AUDITORA

Seguridad de los sistemas

Porqu estudiarlo?
Para qu hacerlo?
Qu hacer?
Cmo hacerlo?

Introduccin y objetivo general del tema

Objetivos de los controles y medidas
Descripcin de medidas y controles a aplicar
Descripcin de tareas a realizar (metodologa)

Seguridad de los sistemas (tiempo real)

Diferencias relevantes con respecto a otros modos de operacin
Controles especficos de este tipo de modalidad.
Introduccin y objetivo general
Podemos definir la seguridad como aquella actividad encaminada a dar al procesamiento de datos la
proteccin razonable. Y decimos razonable porque nunca existe certeza absoluta. El tema es fundamental pues
hoy en da, el mbito de sistemas constituye el punto donde se concentra la mayor parte de la informacin de la
empresa.
Es evidente que la informacin utilizada por los entes en general ha variado en la ltimas dcadas. Del mismo
modo lo han hecho las necesidades de generacin de esa informacin y los medios de procesarlas. Aunque se
observan ciertas diferencias entre los sistemas computarizados y los convencionales puede afirmarse que el
procesamiento electrnico de datos no afecta a los objetivos del control interno, la responsabilidad de la direccin
y las limitaciones inherentes al sistema de control interno, pero s afecta el enfoque para la evaluacin del mismo y
el tipo de evidencia de auditora que se obtiene.
Los enfoques de auditora que se utilizan en ambientes en los que una parte significativa de los procesos
administrativos son procesados electrnicamente han evolucionado con el tiempo. Se pueden clasificar as:
enfoque tradicional o externo
consiste en realizar los procedimientos de verificacin utilizando los datos de entrada al sistema y someter
estos datos al proceso lgico que se realiza en esa etapa especfica de procesamiento. Con estos
elementos se obtienen datos de salida procesados manualmente; se comparan con los generados por el
sistema y se concluye si el procesamiento electrnico llega a resultados razonables (por muestreo).
enfoque moderno
consiste en realizar los procedimientos de verificacin del correcto funcionamiento de los procesos
computarizados utilizando la computadora se seleccionan tcnicas de auditora que controlan la
forma en que la aplicacin contable computarizada funciona. Las tcnicas son variadas pero todas ellas
tienen en comn que no consideran el procedimiento como una caja negra. Consisten en revisar pasos
de programas, la lgica del lenguaje utilizado, re-procesar una serie de operaciones a travs del propio
sistema computarizado, etc.
El auditor pondr los objetivos del trabajo (evaluacin de riesgos), identificar procedimientos de auditora que se
aplicarn y avaluar los resultados de la aplicacin de los mismos.El Objetivo es, entonces, la seguridad de esa informacin, por lo que debemos implementar controles para
disminuir o evitar los riesgos. Dichos controles, determinarn el grado de confiabilidad de la informacin
suministrada.
Las organizaciones, sobre todo las pequeas y medianas, carecen de documentacin, estndares para la
elaboracin, como as tambin de controles internos.
No debera diferenciarse la estructura de controles internos a evaluar de acuerdo al tamao de la
empresa. La diferencia radica en la intensidad de algunos controles, en especial los de:
Separacin de funciones
Archivos
Seguridad fsica
Debe tenerse siempre presente el principio de economa de procesamiento (el costo de los controles debe
ser inferior al beneficio del proceso, y los controles su magnitud- debe estar relacionada con los riesgos a
evaluar).
Por ltimo, los avances en tecnologa de comunicaciones han ocasionado una nueva fuente de control: las
lneas de comunicacin.
Todos estos aspectos confluyen en un nico objetivo:
Evaluar el control interno de forma tal de asegurar que la informacin que se procesa sea toda la que se debe
procesar, sea debidamente autorizada, que se atienda a la conservacin y mantenimiento de los recursos de
sistemas y que exista una perfecta definicion de la separacin de responsabilidades por las operaciones
ejecutadas
Conceptos de auditora y control interno

Definicin de Control Interno

Est incorporado a la estructura de la organizacin, esto asegura la continuidad del control (no es
espordico). Es preventivo. Que se controle antes de los procesos hace ms probable que las cosas salgan mejor,
que mejore notablemente la calidad de lo producido. Bsicamente busca la prevencin y no la deteccin posterior.
Si los Controles internos son buenos, no har falta trabajar con toda la informacin, bastar con una muestra
significativa.
Una definicin acertada sera: es el conjunto de normas procedimientos existentes en el ente auditado,
implementados con el fin de alcanzar los objetivos para los cuales se creo el ente.
Definicin de Auditoria
La auditoria la definimos como un control destinado a evitar errores por negligencia y/o irregularidades
dentro del funcionamiento de los distintos entes u organizaciones. Por ello cuando se habla de auditoria en un
sentido general se entiende que implica examinar o revisar determinado objeto o atributo. Todo ente u
organizacin, ya sea con fin de lucro o sin l, posee ciertos controles o parmetros preestablecidos para permitir
su habitual funcionamiento. La auditoria controla dichos parmetros, razn por la cual, en forma rudimentaria, se
suele decir que la auditoria es el control de los controles o un control de los controles ya existentes en el ente
auditado.
Pasos de la Auditoria
En cuanto a las etapas la Resolucin Tcnica N 7 aprobada por la Federacin Argentina de Consejos
Profesionales de Ciencias Econmicas nos da una pauta de los pasos a seguir al momento de llevar a cabo una
auditoria. Bsicamente son tres:
a. Planificacin (Predetermina tareas)
b. Ejecucin (Aplica procedimientos y los soporta)
c. Conclusin (Emite un informe)
Concepto y tipos de Pruebas.
Al definir las pruebas o procedimientos de auditoria, estamos definiendo los tipos de tareas a efectuar.
Existen dos tipos de pruebas.
De Cumplimiento
Sustantivas
Sinnimo
De control Interno
De validez
Objetivo
Funcionamiento
de
los Validar la informacin y los
procedimientos internos del datos.
ente.
Objeto auditado
Gestin del ente
Sistema de informacin.
Riesgos
Existen tipos y clases de riesgos, es decir, se puede hacer una diferenciacin de los errores y omisiones
en los cuales se puede incurrir.
Riesgo inherente
Es el riesgo innato o de origen que posee un dato por el simple hecho de su existencia y estar
dado por las caractersticas de lo auditado. Se podra decir que todo objeto de auditoria lleva
adjunto su riesgo inherente.
Riesgo de Control
Este riesgo estar dado por la ineficiencia de los procedimientos de control.
Riesgo de Deteccin.
El riesgo de deteccin afecta directamente a la figura del auditor como sujeto ejecutante de la
auditoria. Es decir este riesgo se presenta por la propia falta de capacidad del auditor para
detectar o percibir un error u omisin.
Medidas y controles a aplicar
El control interno en el procesamiento electrnico de datos se puede dividir en:
A. Controles en la administracin del servicio del centro de cmputos
B. Controles en el desarrollo de los sistemas
C. Controles en los sistemas de informacin
D. Controles en la entrada de datos
E. Controles en los archivos y las Bases de datos
A.
Controles en la administracin del servicio del centro de cmputos
Dado el ambiente de trabajo en que se desempea el rea de sistemas, y su influencia en todos los sectores de la
empresa, se reconoce la necesidad de implantar normas administrativas para un control eficaz. Sin embargo, en
la realidad se olvida dictar y hacer cumplir normas de control interno, destacndose debilidades tales como:
Inadecuada segregacin de funciones

Fcil acceso al hardware / software

Escasa supervisin de las actividades

NORMAS GENERALES A CUMPLIR PARA ASEGURAR UN BUEN FUNCIONAMIENTO

ORGANIZACIN
:
El dpto de sistemas debe estar organizado
Debe existir segregacin de funciones entre sistemas y otros dptos
Supervisin competente y completa, revisin de tareas por gerencia
Deben existir procedimientos administrativos y de operacin
Objetividad e independencia de los usuarios
SEGURIDAD
:
Proteccin de equipo, software, documentacin
HARDWARE
:
Mantenimiento del equipo en buen funcionamiento
ACCESO
:
Restringido a personal autorizado (Hard, documentos, archivos)
PROCESAMIENTO
:
Procesamiento rpido y exacto de la informacin
Controles internos en la operacin de SI
Instrucciones de operacin
Programas de ejecucin (schedule)
Lista de mensajes y paradas programadas (acciones ligadas)
Procedimientos de recupero y reinicio
Tiempos estndar/estimados
COMUNICACIONES :
Control y supervisin de las operaciones y los dispositivos de comunicacin
En cada uno de los componentes de un SI deben existir controles internos. Como
objetivo principal de todo control interno, lo primordial es tratar de disminuir
riesgos. En las comunicaciones de un SI deben establecerse controles en:
Hardware: debe haber controles que impidan el fcil acceso fsico a las
terminales y al equipamiento de la red (instalaciones, modems, hubs, cables,
etc.)
Software: deben utilizarse protocolos para controlar la calidad de los
mensajes y la no presencia de errores en cualquier transmisin de
informacin. Deben controlarse el acceso a las aplicaciones y datos que
residan en el/los servidores de la organizacin
Datos: deben utilizarse tcnicas de encriptacin (procedimiento generalmente
pblico que logra convertir un texto claro en un texto confuso o desordenado
slo descifrable con una clave, un mtodo criptoanaltico o a fuerza bruta). Ej
de algoritmos de encriptacin: DES, 3DES, RSA, IDEA (se diferencian segn
la cantidad de bytes de las claves de encriptacin y los algoritmos utilizados).
POLITICAS
:
Control externo que asegure el seguimiento de polticas y procedimientos
fijados
Los controles del departamento de sistemas involucran a ms de una aplicacin. Existen 3 tipos de riesgo:
Estructura organizativa y procedimientos operativos no confiables
Riesgo: cambios no autorizados en programas o en archivos de datos. Las medidas de prevencin se
tornan crticas para asegurar la confiabilidad de la informacin
Medios de Control: separar las principales responsabilidades de las actividades de operacin y
programacin. Diferentes personas deben desempear las funciones de: Gerencia del departamento,
anlisis - diseo y programacin de aplicaciones, mantenimiento de software de sistemas,
operaciones, control de datos, seguridad de datos. Controles sobre acceso fsico y sobre el desarrollo
de los programas.
Procedimientos no autorizados para cambios en los programas
Riesgo: los programadores pueden realizar cambios incorrectos en el software de aplicacin.
Medios de Control: los posibles controles son: los cambios deben ser iniciados y aprobados por los
usuarios, las modificaciones deben ser revisadas y aprobadas por la superioridad.
Acceso general no autorizado a los datos o programas de aplicacin
Riesgo: personas no autorizadas pueden tener acceso directo a los archivos de datos o programas de
aplicacin utilizados para procesar transacciones permitindoles realizar cambios no autorizados a los
datos o programas.
Medios de Control: los posibles controles son: software de seguridad, registro de operaciones
(consola), informes gerenciales especiales.

B.
Controles en el desarrollo y mantenimiento de los sistemas
Es de suma importancia la participacin activa del auditor en el ciclo de desarrollo y mantenimiento de los
sistemas; no slo en la verificacin del cumplimiento de las etapas previstas, sino tambin para el asesoramiento

respecto de los controles internos a considerar en el nuevo sistema. Esto es muy importante, fundamentalmente
por dos razones:
1. No se puede esperar que un sistema quede determinado para luego auditarlo. Los auditores deben
aprovechar para introducir controles
2. El auditor puede sugerir y participar en el diseo de controles en los sistemas
NORMAS A CONSIDERAR EN LOS DESARROLLOS DE LOS SISTEMAS
CONTROL Y EFICIENCIA
:
Estandarizar tcnicas de programacin y procedimientos de
operacin de los sistemas.
Efectuar controles en caso de cambios a programas
DOCUMENTACIN
:
Documentacin adecuada que describa los sistemas y los
procedimientos para llevar a cabo su procesamiento
GENERALES
:
Metodologa formal de desarrollo
Especificaciones de diseo
Documentacin en la construccin
Diseo de archivos y tablas
Documentacin de pruebas y resultados
Diagramaciones
PROCESO DE SELECCIN PARA LA ADQUISICIN DEL SOFTWARE
Ante la necesidad de adquirir algn tipo de software se debe cumplir el siguiente procedimiento
1. Realizar tareas previas relacionadas a la definicin de requerimientos e invitacin a los proveedores
2. Llevar a cabo el proceso de seleccin teniendo en cuenta las caractersticas del proveedor, las caractersticas
de el/los productos que ofrece, las caractersticas del proyecto de trabajo que propone y la composicin de los
costos ofrecidos
3. Proceder a la evaluacin final, realizando de ser posible una matriz comparativa de los diferentes proveedores
ponderando cada una de las caractersticas relevadas y seleccionando el proveedor que ms satisfaga las
necesidades planteadas (matriz de objetivos mltiples)
C. Controles en los sistemas de informacin
Riesgos de Aplicacin
Podemos identificar cuatro categoras de los riesgos, y medios de control:
Acceso no autorizado al procesamiento y registro de datos
Riesgo: se puedan leer, modificar, agregar o eliminar informacin de los archivos de datos o
ingresar sin autorizacin transacciones para su procesamiento
Medios de Control: Acceso slo otorgado a quienes no desempean funciones incompatibles,
prohibicin de accesos no autorizados.
Datos no correctamente ingresados al sistema
Riesgo: datos pueden ser imprecisos, incompletos o ser ingresados ms de una vez.
Medios de Control: controles sobre la precisin e integridad de los datos ingresados para el
procesamiento (programas) Otros controles de validacin: que cada campo responda al formato
definido (numrico, alfabtico, alfanumrico) Cantidad de datos. Todos los campos de datos
importantes deben estar completos, los datos deben ser compatibles con los datos permanentes,
identificacin de los nros de documentos o lotes procesados, saldos de transacciones deben
balancear
Datos rechazados y en suspenso no aclarados
Riesgo: perder datos, partidas en suspenso que no se identifican, analizan y/o corrigen en
forma oportuna. Las alternativas pueden ser: Transacciones aceptadas por el sistema y sealadas en
un informe de excepcin, Transacciones destinadas a una cuenta en suspenso del sistema en lugar
de ser procesadas, Transacciones completamente rechazadas. El Riesgo es que estas transacciones
no sean adecuadamente resueltas y procesadas.
Medios de Control: controles sobre transacciones rechazadas y partidas en suspenso. Se
deber crear un registro que los incluya para que su posterior correccin y procesamiento pueda ser
controlado.
Procesamiento y registracin de transacciones incompletos y/o inoportunos
Riesgo: las transacciones ingresadas o generadas pueden perderse o ser procesadas o
registradas en forma incompleta o inexacta o en el perodo contable incorrecto. El riesgo est dado por
incorrecta actualizacin de los registros.
Medios de Control: En los procesamientos por lote: Totales de Control; en otros
procesamientos: controles de balanceo programados, de transmisin de datos, de re-enganche y
recuperacin, de corte programados, sobre los datos generados por el sistema.
D. Controles en los archivos y las Bases de datos
Los principales riesgos son: a) las destrucciones b) los accesos no autorizados c) la revelacin a terceros

a) Implica el riesgo de destruccin tanto del soporte como del contenido de los mismos. Deben implementarse
controles que se conocen en su conjunto como seguridad fsica.
Deben existir polticas de resguardo y recupero de informacin (BACK-UPS que deben planificarse. Lo ptimo
sera un back-up total de forma diaria pero no es econmicamente viable. Los soportes utilizados deben ser
inventariados y etiquetados de forma clara y deben ser adecuadamente custodiados. Para saber si los backups funcionan, peridicamente deben realizarse pruebas de recupero de informacin
b) Estos riesgos se atacan con controles relacionados con la seguridad lgica. Es necesario contar con controles
de acceso y perfiles de usuario. El control de acceso implica la identificacin y la autenticacin del usuario. El
perfil de usuario asegura que un usuario slo pueda realizar las operaciones para las que est autorizado.
Para que un usuario se autentique ser necesario contar con "algo que uno sabe (ej. password ), algo que uno
tiene (ej. tarjeta) o algo que uno es (tcnicas biomtricas)
c) debe aplicarse la criptografa (aunque la informacin pueda ser visualizada no ser entendible)
Tambin se debe tener en cuenta el control de concurrencia (acceso simultneo a los datos) y el control de
transacciones (asegurando que una transaccin pueda completarse totalmente o volverse hacia atrs luego de
producido un fallo)
E. Controles en la entrada de datos
En cualquier sistema de informacin si entra basura sale basura.
El costo de detectar y corregir los errores una vez que ingresaron al SI es mucho mayor que el costo de
establecer controles internos adecuados para prevenir esos errores. La informacin debe cumplir con todas sus
caractersticas fundamentales (exactitud, completitud, pertinencia, legitimidad, confidencialidad, oportunidad, no
duplicacin, etc.)
La captura de los datos puede dividirse en tres momentos: la captura en s, la validacin de los mismos y
el almacenamiento. Los problemas pueden presentarse en cualquiera de estos tres momentos. En la entrada de
datos se tiende a la introduccin de tecnologa para reducir errores. En la validacin de los datos ser fundamental
la exactitud en las reglas de programacin (rangos, tipos de datos, contadores, sumadores, dgito verificador).
Si bien se trata de automatizar la captura, debe existir un medio alternativo ante cualquier contingencia.
Descripcin de Tareas a Realizar (Metodologa)
Son los aspectos a ser tenidos en cuenta por el auditor, desde los siguientes puntos de vista:
Ambiente de sistema
Recabar informacin sobre el grado de utilizacin del procesamiento electrnico de datos en
aquellas aplicaciones financieras significativas. Principales temas a considerar para adquirir
conocimientos sobre el ambiente, son los siguientes:
Conocimiento de la estructura organizativa de los sistemas
Conocimiento de la naturaleza de la configuracin de sistemas
Alcance del procesamiento computarizado de la informacin

Ambiente de Control
Conjunto de condiciones dentro de las cuales operan los sistemas de control. Est referido al enfoque
que tiene la gerencia superior y el directorio con respecto al objetivo de control y el marco en que
ejerce ese control. Los aspectos a considerar para evaluar la efectividad del ambiente de control son:
El enfoque de control por parte del directorio y la gerencia superior
La organizacin gerencial: posicin del gerente de sistemas
El gerente de sistemas tiene como funcin crear y mantener un adecuado ambiente de control.

Hecha la planificacin estratgica, se documentan las decisiones preliminares para cada uno de los componentes
con un enfoque tentativo de auditora
Planificacin detallada
Es la seleccin de los procedimientos de auditora, que comunmente se traducen en la preparacin de los
programas de trabajo. El auditor se concentra en obtener y documentar una comprensin sobre los controles
directos y generales para los componentes significativos de los estados financieros-

Seguridad de sistemas con procesamiento en tiempo real

Los controles vistos anteriormente, deben aplicarse tambin en procesos en tiempo real, pero adems deben
agregarse otros que son propios de este tipo de procesamiento.
Problemas que pueden presentarse en procesamiento en tiempo real

En cuanto al proceso

En cuanto al manejo administrativo

En cuanto al uso

Se puede encarecer una aplicacin, por no precisar sta

necesariamente de actualizacin en tiempo real (Sueldos)
Es ms difcil detectar errores, ya que la actualizacin modifica el
archivo en el momento
Desarrollo e implantacin son ms costosos
Es ms difcil implementar control interno, pues se minimiza la
documentacin del procesamiento, entrada
Relacin directa entre el usuario y el equipo

Medidas de seguridad que demanda el proceso en tiempo real

Tcnicas de control fsico
Dispositivos de proteccin para terminales (cerraduras, lectoras)
Ubicacin de terminales en reas supervisadas
Desconexin de terminales en determinado horario
Acceso a archivos en determinado horario
Desconexin automtica de terminales no usadas
Tcnicas de control lgico
Contraseas para el acceso
No-display de contraseas
Establecer parmetros de niveles de autorizacin
Desconexin automtica de terminales ante X intentos infructuosos de
acceso
Tcnicas
de
control
de Transmisiones cifradas o codificadas
telecomunicaciones
Usar detectores de intercepcin de informacin
Distribucin y control de nmero telefnico para estaciones de llamada
Control y validacin de la Instrucciones escritas para guiar a operadores
entrada
Validacin de la entrada (pruebas programadas)
El operador debe revisar los datos ingresados
Se concilian totales de control (manuales vs computador)
Marcas de tiempo y fecha de entrada de la transaccin
Mantenimient Quien ejecuta o aprueba el mantenimiento no rinde cuenta de los hechos
o Controlar el acceso para mantenimiento
Controles de
Informe del era y es sobre los archivos maestros
archivo
Integridad Informe de era y es revisado por personal apropiado
Balanceo de conteo de registros y totales de control
Control
del balanceo de las
Controles de
transacciones
Procesamiento
Aptitud de
procesamient o
Pruebas
de
resultado de
Controles de la procesos

Salida
Prueba
de
salida

conteo de registros, totales de control

informe de datos que no balancean
esos errores deben corregirse antes de reprocesar
familiarizacin del operador con los procedimientos del sistema
familiarizacin del operador con los procedimientos alternativos
registro de fecha y hora en las transacciones
comprobaciones de razonabilidad de resultados(por programa)
utilizar informes de gerencia para detectar errores importantes
identificar e informar desbordamientos de capacidad
informes diseados para evitar errores de interpretacin

VERIFICACIN
Ya definidos cules deben ser los controles que una organizacin debe aplicar en cada uno de los
componentes de sus SI, debemos analizar los diferentes circuitos que existan para comprobar que esos controles
sean cumplidos.
Se pasa entonces a las etapas de verificacin en las cuales se debe obtener evidencia comprobatoria,
vlida y suficiente de que los controles funcionan adecuadamente. Son las denominadas pruebas de

cumplimiento, que determinarn la naturaleza, el alcance y oportunidad de los procedimientos de auditora a

aplicar en la informacin almacenada en el sistema de informacin.
Debe comprobarse la existencia de una estructura organizativa adecuada, mediante inspeccin de
manuales, perfiles de usuario, entrevistas, etc.
Debe comprobarse la existencia escrita y correcta actualizacin de normas y procedimientos de
programacin y tecnologa.
Debe verificarse la continuidad del procesamiento (planes de contingencia, polticas de back-up, etc)
Deben verificarse los controles del teleprocesamiento (funciones del administrador de red, criptografa)
Los controles en las aplicaciones pueden verificarse a travs de medidas de
documentacin, niveles medios de fallas, calidad de diseo, cantidad de usuarios,
complejidad, cantidad de transacciones, modalidades del procesamiento, estabilidad,
escalabilidad, etc (para reflejar estas medidas puede usarse una matriz de riesgo con sus
respectivas ponderaciones).
Para llevar a cabo las pruebas de cumplimiento de un sistema puede o no utilizarse una computadora. Las
pruebas de cumplimiento con el uso de una computadora pueden clasificarse en:
POSTOPERACIN (si se verifican los controles luego del procesamiento)
1) Puede usarse el sistema real con transacciones reales: se comparan resultados predeterminados con
resultados reales
2) Puede usarse el sistema real con transacciones simuladas: en este caso se comparan resultados
predeterminados con resultados simulados. La tcnica se denomina lote de prueba. Se podr utilizar el
mismo lote para probar todas las funcionalidades del sistema pero el mismo tendr que estar actualizado y
debe ser pensado de tal forma que represente todas las condiciones de posible ocurrencia
3) Puede usarse un sistema simulado construyendo un sistema paralelo al real con las funcionalidades que se
desean probar. La tcnica se denomina simulacin en paralelo y se comparan resultados de transacciones
reales en el sistema real con resultados de transacciones reales en el sistema simulado. Este mtodo permite
saber si la informacin resultante del sistema real fue modificada por el costado del sistema pero tiene como
desventaja que slo se pueden realizar pruebas parciales y que requiere la suficiente pericia tcnica para
construir el sistema simulado.
EN LA OPERACIN (pruebas concurrentes)
En el sistema real se ingresan transacciones reales y transacciones simuladas. La tcnica se denomina ITF
(integrated test facilities o minicompaa).
Se generan registros especiales de auditora dentro de los registros principales del procesamiento (debiendo
estar debidamente identificados).
La tcnica slo es aplicable en organizaciones que cuentan con organismos de superintendencia que lo
permiten, de otro modo podra ser considerada como fraude).
Requiere baja pericia tcnica y le aporta al auditor el factor sorpresa pero puede tener inconvenientes en su
implementacin o en su control si las transacciones simuladas no son debidamente identificadas
PRUEBAS SUSTANTIVAS
Una vez realizadas las pruebas de cumplimiento se debe analizar la informacin almacenada en el SI. Si la misma
se encuentra en soportes informticos puede ser analizada en su totalidad (el alcance ser total) puesto que ello
puede hacerse rpidamente. La informacin que no es encuentre almacenada digitalmente puede ser muestreada
segn el diagnstico hecho sobre los controles generales y los controles particulares.
Se pueden encontrar las siguientes herramientas para la realizacin de pruebas sustantivas:
Programa o sistema especial de auditora
Paquete o software de auditora
Aplicativos en general (ej planillas de clculo)
Lenguajes de consulta
SEGURIDAD FSICA Y LGICA
La seguridad fsica y la seguridad lgica se relacionan con medidas preventivas de impactos en la organizacin.
La informacin debe ser clasificada de acuerdo a sus principales caractersticas y se debe plantear el impacto de
distintos acontecimientos (en lo posible de forma cuantitativa). Adicionalmente se debe plantear la probabilidad de
ocurrencia de cada hecho fortuito a los efectos de tratar de minimizar todos los riesgos.
Seguridad fsica RIESGOS
Propios de la zona geogrfica: incendios, inundaciones, tormentas, epidemias, terremotos

 Propios de la vecindad: pueden ser permanentes (por ej. que la organizacin se encuentre lindando a una
estacin de servicio) o transitorios (por ej. que existan obras en la cercana de la organizacin)
Propios del ente: son los riesgos del edificio, como los materiales con los que est construido, la disposicin
fsica del equipamiento elctrico, la insonorizacin, etc.
Controles: construcciones adecuadas, desages aptos, bombas de desagote, sensores de lnea, generadores
propios, instalaciones antiincendios, UPS, grupos electrgenos, utilizacin de cable canal, cableado elctrico
adecuado, realizacin de back-ups, separacin fsica de copias de seguridad y equipos de contingencia,
identificacin del personal afectado y no afectado al rea de sistemas, etc.
Seguridad lgica
Los datos pueden sufrir consultas y modificaciones no autorizadas, adems de destrucciones.
Por ello se deben implementar medidas de seguridad lgica que hacen a la:
Identificacin: de la persona que quiere acceder a esos datos
Autenticacin: de esa persona. Se debe certificar que quien se identifica es quien dice ser (algo que
uno sabe, algo que uno tiene, algo que uno es). Si se utilizan claves las mismas deben ser nicas,
fciles de memorizar, expirables luego de un lapso determinado y deben aceptar una cantidad mnima
de intentos fallidos. Es recomendable contar con un sector que se encargue de la administracin de
todas las claves.
Autorizacin: se deben limitar las autorizaciones en el uso de los recursos del SI (tanto de los datos
como de las funciones que puedan realizarse con esos datos)
Documentacin: se deben llevar registros de todos los acontecimientos para tareas de vigilancia y
seguimiento estadstico.
PLAN DE CONTINGENCIA
La organizacin debe estar preparada para la ocurrencia de hechos accidentales, desastres naturales o actos
intencionales que pongan en peligro su normal operatoria. Siempre se debe asegurar el COB ( continuity of
business). Las principales causas de la falta de prevencin son:
No nos puede pasar a nosotros
Apata en los cargos jerrquicos
Desconocimiento de cmo preparar un plan
Difcil cuantificacin de beneficios
Se deben analizar todos los riesgos, establecer los recursos crticos, elaborar un proyecto, desarrollar el plan y
realizar las pruebas pertinentes
Fase de emergencia: si se produce algn hecho grave, se debe establecer el ambiente de reconstruccin y
recuperacin y minimizar los daos ocurridos (las medidas de prevencin sern fundamentales para evitar daos
graves).
Fase de enlace: se deben brindar alternativas de procesamiento para mantener la capacidad operativa y se deben
facilitar las tareas de recuperacin del ambiente.
Fase de back-up: es necesario continuar operando con el procesamiento alternativo proveyendo los sets de copias
de resguardo necesarios para ello.
Fase de recupero: se debe restaurar totalmente el SI a su normal funcionamiento, discontinuando la operacin con
el procesamiento alternativo y convirtiendo las operaciones y archivos del modo de enlace al modo normal