You are on page 1of 10

AUDITORIA INFORMATICA

METODOLOGIAS,NECESIDADES CUALITATIVAS Y CUANTITATIVAS,CONTROLES INTERNOS,MEDIOS DISPONIBLES Y ESPECIFICOS, ESTRUCTURA JERARQUICA DE LAS POLITICAS DE SEGURIDAD Y ALCANCES DE AUDITORIA INFORMATICA

........................................................................................... 9 1 .................... 2 CONTROL INTERNO DE UNA AUDITORIAINFORMATICA....Contenido METODOLOGIAS PARA LA AUDITORIA .............................................................. 2 NECESIDADES CUALITATIVAS Y CUANTITATIVAS DE UNA AUDITORIA INFORMATICA ... 4 MEDIOS DISPONIBLES Y ESPECIFICOS DE UNA AUDITORIA...................... 5 Bibliografía ..................................................................................................................................................................................................................

Basadas en métodos estadísticos y lógica borrosa. que requiere menos recursos humanos / tiempo que las metodologías cuantitativas. se puede agrupar en dos grandes familias: Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo. están diseñadas par producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico. Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numéricos. Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo mas baja posible o al menos quede reducida de una forma razonable en costobeneficio. Ventajas:  Enfoque lo amplio que se desee.  Plan de trabajo flexible y reactivo. La auditoria informática solo identifica el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma.METODOLOGIAS PARA LA AUDITORIA NECESIDADES CUALITATIVAS Y CUANTITATIVAS DE UNA AUDITORIA INFORMATICA METODOLOGIAS DE AUDITORIA INFORMATICA Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz. Desventajas    Depende fuertemente de la habilidad y calidad del personal involucrado. Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular. para seleccionar en base al experiencia acumulada.  Se concentra en la identificación de eventos. 2 . Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control informático. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el checklist/guía). Dependencia profesional. Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo. Estos valores son datos de probabilidad de ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el numero de incidencias tiende al infinito.

El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la auditoría financiera. De la misma forma se describe en forma de cuestionarios genéricos. SUS METODOS Y PROCESAMIENTOS. En sí las tres metodologías están basadas en la minimización de los riesgos.Metodologías en Auditoría Informática.  Metodologías de los auditores internos.Están formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. AUDITORIA DE PRODUCTOS (por ejemplo.. mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costebeneficio de las mismas.Son el producto estándar de los auditores profesionales.A. en donde se hacen notar las vulnerabilidades encontradas. que habrá que describirlo en el memorando de apertura al auditado. En consecuencia el auditor deberá revisar estos controles y su funcionamiento. CHECKLIST o cuestionarios. Están desprestigiadas ya que dependen en gran medida de la experiencia de los profesionales que las usan. Las metodologías de auditoría informática son de tipo cualitativo/subjetivo. sistemas de Gestión de base de Datos DB2. operativas y jurídicas. Se puede decir que son subjetivas por excelencia. LAS HERRAMIENTAS DE CONTROL 3 . También se define el objetivo de la misma. con dos enfoques distintos. diseñada por Arthur Andersen. Red Local Windows NT. que exigen en gran profesionalidad y formación continua.. Solo existen dos tipos de metodologías para la auditoría informática:  Controles Generales. capaces de dictar recomendaciones técnicas. Están basadas en profesionales de gran nivel de experiencia y formación. Existen dos metodologías de evaluación de sistemas son las de ANALISIS DE RIESGOS y las de AUDITORIA INFORMATICA. paquete de seguridad RACF. La auditoria informática solo identifica el nivel de exposición por la falla de controles. METODOLOGIAS DE EVALUACION DE SISTEMAS En la seguridad de sistemas se utilizan todas las metodologías necesarias para realizar un plan de seguridad además de la auditoria informática.O. que se conseguirá en función de que existan los controles y de que éstos funcionen. El auditor interno debe crear sus metodologías necesarias para auditar los distintos aspectos o áreas en el plan auditor. con una orientación de los controles a revisar. METODOLOGÍA ROA Risk Oriented Approach En la actualidad existen tres tipos de metodologías de auditoria informática:    R. METODOLOGIAS MÁS COMUNES Entre las metodologías más comunes de evaluación de sistemas se encuentra: CONTROL INTERNO INFORMATICO.). (RISK ORIENTED APPROACH). etc. es resultado es escueto y forma parte del informe de auditoría.

Cumplen funciones de control dual en los diferentes departamentos. es clara que esta medida permite la seguridad informática. y realizan evaluaciones de tipo cualitativo. gestión de soporte magnéticos. 4 . dictar normas de seguridad informática.CONTROL INTERNO DE UNA AUDITORIAINFORMATICA Función de Control. dependiendo del grado de importancia de la información para el establecimiento de contramedidas. que puede ser normativa. gestión de control de impresión y envío de listados por red. los auditores de tienen diferentes objetivos de los de cuentas. En la auditoria Informática. Metodologías de clasificación de información y de obtención de procedimientos de control. marco jurídico. control de licencias. Las herramientas de control. manejo de claves de cifrado. control de copias. des del punto lógico son programas que brindar seguridad. vigilan el cumplimiento de normas y de controles. los responsables de cada departamento. control de proyectos y versiones . Herramientas de control. gestión de independencia y control de cambios. los costos. control de acceso físico. permitir a dos personas intervenir como medida de control. esta tiene función de vigilancia y evaluación mediante dictámenes. seguridad lógica complementaria del sistema. controla la calidad de software. Y fisicos los cifradores. realizar planes de contingencias. son de dos tipos lógicos y físicos . costos y la seguridad con mayor visión. ellos evalúan eficiencia. la funciones del control interno es la siguientes determinar los propietarios y los perfiles según la clase de información. seguridad lógica del sistema. las principales herramientas son las siguientes. Es establecer cuales son las entidades de información a proteger. Control interno informático. seguridad lógica en entornos distribuidos.

. MEDIOS FINANCIEROS. El interés del auditor por las ejecuciones trás la adaptación a las finalidades.Los equipos físicos y locales han de adaptarse a la finalidad. 5 ..2) Software básico.1) Equipo físico y locales.1) Equipo físico y locales: Comprende el ordenador propiamente dicho. 6. Estimación de la homogeneidad de los componentes y su fiabilidad atendiendo a las estadísticas de tiempo de utilización y la conservación de grabaciones en caso de fallos.Cada componente del equipo físico de formar parte de un todo homogéneo. El auditor valorará la adaptación a los objetivos y a las acciones tomando como base de juicio la evolución histórica. 3. MEDIOS HUMANOS... el hardware anejo y los soportes físicos de los ficheros. Puede ser preventiva (mantenimiento) o curativa (restauración).. 2. A) MEDIOS TECNICOS: A. La conservación se evalúa a partir de los contratos y de los informes de indisponibilidad. A. El estudio del presupuesto de seguridad evaluando los medios en función del servicio que prestan y conforme a la probabilidad de fallo que pueden tener. Aspectos a tener en cuenta: 1. así como los locales donde se instalan estas máquinas...Otros criterios de elección son la fiabilidad del material y la rapidez de las restauraciones. tanto cualitativas como cuantitativas.Dada la evolutividad de los objetivos el equipo físico debe ser también evolutivo sin dejar de resultar adecuado y modular. seguridad. Es conveniente disponer de un plan preventivo y curativo para garantizar esa seguridad. a las aplicaciones. También se examinará la seguridad del material suplementario y los formularios que contienen talonarios y letras...Para garantizar la consecución de la finalidad se hace necesario garantizar la seguridad del hardware. Para ello. es decir. Herramientas de auditoría específica: La auditoría del equipo físico debe comprobar si se aplican las reglas anteriores: adaptabilidad. el auditor debe estar provisto de unos conocimientos técnicos sólidos. 4.Una documentación actualizada y disponible debe describir las característica técnicas del equipo físico. 5. fiabilidad. homogeneidad.MEDIOS DISPONIBLES Y ESPECIFICOS DE UNA AUDITORIA MEDIOS TECNICOS: A.

-La fiabilidad del software básico se consigue mediante el registro de las anomalías para su posterior análisis y rectificación por el constructor aunque el software debe emplear “ ayudas” para diagnóstico de fallos.-Los componentes del software básico deben estar adaptados entre sí y con la configuración del equipo físico siempre en función de la finalidad. así como los obstáculos no deben ser tan rígidos. incluso cuando la documentación existe y está bien hecha. 2. puede tener por fin la evaluación de su adaptación y de su evolutivita así como de su homogeneidad con los otros componentes. Tanto las opciones del software como sus modificaciones futuras deben anotarse dentro de un estudio como ya ocurre con el hardware. Los límites de las posibilidades del software deben encontrarse bastante alejados. 5. 4. en primer lugar. 6 .A.-Para la seguridad del software básico se requiere una protección contra los accesos prohibidos. b) El auditor ha de ser realista pues al examinar el software directamente no puede hacer más que comprobar reducidos fragmentos. c) El auditor ha de examinar la consulta de la documentación pues ésto le indica la complejidad del software o bien su falta de actualización.-La evolutividad del software exige una transparencia de su dependencia con respecto a las aplicaciones del equipo físico. Tiene una importancia primordial en la seguridad de las operaciones pero a medida que va creciendo más compleja es su evaluación. El software posee muchas posibilidades pero lo más interesante a nivel práctico es la posibilidad de poder incorporarse en gran parte al equipo físico. Es indispensable que el auditor adquiera los conocimientos para comprender el funcionamiento y poder intentar encontrar las deficiencias o la mala realización como si fuera un sistema de gestión de ficheros ordinarios. Igualmente.-El software básico se adapta a las finalidades siempre y cuando permita una correcta utilización del hardware con el lenguaje y en el modo de explotación elegidos para ejecutar las aplicaciones. Herramienta de auditoría específica: a) La auditoría del software básico.2) Software básico: Constituye una parte creciente del coste de un sistema. la auditoría del software básico puede versar sobre la fiabilidad y/o la seguridad. Aspectos a tener en cuenta: 1. especialmente en el modo interactivo y en un sistema de base de datos. 3.

cada equipo ha de contar con un escaso número de miembros..Las personas tienen su propia finalidad la cuál tratan de satisfacer.Sin información no hay motivación. 5. La separación de funciones. un examen de todas las protecciones materiales y lógicas y un conocimiento de los modos operativos proporcionan en su conjunto la seguridad humana. programas o realizaciones cuestan más o menos. b) Comprobar la adecuación al plan de los medios humanos por medio de los organigramas y fichas de función. tales como: fiabilidad. 3.... sin quedar bloqueado por la reticencia de rutina y por la ostilidad particular.La adecuación de los medios financieros a la finalidad se mide por la proporción entre los gastos exigidos y los resultados (financieros o no) obtenidos. y estar accesible de forma detallada.B) MEDIOS HUMANOS. La elección de los medios financieros ha de considerarse de forma global. Las comprobaciones deben ser tales que se detecte con rapidez el error humano y se rectifique antes de que se produzcan grandes consecuencias. a la vez que la formación del personal es en sí mismo una finalidad.Se requiere buenas relaciones entre los miembros del personal.Es necesario un reparto de las responsabilidades de forma arborescente. lo que cada uno hace debe ser conocido globalmente por todos. sino también abarca otros aspectos. 6. 7 . aún así en una empresa se ha de respetar la realización de los objetivos definidos. 2.. 4. A su vez. velocidad de procesamiento. además del económico. La realización de cursos como la utilización de libros y revistas conllevan una mejor documentación y una mayor formación.. incluso resulta aconsejable una rotación de las responsabilidades. rentabilidad... Aspectos a tener en cuenta: 1. c) Los medios humanos del sistema de informaciones son también piezas externas al servicio informático.Se ha de proceder a una verificación de las informaciones transmitidas y tratadas por cada miembro del personal. Herramientas de auditoría específica: Es conveniente tener el historial general del servicio y de los movimientos del personal. Aspectos a tener en cuenta: 1.La seguridad comienza por la selección del personal y continúa por el control mutuo en la realización de las tareas más importantes. por tanto los fines y métodos adoptados han de ser comprendidos y aceptados. debe ser un trabajo organizado y revisado racionalmente.. etc. d) Se requiere que las acciones den fiabilidad de las realizaciones al igual que las hojas de consola nos indican la fiabilidad de las operaciones de explotación. C) MEDIOS FINANCIEROS.. No sólo consiste en determinar qué equipos físicos.

las políticas de seguridad deben concluir en una posición consciente y vigilante del personal por el uso y limitaciones de los recursos y servicios informáticos. Por tal razón. 2.Para elaborar un sistema equitativo sería preciso que dos servicios semejantes diera lugar a una misma valoración. ya que los costes son importantes. 4. Los costos deben ser registrados de forma fiable. ni una expresión legal que involucre sanciones a conductas de los empleados.Tanto los contratos de adquisición y seguro como los documentos contables comprenden la documentación sobre los medios financieros. así como la forma de financiación. 3.Los métodos de control de gestión y contabilidad presupuestaria clásicos sirven para prever y posteriormente controlar la adecuación a los objetivos. Como una política de seguridad debe orientar las decisiones que se toman en relación con la seguridad.Los métodos clásicos de la contabilidad analítica permiten establecer los estándares de homogeneidad de los medios financieros. la corrección de las previsiones y medios de control. en relación con los recursos y servicios informáticos de la organización. No se puede considerar que una política de seguridad informática es una descripción técnica de mecanismos. POLITICAS DE SEGURIDAD AUDITORIA Definición de Políticas de Seguridad Informática Una política de seguridad informática es una forma de comunicarse con los usuarios. en caso de avería. b) Para la seguridad de los medios financieros el auditor consultará todos los documentos contractuales que vinculan a la empresa. completa y pertinente. 8 . y los cálculos y agrupaciones efectuados deben ser legítimos.. el contrato debe recoger un plan y un informe de gastos que condujo a su elección. ya que las mismas establecen un canal formal de actuación del personal. y el grado de fiabilidad de los componentes. sistemas y personal sobre la cual aplica. 5. La evolutividad implica un presupuesto no sólo flexible sino modulado en el tiempo. un motor de intercambio y desarrollo en el ámbito de sus negocios.La seguridad financiera se obtiene por una rentabilidad duradera de la financiación de hardware y el software.. incluyendo facilidades. Las Políticas de Seguridad Informática deben considerar principalmente los siguientes elementos:  Alcance de las políticas. es más bien una descripción de los que deseamos proteger y él por qué de ello. También es muy útil verificar periódicamente si los costes imputados son todavía competitivos con relación a un servicio exterior.. A la hora de la entrega de los equipos informáticos. pues cada política de seguridad es una invitación a cada uno de sus miembros a reconocer la información como uno de sus principales activos así como. Herramientas de auditoría específica: a) Unos mínimos conocimientos por el auditor a nivel de contabilidad analítica y presupuestaria así como de derecho comercial y seguros. El trabajo del personal debe ser registrado o repartido según conceptos para que las cifras conserven algún sentido.. También puede contratarse un seguro para una garantía eficaz de los equipos. se requiere la disposición de todos los miembros de la empresa para lograr una visión conjunta de lo que se considera importante. con lo que podrá comprobar la existencia y la adecuación de los presupuestos de inversión. La garantía de fiabilidad material reside en una cláusula que fija el plazo de intervención.

Thorin. Editorial RA-MA. S. cuando lo necesite utilizar no lo va encontrar y. *Control de integridad de registros: Hay Aplicaciones que comparten registros..A.. también deben ofrecer explicaciones comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la importancia de los recursos. 1997.A. normas. se complementa con los objetivos de ésta. deberán establecer las expectativas de la organización en relación con la seguridad y especificar la autoridad responsable de aplicar los correctivos o sanciones. Un enfoque práctico. Si una Aplicación no tiene integrado un registro común. Objetivos de la política y descripción clara de los elementos involucrados en su definición.  Requerimientos mínimos para configuración de la seguridad de los sistemas que abarca el alcance de la política.  Definición de violaciones y sanciones por no cumplir con las políticas. Masson. Bibliografía   PIATTINI. reglas. La Auditoría Informática: métodos. Igualmente. son registros comunes. por lo tanto. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo*? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes*? La indefinición de los alcances de la auditoría compromete el éxito de la misma. sino cuales materias fronterizas han sido omitidas. Ed.  Responsabilidades por cada uno de los servicios y recursos informáticos aplicado a todos los niveles de la organización. ALCANCES DE INFORMATICA UNA AUDITORIA El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática. Marc. la aplicación no funcionaría como debería. Áreas que cubre la seguridad Componentes de una política de informática seguridad * Políticas de Seguridad * Seguridad Física * Autentificación * Integridad * Confidencialidad * Control de Acceso * Auditoría * Una política de privacidad * Una política de acceso * Una política de autenticación * Una política de contabilidad * Una política de mantenimiento para la red * Una política de divulgación de información. El alcance ha de figurar expresamente en el Informe Final. Las políticas de seguridad informática. Auditoría Informática. Editorial Ariel S. de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado. Mario y Emilio del Peso. 1989 9 . *Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente.  Responsabilidades de los usuarios con respecto a la información a la que tiene acceso.