AUDITORIA Y SEGURIDAD de los SISTEMAS DE INFORMACIN

Bolilla IV

TEMARIO
INTRODUCCIN * Vulnerabilidad acarreada por los computadores * Impacto de los computadores en auditora * Adecuacin de las normas de auditora a un entorno electrnico * Concepto de auditora en informtica y su planificacin CONTROL INTENO ELECTRNICO * El control interno electrnico * Enfoque metodolgico para el relevamiento y evaluacin de los SCIE * Relevamiento y evaluacin del SCIE EMPLEO DEL COMPUTADOR PARA LAS VERIFICACIONES O PRUEBAS DE PROCEDIMIENTOS * La confiabilidad del software * Los errores del software. Causas * La prueba del software AUDITORA DE LA INFORMACIN PROCESADA POR EL SISTEMA * Obtencin de elementos de prueba vlidos y suficientes * Programas especiales de auditora * Paquetes de auditora

 SEGURIDAD DE LOS SISTEMAS DE COMPUTACIN * El problema general de la seguridad en computacin * Funciones o finalidades de la seguridad * Anlisis de riesgos * Seguridad de riesgos * Seguridad lgica y confidencial * Seguridad en el personal * Seguridad fsica EL DELITO INFORMTICO * Los nuevos activos informticos * Tipificacin del delito informtico * El computador como instrumento del delito * Perfil de un delincuente informtico * Conclusiones LA PERICIA TCNICA DEL AUDITOR. PAPELES DE TRABAJO * La pericia tcnica del auditor * La formacin de un auditor de computacin * Conclusiones finales

ADVENIMIENTO DEL PROCESAMIENTO ELECTRNICO

Manual

Mecnico

Electromecnico

Electrnico

Sistema de Informacin

Sistema de procesamiento de informacin basado en el computador que apoya las funciones de operacin, administracin y toma de decisiones de una organizacin.

IMPACTO DE LOS COMPUTADORES

Cambio en las pistas de Auditora Necesidad de adecuacin de las normas Pericia tcnica del auditor

El delito informtico
La privacidad

ACTIVIDADES OPERACIONALES VS. DAS SIN COMPUTADOR

ESQUEMA GENERAL DE UNA COMPUTADORA ELECTRNICA DIGITAL

AUDITORA EN INFORMTICA

Es la revisin y evaluacin de los controles, sistemas, procedimientos de

Informtica, de los equipos de cmputos, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una adecuada toma de decisiones. Se debern evaluar los sistemas de informacin ene general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin. Su campo de accin ser: * La evaluacin administrativa del departamento de procesos electrnicos. * La evaluacin de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la informacin. * La evaluacin del proceso de datos y de los equipos de cmputo.

* La seguridad.

CONTROL INTERNO
El CONTROL consiste en la creacin de relaciones adecuadas entre las diversas funciones del negocio y los resultados finales de operacin. El CONTROL tiene por objeto evitar que se produzcan desviaciones de los planes elaborados por la empresa, es decir que se impida que los subordinados de la misma, sigan un camino no previsto en los planes de la direccin, es esencial de que obligue a los subalternos a realizar las tareas como fueron diseadas. La forma de lograrlos lo que es mediante el CONTROL ADMINISTRATIVO INTERNO, utilizando como medio para ejercer el control, los informes, manuales de procedimientos u otros instrumentos de control comodatos estadsticos, balances de comprobacin, conciliaciones bancarias, inventarios, etc. No permitir desviaciones del plan de la direccin. Proteger activos de la empresa. Promocionar el buen desempeo de los subordinados. Obtencin de informacin: Veraz Confiable

Oportuna
Eficiencia en la operacin de la empresa

CONTROL INTERNO
ELECTRNICO

Parte de la definicin del Control Interno de la Contabilidad Tradicional, agregando el relevamiento y evaluacin del control interno del computador y del sistema de procesamiento electrnico de la informacin.

INFORMTICA
INFORMAcin

automTICA

Consecuencias de la Informatizacin Empresarial

1. Concentracin de la informacin 2. Falta de registros visibles 3. Posibilidad de alterar los programas y/o la informacin sin dejar huellas o rastros visibles. 4. Factibilidad de hacer desaparecer la informacin con extremada rapidez. 5. Los sistemas En Lnea Tiempo Real presentan a menudo el problema de armonizar la eficiencia operativa con los aspectos de control. 6. Complejidad de la operatoria.

7. Dificultades de la seguridad fsica de los archivos, especialmente los archivos maestros (o la Base de Datos) 8. Concentracin de funciones. 9. Falta de un enfoque u ptica orientados especialmente hacia el control en la etapa de diseo del sistema.

10. Necesidad de emplear personal altamente calificado por su formacin y conocimientos tcnicos

Bit de Paridad
Representacin de la informacin Sistema Decimal 0-1-2-3-4-5-6-7-8-9 Sistema Binario 0-1 (Seal No Seal) Equivalencias entre Sistemas 0000 = 0 0001 = 1 0010 = 2 0011 = 3 0100 = 4 As se transmitira: DIGITO DE CONTROL + INF. EN BINARIO 1 1 0111 0101

Si en la recepcin se detectara
El sistema debera solicitar retransmisin ya que no corresponde el dgito de control. Este es un mtodo bsico que no detecta la transposicin de valores del tipo: 1 0 con los mismos valores de transmisin. 1011 0101

0101 = 5
0110 = 6 0111 = 7 1000 = 8 1001 = 9

Si se transmite informacin, por ejemplo el nmero 7, el binario correspondiente sera 0111. A esta expresin se le agrega un 0 si tiene par cantidad de 1, 1 si tiene impar cantidad de 1.

Existen mtodos para controlar la transposicin en el bit de paridad

Dgito de Control

Suma Simple y 2-1-2

212 a) Comenzar con el nmero de cuenta: 851562 b) Multiplicar cada dgito alternadamente por 1 o por 2, comenzando con 2 como multiplicador del dgito de las unidades 8 5 1 5 6 2 x 1 2 1 2 1 2 8 10 1 10 6 4

Suma Simple a)Comenzar con el nmero de cuenta: 851562 b)Sumar los dgitos: 8+5+1+5+6+2 = 27 c)Sustraer el resultado de la suma anterior del prximo nmero superior mltiplo de 10. 30 - 27 = 3

d)La diferencia precedente es el dgito de control, 3 que se aade como sufijo al nmero base.
El ejemplo anterior permite establecer rpidamente que esta frmula no detectara una forma comn de error como es la transposicin (Ej. 815562)

c) Sumar los resultados de las multiplicaciones:

8 + 10 + 1 + 10 + 6 + 4 = 39 d) Sustraer el resultado anterior del prximo nmero superior mltiplo de 10 40 39 = 1 e) Emplear dicha diferencia como dgito de control Este mtodo si controla la transposicin de valores. As como el segundo mtodo controla ms la posibilidad de detectar un error, existen otros con mayo grado de seguridad.

Ciclo de vida del Desarrollo de los Sistemas

Esquema General para la Solucin Algortmica de un Problema

PRINCIPIOS FUNDAMENTALES DE LA AUDITORA DE UNA COMPUTADORA

Automatismo Determinismo

Enfoque Metodolgico para el Relevamiento y Evaluacin

Pautas Bsicas - Controles internos del equipo - Controles de procedimientos - Controles programados Entrevistas - Entrevistas iniciales Gerencia de Sistemas - Planeacin de temas a tratar - Tipo: escrita / oral - Duracin CONTROL INTERNO ELECTRNICO - Control interno del equipo (bit par) - Controles de firmware - Procedimientos de revisin - Controles de procedimientos - Organigramas - Anlisis y Programacin - Analista de Software - Biblioteca de archivos magnticos - Operacin - Control - Controles Programados - Validacin de informacin de entrada, fechas, cdigos existentes, frmulas de dgitos de control 1-2-1, 1-3-1, etc. - Procesamiento

Macromodelo del Desarrollo del Software

Organigrama ideal de una Gerencia de Sistemas

SOFTWARE

Confiabilidad y Error
Confiabilidad del Software: es la probabilidad que el mismo se comportar dentro de un lapso determinado sin fallas, ponderada por el costo que representar para el usuario cada falla producida.

Error del Software: un error de software se presenta cuando el mismo no realiza algo que coincida con las expectativas razonables del usuario. Una falla de software es una consecuencia de un error del software.

Confiabilidad del Software DISEO

A) ACCIONES PREVENTIVAS
1 Minimizacin de la complejidad. 2 Mayor precisin.

3 Mejorar la transmisin de informacin.

4 Deteccin y correccin de errores en cada etapa del diseo. B) DETECCIN DE ERRORES C) CORRECCIN DE ERRORES D) TOLERANCIA DE ERRORES

El Problema del Tringulo

Al programa ingresan tres nmeros enteros que representan las dimensiones de los lados de un tringulo. El programa examina la informacin de entrada e imprime un mensaje indicando si se trata de un tringulo escaleno, issceles o equiltero.
Consigna: -Desarrollar los datos de prueba a efectos de probar adecuadamente el programa. -Segn su criterio, el programa, est libre de errores?

El Programa del Tringulo

Los Problemas del Software

La Prueba del Software

Definicin 1: La prueba consiste en el proceso de confirmar que un programa es correcto. Consiste en la demostracin que no existen errores.

Definicin 2: Prueba es el proceso de ejecucin de un programa con la intencin de hallar errores.

Datos de Prueba
Definicin: El conjunto de datos de prueba consiste en un lote de transacciones preparadas por el autidor, procesadas mediante el empleo de los programas de aplicaciones de la entidad, con la finalidad de verificar el funcionamiento efectivo de los controles programados previstos.
Planificacin de la Prueba Establecer los pasos a seguir. Orientar y supervisar a los colaboradores encargados de la ejecucin del plan.

A) Observacin B) Reejecucin del procesamiento

* Manual
* Lotes de prueba * Instalaciones de prueba integrada o Minicompaa * Tcnicas de pistas de transacciones * Simulacin en paralelo * Comparacin de programas

Datos de Prueba
A) Diagrama B) Tablas de Decisin Ejemplo: Reserva de un pasaje de avin El viajero se presenta en el mostrador de Aerolneas Argentinas y solicita un pasaje para viajar a la ciudad de Nueva York. Si requiere un pasaje de primera clase y hay plazas disponibles para el vuelo deseado se le vende el pasaje de primera clase. En el caso de no resultar posible lo anterior por hallarse reservados todos los pasajes de primera clase, se le interroga si aceptara un pasaje en clase turstica, caso de disponerse de tal plaza; obviamente, de contestar afirmativamente, se le vende el pasaje de clase turstica. Puede ocurrir que no acepte cambiar de clase, o que todos los asientes de clase turstica estn reservados, en cuyo caso se lo registra en lista de espera de primera clase.
TCNICAS

Si el viajero requiere un pasaje de clase turstica y hay plaza disponible se le vende un pasaje de esa clase; caso contrario se le interroga si est dispuesto a adquirir un pasaje de primera clase; de no ser as, se lo ubica en lista de espera de la clase turstica.

Ejemplo de la Tabla de Decisin de la Venta del Pasaje de Avin

Esquema General de la aplicacin del Conjunto de Datos de Prueba

Datos de Prueba
GUA PRCTICA NO EXCLUYENTE

Verificacin de caracteres numricos, alfabticos y especiales

Comprobacin de validez (fechas no vlidas, cdigos inexistentes) Overflow Lmites Verificacin de totales

Incluir condiciones lgicas

Esquema General de la Prueba de un Programa

Informacin de entrada (X, Y)

Programa A Ser Probado

Informacin de salida (Z)

AXIOMAS DE MYERS
Un buen conjunto de datos de prueba es el que posee una gran probabilidad de detectar un error no
descubierto, no aquel que muestra que el programa se comporta correctamente. Uno de los problemas ms difciles con que se tropieza en una prueba es saber cundo detenerse.

Es imposible que usted pruebe su propio programa.

La descripcin de la informacin de salida o de los resultados esperados, es un elemento imprescindible de todo conjunto de datos de prueba. Evite las pruebas no repetibles o reproducibles. Desarrolle datos de prueba que contengan informacin de entrada relativa a condiciones vlidas o invlidas. Examine y revise cuidadosamente los resultados de cada prueba. Con el incremento del nmero de errores encontrados en un programa, aumenta igualmente la probabilidad de la existencia de errores no descubiertos. Asigne la tarea de prueba a los programadores con mayor creatividad. Asegrese que se hallan contemplado en el diseo y estructura del programa, las facilidades para una prueba adecuada. El diseo del sistema debera contemplar y asegurar que cada mdulo sea integrado con el sistema una sola vez.

No altere nunca el programa para que la prueba resulte ms fcil.

La prueba, como cualquier otra actividad, debe comenzar con el establecimiento de los objetivos pertinentes.

AUDITORA DE LA INFORMACIN
PROCESADA POR EL SISTEMA

Empleo del computador para la obtencin de evidencia necesaria - LISTADOS DISPONIBLES - MEDIOS MAGNTICOS

- PANTALLAS DE TRABAJO

PAQUETES DE AUDITORA
Generalized Audit Software (G.A.S.)

Definicin:
Consiste en un programa o una serie de programas de computacin, desarrollados para llevar a cabo ciertas funciones de procesamiento electrnico con finalidades de auditora. Dichas funciones incluyen, normalmente, la lectura de la informacin contenida en medios magnticos, seleccin de datos, realizacin de clculos, e impresin de listados de acuerdo con las especificaciones del auditor.

PAQUETES DE AUDITORA
Limitaciones de un G.A.S.

Permiten una post auditora del sistema.

No compatibilidad de Hardware Software. No determinan la propensin del error de los sistemas.

En el caso de estructuras complejas de datos, la extraccin de la informacin se complica.

Etc.

PAQUETES DE AUDITORA
Funciones Tpicas de un G.A.S.

-Creacin de un Archivo de Trabajo de auditora. -Actualizacin de un Archivo de Trabajo. -Resumen de registro de trabajo. -Clasificacin del Archivo de Trabajo. -Clculo de un Archivo de Trabajo.

-Impresin de un Archivo de Trabajo.

-Grabacin de un Archivo de Trabajo. -Borrado de un Archivo de Trabajo.

1 Confirmacin
Auditora de la informacin procesada por el sistema

2 Comparacin
3 Razonabilidad

Obtencin de elementos de prueba vlidos y suficientes

Un Ejemplo clsico de empleo de la computadora por parte del Auditor para la obtencin de la evidencia comprobatoria vlida y suficiente, mediante el desarrollo de un programa especial

Caractersticas Fundamentales de un programa de Auditora

Sencillez

Diseo de archivos realizado por el Centro de Cmputos

Anlisis del contenido del archivo

No es necesario utilizar el mismo lenguaje que el programa auditado.

SEGURIDAD DE LOS SISTEMAS DE INFORMACIN

Desastres naturales Errores u omisiones humanos Actos intencionales

FINALIDADES DE LA SEGURIDAD

Evitar

Disuadir

Prevenir

Detectar

Recuperar y Corregir

Sistemas de Informacin
Seguridad Fsica
Riesgo de Incendio * Ubicacin fsica * Disposicin fsica * Proteccin contra incendios * Biblioteca Interferencias de Seales de Radar * En el procesamiento electrnico * En los circuitos lgicos

Boletn Oficial N 27.825 (1 Seccin)

PROPIEDAD INTELECTUAL. DECRETO 165/94

Boletn Oficial N 27.825 (1 Seccin)

PROPIEDAD INTELECTUAL. DECRETO 165/94

Delito Informtico
Perfil del Delincuente Informtico
Finalidad: satisfaccin de necesidades urgentes

Sin antecedentes
Ms hombres que mujeres Edad: entre 18 a 30 aos Factores coadyuvantes No son delincuentes comunes Conocimientos especializados Sndrome de Robin Hood Escrupulosos en cuanto a los damnificados Objeto de ataque: La Entidad Desafo a su inteligencia

Propiedad Intelectual Decreto 165/94

SOFTWARE Y BASES DE DATOS

Diseo del Software Global Detallado Programas Cdigos Fuentes

Cdigos Objetos
Documentacin Bases de Datos

Papeles de Trabajo del Auditor

Relevamiento y evaluacin del SCIE
1. Informacin extrada de los manuales del equipo sobre los controles de Hardware y Software de Base 2. Organigrama 3. Descripciones narrativas, diagramas, etc. del flujo de la informacin contable 4. Explicaciones de los diversos controles existentes en el sistema 5. Detalle y diseo de los archivos maestros ms significativos 6. Documentacin y anlisis de las pruebas de procedimientos llevadas a cabo 7. Modelos de formularios e impresos de computadora 8. Resmenes de entrevistas mantenidas con el personal 9. Conclusiones acerca del grado de confiabilidad del SCI

Revisin de los objetivos del sistema propuesto

Determinar el impacto del sistema sobre el rgimen contable Documentacin adecuada del sistema Determinar la filosofa de control del sistema Identificar las pistas de auditora del sistema Determinar la naturaleza de la evidencia que para auditora dejarn las transacciones procesadas

Examinar los procedimientos de programacin y prueba a seguirse

Revisin de los procedimientos y controles propuestos para la etapa de conversin del sistema

Determinar la naturaleza de cualquier programacin especial con finalidades de auditora

PRE AUDITORA DE LOS S.I.

Etapa de Diseo

PAPELES DE TRABAJO DEL AUDITOR

Obtencin de elementos de juicio vlidos y suficientes
Programas especiales de auditora: Documentacin completa del programa Fechas de utilizacin y archivos maestros utilizados Programas utilitarios programas producto: Detalle y descripcin de los programas utilizados Fechas de procesamiento Archivos maestros empleados Paquetes de auditora (G.A.S.) Descripcin general del G.A.S. Fechas de utilizacin Diagrama general de cada aplicacin planeada Hojas de codificacin confeccionadas Pruebas de la aplicacin Archivos maestros empleados Para cada una de las tres variantes anteriores, incluir:

Listados de computadora
Resultados del procesamiento Seguimiento de las excepciones encontradas

Auto-Evaluacin