsicos provenientes del exterior han sido debidamente registrados, para evitar estos accesos. Debe tambin comprobarse que desde el interior del edificio no se intercepta fsicamente el cableado (pinchazo). balanceo de trfico entre rutas y seleccin de las comunicaciones, registro y resolucin de
En caso de desastre, bien sea total o parcial, ha de poder comprobarse cul es la parte del cableado que queda en condiciones de funcionar y qu operatividad puede soportar. Ya que el tendido de cables es una actividad irrealizable a muy corto plazo, los planes de recuperacin de contingencias deben tener prevista la recuperacin en comunicaciones.
Ha de tenerse en cuenta que la red fsica es un punto claro de contacto entre la gerencia de comunicaciones y la gerencia de mantenimiento general de edificios, que es quien suele aportar electricistas y personal profesional para el tendido fsico de cables y su mantenimiento.
121
6.1.7 AUDITANDO LA RED LGICA Cada vez ms se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera que sea la red de comunicaciones el substrato comn que les une. Si un equipo. por cualquier circunstancia, se pone a enviar indiscriminadamente mensajes, puede ser capaz de bloquear la red completo y, por tanto, al resto de los equipos de la instalacin. Es necesario monitorizar la red, revisar los errores o situaciones anmalas que se producen y tener establecidos los procedimientos para detectar y aislar equipos en situacin anmala. En general, si se quiere que la informacin que viaja por la red no pueda ser espiada, la nica solucin totalmente efectiva es la encriptacin. 6.6 AUDITORIA A SISTEMAS EN INTERNET Junto con la popularidad de Internet y la explosin de usuarios en todo el mundo, ha venido una creciente amenaza de ataques hacia los sistemas y la informacin de las organizaciones pblicas y privadas. Es importante tener en cuenta algunas caractersticas que presenta los sistemas de informacin actuales: Gran Importancia de la Informacin Mayor conocimiento de los usuarios sobre estos sistemas Gran avance de los sistemas de comunicacin y redes Internet como medio global de intercambio de informacin y plataforma de negocios. Cuando se realizan negocios por Internet (Comercio electrnico) se tienen cuatro piedras angulares: Impedir transacciones de datos no autorizados. Impedir alteracin de Mensajes despus de envo Capacidad determinar si transmisin es desde fuente autntica o suplantada. Manera de impedir a un emisor, que se est haciendo pasar por otro.
122
6.2.1 Componentes en Ambientes Internet Internet crea todas las posibilidades para hacer frgil la seguridad en el sistema: Tiempo de exposicin, protocolos conocidos, usuarios "expertos" y la mezcla e igualdad de sistemas: Navegador o Browser. Servidor Web Servidor de Servicios Internet (ISP) Enrutadores Puntos de Acceso a la Red Enlace Usuario ISP Protocolo http Protocolos TCP/IP HTML Cdigo Mvil: ASP, Servlets, Applets, CGI... Protocolos seguros: http-S, SSL
6.2.2 Riesgos asociados a estos ambientes Gran parte de los problemas asociados a Internet estn relacionados por un lado, con la seguridad misma de los protocolos que lo conforman y por el otro por la disponibilidad del sistema en tiempo y espacio para que sea examinado y eventualmente atacado. En general estos riesgos los podemos resumir en: Acceso no Autorizado al Sistema Divulgacin de informacin confidencial Robo o alterar informacin de la empresa. Denegacin de Servicio Espionaje o alteracin de mensajes Transacciones fraudulentas. Modificacin o sabotaje de Sitios Web, generando prdida de la imagen corporativa. Prdida de recursos Uso del sistema vulnerado para realizar ataques a otros sistemas
123
Virus, gusanos y troyanos. Instalacin y uso de cdigo malicioso 6.2.3 Vulnerabilidades de Seguridad en Internet ms criticas La mayor parte de los ataques en Internet, se realizan sobre un pequeo nmero de vulnerabilidades en los sistemas y aprovechando que las organizaciones pasan por alto las revisiones constantes de los problemas detectados en las versiones de sus productos y por lo tanto no hacen las correcciones del caso. El Instituto Sans emite un informe sobre las mas criticas de estas vulnerabilidades (SAN00). Debilidades en los servidores de Nombres de Dominio (DNS), en particular BIND. Soluciones: o Desactivarlo en caso de no ser necesario. o Descargar y actualizar a las ultimas versiones Debilidades asociadas con programas CGI en los servidores, generalmente por uso de CGIs desconocidos Soluciones: o Uso de programas conocidos. o Deshabilitar el soporte CGI, para aquellos servidores que no lo necesiten. Problemas con llamadas a procedimientos remotos RPC Solucin: Deshabilitar en los casos que sea posible servicios que usen RPC en sistemas expuestos a Internet. Agujeros de seguridad en Servidores Web (Especialmente IIS) Solucin: Actualizar desde sitio del fabricante y configurar segn
procedimiento recomendado. Debilidad en desbordamiento de Buffer en SendMail.
124
Solucin: No usar la modalidad deamon en sistemas que no sean servidores de correo. Actualizacin a ltima versin parcheada. Problemas con comparticin de archivos (NetBios, NFS) Soluciones: Verificar que solo se comparten los directorios requeridos. En lo posible compartir solo con direcciones IP especficas. Usar contraseas para definir nivel de acceso. Bloquear las conexiones entrantes al servicio de sesin NetBios Contraseas inapropiadas Solucin: Crear una poltica de contraseas exigente Configuraciones inapropiadas de Protocolos de correo Soluciones: o Deshabilitar estos en aquellas maquinas que no son servidores de correo. o Utilizar versiones actualizadas. o Usar canales encriptados como SSH y SSL
Nombres de comunidad por defecto en SNMP (Public, private) o Si no se usa SNMP deshabilitarlo. o Si se usa, usar polticas de seguridad fuertes. o Usar solo necesarias. los elementos requeridos y con las configuraciones
Soluciones:
Posibles Infractores Crackers Hackers Vndalos Empleados 125
Algunas definiciones que vale la pena traer son: Hacking. Entrar en forma ilegal y sin el consentimiento del propietario en su sistema informtico. No conlleva la destruccin de datos ni la instalacin de virus. Tambin se puede definir como cualquier accin encaminada a conseguir la intrusin en un sistema (ingeniera social, caballos de Troya, etc.) Cracker. Un individuo que se dedica a eliminar las protecciones lgicas y fsicas del software. Normalmente muy ligado al pirata informtico puede ser un hacker criminal o un hacker que daa el sistema en el que intenta penetrar. Crackeador o crack: Son programas que se utilizan para desproteger o sacar los passwords de programas comerciales. Pudiendo utilizarse stos como si se hubiera comprado la licencia. Quienes los distribuyen son altamente perseguido por las entidades que protegen los productores de software. Entre las variantes de crackers maliciosos estn los que realizan Carding (Tarjeteo, uso ilegal de tarjetas de crdito), Trashing (Basureo, obtencin de informacin en cubos de basura, tal como nmeros de tarjetas de crdito, contraseas, directorios o recibos) y Phreaking o Foning (uso ilegal de las redes telefnicas). Ataques - Ataques a Contraseas. - Consecucin de direcciones IP - Scaneo de puertos - Cdigo Daino - Captura y anlisis de trafico. - Denegacin del Servicio (DOS). - IP Spoofing (Modificacin del campo de direccin origen de los paquetes IP, por la que se desea suplantar
126
Herramientas usadas Aprovechar Huecos de Seguridad en Sistemas operativos y/o Servicios: Defectos en el software, que permiten la intrusin o generan fallas graves en el funcionamiento. A. Scaneo de Puertos: Siendo una herramienta que apoya la seguridad puede ser utilizada en contra de ella. Permite conocer el estado de los puertos asociados con los servicios disponibles en la instalacin. B. Sniffer: Es un programa que intercepta la informacin que transita por una red. Sniffing es espiar y obtener la informacin que circula por la red. Coloca la interfaz en modo promiscuo y captura el trfico. Su misin para los ataques es fisgonear la red en busca de claves o puertos abiertos. C. Troyanos: Programas que simulan ser otros para as atacar el sistema. Ataque de Fuerza bruta sobre claves. Forma poco sutil de entrar en un sistema que consiste en probar distintas contraseas hasta encontrar la adecuada. D. Ingeniera Social: Es una tcnica por la cual se convence a alguien, por diversos medios, de que proporcione informacin til para hackear o para beneficiarnos. Requiere grandes dosis de psicologa. Explota la tendencia de la gente a confiar en sus semejantes. E. Basureo o Trashing: Recoger basura. Se trata de buscar en la basura (fsica o informtica) informacin que pueda ser til para hackear. F. Ping: Ubicar equipos conectados. G. Traceroute: Ver la ruta de paquetes y enrutadores en la red H. Spams: No es un cdigo daino, pero si bastante molesto. Es un programa que ejecuta una orden repetidas veces. Ampliamente utilizado por empresas de marketing usando el correo electrnico para enviar sus mensajes en forma exagerada. 6.2.4 Evaluacin de Seguridad El auditor debe verificar que se tengan presenten y se implementen medidas que a partir de los riesgos planteados y dada la importancia del sistema para la organizacin minimicen las amenazas.
127
Medidas de Control Conocimiento de los riesgos a que esta expuesta la instalacin en particular. Conocimiento y correccin o "parcheo" de los problemas detectados y/o reportados en versiones de - Sistemas Operativos y Servicios implementados. Este mecanismo parte de la instalacin inicial. Concientizacin de los usuarios de los riesgos a que esta expuesta la instalacin y el papel de cada uno en la proteccin. El 99% de los ataques se realizan apoyndose en fallas al interior de la organizacin. Implementacin de polticas de seguridad en sistemas operativos. Auditoria y monitoreo a trafico, accesos y cambios en el sistema. Uso de sniffer y scanner para conocer el estado del sistema. Montaje de Firewall (Muro de Proteccin): Software y hardware de seguridad encargado de chequear y bloquear el trfico de la red hacia y/o es de un sistema determinado. Se ubica entre la red privada e Internet. Pueden ser enrutadores de filtracin de paque tes o gateways de aplicaciones basados en proxy. Utilizacin de herramientas para Deteccin de Intrusos (IDS). Uso de protocolos seguros como SSL y HTTP-S Requerimientos de certificados de autenticacin en los casos de operaciones de alta importancia. A nivel de la empresa en lo posible, tener los datos de importancia en zonas protegidas o fuera del acceso desde Internet. Encriptacin de los datos sensitivos. Evaluar que los usuarios usan solo los servicios requeridos para su labor y que no exponen la seguridad con el uso de IRC, P2P, etc. Se debe considerar la posibilidad de apoyarse en Hacking Etico para evaluar la seguridad del sistema
128
Caso 01: Taller auditoria de redes
Uno de los aspectos relevantes en toda red es evaluar y monitorear el paso de paquetes a travs de sta, para lo cual se utilizan herramientas de monitoreo que muestran en forma legible el comportamiento de la red.
Objetivo: Utilizar el programa Ethereal para examinar paquetes en una red de datos.
Actividades a desarrollar: o Bajar e instalar el software Ethereal (http://www.ethereal.com) o Conectarse a un servidor (SUN, Linux,UNIX,etc) y capturar 2 minutos de trafico. o Observar los distintos protocolos y el encapsulamiento o Establecer conclusiones o Entregar en formato digital en archivo .doc tipo informe de reporte segn lo que solicite.
Estructura del informe: o Aspectos y consideraciones en la instalacin o Configuracin de la red de pruebas o Captura del trafico o Anlisis del trfico ( grafos de protocolos, seguridad,etc) o Conclusiones relevantes
129
Toda organizacin en la parte de las redes de computadores tiene un punto de viraje bastante importante; es por ello que en el presente fascculo tratamos en un inicio los modelos de redes ms conocidos como el modelo OSI y TCP/IP con algunas variaciones, como el de encapsular varios protocolos, como el Netbios, el cual nos sirve como base para realizar todo un proceso de auditoria de redes de computadoras dentro de nuestras organizaciones, para luego
determinar la vulnerabilidades existentes dentro de nuestras redes y poder proponer las estrategias necesarias para eliminar o reducir dichos problemas.
Littlejhon Shider, Debra, Superutilidades y deteccin de Delitos Informaticos, Edit. Anaya, 1era. Edicin, 2003. Jones J., Keith, Superutilidades Hackers , Edit. Mc.Graw Hill, 1era. Edicin, 2003. Cougias,Dorian/E.L. Heiberg, Herramientas de Proteccin y
Recuperacin de Datos, Edit. Anaya, 1era. Edicin, 2004 Sols Montes, Gustavo Adolfo, Reingeniera de la Auditoria, Edit. Trillas, 1ra. Edicin. 2002. Piattini Mario G., Auditoria Informtica. Edit. AlfaOmega, 2da. Edicin 2001. Echenique GARCIA, Jos Antonio, Auditoria en Informtica, Edit. Mc. Graw Hill, 2da. Edicin, 2001.
130
En el siguiente fascculo se
describe los aspectos bsicos que se deben
analizar y evaluar durante una auditoria de redes de computadoras.
1. Cules son las incidencias que pueden producirse en las redes de comunicaciones? 2. Cuales son los mayores riesgos que ofrecen las redes? 3. Existe el riesgo de que intercepte un canal de comunicaciones? 4. Qu suele hacerse con las contraseas de los usuarios? 5. Cules son los protocolos mas importantes de alto nivel? 6. Diferencias entre Internet, Intranet y Extranet 7. Qu es un Cortafuegos? 8. Qu es un gusano? 9. Qu objetivos de control destacara en la auditoria de gerencia de comunicaciones?
131
UNIDAD ACADMICA VII

AUDITORIA A LA DIRECCIN DE TECNOLOGIAS DE INFORMACIN
Uno de los factores competitivos claves en los ltimos veinte aos ha sido, sin duda, la aplicacin estratgica de las tecnologas de informacin y de comunicaciones. Si bien estas inversiones han estado focalizadas en la automatizacin, en el escenario competitivo actual surge la necesidad de operar de maneras ms dinmicas, nuevos modelos de negocio que exigen inversiones en tecnologas y aplicaciones cada vez ms flexibles e integradas como factor de supervivencia. Un aspecto estratgico en las organizaciones es la Direccin de las Tecnologas de Informacin. En efecto, la manera en que se gestiona la materializacin, operacin y continuidad de los servicios tecnolgicos requeridos por la organizacin ya no son una ventaja competitiva, sino un factor que al no estar alineado a las necesidades de la empresa, constituir una desventaja competitiva relevante. La Auditoria de la Direccin de Tecnologas de Informacin es una tarea difcil. Sin embargo, la contribucin que dicha gestin realiza (o debe realizar) al ambiente de control de las operaciones informticas de una empresa es esencial.
Dar a conocer las principales actividades de todo proceso de direccin, desde una visin de las tecnologas de informacin en la organizacin.
Conocer y aplicar las herramientas indicadas de la auditoria en una auditoria de la direccin de tecnologas de informacin.
132
7.1 PLANIFICACIN ESTRATGICA La planificacin estratgica pone en movimiento a una organizacin para alcanzar los objetivos de la empresa. Una planificacin exhaustiva ayuda a garantizar una organizacin eficaz y eficiente. La planificacin estratgica est orientada al tiempo y a los proyectos y ayuda a definir prioridades y alcanzar los objetivos empresariales. El Departamento de Tecnologas de Informacin (TI) debe tener planes a largo plazo (a ms de un ao, tpicamente entre 3 y 5 aos) y a corto plazo(a un ao) para contribuir a que se alcancen con xito los objetivos globales de la empresa. Tales planes deben ser coherentes con los planes globales de la organizacin para alcanzar sus objetivos de negocio. Por ejemplo, si una organizacin tiene el objetivo de negocio de que sus procesos de negocio estn soportados por la tecnologa (un ejemplo podra ser el comercio electrnico), deber tener un departamento de TI con fuerte capacidad de innovacin. Sin embargo, si una empresa tiene la vocacin de dar un servicio de bajo costo, necesitar un departamento de TI menos innovativo. 7.1.1 COMIT DE DIRECCIN DE TECNOLOGIAS DE INFORMACIN (TI) Los Comits de Direccin de TI aseguran que las actividades del departamento de TI estn alineadas con la misin y objetivos de la empresa. Aunque no es una prctica comn, en este comit debe haber un miembro del Comit de Direccin de la empresa, que est al tanto los riesgos y problemas respecto a la tecnologa informtica, as como de la ventaja estratgica que la utilizacin eficiente de la TI conlleva. El resto del comit, debe estar constituido por gerentes de alto nivel, incluyendo al de TI, de las diferentes reas de la empresa representando a todas las reas del negocio de la organizacin. Su objetivo es revisar y actuar ante las solicitudes de nuevos sistemas, de acuerdo con los objetivos de la empresa. Por ello, la responsabilidad del comit es asegurar la utilizacin eficiente de los recursos de procesamiento de datos y fijar prioridades, examinar los costos y respaldar a los diversos proyectos.
133
7.1.2 POLTICAS Y PROCEDIMIENTOS Las polticas y procedimientos son guas y directrices para desarrollar los controles sobre los sistemas de informacin y los recursos relacionados: Polticas, las polticas son documentos de alto nivel. En ellas se plasma la filosofa de la organizacin y la estrategia de la alta direccin. Para que sean eficaces deben estar escritas de forma clara y concisa. La direccin, en sus diferentes niveles, debe crear un entorno de control positivo asumiendo la responsabilidad de formular, desarrollar, documentar y divulgar polticas que cubran los objetivos generales. Tambin debe asegurar que los empleados afectados por una poltica concreta reciben una explicacin detallada de la poltica y de que entienden su intencin. Procedimientos, los procedimientos son documentos de detalle. Cada uno de ellos debe derivarse de una poltica y debe implementar la intencin de la poltica. Al igual que las polticas deben escribirse de forma clara y concisa para que se puedan entender y aplicar. Los procedimientos documentan los procesos de negocio y los controles involucrados en ellos. Generalmente, los procedimientos son ms dinmicos que la poltica de la que emanan. Deben reflejar los cambios habidos por lo que es necesario que se revisen y actualicen frecuentemente. Para un auditor constituir un tema de preocupacin el encontrarse con que una organizacin no realiza el proceso de revisin de los procedimientos. Los auditores revisan los procedimientos para
identificar/evaluar y, posteriormente, probar los controles sobre los procesos de negocio. Cuando encuentran que las prcticas operacionales no siguen los procedimientos o cuando no existen los documentos de los procedimientos, ser difcil poder identificar los controles y asegurar que estn operativos.
En la mayora de las organizaciones, el departamento de Tecnologas de Informacin es un departamento de servicios. El papel tradicional de un departamento de servicios es el de ayudar a los departamentos de produccin a realizar sus operaciones de una forma ms eficaz. Sin embargo hoy en da, TI se ha constituido como parte integral de las operaciones de una organizacin. Su importancia contina creciendo ao tras 134
ao, y todo hace prever que esta tendencia no cambie. Por tanto, los auditores de TI tienen que entender y apreciar que un departamento de TI bien gestionado es crucial para la salud de una organizacin.
Principios de Gestin Los principios estndar de buena gestin aplican a la gestin de TI, no obstante las prcticas de gestin reales diferirn dependiendo de la naturaleza del departamento de TI. Por ejemplo, una compaa con un gran computador central puede tener un gran nmero de mtodos diferentes que una compaa que tiene una amplia red de oficinas dispersas, cada una con una RAL (red de rea local) de PCs y un alto grado de autonoma. Algunas reas clave donde el foco y el nfasis son diferentes en el departamento de TI son las siguientes: Gestin de la persona: El personal en un departamento tpico de TI est altamente cualificado. Estos profesionales de TI suelen cambiar de trabajo frecuentemente y las subidas de salario normales y los cambios a puestos de gestin no son una motivacin para ellos. Los departamentos de TI muchas veces son organizaciones planas con pocos niveles de jerarqua. Personal con poca experiencia tiene importantes responsabilidades y toma decisiones cruciales. Por tanto, la formacin de los empleados y un plan de carrera profesional son de gran ayuda. Gestin del cambio: No solo el personal cambia frecuentemente, sino que tambin el departamento est en un estado de cambio manejando demandas de nuevas aplicaciones y nuevas tecnologas. Es importante para el departamento estar al tanto de la proactivamente el cambio cuando sea necesario. Foco en buenos procesos: Debido a la tasa de cambio, es importante implementar y promover buenos procesos. Debe haber procedimientos documentados de todos los aspectos del departamento ya sean estndares de programacin, pruebas o respaldo de los datos. El control y el aseguramiento de la calidad son otros ejemplos de elementos importantes de un departamento bien gestionado. Los procesos y los procedimientos no 135 tecnologa y adoptar
deben ser estticos, tienen que estar al corriente de la actualidad de la organizacin. Seguridad: La preocupacin por la seguridad es ms importante y penetrante dentro de un departamento de TI que en muchos otros departamentos. Internet ha hecha mayor esta preocupacin. Como recurso crucial que es, el departamento de TI debe estar igualmente preocupado por la continuidad de las operaciones del negocio y de la recuperacin de desastres. Gestin de terceras partes: Dado que los departamentos de TI utilizan productos, hardware, software y redes de alta tecnologa, tienen muchos suministradores que deben trabajar juntos para entregar los resultados deseados.
7.2 AUDITORIA DE LA GESTIN DE TECNOLOGIAS DE INFORMACIN Los departamentos de TI estn integrados en organizaciones mayores y que, por tanto son destinatarios de un sin fin de estmulos de las mismas, que duda cabe de que, dado el mbito tecnolgico tan particular de la informtica, la principal influencia que dichos departamentos reciben viene inducida desde la propia direccin de TI. Las enormes sumas que las empresas dedican a las tecnologas de informacin en un crecimiento que no se vislumbra el final y la absoluta dependencia de las mismas al uso correcto de dicha tecnologa hacen muy necesaria una evaluacin independiente de la funcin que la gestiona. La direccin TI no debe quedar fuera: es una pieza clave del engranaje. Se podra decir que algunas de las actividades bsicas de todo proceso de direccin son: Planificar. Organizar. Coordinar Controlar
136
Planificar
Organizar
Coordinar y Controlar
Grafico 7.1: Funciones de un proceso de direccin
7.2.1 PLANIFICAR Se trata de prever la utilizacin de las tecnologas en la empresa. Existen varios tipos de planes informticos. El principal, y origen de todo lo dems, lo constituye el plan estratgico del sistema de informacin. PLAN ESTRATGICO DEL SISTEMA DE INFORMACIN Debe asegurar el alineamiento de los mismos con los objetivos de la empresa. Desgraciadamente la transformacin de los objetivos de la empresa en objetivos informticos no es siempre una tarea fcil. Estos planes no son responsabilidad exclusiva de la direccin de informtica, pero debe ser el permanente impulsor de una planificacin de sistemas de informacin adecuada y a tiempo. Aunque se suele definir la vigencia de un plan estratgico de 3 a 5 aos, tal plazo es muy dependiente del entorno en el que se mueve la empresa. Cada empresa tiene su equilibrio natural y el auditor deber evaluar si los plazos en uso en su empresa son los adecuados. Debe existir un proceso, con participacin activa de los usuarios, que regularmente elabore planes estratgico de sistemas de informacin a largo plazo y el auditor deber evaluar su adecuacin.
137
Gua De Auditoria El auditor deber examinar el proceso de planificacin de sistemas de
informacin y evaluar si se cumple los objetivos. Deber evaluar si durante el proceso de planificacin se presta adecuada atencin al plan estratgico de la empresa y se presta adecuada consideracin a nuevas TI. Las tareas y actividades presentes en el plan tienen la correspondiente y adecuada asignacin de recursos para poder llevarlas a cabo as mismo si tiene plazo de consecucin realista. Acciones a realizar tenemos: Lectura de actas de sesiones del comit de informtica y dedicadas a la planificacin estratgica. Identificacin y lectura de los documentos intermedios prescritos por la metodologa de planificacin. Lectura y comprensin detallada del plan e identificacin de las
consideraciones incluidas en el mismo. Realizacin de entrevista al director de informtica y otros miembros del comit de informtica participantes en el proceso de elaboracin de plan estratgico as como a los usuarios Identificacin y comprensin de los mecanismos existentes de seg uimiento y actualizacin del plan y de su relacin con la evolucin de la empresa.
Otros planes relacionados: Normalmente deben existir otros planes informticos, todos ellos nacidos al amparo del plan estratgico. Entre otros, los ms habituales suelen ser: Plan operativo anual. Plan de direccin tecnolgica. Plan de arquitectura de informacin. Plan de recuperacin ante desastres.
138
Plan operativo anual: Se establece al comienzo de cada ejercicio y es el que marca las pautas a seguir durante el mismo. Entre otros aspectos, debe sealar los SI a desarrollar, los cambios tecnolgicos previstos, los recursos y los plazos necesarios, etc. El auditor deber evaluar la existencia del plan y su nivel de la calidad. Deber estudiar su alineamiento con el plan estratgico, grado de atencin a las necesidades de los usuarios, sus previsiones de los recursos necesarios para llevar acabo el plan, etc. Deber analizar si los plazos descritos son realistas, teniendo en cuenta las experiencias anteriores en la empresa.
Plan de recuperacin ante desastres: Una instalacin informtica puede verse afectada por desastres de variada naturaleza, que tengan como consecuencia inmediata la indisponibilidad de un servicio informtico adecuado. La direccin debe prever esta posibilidad y, por tanto, planificar para hacerle frente. 7.2.2 ORGANIZAR Y CONTROLAR El proceso de organizar sirve para estructurar los recursos, los flujos de informacin y los controles que permitan alcanzar los objetivos marcados durante la planificacin. Comit de Tecnologas de Informacin (TI) El comit de Tecnologas de Informacin es el primer lugar de encuentro dentro de la empresa de los informticos y sus usuarios: es el lugar en el que se debate los grandes asuntos de la informtica que afectan a toda la empresa y permiten a los usuarios conocer las necesidades del conjunto de la organizacin y participar en la fijacin de prioridades. Si bien estrictamente el nombramiento, la fijacin de funciones, etc. del comit de informtica no son responsabilidades directas de la direccin de 139
Tecnologas de Informacin, sino de la direccin general, la direccin de TI se ha de convertir en el principal impulsor de la existencia de dicho comit.
Se ha escrito mucho sobre las funciones que debe realizar un comit de TI y parece existir un cierto consenso en los siguientes aspectos: Aprobacin del plan estratgico de SI. Aprobacin de las grandes inversiones en TI. Fijacin de prioridades entre los grandes proyectos informticos. Vehculo de discusin entre la informtica y sus usuarios. Vigila y realiza el seguimiento de la actividad del departamento de TI.
Gua de auditoria El auditor deber asegurar que el Comit de TI existe y cumple su papel adecuadamente. Para ello, deber conocer, en primer Lugar, las funciones encomendadas al Comit. Entre las acciones a realizar tenemos: Lectura de la normativa interna, si la hubiera, para conocer las funciones que debera cumplir el Comit de TI. Entrevistas a miembros destacados del Comit con el fin de conocer las funciones que en la prctica realiza dicho Comit. Entrevistas a los representantes de los usuarios, miembros del Comit, para conocer si entienden y estn de acuerdo con su papel en el mismo. Una vez establecida la existencia del Comit deTI, habr que evaluar la adecuacin de las funciones que realiza. Posicin del Departamento de TI en la empresa El Departamento debera estar suficientemente alto en la jerarqua y contar con masa critica suficiente para disponer de autoridad e independencia frente a los departamentos usuarios. Hoy en da, las tecnologas de informacin da soporte a un conjunto mucho mayor de reas empresariales y, por ello, cada vez es ms habitual encontrar a departamentos de TI dependiendo directamente de Direccin General.
140
Incluso en las grandes organizaciones, el Director de TI es miembro de derecho del Comit de Direccin u rgano semejante
Gua de auditoria El auditor deber revisar el emplazamiento organizativo del Departamento de TI y evaluar su independencia frente a departamentos usuarios. Para este proceso, ser muy til realizar entrevistas con el Director de TI y directores de algunos departamentos usuarios para conocer su percepcin sobre el grado de independencia y atencin del Departamento de TI. Aseguramiento de la Calidad La calidad de los servicios ofrecidos por el Departamento de TI debe estar asegurada mediante el establecimiento de una funcin organizativa de Aseguramiento de la Calidad. Es muy importante que esta funcin, de relativa nueva aparicin en el mundo de las organizaciones informticas, tenga el total respaldo de la Direccin y sea percibido as por el resto del Departamento.
Gua de auditoria El auditor deber comprobar que las descripciones estn documentadas y son actuales y que las unidades organizativas informticas las comprenden y desarrollan su labor de acuerdo a las mismas. Entre las tareas que el auditor podr realizar: Examen del organigrama del Departamento de TI e identificacin de las grandes unidades organizativas. Revisin de la documentacin existente para conocer la descripcin de las funciones y responsabilidades. Realizacin de entrevistas a los directores de cada una de las grandes unidades organizativas para determinar su conocimiento de las
responsabilidades de su unidad y que stas responden a las descripciones existentes en la documentacin correspondiente.
141
Examen de las descripciones de las funciones para evaluar si existe adecuada segregacin de funciones, incluyendo la separacin entre desarrollo de sistemas de informacin, produccin y departamentos usuarios. Igualmente, ser menester evaluar la independencia de la funcin de seguridad. Observacin de las actividades del personal del Departamento para analizar, en la prctica, las funciones realizadas, la segregacin entre las mismas y el grado de cumplimiento con la documentacin analizada. Estndares del funcionamiento y procedimientos. Descripcin d los puestos de trabajo. Deben existir estndares de funcionamiento y rendimiento que gobiernen la actividad del Departamento de TI por un lado y sus relaciones con los departamentos usuarios por otro. Dichos estndares y procedimientos deberan estar documentados.
actualizados y ser comunicados adecuadamente a todos los departamentos afectados. Por otro lado deben existir documentadas descripciones de los puestos de trabajo dentro de Informtica delimitando claramente la autoridad y la responsabilidad en cada caso.
Gua de auditoria El auditor deber evaluar si existen estndares de funcionamiento procedimientos y descripciones de puestos de trabajo, adecuados y actualizados. Entre las acciones a realizar, se pueden citar: o Evaluacin del proceso por el que los estndares, procedimientos y puestos de trabajo son desarrollados, aprobados, distribuidos y actualizados. o Revisin de los estndares y procedimientos existentes. o Revisin de las descripciones de los puestos de trabajo para evaluar si reflejan las actividades realizadas en la prctica.
142
Gestin de Recursos Humanos: Seleccin, Evaluacin del Desempeo, Formacin, Promocin, Finalizacin. La gestin de los recursos humanos es uno de los elementos crticos en la estructura general informtica. La calidad de los recursos humanos influye directamente en localidad de los sistemas informacin producidos, mante nidos y operados por el
departamento de informtica.
Gua de auditoria Entre otros el auditor deber evaluar que: La seleccin de personal se basa en criterios objetivos. El rendimiento de cada empleado se evala regularmente en base a estndares. Existen procesos para determinar las necesidades de formacin de empleados en base a su experiencia. Existen procesos para la promocin del personal que tienen en cuenta su desempeo profesional. Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalizacin de los contratos laborales no afectan a los controles internos y a la seguridad informtica Adems el auditor deber evaluar que todos los aspectos anteriores estn en lnea con las polticas y procedimientos de la empresa.
Entre las acciones realizadas se pueden citar: Conocimiento y evaluacin de los procesos utilizados para cubrir vacantes en el Departamento. Anlisis de las cifras de rotacin de personal, niveles de absentismo laboral y estadsticas de proyectos terminados fuera de presupuesto y de plazo. Realizacin de entrevistas a personal del Departamento.
143
Revisin del calendario de cursos, descripciones de los mismos, mtodos y tcnicas de enseanza. Revisin de los procedimientos para la finalizacin de contratos.
Comunicacin Es necesario que exista una comunicacin efectiva y eficiente entre la Direccin de Informtica y el resto del personal del Departamento. Entre los aspectos que es importante comunicar se encuentran: actitud positiva hacia los controles, integridad, tica, cumplimiento de la normativa interna entre otras, la de seguridad informtica compromiso con la calidad, etc. Gua de auditoria El auditor deber evaluar las caractersticas de la comunicacin entre la Direccin y el personal de Informtica. Para ello se podr servir de tareas formales como las descritas hasta ahora y de otras, por ejemplo, a travs de entrevistas informales con el personal del Departamento. Gestin econmica Este apartado de las responsabilidades de la Direccin de Informtica tiene varias facetas: presupuestario, adquisicin de bienes y servicios y medida y reparto de costes. Presupuesto Como todo departamento de la empresa, el de Informtica debe tener un presupuesto econmico, normalmente en base anual. Los criterios sobre cules deben ser los componentes del mismo varan grandemente. Sea cual sea la poltica seguida en la empresa, el Departamento de TI debe seguirla para elaborar su presupuesto anual.
144
Gua de auditoria El auditor deber constatar la existencia de un presupuesto econmico de un proceso para elaborarlo -que incluya consideraciones de los usuarios- y aprobarlo, y que dicho proceso est en lnea con las polticas y procedimientos de la empresa y con los planes estratgico y operativo del propio Departamento. Adquisicin de bienes y servicios Los procedimientos que el Departamento de TI siga para adquirir los bienes y servicios descritos en su plan operativo anual y/o que se demuestren necesarios a lo largo del ejercicio han de estar documentados y alineados con los procedimientos de compras del resto de la empresa. Aqu, las variedades infinitas, con lo que es imposible dar reglas fijas.
Gua de auditoria Una auditoria de esta rea no debe diferenciarse de una auditoria tradicional del proceso de compras de cualquier otra rea de la empresa, con lo que el auditor deber seguir bsicamente las directrices y programas de trabajo de auditoria elaborados para este proceso. Medida y reparto de costes La direccin de informtica debe en todo momento gestionar los costes asociados con la utilizacin de los recursos humanos y tecnolgicos. Y ello, obviamente, exige medirlos.
Gua de auditoria El auditor deber evaluar la conveniencia de que exista o no un sistema de reparto de costes informticos y de que este sea justo, incluya los conceptos adecuados y de que el precio de transferencia aplicada este en lnea o por debajo del mercado. Entre las acciones a llevarse acabo, se puede mencionar: Realizacin de entrevistas a la direccin de los departamentos usuarios. Anlisis de los componentes y criterios con los que est calculado el precio de transferencia. 145
Conocimiento de los diversos sistemas existentes en el departamento. SEGUROS La direccin de informtica debe tomar las medidas necesarias con el fin de tener la suficiente cobertura para los sistemas informticos. Estas coberturas amparan riesgos tales como la posible perdida de negocio, los costes asociados al hecho de tener que ofrecer servicio informtico desde un lugar alternativo por no estar disponible en sitio primario, los costos asociados a la regeneracin de datos por perdida o inutilizacin de los datos originales, etc.
Gua de auditoria El auditor deber estudiar las plizas de seguros y evaluar la cobertura existente, analizando si la empresa est suficientemente cubierta o existen huecos en dicha cobertura. Por ejemplo, algunas plizas slo cubren el reemplazo del equipo, pero no los otros costes mencionados, etc.
7.2.3 CONTROL Y SEGUIMIENTO Un aspecto comn a todo lo que se ha dicho hasta el momento es la obligacin de la Direccin de controlar y efectuar un seguimiento permanente de la distinta actividad del Departamento. Se ha de vigilar el desarrollo de los planes estratgico y operativo y de los proyectos que los desarrollan, la ejecucin del presupuesto, etc. En esta labor, es muy conveniente que existan estndares de rendimiento con los que comparar las diversas tareas.
Gua de auditoria Entre las acciones a realizar, se pueden mencionar: Conocimiento y anlisis de los procesos existentes en el Departamento para llevar a cabo el seguimiento y control, Evaluacin de la periodicidad e los mismos. Analizar igualmente los procesos de represupuestacin. 146
Revisin de planes, proyectos, presupuestos de aos anteriores y del actual para comprobar que son estudiados, que se analizan las desviaciones y que se toman las medidas correctoras necesarias.
Cumplimiento de la normativa legal La Direccin de Informtica debe controlar que la realizacin de sus actividades se lleva a cabo dentro del respeto a la normativa legal aplicable. Asimismo, deben existir procedimientos para vigilar y determinar
permanentemente la legislacin aplicable.
Gua de auditoria El auditor deber evaluar si la mencionada normativa aplicable se cumple. Para ello, deber, en primer lugar, entrevistarse con la Asesora Jurdica de la empresa la Direccin de Recursos Humanos y la Direccin de Informtica con el fin de conocer dicha normativa. A continuacin, evaluar el cumplimiento de las normas, en particular en los aspectos ms crticos.
147
Realizar un plan de auditora para la auditora de la direccion de la direccion de tecnologias de informacin. Describa las actividades a realizar por un auditor para evaluar un plan estrategico de sistemas de informacin.
En el presente fascculo se da a conocer los principales aspectos que se deben analizar y revisar durante una auditoria a la direccin de tecnologas de informacin de cualquier organizacin. As como tambin la importancia de dicha auditoria en la calidad del marco de controles impulsado e inspirado por la Direccin de TI sobre el probable comportamiento de los sistemas de informacin.
Littlejhon Shider, Debra, Superutilidades y deteccin de Delitos Informaticos, Edit. Anaya, 1era. Edicin, 2003 . Jones J., Keith, Superutilidades Hackers , Edit. Mc.Graw Hill, 1era. Edicin, 2003. Cougias,Dorian/E.L. Heiberg, Herramientas de Proteccin y
Recuperacin de Datos , Edit. Anaya, 1era. Edicin, 2004 Sols Montes, Gustavo Adolfo, Reingeniera de la Auditoria, Edit. Trillas, 1ra. Edicin. 2002.
148
Piattini Mario G., Auditoria Informtica. Edit. AlfaOmega, 2da. Edicin 2001. Echenique GARCIA, Jos Antonio, Auditoria en Informtica, Edit. Mc. Graw Hill, 2da. Edicin, 2001.
1. Que evidencias deber buscar un auditor para poder evaluar si las necesidades de los usuarios son adecuadamente tenidas en cuenta? 2. Qu tareas debe hacer un auditor para evaluar el plan de formacin del departamento de informtica? Cmo puede juzgar si dicho plan esta acorde con los objetivos de la empresa? 3. Descrbase un programa de trabajo para evaluar Acuerdos de Nivel de Servicio. Para el rea de desarrollo y programacin, identifquense los principales conceptos de servicio que debera contener un ANS as como los indicadores de medida pertinentes.
149
UNIDAD ACADMICA VIII

OTROS ASPECTOS DE LA AUDITORIA DE INFORMTICA
En el presente fascculo se tratara algunos aspectos de mucha importancia dentro del proceso de una auditoria, debido a la velocidad de avance de las tecnologas de informacin y su gran impacto en cada uno de todas las reas del que hacer diario del ser humano: en primer lugar se describir los objetivos y desempeo de la asociacin internacional ISACA y su respectivo capitulo en nuestro pas, as como tambin se exp licara la importancia de el Cdigo Deontolgico en aquellos profesionales que ejercen una
determinada actividad, en especial la auditoria informtica, y finalmente se analizara el estado de la seguridad informtica en Latinoamrica y la convergencia de la seguridad como un nueva panorama para la gestin de las tecnologas de informacin.
Conocer los principios deontolgicos y cdigos ticos que son exigibles a los profesionales auditores informticos como deberes y formas de conducta que deben de seguir. Entender que los cdigos deontolgicos sirven como ejemplo y cauce idneo por parte de los auditores para transmitir, al resto de la sociedad, sus singulares y especificas percepciones, inquietudes y
autolimitaciones. Analizar y aplicar los nuevos co nceptos y enfoques de la seguridad y auditoria informtica.
150
8.1 ORGANISMOS E INSTITUCIONES DEDICADAS A LA SEGURIDAD Y AUDITORIA INFORMTICA 8.1.1 ISACA (Asociacin de Auditoria y Control de Sistemas de Informacin) ISACA comenz en 1967, cuando un pequeo grupo de personas con trabajos similares-controles de auditora en los sistemas
informticos que son cada vez ms crticos para las operaciones de sus organizaciones-se sentaron a discutir la necesidad de una fuente centralizada de informacin y orientacin en el campo. En 1969, el grupo formalizado, como la incorporacin de los auditores EDP Asociacin. En 1976 la asociacin form una fundacin de educacin para llevar a cabo los esfuerzos de investigacin a gran escala para expandir el conocimiento y el valor de la gobernanza de las TI y el campo de control. Hoy en da, los miembros de ISACA-ms de 86.000 en todo el mundo firme-se caracterizan por su diversidad. Los miembros viven y trabajan en ms de 160 pases y cubren una variedad de profesionales de TI puestos conexos-para nombrar slo algunas, es auditor, consultor, educador, es la seguridad profesional, regulador, director de informacin y auditor interno. Algunos son nuevos en el campo, otros se encuentran en los niveles de la gerencia media y otros estn en la mayora de los rangos superiores. Trabajan en casi todas las categoras de la industria, incluidas las cuentas pblicas financieras y bancarias, el gobierno y el sector pblico, servicios pblicos y la fabricacin. Esta diversidad permite a los miembros aprendan unos de otros, y el intercambio de puntos de vista ampliamente divergentes sobre una variedad de temas profesionales. Durante mucho tiempo ha sido considerado como uno de los puntos fuertes de ISACA. Anteriormente conocida como la Auditora de Sistemas de Informacin y Control Association, ISACA ahora va por su sigla en slo, para reflejar la amplia gama de profesionales de TI de gobierno que sirve. Otro de los puntos fuertes de ISACA es su red de captulo. ISACA tiene ms de 151
175 captulos establecidos en ms de 70 pases de todo el mundo, y los captulos de proporcionar a sus miembros educacin, intercambio de recursos, promocin, contactos profesionales y una serie de otros beneficios a nivel local. Averige si hay un captulo cerca de usted. Desde su creacin, ISACA se ha convertido en un ritmo de establecimiento de la organizacin mundial para la gestin de la informacin, control, seguridad y profesionales de la auditora. La de auditora y normas de control IS son seguidos por los profesionales de todo el mundo. Su investigacin se seala cuestiones profesionales difciles de sus mandantes. Su Certified Information Systems Auditor (CISA), la certificacin es reconocida a nivel mundial y ha sido ganado por ms de 60.000 profesionales desde su creacin. El certificado Security Information Manager (CISM) de certificacin nicamente los objetivos de la informacin de la audiencia de gestin de seguridad y se ha ganado por ms de 10.000 profesionales. El Certificado de gobernanza de TI de las empresas (CGEIT) la designacin promueve el progreso de los profesionales que deseen ser reconocidos por su gobierno de TI relacionados con la experiencia y conocimiento y ha sido obtenido por ms de 200 profesionales. Publica una revista tcnica de liderazgo en el campo de control de la informacin, el Diario de ISACA. Alberga una serie de conferencias internacionales centradas en temas tcnicos y de gestin pertinentes a la es la seguridad, control, seguridad y Profesiones de la gobernanza. Juntos, ISACA y su filial IT Governance Institute dirigir la informacin a la comunidad tcnica de control y sirven a sus practicantes, proporcionando los elementos necesarios para los profesionales de TI en un entorno en constante cambio en todo el mundo.
8.1.2 ISACA en el Per: APACSI El Captulo 146 de ISACA, es una asociacin de profesionales, miembros de ISACA, dedicados a la prctica de la auditoria, control y seguridad de sistemas de informacin, en la cuidad de Lima Per. El Captulo 146 de ISACA fue fundado en el ao 1997 y su objetivo principal es
152
brindar a sus miembros educacin, recursos compartidos, promocin, contactos profesionales y una amplia gama de beneficios adicionales a nivel local, para el mejoramiento y desarrollo de las capacidades individuales relacionados con la prctica de la auditoria, el control y la seguridad de sistemas de informacin. ISACA se ha convertido en global una que
actualmente organizacin
establece las pautas para los profesionales de
auditoria, control y seguridad de sistemas de informacin. Sus normas de auditoria, control y seguridad de sistemas de informacin son respetadas por profesionales de todo el mundo. Sus investigaciones resaltan temas profesionales que desafan a sus constituyentes. Certificaciones: Su certificacin Certified Information Systems Auditor (Auditor Certificado de Sistemas de Informacin, o CISA) es reconocida en forma global y ha sido obtenida por ms de 30.000 profesionales. Su nueva certificacin Certified Information Security Manager (Gere nte Certificado de Seguridad de Informacin, o CISM) se concentra
exclusivamente en el sector de gerencia de seguridad de la informacin. Publica un peridico tcnico lder en el campo de control de la informacin, el Information Systems Control Journal (Peridico de Control de Sistemas de Informacin). Organiza una serie de conferencias internacionales que se concentran en tpicos tcnicos y administrativos pertinentes a las profesiones de gobernacin de TI y aseguracin, control, seguridad de SI. Juntos, ISACA y su Instituto de Gobernacin de TI
(IT Governance Institute) asociado lideran la comunidad de control de tecnologa de la informacin y sirven a sus practicantes brindando los elementos que necesitan los profesionales de TI en un entorno mundial en 153
cambio permanente. APACSI
8.2 DEONTOLOGIA APLICADA A LOS AUDITORES INFORMATICOS
Las asociaciones de profesionales elaboran sus propios cdigos de tica para establecer sanciones que pueden aplicarse a sus agremiados en caso de incumplimiento de alguno de sus preceptos.
8.2.1 PRINCIPIOS DEONTOLGICOS APLICABLES A LOS AUDITORES INFORMTICOS Y CODIGOS ETICOS
Los principios deontolgicos aplicables a los auditores deben necesariamente estar en consonancia con los del resto de profesionales y especialmente con los de aquellos cuya actividad presente mayores concomitancias con la auditora. Se pueden indicar como bsicos los siguientes: Estos principios son los que estn en consonancia con los del resto de profesionales y especialmente con los de aquellos cuya actividad presente mayores concomitancias con la de la auditoria, estos principios deontolgicos son adoptados por diferentes colegios y asociaciones profesionales del entorno socio-cultural pudindose indicar como bsicos para el buen desarrollo de auditoria informtica. A. El principio de beneficio del auditado, el auditor deber ver como se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca
154
del reforzamiento del sistema y el estudio de las soluciones ms idneas segn los problemas detectados en el sistema informtico. B. El principio de calidad, el auditor deber prestar sus servicios a tener de las posibilidades de la ciencia y medios a su alca nce con absoluta libertad respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. C. El principio de capacidad, el auditor debe estar plenamente capacitado para la realizacin de la auditoria encomendada, teniendo en cuenta que, en la mayora de los casos, a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas. D. El principio de cautela, el auditor debe en todo momento ser consciente de que sus recomendaciones deben estar basadas en la experiencia que le supone tiene adquirida, evitando que el auditado se embarque en proyectos de futuro fundamentos en simples intuiciones sobre la posible evolucin de las nuevas tecnologas de la informacin. E. El principio de comportamiento profesional, el auditor, tanto en sus relaciones con el auditado como con terceras personas, deber, en todo momento, actuar conforme a las normas implcitas o explicitas de dignidad de la profesin y de correccin en el trato personal. F. El principio de concentracin en el trabajo, el auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas encomendadas, ya que esto puede provocar la conclusin de los mismos sin las debidas garantas de seguridad. G. El principio de confianza, el auditor deber facilitar e incrementar la confianza del auditado en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos que puedan restar credibilidad a los resultados obtenidos y a las directrices aconsejadas de actuacin. H. El principio de criterio propio, el auditor durante la ejecucin de la auditoria deber actuar con criterio propio y no permitir que ste est subordinado al de otros profesionales que no coincidan con el mismo. 155
I. El principio de discrecin, el auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria. J. El principio de economa, el auditor deber proteger en la medida de sus conocimientos los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad. K. El principio de formacin continua, el auditor tiene un deber y responsabilidad de mantener una permanente actualizacin de sus
conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta. L. El principio de fortalecimiento y respeto de la profesin, la defensa de los auditados pasa por el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por el ejercicio de la actividad desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de las auditorias. F. El principio de independencia, el auditor deber actuar tanto como profesional externo o con independencia laboral respecto a la empresa en la que deba realizar la auditoria informtica. G. El principio de informacin suficiente, el auditor deber ser plenamente consciente de su obligacin de aportar informacin clara y precisa al auditado sobre todo y cada uno de los puntos relacionados con la auditoria q ue puedan tener algn inters para l. H. El principio de integridad moral, el auditor deber ser honesto, leal y diligente en el desempeo de su misin a ajustarse a las normas morales de justicia y probidad y evitar en participar en actos corruptos tanto personal como de terceros. I. El principio de legabilidad, el auditor deber evitar sus conocimientos para facilitar a los auditados la contravencin de la legabilidad vigente. J. El principio de libre competencia, el auditor mediante la actual economa de mercado deber actuar en el marco de la libre competencia tratando de que el auditado no entre en comportamientos desleales para que con sus competidores. 156
K. El principio de no discriminacin, el auditor deber evitar inducir, participar o aceptar situaciones discriminatorias de ningn tipo, ejerciendo su actividad profesional sin prejuicios de ninguna clase y con independencia de las caractersticas personales, sociales o econmicas de sus clientes. L. El principio de no injerencia, el auditor deber evitar injerencia en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios despreciativos de la misma. M. El principio de precisin, el auditor deber estar convencido de su trabajo antes de concluirlo por completo, debiendo ampliar el estudio del sistema informtico cuanto considere necesario. N. El principio de publicidad adecuada, el auditor deber en todo momento ver el ajustamiento de la oferta y promocin de los servicios de auditoria a las caractersticas, condiciones y finalidad perseguidas, evitando falsas difusiones de publicidad con el objeto de engaar a los usuarios. O. El principio de secreto profesional, el auditor deber no difundir datos que correspondan al auditado durante el desarrollo de su trabajo que pudieran perjudicar a su cliente. P. El principio de servicio publico, el auditor deber hacer lo que este en su mano y sin perjuicios de los intereses de sus clientes, para evitar daos sociales durante la ejecucin de la auditoria. Q. El principio de veracidad, el auditor deber tener siempre presente la obligacin de asegurar la veracidad de sus manifestaciones con los lmites impuestos por los deberes de respeto, correccin y secreto profesional. 8.2.2 CDIGOS DE CONDUCTA DE ALGUNAS ASOCIACIONES La ISACF (Fundacin de Control y Auditoria de Sistema de Informacin) propone el siguiente Cdigo de tica Profesional para orientar a la conducta profesional. A. Los Auditores Certificados de Sistema de Informacin debern: 1. Apoyar el establecimiento y cumplimiento de normas, procedimientos y controles de las auditorias de sistemas de informacin. 157
2. Cumplir con las Normas de Auditoria de Sistemas de Informacin, segn las adopte la ISACF. 3. Actuar en inters de sus empleadores, accionistas, clientes y pblico en general en forma diligente, leal y honesta, y no contribuir a sabiendas en actividades ilcitas o incorrectas. 4. Mantener la confidencialidad de la informacin obtenida en el curso de sus deberes. 5. Cumplir con sus deberes en forma independiente y objetiva y evitar toda actividad que comprometa o parezca comprometer su independencia. 6. Mantener su capacidad en los campos relacionados con la auditoria y los sistemas de informacin mediante la participacin en actividades de capacitacin profesional. 7. Ejercer sumo cuidado al obtener y documentar material suficiente sobre el cual basar sus conclusiones y recomendaciones. 8. Informar a las partes involucradas del resultado de las tareas de auditoria que se hayan realizado. 9. Apoyar la entrega de conocimientos a la gerencia, clientes y al publico en general para mejorar su comprensin de la auditoria y los sistemas de informacin. 10. Mantener altos estndares de conducta y carcter tanto en las actividades profesionales como en las privadas. B. The British Computer Society por su parte establece un Cdigo de Conducta cuyos principios es esquematizan a continuacin: Conducta Profesional. Integridad Profesional. Inters Pblico. Fidelidad. Competencia Tcnica. Imparcialidad.
158
El auditor informtico debe ser plenamente consciente de que su comportamiento profesional presenta dos factores, ntimamente ligadas, que configuran el rgimen de su responsabilidad frente a terceros. La primera corresponde a la aplicacin de sus conocimientos tcnicos con la finalidad de determinar las condiciones de seguridad, fiabilidad y calidad de los medios, elementos o productos que conforman el sistema informtico auditado. La segunda debe poner de manifiesto la aplicacin de los fundamentos humansticos que como persona y como profesional le son ticamente exigibles. En los casos de producirse algn conflicto entre ambas facetas, la ponderacin de los derechos deber dar primaca a los valores morales sobre los materiales. 8.2.3 CDIGO DE TICA DE ISACA PER El Cdigo de tica Profesional La Information Systems Audit and Control Association, Inc. (ISACA) dispuso y actualiz el cdigo de tica profesional para dirigir la conducta personal y profesional de los miembros de la asociacin y/o de aquellos que cuenten con cualquiera de las credenciales de certificacin internacional de ISACA. En ese sentido, los miembros, certificados o no, estn obligados a cumplir el siguiente cdigo de tica: 1. Apoyar el establecimiento y cumplimiento apropiado de estndares, procedimientos y controles en los sistemas de informacin. 2. Realizar sus deberes con el debido cuidado profesional, objetividad, y diligencia, de acuerdo con los estndares profesionales y las mejores prcticas. 3. Dar servicio a sus empleadores, accionistas, clientes y pblico en general en forma diligente, leal y ho nesta, manteniendo altos niveles de conducta y no participar en actividades que desacrediten a la profesin.
159
4. Mantener la confidencialidad de la informacin obtenida en el curso de sus deberes, a menos que el acceso sea requerido por una autoridad legal. Tal informacin no ser utilizada para la ventaja personal ni ser divulgada a terceros. 5. Mantener la capacidad en sus campos respectivos y acordar emprender solamente aquellas actividades que razonablemente puede esperar realizarlas competentemente. 6. Informar a las partes apropiadas los resultados del trabajo realizado, revelndoles todos los hechos significativos. 7. Apoyar la educacin de clientes, gerentes y pblico en general, para realzar su comprensin de los sistemas de informacin, su seguridad y su control. 8. El cumplimiento del Cdigo de tica contribuye con el respeto y reconocimiento mundialmente ganados por ISACA y contribuye al logro de sus fines. La falta de adherencia al Cdigo del tica Profesional, de acuerdo a lo establecido por ISACA Internacional, puede dar lugar a una investigacin y, en ltima instancia, a medidas disciplinarias.
8.3
SEGURIDAD
DE
LA
INFORMACIN
EN
LATINOAMRICA:
TENDENCIAS 2009 La Asociacin Colombiana de Ingenieros de Sistemas (ACIS) publicaron una los resultados de una encuesta para con el fin de tomar una primera radiografa al estado actual de la seguridad de la informacin en el continente. El anlisis realizado se desarroll basado en una muestra aleatoria de profesionales de tecnologas de informacin de Argentina, Chile, Colombia, Mxico, Uruguay y otros pases de Latinoamrica, la cual respondi una encuesta de manera interactiva a travs de una pgina web, con los resultados de dicho anlisis se llego a la siguientes conclusiones: Las regulaciones internacionales llevarn a las organizaciones en
Latinoamrica a fortalecer los sistemas de gestin de la seguridad de la informacin. Actualmente las normas como SOX y Basilea II comienzan a
160
cambiar el panorama de la seguridad de la informacin en la Banca y en el mercado accionario. La industria en Latinoamrica exige ms de dos aos de experiencia en seguridad informtica como requisito para optar por una posicin en esta rea. De igual forma, se nota que poco a poco el mercado de especialistas en seguridad de la informacin toma fuerza, pero an la oferta de programas acadmicos formales se encuentra limitada, lo que hace que las organizaciones opten por contratar a profesionales con poca experiencia en seguridad y formarlos localmente. Las certificaciones CISSP, CISA y CISM son la ms valoradas por el mercado y las que a la hora de considerar un proyecto de seguridad de la informacin marcan la diferencia para su desarrollo y contratacin. Se advierte un importante giro en las certificaciones CFE, CIA y CIFI que si bien no aparecen con resultados muy importantes, si son consideradas importantes por la industria. La inversin en seguridad de la informacin se encuentra concentrada en aspectos perimetrales, las redes y sus componentes, as como la proteccin de datos de clientes que se reafirma con el 53,1% concentrado en temas de seguridad de la informacin. Las cifras en 2009 muestran a los antivirus, las contraseas y los firewalls de software como los mecanismos de seguridad ms utilizados, seguidos por los sistemas VPN y proxies. Existe un marcado inters por las herramientas de cifrado de datos y control de contenidos dos tendencias emergentes ante las frecuentes fugas de informacin y migracin de las aplicaciones web al contexto de servicios o web services. La limitada aplicacin de las normas o regulaciones vigentes en temas de delito informtico en Latinoamrica y baja formacin de los jueces en estos temas establece un reto importante para la administracin de justicia en el continente. En este contexto, adelantar un proceso jurdico puede resultar ms costoso para la organizacin que para el posible infractor, dado que generalmente la carga de la prueba est a cargo de la parte acusadora y los
161
posibles costos derivados de peritaje informtico o anlisis forense no ayudan con la economa procesal requerida. Si bien estn tomando fuerza las unidades especializadas en delito informtico en Latinoamrica, es necesario continuar desarrollando
esfuerzos conjuntos entre la academia, el gobierno, las organizaciones y la industria, para mostrarles a los intrusos que estamos preparados para enfrentarlos. La falta de apoyo directivo y la falta de tiempo, no pueden ser excusas para no avanzar en el desarrollo de un sistema de gestin de seguridad. La inversin en seguridad es costosa, pero la materializacin de inseguridad puede serlo mucho ms. La decisin est en sus manos. Los resultados sugieren que en Colombia el ISO 27000, ITIL y el Cobit 4.1 son el estndar y las buenas prcticas que estn en las reas de seguridad de la informacin o en los departamentos de tecnologas de informacin. Son motivadores de la inversin en seguridad: la continuidad de negocio, el cumplimiento de regulaciones y normativas internas y externas, as como la proteccin de la reputacin de la empresa. As mismo, se manifiesta la necesidad de adelantar al menos un ejercicio anual de anlisis de riesgos como soporte a los temas de seguridad y procesos de negocio. 8.4CONVERGENCIA DE LA SEGURIDAD En la actualidad, han surgido nuevas tecnologas de proteccin como resultado del incremento no predecible de las amenazas y su mayor complejidad. Cada vez ms, es necesario mezclar tales alternativas en la organizacin. Las organizaciones de hoy buscan incrementar a toda costa su Productividad y de la forma ms eficientemente posible, los recursos Disponibles, de tal manera que sus productos y/o servicios sean ofrecidos de la mejor manera. En este sentido es que la seguridad y la proteccin de la informacin han visto la necesidad de evolucionar, de ver ms all, de buscar una manera integral para garantizar su proteccin. Este escenario cambiante y dinmico de la inseguridad de la informacin ha direccionado los esfuerzos de la organizacin a entender que la proteccin de
162
la informacin debe contemplar un contexto completo, ver cmo la informacin circula a travs de empresa y cmo se deben Implementar las respectivas medidas de proteccin, sin discriminar el ambiente del que se est hablando. Por la misma evolucin de la seguridad y la proteccin de la informacin, que ha venido desarrollndose, ya no slo se ve a la inseguridad como un camino que integra procesos, gente y tecnologa, sino que ahora se integra con otros elementos propios de proteccin, respondiendo a la necesidad de ver a la inseguridad de manera total alrededor de la informacin, donde inclusive el riesgo que se ha vuelto un elemento estratgico para el desarrollo natural de la organizacin, ahora se puede ver por su evolucin natural como un riesgo de valor corporativo y as como la seguridad se ve como un elemento transversal a la organizacin, y no de manera individual por cada unidad de negocio por donde circula informacin. Este nuevo panorama hace que se requieran mayores esfuerzos dentro de la organizacin por el cumplimiento de un programa estructurado, con una forma y un contenido, buscando cumplir de la mejor manera por esa nueva visin integral del la inseguridad, enfocada a la proteccin de los activos de informacin de la organizacin. En este orden de ideas se requiere de alguien capaz de poder dirigir y dar marcha al programa creado y diseado de manera especfica para la organizacin; alguien que con esfuerzo, disciplina y una conviccin clara pueda llevar a acabo la ardua labor de orquestar el panorama desmedido de inseguridad, al que la organizacin se ve expuesto, en su constante crecimiento.
8.4.1 DEFINICIN DE CONVERGENCIA Convergencia es un trmino que ha existido desde los aos 70, y al que se le han atribuido muchas definiciones y diferentes connotaciones. Al momento de revisar la definicin de convergencia encontramos lo siguiente. Segn diccionarios online se define la convergencia como . Unin de dos o mas cosas que confluyen en un mismo punto... Segn la Real Academia de la 163
Lengua. Accin y efecto de convergir y en los trminos matemticos se entiende por convergencia, cuando una sucesin de nmero tiene un limite definido.
Al analizar la definicin se nota que se est hablando de que las tendencias se unen o se encuentran en algn punto del tiempo y del espacio, de tal manera que conjuran sus esfuerzos en pro de algo; que si bien al principio no poseen caractersticas similares, tienden a entrelazarse por la misma naturaleza de la situacin o porque encuentran que sus esfuerzos mancomunados los llevan al mismo objetivo. Cuando se habla de convergencia de la seguridad, se hace referencia a un todo como un elemento que integra las visuales de seguridad, desde todos sus puntos de vista. Se trata de ver los servicios de seguridad no operando de manera independiente; por un lado la seguridad fsica y por otro la seguridad lgica, como un primer enfoque. Es ir ms all, para presentar la seguridad como un todo, un elemento universal, un elemento nico que contempla todas las aristas posibles, en pro de un propsito: proteger un servicio de negocio. Hablando puramente de seguridad, la convergencia en trminos de compartir, cooperar, colaborar parte de un propsito, la defensa; por lo tanto, es posible definirla como todos aquellos esfuerzos mancomunados de seguridad de las organizaciones, para compartir el propsito de la defensa y todo lo que a ella le corresponda.
8.4.2 CONVERGENCIA EN LA SEGURIDAD INFORMTICA La convergencia es un nuevo panorama que muestra una realidad, que se puede leer como una tendencia que vendr o existe en la actualidad, pero que en el futuro cercano podra llegar a convertirse en una consideracin y recomendacin para muchos tipos de organizaciones. Es necesario que cada organizacin de sus pasos en el tema, sin dejarse presionar por factores externos; lo importante podra ser reconocer su estado y
164
si de alguna manera es beneficioso llegar a una convergencia total, proceso, tecnologa y gente como marco de trabajo.
Existen en la actualidad algunos Framework de trabajo para adaptarse a los modelos de convergencia; lo esencial de todos ellos es tener clara la visin de negocio como elemento importante, de tal manera que pueda apalancar los procesos de cambio que requiera la organizacin al acercarse a cualquier modelo. Es necesario que el lder o responsable de una visin corporativa de seguridad cambie su posicin de una postura funcional y experta, a una persona con visin de negocio, que vea de manera transversal la informacin y en ella lo que puede afectar de manera integral a la misma. La colaboracin, trabajo en equipo y esfuerzo conjunto sern piezas claves, de tal forma que se pueda trabajar en pro de un propsito corporativo comn, objetivo estratgico. Es posible que las organizaciones definan un modelo de madurez, para poder cubrir los escenarios propuestos de convergencia presentados, una
convergencia a TI, como un primer nivel que nos permite tener una visin de riesgos de TI unificada entre lo fsico y lo lgico, despus reordenar la responsabilidades, y competencias del responsable de este rol; y, por ltimo, una visin global del riesgo, En donde desde un punto unificado y con los recursos y esfuerzos adecuados se pueda gestionar y gobernar los riesgos de la organizacin, teniendo en cuenta la visin del negocio y no las reas funcionales
165
Realizar un anlisis y comentario sobre las organizaciones nacionales que se dedican a la seguridad y auditoria informtica
Este fascculo trata de algunos aspectos de mucha importancia dentro del proceso de una auditoria, como las organizaciones dedicadas a la seguridad y auditoria informtica como lo es ISACA, la importancia de el Cdigo Deontolgico en el desempeo profesionales en especial la auditoria informtica, y finalmente se brinda algunas aspectos del estado actual de la seguridad informtica en Latinoamrica.
Piattini Mario G., Auditoria Informtica. Edit. AlfaOmega, 2da. Edicin 2001. Echenique GARCIA, Jos Antonio, Auditoria en Informtica, Edit. Mc. Graw Hill, 2da. Edicin, 2001. INEI, Auditoria de Sistemas, Edic in 2002 Salvador Snchez, J.,Ingeniera de Proyectos Informticos,Edit. Universitat Jaume I, Edicin 2003.
1. Comente la importancia de la formacin continua del auditor informtico 2. Explique el grado de independencia del auditor informtico. 3. Qu es el principio de libre competencia? 4. Explique la responsabilidad del auditor informtico. 5. A qu obliga el secreto profesional? 6. Comentar sobre la convergencia de la seguridad informtica. 166

Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

Uploaded by

Copyright:

Available Formats

AUDITORIA INFORMTI CA Y DE SISTEMAS

UNIVERSIDAD PERUANA LOS ANDES FACULTAD DE INGENIERA

AUDITORIA DE INFORMTICA Y SISTEMAS

Ing. YOVANA BLANCAS ESPINOZA

HUANCAYO - PER 2009

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

TABLA DE CONTENIDOS (NDICE)

AUDITORIA INFORMTI CA Y DE SISTEMAS

4.1 Fundamentos De La Seguridad Informtica

AUDITORIA INFORMTI CA Y DE SISTEMAS

5.1 Auditoria de Base de Datos

AUDITORIA INFORMTI CA Y DE SISTEMAS

122 122 123 123 124 127

134 134 136 137 139 146

8.1 Organismos e Instituciones Dedicadas A La Seguridad Y Auditoria Informtica.

AUDITORIA INFORMTI CA Y DE SISTEMAS

FUNDAMENTOS DE AUDITORIA INFORMTICA Y DE SISTEMAS

Al finalizar el estudio del presente fascculo el estudiante:

AUDITORIA INFORMTI CA Y DE SISTEMAS

1.1.2 AUDITORIA INFORMTICA vs ORDENADOR

AUDITORIA POR MEDIO DEL

AUDITORIA INFORMTI CA Y DE SISTEMAS

1.1.4 RAZONES PARA LA AUDITORIA Y EL CONTROL DE LOS SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

1.1.4CONTROL INTERNO INFORMATICO

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

Insatisfaccin de usuarios No resolucin de incidencias y averas. No atencin de peticiones de cambios 18

AUDITORIA INFORMTI CA Y DE SISTEMAS

Inadecuado soporte informtico No cumplimiento de plazos de entrega en resultados peridicos.

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

1.7AUDITORA INTERNA Y AUDITORA EXTERNA:

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

reas Especficas Explotacin Desarrollo Sistemas

reas Generales Interna Direccin Usuario Seguridad

AUDITORIA INFORMTI CA Y DE SISTEMAS

caractersticas de la empresa auditada.

AUDITORIA INFORMTI CA Y DE SISTEMAS

Caractersticas del auditor:

Que deben hacer los auditores

Que no deben hace

Figura 1.2: Caractersticas de una Auditor

Algunas reglas bsicas que debe respetar el auditor son:

AUDITORIA INFORMTI CA Y DE SISTEMAS

Comunicar que no se trata de castigar sino de detectar deficiencias y corregirlas.

AUDITORIA INFORMTI CA Y DE SISTEMAS

AUDITORIA INFORMTI CA Y DE SISTEMAS

describe las principales metodologas para la