Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas
-
Upload
rusber-dominguez -
Category
Documents
-
view
154 -
download
4
Transcript of Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas
AUDITORIA INFORMÁTICA Y DE SISTEMAS
1
UNIVERSIDAD PERUANA LOS ANDES
FACULTAD DE INGENIERÍA EDUCACIÓN A DISTANCIA
AUDITORIA DE
INFORMÁTICA Y SISTEMAS INGENIERÍA DE SISTEMAS Y COMPUTACIÓN
Ing. YOVANA BLANCAS ESPINOZA
HUANCAYO - PERÚ
2009
AUDITORIA INFORMÁTICA Y DE SISTEMAS
2
TABLA DE CONVERSIONES
AUDITORIA INFORMÁTICA Y DE SISTEMAS
3
PRESENTACIÓN
Las empresas de hoy están expuestas a diversos riesgos que pueden afectar la
continuidad del negocio; riesgos que pueden generar gastos imprevistos,
pérdidas e incluso fracasos en los negocios. La experiencia ha demostrado que
la mayoría de los problemas se deriva de una inadecuada administración de los
riesgos operativos y tecnológicos en la empresa. Las organizaciones se
enfrentan a mercados globales, la consolidación de su sector y el incremento
de la competencia, así como el uso de nuevas tecnologías. Precisamente la
incursión cada vez mayor de las organizaciones en el uso de la tecnología, que
les provee de ventaja competitiva, también las expone a diversa amenazas que
obligan a una administración del riesgo basado en el fortalecimiento del control
interno en el ámbito tecnológico. Los temas asociados a las tecnologías de
información(TI) deben también ser consideradas ineludiblemente por la función
de auditoria, para descargar adecuadamente sus responsabilidades frente a los
accionistas, si fuera pertinente, a la Alta Dirección de la entidad y a las
entidades reguladoras y de gobierno, de ser el caso.
La Informática hoy, está subsumida en la gestión integral de la empresa y por
eso las normas y estándares propiamente informáticos deben estar, por lo
tanto, sometidos a los generales de la misma. En consecuencia, las
organizaciones informáticas forman parte de lo que se ha denominado el
"management" o gestión de la empresa. Cabe aclarar que la Informática no
gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no
decide por sí misma. Por ende, debido a su importancia en el funcionamiento
de una empresa, existe la Auditoría Informática.
La Auditoría es un examen crítico pero no mecánico, que no implica la
preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y
mejorar la eficacia y eficiencia de una sección o de un organismo.
El presente texto ofrece una visión de conjunto de los procesos y aspectos de
la Tecnología de la Información(TI) que están expuestos a diversos riesgos que
puedan impactar negativamente la continuidad del negocio. En el texto se
brinda los conocimientos necesarios para la ejecución de una auditoria y para
AUDITORIA INFORMÁTICA Y DE SISTEMAS
4
la evaluación de los controles implantados para mitigar los principales riesgos,
exponiéndose técnicas y herramientas de auditoria en las cuales se puede
apoyar el auditor, las que se sustentan en estándares
y practicas para la auditoria de sistemas, aceptadas por los profesionales en
control, auditoria y seguridad de sistemas a nivel mundial.
La autora.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
5
TABLA DE CONTENIDOS (ÍNDICE)
PRESENTACIÓN 03
1 UNIDAD ACADÉMICA Nº 1:
1.1 Conceptos generales 10
1.1.1 Concepto de auditoria 10
1.1.2 Auditoria informática vs auditoria por medio del ordenador 10
1.1.3 Razones para la auditoria y el control de los sistemas 11
1.1.4 control interno informático 15
1.1.5 Definición de auditoria informática 16
1.2 Breve historia de la auditoria informática 16
1.3 Causas de una auditoria informática 18
1.4 Objetivo fundamental de la auditoria informática 19
1.5 Características de la auditoria informática 21
1.6 Auditoría interna y auditoría externa 22
1.7 Herramientas y técnicas para la auditoría informática 24
1.8 Tipos de la auditoria informática 28
1.9 El auditor y el departamento de auditoria informática 31
2 UNIDAD ACADÉMICA Nº 2:
2.1 Metodología 36
2.2. Metodologías de Evaluación de Sistemas 37
2.2.1 Metodologías Cualitativas 38
2.2.2 Metodologías Cuantitativas 38
2.3 Metodología en Auditoria Informática 39
2.3.1 Metodología ROA (RISK ORIENTED APPROACH) 40
2.3.2 Metodología Tradicional en Auditoria Informática 40
3. UNIDAD ACADÉMICA Nº 3:
AUDITORIA INFORMÁTICA Y DE SISTEMAS
6
3.1 Planeación De La Auditoria En Informática 45
3.1.1 Toma De Contacto 46
3.1.2 Validación De La Información 48
3.1.3 Análisis Preliminar 49
3.1.4 Desarrollo 50
3.1.5 Pruebas Sustantivas 52
3.1.6 Presentación De Conclusiones 53
3.1.7 Formación De Plan De Mejoras 53
3.2 El Informe De Auditoria 54
3.2.1 Las Normas 55
3.2.2 Las Evidencias 56
3.2.3 Las Pruebas De Cumplimiento 56
3.2.4 Las Irregularidades 57
3.2.5 La Documentación 58
3.2.6 El Informe 59
3.2.7 Recomendaciones Para Elaborar El Informe Final 60
3.2.8 Conclusiones 61
4. UNIDAD ACADÉMICA Nº 4:
4.1 Fundamentos De La Seguridad Informática 65
4.1.1 ¿Qué Es La Seguridad Informática? 65
4.1.2 Seguridad De La Información 66
4.1.3 Componentes De La Seguridad Informática 66
4.1.4 ¿Que Es C-I-A? 67
4.1.5 El Análisis Y La Gestión De Riesgos 69
4.2 Auditoria De Seguridad Informática 69
4.2.1 Modelos De Seguridad 70
4.2.2 Justificación De La Auditoria 70
4.2.3 Áreas Que Puede Cubrir La Auditoría De La Seguridad 72
4.2.4 Evaluación De Riesgos 73
4.2.5 Fases De La Auditoria De Seguridad 75
4.2.6 Auditoria De La Seguridad Física 75
AUDITORIA INFORMÁTICA Y DE SISTEMAS
7
4.2.7 Auditoría De La Seguridad Lógica 76
4.2.8 Auditoría De La Seguridad Y El Desarrollo De Aplicaciones 77
4.2.9 Auditoría De La Seguridad En El Área De Producción 77
4.2.10 Auditoría De La Seguridad De Los Datos 78
4.2.11 Auditoría De La Seguridad En Las Comunicaciones Y Redes 79
4.2.12 Auditoría De La Continuidad De Las Operaciones 80
4.2.13 Regulación De Auditoría Con Administración De Seguridad 81
4.3 Conclusiones 81
5. UNIDAD ACADÉMICA Nº 5:
5.1 Auditoria de Base de Datos 90
5.1.1 ¿Qué es una Auditoria de Base de Datos? 91
5.1.2 Objetivos de la Auditoria de Base de Datos 92
5.1.3 Niveles de Auditoria de Base de Datos 92
5.1.4 Metodologías para Auditoria de Base de Batos 94
5.1.5 Técnicas para Auditoria de Base de Datos 96
5.1.6 Aspectos a tomar en cuenta en una Auditoria de Base de Datos 98
5.1.7 Practica de Auditoria de Base de Datos 99
5.2 Auditoria de Aplicaciones 103
5.2.1 Problemática de la Auditoria de una Aplicación Informática. 103
5.2.2 Herramientas de uso más común en la Auditoría de una Aplicación 106
5.2.3 Etapas de la auditoría de una Aplicación Informática 109
5.3 Conclusiones 110
6. UNIDAD ACADÉMICA Nº 6:
6.1 Auditoria de Redes 115
6.2 Terminología de Redes 116
6.3 vulnerabilidad en Redes 117
6.4 Protocolos de alto nivel 118
6.5 Redes Abiertas TCP/IP 119
6.5.1 Auditando la Gerencia de Comunicaciones 120
6.5.2 Auditando la Red Física 121
AUDITORIA INFORMÁTICA Y DE SISTEMAS
8
6.5.3 Auditando la Red Lógica 122
6.6 Auditoria a Sistemas en Internet 122
6.2.1 Componentes en Ambientes Internet 123
6.2.2 Riesgos asociados a estos ambientes 123
6.2.3 Vulnerabilidades de Seguridad en Internet más criticas 124
6.7 Evaluación de seguridad 127
7. UNIDAD ACADÉMICA Nº 7:
7.1 Planificación Estratégica 133
7.1.1 Comité De Dirección De Sistemas
7.1.2 Políticas Y Procedimientos 134
7.1.3 Prácticas De Gestión De Sistemas De Información (SI) 134
7.2 Auditoria De La Gestión De Tecnologías de Información 136
7.2.1 Planificar 137
7.2.2 Organizar Y Controlar 139
7.2.3 Control Y Seguimiento 146
8. UNIDAD ACADÉMICA Nº 8:
8.1 Organismos e Instituciones Dedicadas A La Seguridad Y Auditoria
Informática. 151
8.1.1 ISACA (Asociación De Auditoria Y Control De Sistemas De
Información) 151
8.1.2 ISACA en el Perú: APACSI 152
8.2 Deontológica Aplicada A Los Auditores Informáticos 154
8.2.1 Principios Deontológicos Aplicables A Los Auditores Informáticos Y
Códigos Éticos 154
8.2.2 Códigos De Conducta De Algunas Asociaciones 157
8.2.3 Código De Ética De ISACA Perú 159
8.3 Seguridad De La Información En Latinoamérica: Tendencias 2009 160
8.4 Convergencia De La Seguridad 162
8.4.1 Definición De Convergencia 164
8.4.2 Convergencia En La Seguridad Informática 165
AUDITORIA INFORMÁTICA Y DE SISTEMAS
9
UNIDAD ACADÉMICA I
FUNDAMENTOS DE AUDITORIA INFORMÁTICA Y DE SISTEMAS
En este primer fascículo, se exponen diversos conceptos fundamentales de la
auditoria informática. En primer lugar se describe la utilización de la informática
como herramienta en las auditorias de hoy en día, mientras que en segundo
lugar analizaremos la relación de la auditoria informá tica con el control interno
informático, y finalmente se plantea los conceptos básicos de la auditoria
informática propiamente dicha.
Al finalizar el estudio del presente fascículo el estudiante:
Identifica los tipos de auditoria informática y los conceptos relacionados con
este entorno.
Diferencia las bases de la evolución de la auditoria informática.
Identifica el concepto y los objetivos de una auditoria informática.
Reconoce y diferencia las principales funciones que tienen la auditoria
informática y el control interno.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
10
1.1CONCEPTOS GENERALES
1.1.1 CONCEPTO DE AUDITORIA
Actividad para determinar, por
medio de la investigación, la
adecuación de los
procedimientos establecidos,
instrucciones, especificaciones,
codificaciones y estándares u
otros requisitos, la adhesión a los
mismos y la eficiencia de su
implantación.
El concepto de auditoría es
mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar
la eficacia y eficiencia de una sección, un organismo, una entidad, etc.
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra
auditor, que se refiere a todo aquel que tiene la virtud de oír.
Según ISO 9000: 2005
“Proceso sistemático independiente y documentado para obtener evidencias de
la auditoria y evaluarlas de manera objetivo con el fin de determinar la
extensión en que se cumplen los criterios de auditoria.”
1.1.2 AUDITORIA INFORMÁTICA vs AUDITORIA POR MEDIO DEL
ORDENADOR
Es frecuente encontrar una confusión entre dos funciones bien distintas; a
veces se denomina auditoria informática a la auditoria financiera o contable
realizada por auditores que uti lizan las facilidades de elevada capacidad de
selección, acceso, clasificación y cálculo de los ordenadores. Dichos auditores
AUDITORIA INFORMÁTICA Y DE SISTEMAS
11
utilizan el ordenador como una herramienta de trabajo, igual que uti lizan una
calculadora de mesa o un bolígrafo. El uso del ordenador, con sus
peculiaridades, les obliga a tener una serie de conocimientos sobre el mismo, o
a utilizar el apoyo de un técnico informático. El objetivo de la auditoria que
realizan estas personas no es el computador, el centro en que está ubicado, la
existencia y cumplimiento de normas de seguridad, etc. sino el de la auditoria
financiera o contable. En adelante, se dirá que este personal hace auditoria por
medio del computador o por medio de la informática, y se reservará el término
auditoria informática para referirse a aquella auditoria cuyo objetivo a examinar
sean productos informáticos, procesos informáticos, un departamento de
informática como unidad organizativa, o en su ámbito más amplio, la función
informática dentro de una organización, estudiando y evaluando no solo los
procesos informáticos en si, sino también los procesos administrativos y la
organización que interactúa con aquellos.
1.1.4 RAZONES PARA LA AUDITORIA Y EL CONTROL DE LOS
SISTEMAS
Debido a la cada vez mayor dependencia de las organizaciones de su sistema
informático, dado que los ordenadores juegan un papel decisivo en el
procesamiento de los datos y en la toma de decisiones, es importante que su
utilización sea controlada. Hay 7 razones principales, que se muestran en la
figura 1.1, para establecer una función que examine los controles establecidos
sobre el procesamiento de datos por ordenador. Los siguientes apartados
examinan estas razones.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
12
Figura 1.1 Factores que llevan a una organización hacia el control y la
auditoria.
Costes organizacionales por pérdida de los datos
Los datos de una organización son un recurso crítico necesario para que esta
continúe operando. Los datos suministran a las organizaciones una imagen de
sí mismas, su entorno, su historia y su futuro. Si esta imagen es precisa, se
incrementa la habilidad de una organización para adaptarse y sobrevivir en un
entorno cada vez más cambiante.
Consideremos el caso de una organización que pierda su fichero de cuentas a
pagar. No podría pagar sus deudas a tiempo y sufriría tanto una pérdida de su
nivel de crédito nivel de crédito como cualquier descuento que pudiese tener
por pronto pago. Si pidiese ayuda a sus acreedores, tendría que confiar en la
honestidad de sus acreedores para saber la cantidad adeudada. Además, los
acreedores pondrían en cuestión la competencia de dicha organización y
podrían eliminar el nivel del crédito en el futuro.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
13
Tales pérdidas pueden provenir de controles débiles en los sistemas
informáticos. La dirección puede no haber previsto respaldos adecuados de los
ficheros, por lo que la pérdida de un fichero debida a un error en un programa,
a un sabotaje, o a un desastre natural significaría que el fichero no se podría
recuperar y las operaciones de la organización quedarían deterioradas.
Toma de decisiones incorrectas
La importancia de la exactitud de los datos depende del tipo de decisiones que
se tomen en una organización. Por ejemplo, los datos uti lizados en la toma de
decisiones de nivel estratégico probablemente tolerarán cierto margen de error
debido a la naturaleza de las decisiones estratégicas –su perspectiva a largo
plazo y su nivel de incertidumbre -. Sin embargo, las decisiones del nivel del
control y de las operaciones normalmente requieren datos exactos. Los datos
inexactos pueden acarrear costosas investigaciones o procesos fuera de
control sin detectar.
Incluso personas de fuera de la organización, accionistas, gobierno , sindicatos,
grupos de presión como los medioambientales, pueden necesitar datos exactos
para tomar decisiones sobre la organización.
Fraude informático
Una definición de fraude informático puede ser cualquier incidente asociado
con la tecnología informática en el que una víctima sufre o puede sufrir
pérdidas y un causante intencionadamente gana o puede ganar.
El control del fraude informático es a menudo difícil debido a temas legales.
Puede ser muy difícil encausar a alguien que realiza una utilización de un
sistema informático de forma no autorizada, debido a que la ley no considera
que un ordenador sea una persona – física o jurídica- y solo las personas
pueden ser defraudadas.
Valor del hardware, software y del personal
Además de los datos, el hardware, software y el personal son recursos críticos
en una organización. Incluso con aseguramiento adecuado, la perdida
AUDITORIA INFORMÁTICA Y DE SISTEMAS
14
intencionada o no del hardware puede causar interrupciones considerables. Si
el software se corrompe o destruye, puede que la organización no pueda
continuar las operaciones si no lo recupera prontamente. Finalmente, el
personal siempre es un recurso muy valioso, particularmente en el entorno
informático debido al alto nivel de cualificación requerido.
Altos costes de los errores informáticos
Los sistemas informáticos realizan muchas funciones críticas. Controlan robots,
monitorizan las condiciones de un paciente durante una operación, calculan y
pagan intereses en cuentas de inversión, dirigen el rumbo de un barco.
Consecuentemente, el coste de un error informático puede ser muy alto.
Privacidad
Hoy en día se recogen muchos datos acerca de nosotros como individuos,
impuestos, créditos, datos de salud, de educación, empleo, residencia, etc.
Aunque antes también se recogían este tipo de datos, la posibilidad del
procesamiento automático de estos datos hace que la gente se pregunte si se
está erosionando la privacidad de los datos personales y de las organizaciones.
Muchas naciones consideran que la privacidad es un derecho humano y que la
responsabilidad del personal informático es que el uso de la informática no
pase al nivel en que los diferentes datos personales puedan ser recogidos,
integrados, procesados y recuperados rápidamente. Otra responsabilidad es
que los datos solo sean utilizados para el único propósito para el que hayan
sido recogidos.
La evolución controlada del uso de las tecnologías de la información
La tecnología es neutral, ni buena ni mala. Es su uso el que puede producir
problemas sociales. Aún se tienen que tomar grandes decisiones en como se
deben utilizar los ordenadores en nuestra sociedad, por ejemplo, ¿hasta qué
nivel se puede permitir a la informática desplazar el trabajo de las personas?
AUDITORIA INFORMÁTICA Y DE SISTEMAS
15
Concierne a los gobiernos, asociaciones profesionales y grupos de presión la
evaluación del uso de la tecnología, pero también se entiende que las
organizaciones deben tener una conciencia social del uso de la informática.
1.1.4CONTROL INTERNO INFORMATICO
Controla diariamente que todas las actividades de sistemas de información
sean llevadas a cabo, cumpliendo los procedimientos, estándares y normas
fijadas por la dirección de la organización y/o la dirección de informática, así
como los requerimientos legales. Suele ser un órgano staff de la dirección del
departamento de informática y esta dotado de las personas y medios
materiales proporcionados a los cometidos que se le encomienden.
OBJETIVOS:
• controlar que todas las actividades se realizan cumpliendo los
procedimientos y normas fi jados, evaluar su bondad y asegurarse del
cumplimiento de las normas legales,
• asesorar sobre el conocimiento de las normas,
• .colaborar y apoyar el trabajo de auditoria informática, así como las
auditorias externas al grupo,
• definir, implantar y ejecutar mecanismos y controles para comprobar el
logro de los grados adecuados del servicio informático
AUDITORIA INFORMÁTICA Y DE SISTEMAS
16
Cuadro 1.1 Diferencias y similitudes entre el Control Interno y Auditoria
Informático
1.1.5DEFINICIÓN DE AUDITORIA INFORMATICA
No existe una definición oficial de Auditoria Informática.
Como se menciono anteriormente, es la auditoria aplicada
al campo informático y auditoria es”el examen
metodológico de una situación relativa a un producto,
proceso u organización, realizado en cooperación con los
interés”.
1.2BREVE HISTORIA DE LA AUDITORIA INFORMATICA
La Auditoria Informática ha surgido cuando las empresas e
instituciones han tomado conciencia de que la información que
adquieren, conservan, procesan y emiten, es vital para su propia
supervivencia diaria y proyección de progreso. Por tanto, han
elevado a la categoría de sistemas críticos prácticamente todos los
sistemas internos que manejan información, agregándolos en uno
solo denominado sistema de información. En consecuencia, por su
AUDITORIA INFORMÁTICA Y DE SISTEMAS
17
naturaleza crítica, el enfoque de auditoria debe adoptar una
perspectiva que se adecue absolutamente a estos sistemas, sea
mediante la transformación de métodos, técnicas y procedimientos
de la auditoria tradicional, o sea mediante la creación de unos
nuevos.
Pero al principio esto no era así. La introducción de las máquinas de
proceso de datos en las empresas se produjo en los años 50,
principalmente dedicadas a sustituir a los empleados en las tareas
repetitivas en el cálculo de nóminas y facturas de clientes. Dada su
utilización como súper calculadoras, con un volumen considerable
de datos de entrada, y un volumen similar de datos de salida en
función de los anteriores, el auditor se limitaba a verificar la
corrección de los datos de salida frente a los datos de entrada,
ignorando la lógica y funcionamiento interno de las máquinas de
proceso de datos. Este tipo de auditoria se suele denominar auditoria
alrededor del ordenador. Prácticamente era una auditoria
convencional con un elemento exótico que producía información de
distinta manera que los empleados de la empresa. Esta situación se
prolongó hasta mediados de la década de los 60, cuando las
organizaciones de auditoría propugnaron un cambio en el enfoque,
en base a los resultados de baja calidad obtenidos en las auditorías
de áreas que comportaban proceso de datos a través de
ordenadores. Este cambio consistía fundamentalmente en la
adaptación de los criterios para la evaluación del control interno, en
los sistemas organizativos, financieros y contables, al centro de
proceso de datos y, concretamente, a la sala del ordenador. Esta
etapa se suele denominar auditoría del ordenador. Con la
introducción de nuevas tecnologías, como las comunicaciones entre
ordenadores en tiempo real, pronto se detectaron las limitaciones del
enfoque, ya que se producían pérdidas progresivas de las pistas de
auditoría y el auditor era incapaz de controlar determinadas
actividades.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
18
Así, a finales de los años 70, se llega a una tercera etapa: la
auditoría a través del ordenador. En este enfoque se estudia también
el tratamiento lógico de la información a través de los programas y
las aplicaciones que los integran.
Posteriormente, a principios de los años 80, se empieza a aplicar
técnicas de tratamiento de la información por medio de ordenadores,
como apoyo a la labor de los auditores. El auditor informático
empieza a ser también experto en el uso de lenguajes informáticos
que le sirven para escribir, compilar y ejecutar programas para la
consecución de pruebas y obtención de evidencia. Surge de este
modo la denominada auditoría con el ordenador. En la misma década
se empieza a aplicar los principios básicos de la auditoría operativa a
la auditoria informática, dando lugar a la auditoría operativa de
proceso de datos, que se centra principalmente en la eficacia y
eficiencia del tratamiento automático de los datos.
1.3CAUSAS DE UNA AUDITORIA INFORMÁTICA
La auditoria informática no suele realizarse de forma periódica en las
organizaciones, sino que surge como consecuencias de problemas reales o
potenciales, excepto cuando alguna normativa legal obliga, periódicamente o
no, a su realización.
Agrupando por áreas esos problemas, las causas que pueden originar la
realización de una auditoria informática estarían entre las siguientes:
• Desorganización/ Descoordinación.
- No coincidencia de objetivos del sistema de información con los
objetivos de la organización.
- Los circuitos de información no son los adecuados.
- Duplicidad de informaciones
- No disponibilidad de la información o del resto de recursos de TI.
• Insatisfacción de usuarios
- No resolución de incidencias y averías.
- No atención de peticiones de cambios
AUDITORIA INFORMÁTICA Y DE SISTEMAS
19
- Inadecuado soporte informático
- No cumplimiento de plazos de entrega en resultados periódicos.
• Debilidades económicas financieras.
- Incremento inadecuado de las inversiones
- Incremento constante de los costos
- Desviaciones presupuestarias significativas
- Incremento de recursos en el desarrollo de proyectos
• Inseguridad de los seguridad informáticas
- Escasa confidencialidad de la información
- Falta de protección física y lógica
- Inexistencia de planteamientos en cuanto a la continuidad del
servicio
• Cumplimiento de la legalidad.
- Protección de datos de carácter personal
- Cumplimiento en TI por la ley Sarbanes-Oxley.
1.4OBJETIVO FUNDAMENTAL DE LA AUDITORIA INFORMÁTICA
Se invierte una considerable cantidad de recursos en personal, equipos y
tecnología, además de los recursos derivados de la posible organización
estructural que muchas veces conlleva la introducción de estas tecnologías.
Esta importante inversión debe ser constantemente justificada en términos de
eficacia y eficiencia. Por tanto, el propósito a alcanzar por una organización al
realizar una auditoria de sistemas de cualquier parte de su sistema de
información es asegurar que sus objetivos estratégicos son los mismos que los
de la propia organización y que los sistemas prestan el apoyo adecuado a la
consecuencia de estos objetivos, tanteen el presente como en su evolución
futura.
Se considera como objetivos fundamentales de la auditoria informática:
el mantenimiento de la operatividad
AUDITORIA INFORMÁTICA Y DE SISTEMAS
20
la mejora de la eficacia, la seguridad y la rentabilidad del sistema
de información sobre el que actúa
La operatividad reside en el funcionamiento, aunque se abajo mínimos, del
sistema de información (su organización y sus recursos).
La eficacia se basara la aportación por parte del sistema de información de una
información valida, exacta completa, actualizada y oportuna que ayude a la
toma de decisiones.
La seguridad esta constituida por la confidencialidad, integridad y disponibilidad
del sistema de información.
La rentabilidad implicara la utilización óptima de los recursos del sistema de
información, con el control de la calidad, los plazos y los costos.
1.5ALCANCE DE LA AUDITORIA INFORMÁTICA:
El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoria informática, se complementa con los objetivos de
ésta. Ejemplo: ¿Se someterán los registros grabados a un control de integridad
exhaustivo*? ¿Se comprobará que los controles de validación de errores son
adecuados y suficientes*?. La indefinición de los alcances de la auditoría
compromete el éxito de la misma.
El alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la Auditoria informática, se complementa con los objetivos de
ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que
quede perfectamente determinado no solamente hasta que puntos se ha
llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se
someterán los registros grabados a un control de integridad exhaustivo? ¿Se
comprobará que los controles de validación de errores son adecuados y
suficientes? La indefinición de los alcances de la Auditoria compromete el éxito
de la misma.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
21
1.6CARACTERÍSTICAS DE LA AUDITORIA INFORMÁTICA
La información de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, como sus Stocks o materias primas
si las hay. Por ende, han de realizarse inversiones informáticas, materia de la
que se ocupa la Auditoria de Inversión informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de modo global
y particular: a ello se debe la existencia de la Auditoria de Seguridad
Informática en general, o a la Auditoria de Seguridad de alguna de sus áreas,
como pudieran ser Desarrollo o Técnicas de Sistemas.
Cuando se producen cambios estructurales en la Informática, se reorganiza de
alguna forma su función: se está en el campo de la Auditoria de Organización
Informática.
Estos tres tipos de auditorias engloban a las actividades auditoras que se
realizan en una Auditoria parcial. De otra manera: cuando se realiza una
auditoria del área de Desarrollo de Proyectos de la Informática de una
empresa, es porque en ese Desarrollo existen, además de ineficiencias,
debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla
de ellas.
Dentro de las áreas generales, se establecen las siguientes divisiones de
Auditoría Informática.
Cada Área Especifica puede ser auditada desde los siguientes criterios
generales:
Desde su propio funcionamiento interno.
Desde el apoyo que recibe de la Dirección y, en sentido
ascendente, del grado de cumplimiento de las directrices de ésta.
Desde la perspectiva de los usuarios, destinatarios reales de la
informática.
Desde el punto de vista de la seguridad que ofrece la Informática
en general o la rama auditada.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
22
1.7AUDITORÍA INTERNA Y AUDITORÍA EXTERNA:
La auditoría interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. La Auditoría informática interna cuenta con
algunas ventajas adicionales muy importantes respecto de la Auditoría externa,
las cuales no son tan perceptibles como en las auditorias convencionales. La
Auditoría interna tiene la ventaja de que puede actuar periódicamente
realizando Revisiones globales, como parte de su Plan Anual y de su actividad
normal.
La auditoría externa es realizada por personas afines a la empresa auditada; es
siempre remunerada. Se presupone una mayor objetividad que en la Auditoría
Interna, debido al mayor distanciamiento entre auditores y auditados. La
Auditoría externa es realizada por personas afines a la empresa auditada; es
siempre remunerada. Se presupone una mayor objetividad que en la Auditoría
Interna, debido al mayor distanciamiento entre auditores y auditados.
Objetivos auditoría Interna
Revisión y evaluación de controles contables, financieros y operativos
Determinación de la utilidad de políticas, planes y procedimientos, así
como su nivel de cumplimiento
Custodia y contabilización de activos
Examen de la fiabilidad de los datos
Divulgación de políticas y procedimientos establecidos.
Información exacta a la gerencia
Objetivos auditoría Externa
Obtención de elementos de juicio fundamentados en la naturaleza de los
hechos examinados
Medición de la magnitud de un error ya conocido, detección de errores
supuestos o confirmación de la ausencia de errores
Propuesta de sugerencias, en tono constructivo, para ayudar a la
gerencia
Detección de los hechos importantes ocurridos tras el cierre del ejercicio
AUDITORIA INFORMÁTICA Y DE SISTEMAS
23
Control de las actividades de investigación y desarrollo
En cuanto a empresas se refiere, solamente las más grandes pueden poseer
una Auditoría propia y permanente, mientras que el resto acuden a las
auditorias externas. Puede ser que algún profesional informático sea trasladado
desde su puesto de trabajo a la Auditoria Interna de la empresa cuando ésta
existe. Finalmente, la propia Informática requiere de su propio grupo de Control
Interno, con implantación física en su estructura, puesto que si se ubicase
dentro de la estructura Informática ya no sería independiente. Hoy, ya existen
varias organizaciones Informáticas dentro de la misma empresa, y con diverso
grado de autonomía, que son coordinadas por órganos corporativos de
Sistemas de Información de las Empresas.
Una Empresa o Institución que posee Auditoria interna puede y debe en
ocasiones contratar servicios de Auditoria externa. Las razones para hacerlo
suelen ser:
Necesidad de auditar una materia de gran especialización, para la cual
los servicios propios no están suficientemente capacitados.
Contrastar algún Informe interno con el que resulte del externo, en
aquellos supuestos de emisión interna de graves recomendaciones que
chocan con la opinión generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditorías informáticas
externas decretadas por la misma empresa.
Aunque la Auditoria interna sea independiente del Departamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario
que se le realicen auditorias externas como para tener una visión desde
afuera de la empresa.
La Auditoria informática, tanto externa como interna, debe ser una actividad
exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y
política general de la empresa. La función auditora puede actuar de oficio, por
iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la
dirección o cliente.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
24
1.8HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA INFORMÁTICA
ENTREVISTAS:
El auditor comienza a continuación las relaciones personales con el auditado.
Lo hace de tres formas:
1. Mediante la petición de documentación concreta sobre alguna materia
de su responsabilidad
2. Mediante “entrevistas” en las que no se sigue un plan predeterminado ni
un método estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método
preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor;
en ellas, éste recoge más información, y mejor matizada, que la proporcionada
por medios propios puramente técnicos o por las respuestas escritas a
cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y
auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que
hace un auditor, interroga y se interroga a sí mismo. El auditor informático
experto entrevista al auditado siguiendo un cuidadoso sistema previamente
establecido, consistente en que bajo la forma de una conversación correcta y lo
menos tensa posible, el auditado conteste sencillamente y con pulcritud a una
serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es
solo aparente. Tras ella debe existir una preparación muy elaborada y
sistematizada, y que es diferente para cada caso particular
CUESTIONARIOS:
El auditor en las entrevistas con los auditados utilizara como herramienta los
cuestionarios para la obtención de información. Los cuestionarios o checklist
son conjuntos de preguntas personalizadas o reelaboradas en función de los
escenarios auditados.
Los cuestionarios utilizados en la auditoria informática deben ser contestados
oralmente por el auditado, planteados de forma flexible por el auditor y con los
AUDITORIA INFORMÁTICA Y DE SISTEMAS
25
posibles respuestas muy estudiadas, una vez pasada la entrevistas , con las
respuestas obtenidas del auditado.
En función del tipo de calificación o evaluación los cuestionarios pueden ser:
De rango: las respuestas a las preguntas están en un rango
preestablecido. Por ejemplo de 1 a 5. Al final se puede obtener un
resultado global calculando la media aritmética, este tipo es
adecuado cuando el equipo auditor no es grande y mantiene
criterios homogéneos en las valoraciones.
Binario: contiene respuestas únicas y excluyentes, por ej. Con si o
no. Su elaboración inicial es mas compleja que los anteriores, ya
que exigen precisión, aunque menor uniformidad en el equipo
auditor.
CHECKLIST:
El auditor conversará y hará preguntas "normales", que en realidad servirán
para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que
leerle una pila de preguntas recitadas de memoria o leídas en voz alta
descalifica al auditor informático. Pero esto no es usar Checklists, es una
evidente falta de profesionalismo. El profesionalismo pasa por un
procesamiento interno de información a fin de obtener respuestas coherentes
que permitan una correcta descripción de puntos débiles y fuertes. El
profesionalismo pasa por poseer preguntas muy estudiadas que han de
formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo
excepciones, las Checklists deben ser contestadas oralmente, ya que superan
en riqueza y generalización a cualquier otra forma.
No existen Checklists estándar para todas y cada una de las instalaciones
informáticas a auditar. Cada una de ellas posee peculiaridades que hacen
necesarios los retoques de adaptación correspondientes en las preguntas a
realizar.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
26
TRAZAS Y/O HUELLAS:
Con frecuencia, el auditor informático debe verificar que los programas, tanto
de los Sistemas como de usuario, realizan exactamente las funciones
previstas, y no otras. Para ello se apoya en productos Software muy potentes y
modulares que, entre otras funciones, rastrean los caminos que siguen los
datos a través del programa.
Muy especialmente, estas "Trazas" se uti lizan para comprobar la ejecución de
las validaciones de datos previstas. Las mencionadas trazas no deben
modificar en absoluto el Sistema. Si la herramienta auditora produce
incrementos apreciables de carga, se convendrá de antemano las fechas y
horas más adecuadas para su empleo.
Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean
productos que comprueban los Valores asignados por Técnica de Sistemas a
cada uno de los parámetros variables de las Librerías más importantes del
mismo. Estos parámetros variables deben estar dentro de un intervalo marcado
por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el
número de iniciadores de trabajos de determinados entornos o toman criterios
especialmente restrictivos o permisivos en la asignación de unidades de
servicio según cuales tipos carga. Estas actuaciones, en principio útiles,
pueden resultar contraproducentes si se traspasan los límites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la
descripción de la auditoría informática de Sistemas: el auditor informático
emplea preferentemente la amplia información que proporciona el propio
Sistema: Así, los ficheros de <Accounting> o de <contabilidad>, en donde se
encuentra la producción completa de aquél, y los <Log> de dicho Sistema, en
donde se Del mismo modo, el Sistema genera automáticamente exacta
información sobre el tratamiento de errores de maquina central, recogen las
modificaciones de datos y se pormenoriza la actividad general.
Del mismo modo, el Sistema genera automáticamente exacta información
sobre el tratamiento de errores de maquina central, periféricos, etc.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
27
[La auditoría financiero-contable convencional emplea trazas con mucha
frecuencia. Son programas encaminados a verificar lo correcto de los cálculos
de nóminas, primas, etc.].
LOG:
El log vendría a ser un historial que informa que fue cambiando y cómo fue
cambiando (información). Las bases de datos, por ejemplo, utilizan el log para
asegurar lo que se llaman las transacciones. Las transacciones son unidades
atómicas de cambios dentro de una base de datos; toda esa serie de cambios
se encuadra dentro de una transacción, y todo lo que va haciendo la Aplicación
(grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log.
La transacción tiene un principio y un fin, cuando la transacción llega a su fin,
se vuelca todo a la base de datos. Si en el medio de la transacción se cortó por
X razón, lo que se hace es volver para atrás. El log te permite analizar
cronológicamente que es lo que sucedió con la información que está en el
Sistema o que existe dentro de la base de datos.
SOFTWARE DE INTERROGACIÓN:
Hasta hace ya algunos años se han utilizado productos software llamados
genéricamente <paquetes de auditoría>, capaces de generar programas para
auditores escasamente cualificados desde el punto de vista informático.
Más tarde, dichos productos evolucionaron hacia la obtención de muestreos
estadísticos que permitieran la obtención de consecuencias e hipótesis de la
situación real de una instalación.
En la actualidad, los productos Software especiales para la auditoría
informática se orientan principalmente hacia lenguajes que permiten la
interrogación de ficheros y bases de datos de la empresa auditada. Estos
productos son utilizados solamente por los auditores externos, por cuanto los
internos disponen del software nativo propio de la instalación.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
28
Del mismo modo, la proliferación de las redes locales y de la filosofía "Cliente-
servidor” , han llevado a las firmas de software a desarrollar interfaces de
transporte de datos entre computadoras personales y mainframe, de modo que
el auditor informático copia en su propia PC la información más relevante para
su trabajo.
Cabe recordar, que en la actualidad casi todos los usuarios finales poseen
datos e información parcial generada por la organización informática de la
Compañía.
Efectivamente, conectados como terminales al "Host", almacenan los datos
proporcionados por este, que son tratados posteriormente en modo PC . El
auditor se ve obligado (naturalmente, dependiendo del alcance de la auditoría)
a recabar información de los mencionados usuarios finales, lo cual puede
realizar con suma facilidad con los polivalentes productos descritos. Con todo,
las opiniones más autorizadas indican que el trabajo de campo del auditor
informático debe realizarse principalmente con los productos del cliente.
Finalmente, ha de indicarse la conveniencia de que el auditor confeccione
personalmente determinadas partes del Informe. Para ello, resulta casi
imprescindible una cierta soltura en el manejo de Procesadores de Texto,
paquetes de Gráficos, Hojas de Cálculo, etc.
1.9TIPOS DE LA AUDITORIA INFORMATICA
En la empresa podemos distinguir varios tipos de auditorias, entres las
principales están:
AUDITORIA INFORMÁTICA Y DE SISTEMAS
29
Figura 1.1 Auditoria de Estados Financieros
Auditoria de Gestión, que analiza que las decisiones de gestión han
sido tomadas de forma consistente con la existencia de
informaciones suficientes y oportuna.
Auditoria operacional, para determinar hasta que punto una
organización, una unidad o función dentro de una organización esta
cumpliendo con los objetivos establecidos por la Direccion; asi
como identificar las condiciones que necesiten mejora.
Auditoria financiera, examen y y verificación de los estados
financieros de la empresa, para emitir una opinión fundada sobre el
grado de fiabilidad de los de dichos estados.
Auditoria contable,
Auditoria organizativa
Auditoria de calidad
Auditoria informática
AUDITORIA INFORMÁTICA Y DE SISTEMAS
30
Centrados en la auditoria informática, podemos distinguir varios tipos en
función a las áreas a considerar, al realizador, al ámbito de aplicación o la
especialidad.
El departamento de Informática posee una actividad proyectada al exterior, al
usuario, aunque el "exterior" siga siendo la misma empresa. He aquí, la
Auditoria Informática de Usuario. Se hace esta distinción para contraponerla a
la informática interna, en donde se hace la informática cotidiana y real. En
consecuencia, existe una Auditoria Informática de Actividades Internas.
El control del funcionamiento del departamento de informática con el exterior,
con el usuario se realiza por medio de la Dirección. Su figura es importante, en
tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una
informática eficiente y eficaz requiere el apoyo continuado de su Dirección
frente al "exterior". Revisar estas interrelaciones constituye el objeto de la
Auditoria Informática de Dirección. Estas tres auditorias, mas la Auditoria de
Seguridad, son las cuatro áreas Generales de la Auditoria Informática más
importantes.
Dentro de las áreas generales, se establecen las siguientes divisiones de
Auditoria Informática: de Explotación, de Sistemas, de comunicaciones y de
Desarrollo de Proyectos. Estas son las áreas Especificas de la Auditoria
Informática más importantes.
Áreas
Específicas
Áreas Generales
Interna Dirección Usuario Seguridad
Explotación
Desarrollo
Sistemas
AUDITORIA INFORMÁTICA Y DE SISTEMAS
31
Comunicaciones
Seguridad
Cuadro 1.1: Áreas de la Auditoria Informática
Cada Área Especifica puede ser auditada desde los siguientes criterios
generales:
Desde su propio funcionamiento interno.
Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del
grado de cumplimiento de las directrices de ésta.
Desde la perspectiva de los usuarios, destinatarios reales de la
informática.
Desde el punto de vista de la seguridad que ofrece la Informática en general o
la rama auditada.
Estas combinaciones pueden ser ampliadas y reducidas según las
características de la empresa auditada.
1.9EL AUDITOR Y EL DEPARTAMENTO DE AUDITORIA INFORMATICA
A. EL AUDITOR INFORMATICO
El auditor informático observa, juzga y recomienda. Debe ser independiente
de la función o elemento auditado, y no puede ser ni responsable de la
función, ni realizador, ni usuario.
En EE.UU., donde la auditoria informática es algo mas habitual que en
Perú, loa auditores deben ser certificarse con el titulo CISA()otorgado por la
ISCA(). este certificado se consigue aprobando un examen y demostrando
experiencia en auditoria informática, y se renueva periódicamente. Los
auditores peruanos también pueden conseguir el certificado CISA a través
del capitulo peruano de la ISACA, cuya URL es http://www.isaca.org.pe.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
32
El auditor informático debe tener una buena preparación, tanto teórica como
practica, aparte de otras características como: independencia,
responsabilidad, integridad, objetividad,..
La cualificación del auditor debe ser: educación y experiencia, habilidad
para comunicarse, entrenamiento especifico en sistemas de información y
técnicas de auditoria informática, participación en auditoria informática.
Importante para el auditor es la necesidad constante de: participantes
regulares, es decir, mantener su capacidad a lo largo del tiempo, a través
de: participaciones regulares de manera activa en auditoria informática,
revisar y estudiar normas, códigos, instrucciones y otras documentaciones
relativas de auditoria informática.
Características del auditor:
Que deben hacer los auditores Que no deben hace
Recomendar
Ser independiente, objetivos
Ser competentes en auditoria informática
Diagnosticar en función a verificaciones
Actualizarse en cuanto a avances
Obligar o amenazar
Actuar en beneficio propio
Asumir trabajos sin preparación adecuada
Diagnosticar en función a suposiciones
Dejar obsoletos sus conocimientos
Figura 1.2: Características de una Auditor
Algunas reglas básicas que debe respetar el auditor son:
Fomentar la cooperación con el auditado.
No emitir juicios que no estén sólidamente basados.
Evitar las situaciones preventivas del auditado entre el auditor.
No adelantar resultados parciales sobre un área o función determinadas,
una visión parcial puede resultar errónea.
Comentar con los interesados los resultados antes de presentarlos a
niveles superiores, excepto en casos de fraude.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
33
Extrapolar la idea de colaboración con informática y la intención de
descubrir las debilidades para mejorar.
Comunicar que no se trata de castigar sino de detectar deficiencias y
corregirlas.
Estas reglas suelen estar incluidas en los Códigos deontológico, que son un
conjunto de preceptos que establecen los deberes exigibles a aquellos
profesionales que ejerciten una determinada actividad y tienen como
finalidad incidir en sus comportamientos profesionales estimulando que
estos se ajusten a determinados principios morales que deben serviles de
guía. Estos códigos son elaborados por los propios profesionales en el
marco de los colegios profesionales, asociaciones o agrupaciones que los
representen.
B. EL DEPARTAMENTO DE AUDITORIA INFORMÁTICA
En las empresas de tamaño medio-grande existe un área con al
responsabilidad de realizar la auditoria informática. Deben estar
perfectamente delimitadas las funciones de esta área, ya que pueden
solaparse con las funciones de los auditores financieros o auditores
organizativos, y al revés pueden quedar zonas sin descubrir.
El nivel organizativo del departamento de auditoria interna debe ser
suficiente para permitir el cumplimiento de sus responsabilidades. El
director del departamento debe ser responsable ante una persona de la
organización, con suficiente autoridad para promover la independencia ya
segurar una amplia cobertura
AUDITORIA INFORMÁTICA Y DE SISTEMAS
34
Elegir una organización de su entorno, del cual se debe comentar su perfil
informático, objetivos y metas de control interno de Tecnologías de
Información.
Toda empresa pública o privada, que posean Sistemas de Información media
deben de someterse a un control estricto de evaluación de eficacia y eficiencia.
Hoy en día, el 90 por ciento de las empresas tienen toda su información
estructurada en Sistemas Informáticos, de aquí, la vital importancia que los
sistemas de información funcionen correctamente. La empresa hoy, debe /
precisa informatizarse. El éxito de una empresa depende de la eficiencia de sus
sistemas de información. Una empresa puede tener un staff de gente de
primera, pero tiene un sistema informático propenso a errores, lento, vulnerable
e inestable; si no hay un balance entre estas dos cosas, la empresa nunca
saldrá a adelante. En cuanto al trabajo de la Auditoría en sí, podemos remarcar
que se precisa de gran conocimiento de Informática, seriedad, capacidad,
minuciosidad y responsabilidad; la Auditoría de Sistemas debe hacerse por
gente altamente capacitada, una Auditoría mal hecha puede acarrear
consecuencias drásticas para la empresa auditada, principalmente
económicas.
Littlejhon Shider, Debra, “Superutilidades y detección de Delitos
Informaticos”, Edit. Anaya, 1era. Edición, 2003.
Jones J., Keith, “Superutilidades Hackers “, Edit. Mc.Graw Hill, 1era.
Edición, 2003.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
35
Cougias,Dorian/E.L. Heiberg, “Herramientas de Protección y
Recuperación de Datos”, Edit. Anaya, 1era. Edición, 2004
Solís Montes, Gustavo Adolfo, “Reingeniería de la Auditoria”, Edit.
Trillas, 1ra. Edición. 2002.
Piattini Mario G., ”Auditoria Informática”. Edit. AlfaOmega, 2da.
Edición 2001.
Echenique GARCIA, José Antonio, “Auditoria en Informática”, Edit.
Mc. Graw Hill, 2da. Edición, 2001.
Radlow J. “Informática y computadoras en la sociedad”, Edit. Mc.
Graw Hill. 1ra. Edición 2001.
INEI, “Auditoria de Sistemas”, Edición 2002
COBIT versión 4.0 , ”Manual de Objetivos de Control” de ISACA,.
En el siguiente fascículo se describe las principales metodologías para la
realización de una auditoria informática.
o ¿Cuáles son los elementos fundamentales del concepto de
auditoría informática?
o ¿Cuantas clases diferentes de auditoria existen?
o ¿Qué diferencias existen entre la auditoria y el control interno?
o ¿Cuáles son las funciones del control interno informático?
AUDITORIA INFORMÁTICA Y DE SISTEMAS
36
UNIDAD ACADÉMICA II
METODOLOGÍAS PARA LA AUDITORIA INFORMÁTICA
Las metodologías son necesarias para desarrollar cualquier proyecto que nos
propongamos de manera ordenada y eficaz.
El contenido de este fascículo tratara las metodologías principales para una
evaluación de la seguridad y auditoria informática en forma general, así como
de manera particular la metodología tradicional para realizar una auditoria
informática.
En primer lugar, se describe las metodologías de seguridad y auditoría
informática en forma general. En segundo lugar se profundiza sobre una
metodología tradicional en particular para la realización de una auditoria
informática.
Conocer y evaluar que tipos de metodologías entre las existentes se
puede aplicar en cada caso de auditoria informática.
Conocer y entender la importancia de cada una de las fases de una
auditoria informática.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
37
2.1 METODOLOGÍA
Siendo el método un modo ordenado de decir o hacer una cosa determinada,
podemos decir que la metodología es un conjunto de métodos que se siguen
en una investigación científica, lo cual significa que cada proceso científico
debe estar sujeto a una disciplina de proceso definida con anterioridad a la cual
se le da el nombre de metodología.
La metodología se hace necesaria en materias como la informática, ya que sus
aspectos son muy complejos y la cual se uti liza en cada doctrina que compone
dicha materia, siendo de gran ayuda en la auditoria de los sistemas de
información.
El nacimiento de metodología en el mundo de la auditoria y el control
informático se puede observar en los primeros años de los ochenta, naciendo a
la par con la informática, la cual utiliza la metodología en disciplinas como la
seguridad de los sistemas de información, la cual la definimos como la doctrina
que trata de los riesgos informáticos, en donde la auditoria se involucra en este
proceso de protección y preservación de la información y de sus medios de
proceso.
La informática crea unos riesgos informáticos los cuales pueden causar
grandes problemas en entidades, por lo cual hay que proteger y preservar
dichas entidades con un entramado de contramedidas, y la calidad y la eficacia
de la mismas es el objetivo a evaluar para poder identificar así sus puntos
débiles y mejorarlos, siendo esta una función de los auditores informáticos.
2.2 METODOLOGÍAS DE EVALUACIÓN DE SISTEMAS
En el mundo de la seguridad de sistemas se utiliza todas las metodologías
necesarias para realizar un plan de seguridad además de la auditora
informática. Las dos metodologías de evaluación de sistemas por antonomasia
son el análisis de riesgo y la auditoria informática.
Las metodologías son necesarias para desarrollar cualquier proyecto que nos
propongamos de manera ordenada y eficaz.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
38
La auditoria informática solo identifica el nivel de “exposición” por la falta de
controles mientras el análisis de riesgos facilita la evaluación de los riesgos y
recomienda acciones en base al costo-beneficio de la misma. Todas las
metodologías existentes en seguridad de sistemas van encaminadas a
establecer y mejorar un entramado de contramedidas que garanticen que la
productividad de que las amenazas se materialicen en hechos sea lo mas baja
posible o al menos quede reducida de una forma razonable en costo-beneficio.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el
control informático, se puede agrupar en dos grandes familias:
2.2.1METODOLOGIAS CUANTITATIVAS
Basadas en un modelo matemático numérico que ayuda a la realización del
trabajo, están diseñadas par producir una lista de riesgos que pueden
compararse entre sí con facilidad por tener asignados unos valores numérico.
Están diseñadas para producir una lista de riesgos que pueden compararse
entre si con facilidad por tener asignados unos valores numéricos. Estos
valores son datos de probabilidad de ocurrencia de un evento que se debe
extraer de un riesgo de incidencias donde el número de incidencias tiende al
infinito.
2.2.2 METODOLOGÍAS CUALITATIVAS
Basadas en el criterio y raciocinio humano capaz de definir un proceso de
trabajo, para seleccionar en base al experiencia acumulada. Puede excluir
riesgos significantes desconocidos (depende de la capacidad del profesional
para usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa,
que requiere menos recursos humanos / tiempo que las metodologías
cuantitativas.
Ventajas:
Enfoque lo amplio que se desee.
Plan de trabajo flexible y reactivo.
Se concentra en la identificación de eventos.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
39
Desventajas
Depende fuertemente de la habilidad y calidad del personal involucrado.
Identificación de eventos reales más claros al no tener que aplicarles
probabilidades complejas de calcular.
Dependencia profesional.
2.3 METODOLOGÍAS EN AUDITORIA INFORMÁTICA.
Metodología es una secuencia de pasos lógica y ordenada de proceder para
llegar a un resultado. Generalmente existen diversas formas de obtener un
resultado determinado, y de esto se deriva la existencia de varias metodologías
para llevar a cabo una auditoria informática.
Las metodologías de auditoria informática son de tipo cualitativo/subjetivo. Se
puede decir que son subjetivas por excelencia. Están basadas en profesionales
de gran nivel de experiencia y formación, capaces de dictar recomendaciones
técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación
continua. Solo existen dos tipos de metodologías básicas para la auditoría
informática:
Controles Generales.- Son el producto estándar de los auditores
profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los
datos del computador para la auditoría financiera, es resultado es escueto y
forma parte del informe de auditoría, en donde se hacen notar las
vulnerabilidades encontradas. Están desprestigiadas ya que dependen en
gran medida de la experiencia de los profesionales que las usan.
Metodologías de los auditores internos.- Están formuladas por
recomendaciones de plan de trabajo y de todo el proceso que se debe
seguir. También se define el objetivo de la misma, que habrá que describirlo
en el memorando de apertura al auditado. De la misma forma se describe en
forma de cuestionarios genéricos, con una orientación de los controles a
revisar. El auditor interno debe crear sus metodologías necesarias para
auditar los distintos aspectos o áreas en el plan auditor.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
40
2.2.1 METODOLOGÍA ROA (Risk Oriented Approach)
En la actualidad se utilizan tres tipos de metodologías de auditoria informática:
R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen.
CHECKLIST o cuestionarios.
AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT;
sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF,
etc.).
En sí las tres metodologías están basadas en la minimización de los riesgos,
que se conseguirá en función de que existan los controles y de que éstos
funcionen. En consecuencia el auditor deberá revisar estos controles y su
funcionamiento.
2.2.2 METODOLOGÍA TRADICIONAL DE UNA AUDITORIA INFORMÁTICA
La metodología o ciencia del método es según el diccionario el conjunto de
métodos que se siguen en una investigación científica o en una exposición
doctrinal. Método es el modo de hacer con orden una cosa.
En una auditoria informática deben emplearse unas técnicas y herramientas
determinadas, intervienen diversos participantes, han de obtenerse unos
resultados concretos y documentados, y por tanto se convierte en necesario la
aplicación de una metodología.
La metodología empleada en la auditoria informática es similar a las fases que
componen una auditoria tradicional: primero se planea para obtener y entender
los procesos de negocio; en segundo lugar se analiza y evalúa el control
interno establecido para determinar la probable eficacia y eficiencia del mismo,
posteriormente, se aplican pruebas de auditorias para verificar la efectividad de
los procedimientos de control(pruebas de cumplimiento), o de los productos de
los procesos de trabajo(pruebas sustantivas).
AUDITORIA INFORMÁTICA Y DE SISTEMAS
41
Después se informan los resultados de las auditorias, con el fin de reportar las
sugerencias correspondientes a las oportunidades de mejora encontradas y,
finalmente, se efectúa el seguimiento para evaluar el nivel del cumplimiento y el
impacto de las recomendaciones hechas. Esta metodología nos proporcionara
los pasos a seguir desde la contratación por parte del cliente o la orden de la
Dirección (según se externa o interna la auditoria) hasta la confección y entrega
por escrito del informe final.
Las fases de una metodología típica son:
Fase 01: Definición de ámbito y objetivos
Fase 02: Estudio previo
Fase 03: Determinación de recursos
Fase 04: Elaboración del Plan
Fase 05: Realización
Fase 06: Elaboración del Informe Final.
La preparación y planificación de la auditoria informática abarca las cuatro
primeras fases metodológicas y tiene como objetivo disponer de todo lo
necesario para el comienzo de la auditoria informática. Con mayor detalle se
trata el planeamiento en el fascículo siguiente.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
42
Caso Práctico: “Auditoria de Seguridad”
A continuación, un caso de auditoría en el área de seguridad para proporcionar
una visión más desarrollada y amplia de la función auditora.
Es una auditoría de Seguridad Informática que tiene como misión revisar tanto
la seguridad física y lógica de una cabina de Internet con sus funciones
informáticas más importantes.
Se pide realizar las fases 01 y 02 de la metodología tradicional de una auditoria
informática.
Indicar los supuestos que se esta definiendo para desarrollar dichos caso.
En el presente fascículo se presenta las principales metodologías para realizar
una evaluación de la seguridad informática y a su vez para una auditoria
informática, haciendo énfasis en la descripción de las fases de las
metodologías mas utilizadas en el campo informático.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
43
Solís Montes, Gustavo Adolfo, “Reingeniería de la Auditoria”, Edit.
Trillas, 1ra. Edición. 2002.
Piattini Mario G., ”Auditoria Informática”. Edit. AlfaOmega, 2da.
Edición 2001.
Echenique GARCIA, José Antonio, “Auditoria en Informática”, Edit.
Mc. Graw Hill, 2da. Edición, 2001.
En el siguiente fascículo se describe todo el proceso de la auditoria de la
gestión de Tecnologías de Información.
1. ¿Para qué sirve definir los alcances y objetivos en una auditoría?
2. ¿Por qué es más costosa una auditoría general que una específica?
3. ¿En qué consiste la etapa del estudio previo?
4. ¿Qué tipo de recursos insume una auditoría Informática?
5. ¿Cuales son las principales técnicas de trabajo en una auditoria informática?
6. ¿De qué herramientas se disponen para realizar una auditoría?
AUDITORIA INFORMÁTICA Y DE SISTEMAS
44
UNIDAD ACADÉMICA III
AUDITORIA DE UN SISTEMA DE INFORMACIÓN
Para hacer una adecuada planeación de la auditoria en informática hay que
seguir una serie de pasos previos que permitirán dimensionar el tamaño y
características del área dentro del organismo a auditar, sus sistemas,
organización y equipo. Con ello podremos determinar el número y
características del personal de auditoría, las herramientas necesarias, el
tiempo y costo, así como definir los alcances de la auditoria para, en caso
necesario, poder elaborar el contrato de servicios.
Dentro de la auditoria en general, la planeación es uno de los pasos
importantes, ya que una inadecuada planeación provocara una serie de
problemas que pueden impedir que se cumpla con la auditoria o bien hacer
que no se efectué con el profesionalismo que debe tener cualquier auditor.
El trabajo de auditoría deberá incluir la planeación de la auditoria, el examen y
la evaluación de la información, la comunicación de los resultados y el
seguimiento.
Conocer y aplicar las diferentes fases de la auditoria de un sistema de
información.
Conocer y entender la importancia de cada una de las fases de la
auditoria ed sistemas de información.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
45
3.1 PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA
El desarrollo de una auditoria se puede considerar como un proyecto en sí.
Entonces, dicho proyecto constara de fases, cada fase de actividades, y cada
actividad de tareas concretas. Las fases, actividades y tareas se denominan
genéricamente como pasos. Cada paso tendrá sus objetivos, resultados
previstos, planificación temporal, estimación de recursos, técnicas y
herramientas de soporte, todo ello supeditado al paso de grado superior. Las
pautas para identificar, establecer o aplicar correctamente cada una de estos
elementos emanan de normas y metodologías de auditoría. En la auditoria
informática, se disponen de COBIT, un marco metodológico elaborado,
mantenido y en constante perfeccionamiento a cargo de la Information Systems
Audit and Control Association(ISACA), que tiene reconocimiento mundial y
oficial en algunos países. COBIT es el acrónimo de Control Objectives for IT, y
es un moderno y estándar conjunto de Objetivos de Control de las Tecnologías
de Información generalmente aceptados para la utilización diaria de los
ejecutivos y auditores de sistemas de información (ISACAF, 2000).
La realización de una auditoria informática se compone de varias fases o
pasos: toma de contacto, validación de la información, análisis preliminar,
desarrollo, pruebas sustantivas, presentación de conclusiones y formación del
plan de mejoras. La fase de desarrollo tiene varias subfases: análisis detallado,
pruebas, y análisis y controles de pruebas de usuario.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
46
Grafico 3.1: Fases de una auditoria informática
3.1.1 TOMA DE CONTACTO
Objetivo: se pretende tomar contacto con todos aquellos elementos
informativos que puedan se interesantes para la consecución del trabajo, y así,
lograr alcanzar un profundo conocimiento de la idiosincrasia organizativa a
todos los niveles para poder desenvolverse en el ámbito de la empresa con
total comodidad y conocimiento del funcionamiento interno de esta.
Realización: Se debe tener en cuenta dos puntos de vista a la hora de obtener
conocimiento general.
Organizativo: La propia estructura organizativa de la empresa, su
organigrama, volumen, líneas de producto, situación en el mercado, etc.
Recursos informáticos: Estructura del departamento, relaciones funcionales
y jerárquicos, recursos humanos, materiales (SGBD, SO, comunicaciones,
etc), aplicaciones de desarrollo en sistema de explotación.
Esta es una fase en que intervienen fundamentalmente los auditores externos.
Por tanto, para que estos se puedan asegurar de que las conclusiones
AUDITORIA INFORMÁTICA Y DE SISTEMAS
47
obtenidas en su análisis preliminar son las correctas, es recomendable que se
puedan contrastar con las conclusiones emitidas por los auditores internos. En
esta fase también se da el visto bueno o el rechazo a la viabilidad de la
realización de la auditoria por diversas razones como, por ejemplo, la carencia
de capacidad para auditar el sistema, ya que excede el campo de actuación del
auditor, o la necesidad de realizar otro tipo de auditoria, ya que auditando
informativamente no se alcanzaran a resolver los problemas que la empresa
tenga.
Herramientas y documentación: En esta fase se uti lizan principalmente dos
herramientas intangibles que son:
La experiencia propia: El auditor con la experiencia adquirida en la
realización de otras auditorias interpreta de una forma más efectiva toda
aquella información.
Implicación de directivos y usuarios: Para que el auditor pueda realizar las
labores de aproximación al problema de una forma optima necesita la
cooperación de todos y cada uno de los integrantes de la estructura
organizativa de la empresa haciéndoles participes en todo el proceso de
ejecución de la auditoria, porque son ellos quienes han de ser capaces de
transmitir cuales son los puntos clave a ser auditados.
Además de los dos puntos enumerados anteriormente el auditor tiene que
ayudarse de todo tipo de formularios que pueda rellenar el personal y que
después puedan ser de interés a la hora de extraer conclusiones. También se
puede utilizar todo tipo de material informático como programas de
interpretación de datos obtenidos, estadísticos, etc, pero nunca perdiendo de
vista las interpretaciones mas subjetivas, que no por ello erróneas, de todos los
aspectos interesantes.
Por ultimo cabe destacar la importancia que se le tiene que dar a esta fase, ya
que, sobre todas las conclusiones extraídas se basaran el resto de fases, es
decir, una mala interpretación de la filosofía de la empresa podría repercutir en
una mala realización de la auditoria.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
48
3.1.2 VALIDACIÓN DE LA INFORMACIÓN
Objetivo: Se pretende validar toda la información obtenida en la fase anterior,
así como definir los resultados esperados en la fase de operación.
Realización: Una vez finalizada la fase de toma de contacto, el auditor tiene
que estar seguro de que toda la información recogida es valida, precisa,
eficiente y de real importancia para su trabajo. Con toda esta información hay
que ser capaces de tratar los siguientes temas que son de importancia vital:
Concentración de objetivos: Fijar los objetivos a nivel global que el auditor
espera en su trabajo, hasta donde llegara como lo quiero hacer.
Las áreas que cubrirá: que partes exactas de la empresa y, en este caso,
del sistema, serán auditadas.
Personas de la Organización: empleados que deberán colaborar directa e
indirectamente y en que momento concreto.
Plan de Trabajo: comprende los siguientes elementos:
- Tareas que se deberán realizar.
- Calendario, tanto de todas las fases así como la de consecución
del trabajo.
- Presupuesto, partiendo de la base de las inevitables limitaciones
presupuestarias, si existen, aspecto que es bueno tener siempre
presente.
- Equipo auditor necesario: una vez obtenido todo el material de
partida el encargado tiene que ser capaz de realizar una estimación
lo mas exacta posible del equipo de auditores necesario, en cuanto
a numero y especialidades, o áreas de conocimiento.
Herramientas y Documentación: El auditor debe disponer de todo tipo de
manuales de los diferentes sistemas informáticos tanto de software como
hardware. Por otro lado, el grado de conocimiento de las personas de la
empresa que deben colaborar con el auditor tiene que ser alto y la capacidad
de movilidad del auditor en la organización tiene que ser máxima. Al auditor
también debe estar familiarizado con los controles directivos y con la aplicación
para ser capaz más delante de determinar donde puede haber fallos en la
AUDITORIA INFORMÁTICA Y DE SISTEMAS
49
utilización o si, por otro lado, son los propios controles los que no funcionan
adecuadamente. Y por ultimo, se tendrá que utilizar constantemente la
documentación obtenida de los cuestionarios realizados en la fase anterior.
3.1.3 ANÁLISIS PRELIMINAR
Objetivos: Obtener la información necesaria para tomar la decisión sobre
como proceder con la auditoria. Pueden seguirse tres caminos:
a) Renunciar a la auditoria: el auditor carece de la competencia técnica
para realizar la auditoria.
b) Realizar un análisis detallado del sistema de control interno.
c) Desconfiar del sistema de control interno. Existen dos razones para
tomar esta decisión: Quizá sea mas rentable realizar directamente las
pruebas substantivas; o el control de la función informática duplicara los
controles existentes en el ares de usuario.
Realización: Esta fase incluye el análisis general del riesgo que comprende
principalmente, el análisis de los controles directivos y los controles de
aplicación, Durante el análisis de los primeros se trata de comprender la
organización y las practicas directivas utilizadas en cada nivel de la jerarquía
de la instalación. Durante el segundo análisis, deben comprenderse los
controles realizados sobre las transacciones más importantes que fluye n a
través de los sistemas de aplicación en la instalación. En primer lugar, durante
esta fase, se realizan entrevistas con el personal de la instalación, se observan
las actividades de la instalación y se analiza la documentación de la instalación.
Las evidencias han de documentarse completando cuestionarios, construyendo
diagramas de flujo y tablas de decisión y preparando informes. En la siguiente
subsección se describe con más detalle este tipo de análisis.
El análisis preliminar realizado por los auditores internos difiere del realizado
por los auditores externos en tres aspectos:
a) Los auditores internos requieren menos tiempo para realizar el análisis,
sobre todo en temas de control de dirección, ya que están familiarizados
con el tema.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
50
b) Loa auditores internos poseen una amplia perspectiva que incluye
consideraciones de eficacia y eficiencia al sistema.
c) si los auditores internos piensan que existen debilidades en el sistema
de control interno cuanto completan la fase de análisis preliminar, antes
de proceder directamente con las pruebas substantivas, siguen
realizando unas pruebas detalladas del sistema de control interno en
vista de hacer recomendaciones especificas para mejorar.
3.1.4 DESARROLLO:
ANALISIS DETALLADO
Objetivo: Obtener información necesaria para que el auditor tenga un
conocimiento profundo de los controles usados en la instalación informática. De
nuevo debe decidir si la auditoria se lleva cabo o se rechaza, o se procede
conforme a la fase de pruebas con la expectativa de que la dependencia puede
estar situada sobre el sistema de control interno, o proceder directamente al
análisis de los controles de usuario o procedimiento de pruebas substantivas.
Realización: Tanto los controles de dirección, como los controles de aplicación
han de analizarse y a ser posible en este orden. Es importante identificar las
cusas de perdida y riesgos existentes en al instalación y establecer los
controles para reducir los efectos de las cusas de perdida.
Al final de comprobarse si los controles reducen las pérdidas a un nivel
aceptable. Aun dentro de esta fase no se sabe con certeza si los controles son
eficaces, la evaluación supone la fiabilidad de las funciones a menos que haya
una clara evidencia de lo contrario.
PRUEBAS
Objetivo: Determinar si el sistema de control interno opera del modo que lo
corresponde. Se trata de determinar si existen de hecho los controles y si
trabajan correctamente.
Realización: A menudo deben utilizarse técnicas asistidas por ordenador que
determinan la existencia y la fiabilidad de los controles. Al final de esta fase,
AUDITORIA INFORMÁTICA Y DE SISTEMAS
51
deben ser evaluados los sistemas de control interno para ratificar la fiabilidad
de los controles individuales.
ANALISIS Y CONTROLES DE PRUEBAS DE USUARIO
Objetivos: Determinar si existen controles de los usuarios que compensan
cualquier debilidad en el sistema de control interno informático.
Realización: Los usuarios realizan controles que compensan cualquier
debilidad en el sistema de control interno de proceso de datos. Estos controles
no deben estar duplicados, es decir, en algunos casos será útil eliminar
cualquiera de los dos, tanto los controles de usuario como los controles
informatizados.
Herramientas y Documentación:
En las tres subfases de la fase de desarrollo, y con respecto a la
documentación, el auditor tiene que apoyarse en al experiencia que ha
obtenido de otros sistemas para poder comparar resultados de rendimientos
anteriores con los que le presta el sistema actual. En cuanto a las
herramientas, puede ser interesante que se utilice algún tipo de herramienta
informática que le ayude a interpretar los cuestionarios realizados por los
usuarios. A menudo, también deben utilizarse técnicas asistidas por ordenador
que determinen la existencia y la fiabilidad de los controles. Además, se puede
disponer de:
Los juegos de ensayo que son una herramienta eficiente y significativa que
se utiliza para probar programas enrevesados, aunque la realización de
buenos juegos de ensayo no siempre será una tarea útil.
Los programas de auditoria desarrollados por las principales firmas
auditoras.
Las técnicas de ejecución en paralelo para verificar el correcto
funcionamiento de los programas que se tienen que revisar.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
52
3.1.5 PRUEBAS SUSTANTIVAS
Objetivo: Conseguir evidencias suficientes para poder emitir una valoración
final sobre la existencia o no perdidas o la posibilidad de que ocurran durante
los procesos informáticos. El auditor externo emite esta valoración como una
opinión.
Realización: Según Davis (Davis, 1983), existen cinco tipos de pruebas
substantivas que se realizan en una instalación informática: pruebas que
identifican los procesos erróneos; pruebas para asegurar la calidad de la
información, pruebas para identificar la información inconsistente, pruebas para
comparar la información con los cómputos, y confirmación de la información
con fuentes externas. Algunas de estas pruebas requieren soporte informático
.Herramientas y documentación:
En lo referente a la documentación, la información no tiene porque ser útil solo
para los auditores sino, en general, para cua lquier consultor informático. Entre
esta documentación cabe destacar los tipos siguientes:
Organigrama de la empresa y en especial del servicio informático.
Documentos de organización interna.
Aspectos económicos como gastos, presupuestos, costes humanos y
materiales, etc.
Estudios informáticos realizados y en curso.
Actividades desarrolladas por el propio personal o por terceros.
Configuraciones de maquina: ordenadores, unidades de disco.
Comunicaciones, etc.
Documentos de input de datos.
Listado de operación de consola
Plannings.
Para las aplicaciones existentes se pueden citar: el análisis funcional y
orgánico, los cuadernos de carga, el diseño e ficheros, los juegos de
ensayo, las pruebas de programa, etc.
En cuanto a las herramientas, hay que decir que se debe continuar con las
utilizadas hasta ahora, pero siempre teniendo en cuenta su utilización en cada
fase, ya que esta es diferente.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
53
3.1.6 PRESENTACIÓN DE CONCLUSIONES
Objetivo: Mostrar las conclusiones obtenidas en las fases anteriores a los
responsables directos mediante la documentación necesaria.
Realización: Antes que los responsables conozcan las conclusiones
obtenidas por los auditores en la realización de la fase anterior, estas deben
discutirse con las afectadas, por lo que deben estar bien argumentadas,
probadas, y documentadas para que no se puedan refutar en las primeras
discusiones. Esta fase es claramente delicada porque es el momento en el que
se presentan deficiencias, situaciones anómalas o por lo menos mejorables.
Por eso es recomendable que los auditores tengan el suficiente tales como
para presentar estas conclusiones como un plan de mejoras en beneficio de
todos, mas que como una reprobación de los afectados, excepto en los casos
en que esto ultimo sea necesario, pues hay situaciones en las que alguien
puede ser sustituible y es aconsejable que el auditor (como consultor al servicio
de la dirección) tenga la obligación de hacer conocer estas situaciones.
También hay que resaltar la importancia de la forma que debe tener la
presentación de conclusiones, es decir, tiene que ser clara, relevante, y que no
de lugar a la ambigüedad.
Herramientas y Documentación: La documentación a presentar es el informe
final de auditoria y la carta de presentación que lo acompaña. La herramientas
son las necesarias para elaborar estos documentados.
3.1.7 FORMACIÓN DE PLAN DE MEJORAS
Objetivo: Inclusión del plan de mejoras que permitirán solventar las
deficiencias encontradas en la auditoria.
Realización: En el inicio de esta fase, la dirección ya conoce las deficiencias
que el equipo auditor ha observado en su departamento informático y que
también han sido discutidas. Entonces, los auditores deben de adjuntar, al
informe de auditoría, el plan de mejoras que permitirán solventar las
deficiencias encontradas. Ese informe comprende las deficiencias encontradas
en los pasos anteriores abordando los puntos relativos a auditoria funcional,
como son la gestión de recursos humanos, la seguridad física, los costes, etc.,
AUDITORIA INFORMÁTICA Y DE SISTEMAS
54
abordando también aspectos de auditoría operatividad, tales como el
cumplimiento de plazos, los procedimientos de control, la calidad y fiabilidad.
El plan de mejoras debe abarcar todas las recomendaciones que intenten
soslayar las deficiencias detectadas en la realización de la auditoria. Para ello
se tendrán en cuenta los recursos disponibles, o al menos potencialmente
disponibles, o al menos potencialmente disponibles, por parte de la empresa
objeto de la auditoria. De cara a la ejecución de las recomendaciones
contenidas en el plan, es posible distinguir entre las medidas que se pueden
realizar a corto plazo, de las que son a medio y por último, de las ejecutables a
largo plazo. Entre las primeras, se incluirán aquellas mejoras puntuales y de
fácil realización como son las mejoras en plazo, calidad, planificación o
formación. Las medidas a medio plazo necesitaran de uno a dos años para
poderse concretar. Aquí pues, caben ya mejoras algo mas profundas y con
mayor necesidad de recursos, como la optimización d programas, o de la
documentación, e incluso algunos aspectos de diseño del sistema.
Para concluir, las consideraciones a largo plazo, como cabe pensar fácilmente,
pueden llevar a cambios sustanciales en las políticas, medios o incluso
estructuras de servicio de informática. Lógicamente con más tiempo mas
medios es posible afrontar profundas modificaciones si con ello se consiguen
las mejoras redactadas por el equipo auditor. Estas mejoras pueden pasar por
la reconsideración de los sistemas en uso o de los medios humanos y
materiales con que se cuenta, llegando si es preciso a una seria
reconsideración del plan informático. Todo esto comporta un riesgo adicional,
por lo que se requiere una profunda reflexión por parte de la empresa, así
como un considerable grado de confianza en el equipo auditor.
3.2 EL INFORME DE AUDITORIA
El informe de Auditoria Informática es el objeto de la Auditoria Informática. El
contexto en el cual se desenvuelve hoy su práctica es muy cambiante, las
tecnologías de información dominan de modo imparable las relaciones
humanas presentando un ciclo de vida cada vez mas corto. Desfase entre las
expectativas de los usuarios y los Informes de Auditoria. La complejidad de los
AUDITORIA INFORMÁTICA Y DE SISTEMAS
55
sistemas de información crece con sus prestaciones y características.
Dependencia de los sistemas y necesidad más marcada de expertos eficientes
(no infalibles) en Auditoria Informática. La informática es muy joven, por tanto la
Auditoria informática lo es más. Se tratara de fijar en este fascículo la práctica
de Auditoria Informática en función del Informe. Para ello se repasara aspectos
previos fundamentales, como son las normas, el concepto de evidencia en
Auditoria, la documentación y finalmente el informe, sus componentes,
características y tendencias detectadas como también algunas conclusiones.
3.2.1 LAS NORMAS
En 1996 la Unión europea publicó el Libro Verde de la Auditoria, dedicado al
papel, la posición y la responsabilidad del Auditor Legal. Su contenido afecta a
la Auditoria informática. En principio el libro acepta las Normas Internacionales
IFAC para su adaptación adecuada a la Unión Europea. Otra fuente de Normas
Internacionales es ISACF, ya más especifica de Auditoria Informática. La
normativa española oficial que afecta, en mayor o menor medida, a la Auditoria
Informática es:
ICAC: Normas Técnicas de Auditoria: punto 2.4.10, Estudio y Evaluación del
Sistema de Control Interno.
AGENCIA DE PROTECCION DE DATOS: Instrucción relativa a la
prestación de servicios sobre solvencia patrimonial y créditos, Norma
Cuarta: Forma de Comprobación.
La Auditoria Informática no esta muy desarrollada y, por añadidura, se
encuentra en un punto crucial para la definición del modelo en que deberá
implantarse y practicarse. Hay dos tendencias legislativas y de practicas de
disciplinas: la anglosajona, basada en la Common Law, con pocas leyes y
jurisprudencia relevante y la latina, basada en el Derecho romano, de
legislación muy detallada. El sabio uso de los principios generalmente
aceptados hará posible la adaptación suficiente a la realidad de cada época.
Los organismos de armonización, normalización, homologación, acreditación y
certificación tendrán que funcionar a un ritmo más acorde con las necesidades
AUDITORIA INFORMÁTICA Y DE SISTEMAS
56
cambiantes. La aparición de multitud de organizaciones privadas, consorcios y
asociaciones que pretenden unificar normas y promocionar estándares.
3.2.2 LA EVIDENCIA
La Evidencia es la base razonable de la opinión del auditor informático, es decir
el informe de Auditoria Informática. La Evidencia tiene una serie de calificativos
a saber:
La Evidencia Relevante, que tiene una relación lógica con los objetivos de la
auditoria. La Evidencia Fiable, que es valida y objetiva aunque, con nivel de
confianza,
La Evidencia Suficiente, que es de tipo cuantitativo para soportar la opinión
profesional del auditor.
La evidencia Adecuada, que es de tipo cualitativo para afectar las
conclusiones del auditor
En principio, las pruebas son de cumplimiento o sustantivas. La opinión deberá
estar basada en evidencias justificadas, si es preciso con evidencia adicional
3.2.3 LAS PRUEBAS DE CUMPLIMIENTO
Las desviaciones nos permiten soportarnos para determinar si se deposita
confianza en los controles internos. Antes de comenzar a probar los controles
en los cuales se depositará confianza, debemos definir aquello que se
constituirá una desviación de cumplimiento.
Se entiende por desviación de cumplimiento a todo procedimiento que de
acuerdo con las normas establecidas debe efectuarse y no se efectúa.
Ejemplo. Pude existir entonces que no se ha realizado un asiento contable o
que el mismo este mal hecho, el cual el mismo debería estar bajo a supervisión
del encargado del departamento contable.
La determinación del desvío nada tiene que ver con el valor monetario dado
que el propósito de la prueba de cumplimiento es reunir evidencia respecto del
cumplimiento de un control y no sobre el intercambio en particular tales desvíos
se producen por:
AUDITORIA INFORMÁTICA Y DE SISTEMAS
57
PRUEBAS SUSTANTIVAS.
Una prueba sustantiva es un procedimiento diseñado para probar el valor
monetario de saldos o la inexistencia de errores monetarios que afecten la
presentación de los estados financieros. Dichos errores (normalmente
conocidos como errores monetarios) son una clara indicación de que los saldos
de las cuentas pueden estar desvirtuados. La única duda que el auditor debe
resolver, es de sí estos errores son suficientemente importantes como para
requerir ajuste o su divulgación en los estados financieros
Deben ejecutarse para determinar si los errores monetarios han ocurrido
realmente.
Una vez valorados los resultados de las pruebas se obtienen conclusiones que
serán comentadas y discutidas con los responsables directos de las áreas
afectadas con el fin de corroborar los resultados. Por último, el auditor deberá
emitir una serie de comentarios donde se describa la situación, el riesgo
existente y la deficiencia a solucionar, y en su caso, sugerirá la posible
solución.
3.2.4 LAS IRREGULARIDADES
Las Irregularidades, o sea, los fraudes y los errores. En las organizaciones y
las empresas, la dirección tiene la responsabilidad principal y primaria de la
detección de irregularidades, fraudes y errores: La responsabilidad del auditor
se centra en planificar, llevar a cabo y evaluar su trabajo para obtener una
expectativa razonable de su detección
Es Pues indudablemente necesario diseñar pruebas antifraude que
lógicamente incrementaran el coste de la auditoria, previo análisis de riesgos
Por prudencia y actitud, convendrá aclarar al máximo –de ser posible- si el
informe de auditoria es propiamente de auditoria y no de consultaría o asesoría
informática, o de otra materia a fin o próxima.
Aunque siempre debe prevalecer el deber de secreto profesional del auditor.
Conviene recordar que en el caso de detectar fraude durante el proceso de
auditoria se procede actuar en consecuencia, con la debida prudencia, sobre
AUDITORIA INFORMÁTICA Y DE SISTEMAS
58
todo si afecta a los administradores de la organización , Objeto de la Auditoria.
Ante un caso así conviene consultar a la comisión Deontológico profesional , al
asesor jurídico y leer detenidamente las normas profesionales el código penal y
otras disposiciones
3.2.5 LA DOCUMENTACIÓN
En el argot de auditoria se conoce como papeles de trabajo la “totalidad de
los documentos preparados o recibidos por el auditor, de manera que ,en
conjunto, constituye un compendio de la información utilizada y de las
pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones
que a debido tomar para llegar a formarse su opinión”.
El informe de auditor tiene que estar basado en la documentación o papeles
de trabajo, como utilidad inmediata previa supervisión.
No debemos omitir la característica registral del informe , tanto en su parte
cronológica como en la organización, con procedimientos de archivo,
búsqueda, custodia y conservación de su documentación cumpliendo toda
la norma legal y profesional.
Los trabajos utilizados, en el curso de una labor, de otros auditores externos
,así como de los auditores internos , forman parte de la documentación.
Además ,se incluirán:
el contrato cliente/auditor informático y la carta propuesta del
auditor informático.
Las declaraciones de la dirección.
los contratos o equivalentes, que afectan al sistema de
información.
el informe sobre terceros vínculos.
Conocimiento de la actividad del cliente.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
59
3.2.6 EL INFORME
Es momento adecuado de separar lo significativo de lo no significativo,
debidamente evaluados por su importancia y vinculación con el factor
riesgo.
También es cuestión previa decidir si el informe es largo o, por el contrario,
corto.
En lo referente a su redacción, el informe deberá ser claro, adecuado,
suficiente y comprensible.
Los puntos esenciales, genéricos y mínimos del informe de auditoria
informática, son los siguientes:
1. Identificación del informe.
2. Identificación del cliente.
3. Identificación de la entidad auditora.
4. Objetivos de la auditoria informática.
5. Normas aplicadas y excepciones.
6. Alcance de la auditoria.
7. Conclusiones: informe corto de opinión.
El informe debe contener uno de los siguientes tipos de opinión:
favorable o sin salvedades, con salvedades, desfavorables
o adversa, y denegada.
I. Opinión favorable
II. Opinión con salvedades
III. Opinión desfavorable
IV. Opinión denegada
V. Resumen
9. Resultados: informe largo y otros informes.
10. Informes previos.
11. Fecha del informe.
12. Identificación y firma del auditor.
13. Distribución del informe.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
60
3.2.7 RECOMENDACIONES PARA ELABORAR EL INFORME FINAL:
Buscar la clarificación del panorama normativo: La Auditoria Informática no
esta muy desarrollada y por añadidura, se encuentra en un punto crucial
para la definición del modelo en que deberá implantarse y practicarse.
Conviene que se clarifique el panorama normativo, de prácticas y
responsabilidades en lo que concierne a los problemas planteados por los
servicios profesionales multidisciplinarios, ya que el informe de Auditoria
Informática se compone de 3 términos: Informática, Auditoria e Informe.
Entender la evidencia como base razonable de la opinión del Auditor
Informático (Informe de Auditoria Informática): La evidencia tiene una serie
de calificativos como: evidencia relevante, evidencia fiable, evidencia
suficiente, evidencia adecuada. En principio, las pruebas son de
cumplimiento o sustantivas. La opinión deberá estar basada en evidencias
justificativas, desprovistas de prejuicios, si es posible con evidencia
adicional.
Controlar las irregularidades: Pueden ser fraudes o errores. Es
indudablemente necesario diseñar pruebas antifraude, que aumentara el
coste de la Auditoria, previo análisis de riesgos. En caso de detectar fraude
durante el proceso de Auditoria procede actuar con la debida prudencia que
aconseja episodio tan delicado y conflictivo.
Conocer la documentación empleada en el Informe de Auditoria Informática:
La totalidad de los documentos preparados o recibidos por el Auditor
(papeles de trabajo) constituyen en conjunto un compendio de la
información utilizada y de las pruebas efectuadas en la ejecución de su
trabajo, junto con las decisiones que ha debido tomar para formar su
opinión. Los trabajos utilizados formaran parte de la documentación además
se incluirán:
El contrato cliente / Auditor Informático y / o la carta propuesta del Auditor
Informático:
Las declaraciones de la Dirección: Los contratos, o equivalentes, que
afecten al sistema de información, asi como el informe de la asesoria
AUDITORIA INFORMÁTICA Y DE SISTEMAS
61
jurídica del cliente sobre sus asuntos actuales y previsibles.El informe sobre
terceros. Conocimiento de la actividad del cliente.
Redacción del Informe de Auditoria Informática: Es momento adecuado de
separar lo significativo de lo no significativo, debidamente evaluados por su
importancia y vinculación con el factor riesgo, tarea eminentemente de
carácter profesional y ético, según el leal saber y entender del Auditor
Informático. En lo referente a su redacción, el informe deberá ser claro,
adecuado, suficiente y compresible. Una utilización apropiada del lenguaje
informático resulta recomendable. Los puntos esenciales, genéricos y
mínimos del Informe de Auditoria informática son los siguientes:
Identificación del Informe, Identificación del cliente, identificación de la
entidad auditada, objetivos de la Auditoria Informática, normativa Aplicada y
excepciones, alcance de la Auditoria, conclusiones: Informe corto de
opinión, opinión favorable. opinión con salvedades, opinión desfavorable,
opinión denegada, resumen, resultados: informe largo y otros informes,
informes previos, fecha del informe, Identi ficación y firma del Audito,
distribución del informe.
3.2. 3 CONCLUSIONES
Diferenciar el informe de auditoria informática con otros tipos de informes
(consultoría, asesoría, servicios profesionales) de informática.
Antes de redactar el informe de auditoria, se debe de tener en cuenta que
el asunto este muy claro, no por la expectativas, sino porque cada termino
tiene un contenido usual muy concreto.
Al aplicar criterios en términos de probabilidad, hay que evitar la
predisposición a algún posible tipo de manipulación.
Es importante emitir el informe de auditoria informática de acuerdo con la
aplicación de la Auditoria Informática.
El informe de auditoria informática no viene a ser más que los objetivos de
la auditoria informática propiamente dicha.
Los trabajos utilizados, en el curso de una labor, de otros auditores
externos, así como de los auditores internos, forman parte de la
documentación.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
62
Además ,se incluirán:
• el contrato cliente/auditor informático y la carta propuesta del
auditor informático.
• Las declaraciones de la dirección.
• los contratos o equivalentes, que afectan al sistema de
información.
• el informe sobre terceros vínculos.
• Conocimiento de la actividad del cliente.
Caso Práctico: “Auditoria de Seguridad”
A continuación, un caso de auditoría en el área de seguridad para proporcionar
una visión más desarrollada y amplia de la función auditora.
Es una auditoría de Seguridad Informática que tiene como misión revisar tanto
la seguridad física y lógica de una cabina de Internet con sus funciones
informáticas más importantes.
Se pide realizar las fases 01 y 02 de la metodología tradicional de una auditoria
informática.
Indicar los supuestos q se esta definiendo para desarrollar dichos caso.
En el presente fascículo se presenta y describe las etapas de la planeación de
auditoria, examen y le evaluación de la información, la comunicación de los
resultados y el seguimiento del mismo.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
63
Piattini Mario G., ”Auditoria Informática”. Edit. AlfaOmega, 2da.
Edición 2001.
Echenique GARCIA, José Antonio, “Auditoria en Informática”, Edit.
Mc. Graw Hill, 2da. Edición, 2001.
Radlow J. “Informática y computadoras en la sociedad”, Edit. Mc.
Graw Hill. 1ra. Edición 2001.
En el siguiente fascículo se describe algunos aspectos muy relevantes en la
auditoria de tecnologías de información, que en la actualidad se están
integrando al trabajo de un auditor informática.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
64
UNIDAD ACADÉMICA IV
AUDITORIA DE LA SEGURIDAD INFORMÁTICA
La dependencia que tienen actualmente los negocios de las tecnologías de la
información obliga a la búsqueda de métodos, técnica y medios que ayuden a
mantener la seguridad del funcionamiento correcto de los sistemas de
información utilizados de tales tecnologías.
La seguridad de los sistemas de información se apoya principalmente en tres
conceptos: disponibilidad, integridad y confidencialidad, que para mantenerlos
en un nivel aceptable es necesario dedicar recursos y normalmente
presupuesto económico, lo que convierte al mantenimiento de la seguridad en
una tarea de gestión.
En la primera parte del presente fascículo se definen algunos conceptos
utilizados en la seguridad de los sistemas de información, se detallan algunos
mecanismos que ayudan a mantener la seguridad y por ultimo se detalla la
importancia del análisis de riesgo .en la seguridad informática; en la segunda
parte se detalla las fases de una auditoria de seguridad informática, se detalla
también la importancia de la seguridad física y lógica y los aspectos que
AUDITORIA INFORMÁTICA Y DE SISTEMAS
65
debemos tener en cuenta en relación con las otras áreas de las tecnologías de
información, como el desarrollo de sistemas de información, redes,
comunicaciones, etc.
Al finalizar el estudio del presente fascículo el estudiante:
Conocerá los conceptos básicos de la seguridad informática.
Conocer los procedimientos de auditoría de la seguridad.
Conocer las áreas que cubre la auditoría de la seguridad.
Conocer y comprender la evaluación de riesgos.
Conocer las fases de la auditoria de la seguridad.
Conocer la auditoría de la seguridad en comunicación y redes.
4.1 FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA
La creciente dependencia de las empresas, y de la
sociedad en general, de las tecnologías de la
información y las comunicaciones, así como el
entorno cada vez más complejo en que estas se
desarrollan, ha provocado la aparición de
vulnerabilidades en los recursos utilizados, que deben
minimizar con las medidas de seguridad oportunas.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
66
4.1.1 ¿QUÉ ES LA SEGURIDAD INFORMATICA?
La seguridad informática, generalmente consiste en asegurar que los
recursos del sistema de información (material informático o programas) de
una organización sean utilizados de la manera que se decidió.
La seguridad informática busca la protección contra los riesgos liados a la
informática. Los riesgos son en función de varios elementos:
Las amenazas que pesan sobre los activos a proteger.
Las vulnerabilidades de estos activos.
Su sensibilidad, la cual es la conjunción de diferentes factores: la
confidencialidad, disponibilidad o accesibilidad.
4.1.2 SEGURIDAD DE LA INFORMACIÓN
Los datos y la información son los activos más estratégicos y valiosos
relacionados con los SI y el uso de las TI.
Según la ISO:
“Es la preservación de la confidencialidad, integridad y disponibi lidad de la
información; además, otras propiedades como autenticidad, no repudio y
fiabilidad pueden ser también consideradas” según [ISO/IEC 27002:2005].
4.1.3 COMPONENTES DE LA SEGURIDAD INFORMÁTICA
En diversas iniciativas internacionales, incluidas las emprendidas por la
organización ISO (Internaciontal Estándar Organization) con sus guías, se
han clarificado los componentes fundamenta les de la seguridad desde la
perspectiva de la modelización. Así se distinguen: los activos, las
amenazas, las vulnerabilidades, los riesgos, los impactos y las
salvaguardas.
A. ACTIVO DE INFORMACIÓN
En relación con la seguridad de la información, se refiere a cualquier
información o sistema relacionado con el tratamiento de la misma
información o sistema relacionado con el tratamiento de la misma que tenga
AUDITORIA INFORMÁTICA Y DE SISTEMAS
67
valor para la organización. Según [ISO/EC 13335-1:2004]: cualquier cosa
que tiene valor para la organización.
Ejemplo: Ficha Medica de un paciente
B. RIESGO
Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad
para causar una perdida o daño en un activo de información. Según [ISO
Guía 73:2002]: combinación de la posibilidad de un evento y sus
consecuencias.
C. AMENAZA
Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no
deseado, el cual puede causar el daño a un sistema o la organización.
D. VULNERABILIDAD
Debilidad en la seguridad de la información de una organización que
potencialmente permite que una amenaza afecte a un activo. Según
[ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que
puede ser explotado por una amenaza.
E. IMPACTO
El impacto es la medida del daño producido a la organización por un
incidente posible. Se centra sobre los activos y por tanto puede medirse
económicamente.
F. CONTROL
Las política, procedimientos, las practica y las estructuras organizativas
concebidas para mantener los riesgos de seguridad de la información por
debajo del nivel de riesgo asumido.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
68
G. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
(SCSI)
(Ingles:ISMS)Sistema de gestión de la seguridad de la información.
Según [ISO/IEC 27001:2005]: la parte de un sistema global de gestión que,
basado en el análisis de riesgos, establece, implementa, opera, monitores,
revisa, mantiene y mejora la seguridad de la información.
4.1.4 ¿QUE ES C-I-A?
Son los principios de seguridad, que en general se suele decir que son los
tres objetivos fundamentales de la seguridad informática:
CONFIDENCIALIDAD
(Ingles:Confidenciality). Acceso a la información por parte únicamente de
quienes estén autorizados. Según [ISO/IEC 13335-
1:2004]:”característica/propiedad por la información no esta disponible o
revelada a individuos, entidades, o procesos no autorizados.
INTEGRIDAD
(Ingles: Integrity). Mantenimiento de la exactitud y completitud de la
información y sus métodos de proceso. Según [ ISO/IEC 13335-1:2004]:
propiedad/característica de salvaguardar la exactitud y completitud de
los activos.
DISPONIBILIDAD
(Ingles: Availability). Acceso a la información y los sistemas de
tratamiento de la misma por parte de los usuarios autorizados cuando lo
requieran. Según [ISO/IEC 13335-1:2004]: característica o propiedad de
permanecer accesible y disponible para su uso cuando lo requiera una
entidad autorizada.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
69
Figura 4.1: Triangulo ID
4.1.5 EL ANÁLISIS Y LA GESTIÓN DE RIESGOS
El análisis y gestión de riesgos es un método formal para investigar los riesgos
de un sistema de información y recomendar las medidas apropiadas que
deberían adoptarse para controlar estos riesgos. A su ves es una salvaguarda
preventiva que intenta buscar ordenadamente otras salvaguardas para proteger
el sistema de información.
El análisis de riesgos introduce un enfoque riguroso y consecuente para la
investigación de los factores que contribuyen a los riesgos. En general implica
la evaluación del impacto que una violación de la seguridad tendría en las
empresas; señala los riegos existentes, identificando las amenazas que afectan
al sistema informático: y la determinación de las vulnerabilidades del sistema a
dichas amenazas. Su objetivo es proporcionar una medida de las posibles
amenazas y vulnerabilidades del sistema de manera que los medios de
seguridad puedan ser seleccionados y distribuidos eficazmente para reducir al
mínimo las posibles perdidas.
La gestión de riesgos es un proceso separado que utiliza los resultados de la
análisis de riesgos para seleccionar e implantar las medidas de seguridad
(salvaguardas) adecuadas para controlar los riesgos identificados.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
70
4.2 AUDITORIA DE SEGURIDAD INFORMÁTICA
Para muchos, la seguridad sigue siendo el área principal a auditar. En algunas
entidades, se creó inicialmente la función de auditoria informática para revisar
la seguridad, aunque después hayan ido ampliando los objetivos.
Puede haber seguridad sin auditoria, puede existir auditoria de otras áreas y
queda un espacio de encuentro: la auditoria de la seguridad, pudiendo ésta
área ser mayor o menor según la entidad y el momento.
Figura 4.2: Encuentro entre seguridad y auditoria
4.2.1 MODELOS DE SEGURIDAD
Deben evaluarse si están en consonancia con las nuevas arquitecturas, las
distintas plataformas y las posibilidades de las comunicaciones. No se puede
auditar con conceptos, técnicas o recomendaciones de hace algunos años.
4.2.2 JUSTIFICACIÓN DE LA AUDITORIA
Tanto la normativa como la auditoria son necesarias:
una auditoría no basada en políticas de la entidad auditada sería
subjetiva y hasta peligrosa
la existencia de normatividad sin auditoría sería equivalente a la no
existencia de policía de tránsito
Grupos de Controles
Además de poderlos dividir en controles manuales y automáticos, o en
controles generales y de aplicación, los dividimos en:
AUDITORIA INFORMÁTICA Y DE SISTEMAS
71
Controles directivos, establecen las bases, como las políticas, o la
creación de comités relaciones o de funciones: de administración de
seguridad o auditoría de sistemas de información interna.
Controles preventivos, antes del hecho, como la identificación de las
visitas (seguridad física) o las contraseñas (seguridad lógica).
Controles de detección, como determinadas revisiones de accesos
producidos o la detección de incendios.
Controles correctivos, para rectificar errores, negligencias o acciones
intencionadas, como la recuperación de un archivo dañado a partir de
una copia.
Controles de recuperación, que facilitan la vuelta a la normalidad
después de accidentes o contingencias, como puede ser un plan de
continuidad adecuado.
Objetivos de Control respecto de la seguridad
Son las declaraciones sobre el resultado final deseado o propósito general a
ser alcanzado mediante las protecciones y los procedimientos de control.
Cada entidad ha de definir sus propios objetivos de control en cuanto a
seguridad y otras áreas, y crear y mantener un Sistema de Control Interno que
pueda garantizar que se cumplan los objetivos de control.
Los auditores son “los ojos y oídos” de la Dirección, que a menudo no puede o
no debe, o no sabe como realizar las verificaciones o evaluaciones.
En los informes se recomendará la implantación o refuerzo de controles, y en
algunos casos incluso la supresión de algún control, si resulta redundante o ya
no es necesario.
El Sistema de Control Interno ha de basarse en las políticas y se implanta con
el apoyo de herramientas.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
72
A menudo encontramos en las auditorías que existe la implantación parcial de
controles de acceso lógico a través de paquetes o sistemas basada en el
criterio de los técnicos y no de la normativa, o bien habiendo partido ésta de los
técnicos sin aprobaciones de otro nivel
En realidad, el control interno no esta generalizado fuera de los procesos que
implican gastos, sin embargo existen riesgos tan importantes o más que las
pérdidas monetarias directas, relacionados con la gestión adecuada de los
recursos informáticos o con la propia protección de la información, que podrían
suponer pérdidas muy importantes para la entidad
Cuando existe un sistema de control interno adecuado, los procesos de
auditoría, especialmente si son periódicos, son revisiones necesarias pero más
rápidas, con informes más breves
En cambio, si el sistema de control interno es débil, la auditoría llevará más
tiempo y esfuerzo, su coste será mayor, y las garantías de que se pongan en
marcha las recomendaciones son mucho menores. Podríamos hacer una
analogía con la situación de un paciente que se somete a un chequeo luego de
varios años sin control
4.2.3 ÁREAS QUE PUEDE CUBRIR LA AUDITORÍA DE LA SEGURIDAD
Los controles directivos, es decir, los fundamentos de la seguridad: políticas,
planes, funciones, existencia y funcionamiento de algún comité relacionado,
objetivos de control, presupuesto, así como métodos de evaluación periódica
de riesgos.
El desarrollo de las políticas: procedimientos, posibles estándares, normas y
guías, sin ser suficiente que existan estas últimas.
El marco jurídico aplicable, así como las regulaciones o los requerimientos
aplicables a cada entidad. Otro aspecto es el cumplimiento de los contratos
Amenazas físicas externas: inundaciones, incendios, explosiones, cortes de
líneas o de suministros, terremotos, terrorismo, huelgas...
Control de accesos adecuado, tanto físicos como lógicos, para que cada
usuario pueda acceder a los recursos a que esta autorizado y realice sólo las
funciones permitidas y quedando las pistas necesarias para control y auditoría,
AUDITORIA INFORMÁTICA Y DE SISTEMAS
73
tanto de los accesos producidos al menos a los recursos más críticos como los
intentos en determinados casos.
Protección de datos: lo que fije la LOPD en cuanto a los datos de carácter
personal bajo tratamiento automatizado, y otros controles en cuanto a los datos
en general, según la clasificación que exista, la designación de propietarios y
los riesgos a que estén sometidos.
Comunicaciones y redes: topología y tipo de comunicaciones, posible uso
cifrado, protecciones ante virus, éstas también en sistemas aislados aunque el
impacto será menor que en una red
El entorno de producción, entendiendo como tal la explotación más técnica de
sistemas, y con especial énfasis en los elementos de contratos en lo que se
refiere a protecciones, tanto cuando se refiera a terceros cuando se trata de
una entidad que presta servicios, como el servicio recibido de otros, y de forma
especial en el caso de subcontratación total o outsourcing.
El desarrollo de aplicaciones en un entorno seguro, y que se incorporen
controles en los productos desarrollados y que éstos resulten auditables y
también la continuidad de las operaciones.
Éstas áreas, casi todas tienen puntos de enlace y partes comunes:
comunicaciones con control de acceso, cifrado con comunicaciones y soportes,
datos con soportes y con comunicaciones, explotación con varias de ellas, y así
en otros casos.
4.2.4 EVALUACIÓN DE RIESGOS
Se trata de identificar los riesgos. Cuantificar su probabilidad e impacto, y
analizar medidas de que los eliminen o que disminuyan la probabilidad de su
ocurrencia o mitigar su impacto.
Para evaluar estos riesgos haya que considerar, entre otros factores:
El tipo de información almacenada, procesada y transmitida
La criticidad de las aplicaciones
La tecnología usada
El marco legal aplicable
El sector de la entidad, la entidad misma y el momento
AUDITORIA INFORMÁTICA Y DE SISTEMAS
74
Es necesario revisar si se han considerado amenazas, y de todo tipo:
Errores y negligencias en general.
Desastres naturales
Fallos de instalaciones
Fraudes o delitos
Y que puedan traducirse en daños a:
Personas
Datos
Programas
Redes
Instalaciones
Debemos pensar que las medidas deben considerarse como inversiones en
seguridad, y transmitir a los auditores que a demás tiene un impacto favorable
en la imagen de las entidades. La protección no ha de basarse en sólo en
dispositivos y medios físicos, sino en formación e información adecuada al
personal, empezando por la mentalización a los directivos.
El factor humano es el principal a considerar.
Es necesaria una separación de funciones: es peligroso que una misma
persona realice una transacción, la autorice y revise después los resultados,
porque podría planificar un fraude o encubrir cualquier anomalía, y sobre todo
equivocarse y no detectarse.
Una vez identificados y medidos los riesgos, lo mejor seria poder eliminarlos.
Si la entidad auditada está en medio de un proceso de implantación de la
seguridad, la evaluación se centrará en los objetivos, los planes, que proyectos
hay en curso y los medios usados o previstos.
En la auditoria externa se trata de saber si la entidad, a través de funciones
como administración de la seguridad, auditoria interna, ha evaluado de forma
adecuada los riesgos.
Al hablar de seguridad de seguridad se habla de sus tres dimensiones clásicas:
confidencialidad, integridad, y disponibilidad de la información.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
75
Confidencialidad.- se cumple cuando solo las personas autorizadas,
pueden conocer los datos o la información correspondiente.
La integridad.- consiste en que solo los usuarios autorizados puedan
variar (modificar o borrar) los datos, deben quedar pistas para control
posterior de auditoria.
La disponibilidad.- se alcanza si las personal autorizadas pueden
acceder a la información a la que estén autorizadas.
4.2.5 FASES DE LA AUDITORIA DE SEGURIDAD
Con carácter general para una auditoria informática pueden ser:
Concreción de los objetivos y del alcance y profundidad de la
auditoria.
Análisis de posibles fuentes y recopilación de información: en el caso
de los internos este proceso puede no existir.
Determinación del plan de trabajo y de los recursos y plazos.
Adaptación de cuestionarios y a veces consideración de
herramientas
Realización de entrevistas y pruebas
Análisis de resultados y valoración de riesgos
Presentación y discusión del informe provisional
Informe definitivo
4.2.6 AUDITORIA DE LA SEGURIDAD FÍSICA
Se evaluaran las protecciones físicas de datos, programas, instalaciones,
equipos, redes y soportes y por supuesto las personas.
Las amenazas son muy diversas: sabotaje, vandalismo, terrorismo, accidentes
de distinto tipo, incendios inundaciones, averías importantes, derrumbamientos,
explosiones, axial como otros que afecten a las personas y puedan impactar el
funcionamiento de los centros, tales como errores, negligencias, etc.
Desde la perspectiva de las protecciones físicas algunos aspectos a considerar
son:
AUDITORIA INFORMÁTICA Y DE SISTEMAS
76
Ubicación del Centro de procesamiento de datos, de los servidores
locales, y de cualquier elemento a proteger, como también los
terminales.
Estructura, diseño, construcción y distribución de los edificios.
Riesgos a los que están expuestos, tanto por agentes externos,
causales o no, como por acceso físico no controlados.
Amenazas de fuego, riesgo por agua, problemas en el suministro
eléctrico.
A demás del acceso, debe controlarse el contenido de carteras,
paquetes, bolsas o cajas.
Se evaluaran las protecciones físicas de datos, programas, instalaciones,
equipos, redes y soportes y por supuesto las personas.
Protección de los soportes magnéticos en cuanto a acceso, almacenamiento y
posible transporte, a demás de otras protecciones no físicas, todo bajo unos
sistemas de inventario, así como de documentos impresos y de cualquier tipo
de información clasificada.
4.2.7 AUDITORÍA DE LA SEGURIDAD LÓGICA
Es necesario verificar que cada usuario solo pueda accedes a los recursos que
el propietario lo autorice. (disco, aplicación, BD, librería de programa, tipo de
transacción, programas). Así como (lectura, modificación, borrado, ejecución).
Revisar como se identifican, autentifican los usuarios, así como quien los
autoriza y como; además de verificar quien se entera, cuando y que se hace
cuando ocurre una transgresión.
El método más utilizado es la contraseña, consideraciones:
Quien asigna la contraseña: inicial y sucesivas.
Longitud mínima y composición de caracteres.
Vigencia.
Numero de intentos que se permiten al usuario.
Si las contraseñas están cifradas y bajo que sistema.
Protección y cambio de contraseñas iniciales.
Controles existentes para evitar detectar caballos de Troya.
La no-cesión y el uso individual y responsable a partir de la normativa
AUDITORIA INFORMÁTICA Y DE SISTEMAS
77
Cuando se cuenta con distintos sistemas los cuales requieren identificación.
Los usuarios pueden tener las mismas contraseñas, lo cual supone una
vulnerabilidad si la protección es desigual. Lo más adecuado es utilizar
sistemas de autentificación únicos.
Debemos verificar que el proceso de alta es realizado según la normativa en
vigor, así como las variaciones y bajas, y que los usuarios siguen activos y
cuales inactivos y porque.
Otra debilidad es si pueden crearse situaciones de bloqueo. Porque solo existe
un administrador. Se recomienda la existencia de algún usuario no asignado
con perfil especial y contraseña protegida que puedan ser utilizadas en caso de
emergencia. Todas las operaciones deberán quedar registradas para control y
auditorias
4.2.8 AUDITORÍA DE LA SEGURIDAD Y EL DESARROLLO DE
APLICACIONES
Todos desarrollo debe estar autorizado a distinto nivel según la importancia e
incluso autorizadas por un comité si los costes o los riesgos superan unos
umbrales
Se revisara la participación de usuarios y auditores internos, a que librerías
puedan acceder, si hay separación suficiente de entornos, metodologías, ciclo
de vida, gestión de proyectos, consideraciones especiales respecto a
aplicaciones que traten datos clasificados o tengan transacciones económicas
o de riesgo especial, términos de contrato y cumplimiento, selección y uso de
paquetes, pruebas a distinto nivel, mantenimiento posterior, así como
desarrollo de usuarios final.
El pase al entorno de explotación real, debe estar controlado, no
descartándose la revisión del programa. Para descartar caballos de Troya,
bombas lógicas y similares además de la calidad. Protección de los programas,
(propios, y las que tienen licencias).
4.2.9 AUDITORÍA DE LA SEGURIDAD EN EL ÁREA DE PRODUCCIÓN
AUDITORIA INFORMÁTICA Y DE SISTEMAS
78
Las entidades han de cuidar especialmente las medias de protección en caso
de contrataciones de servicios: (Impresiones de etiquetas, outsourcing, etc.),
sin destacar que en el contrato se prevea la revisión por los auditores internos
o externos de las instalaciones de la entidad que prevé el servicio.
Debe revisarse la protección de uti lidades o programas especialmente
peligrosos, así como el control de la generación y cambios posteriores de todo
el software del sistema y de forma especial el de control de acceso.
Revisar el control de formularios críticos, control de problemas y cambios y la
calidad.
4.2.10 AUDITORÍA DE LA SEGURIDAD DE LOS DATOS
La protección de los datos pueden tener barios enfoques.
Confidencialidad. Como datos médicos.
Disponibilidad. Si se pierden o pueden utilizarse a tiempo.
Integridad. Cuando su perdida no puede detectarse fácilmente o no
es fácil recuperarlo.
Controles en los diferentes ciclos de vida de los datos.
Desde el origen de datos, que puede ser dentro o fuera de la entidad
y puede incluir preparación, autorización, incorporación al sistema
Proceso de los Datos: controles de validación integridad,
almacenamiento: que existan copias suficientes, sincronizadas y
protegidas.
Salida de resultados: Controles en transmisiones, en impresoras, en
distribuciones, en servicios contratados de manipulación y en el
envió; conciliación previa de salidas con entradas por personas
diferentes. Para detectar errores y posibles intentos de fraudes
Retención de la información y Protección en función de su
clasificación: destrucción de los deferentes soportes que las
contengan cuando ya no sea necesario o bien des magnetización.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
79
Es necesaria la designación de propietarios, clasificación de los datos, e
incluso de muescas para poder detectar usos no autorizados, así como la
protección, controles y auditoria del SGBD.
En cuanto a la clasificación de datos o información debe revisarse quien la ha
realizado, según que criterio y estándares.(no suele ser práctico que haya más
de 4 o 5 niveles).
En aplicaciones Cliente-servidor es necesario verificar los controles en varios
puntos y no solo en la central. Y a veces en plataformas heterogenia con
niveles y características de seguridad muy diferentes.
También pueden usarse BD distribuidas, lo que puede añadir complejidad al
sistema y a los controles a establecer.
Si entra en los objetivos se analizara la destrucción de la información
clasificada sea física o lógica. Y donde se almacena la información antes de ser
destruido. Si son lógicas deben seguir un procedimiento adecuado y ser
sometidos a varias grabaciones antes de ser uti lizados.
En el caso necesario de transporte debe ser por canales seguros cifrados o en
compartimiento cerrados sin que el transportista tenga las llaves
4.2.11 AUDITORÍA DE LA SEGURIDAD EN LAS COMUNICACIONES Y
REDES
En las políticas de la entidad debe reconocerse que los sistemas, redes y
mensajes son propiedad de la entidad y no deben utilizarse para otros fines no
autorizados, salvo emergencias.
En habrá previsto en uso de cifrado. Se evaluara y se llegará a recomendar, y
se revisarán la generación, longitud, almacenamiento y vigencia de las claves,
especialmente de las maestras.
Cada usuario solo debe recibir en el menú lo que pueda seleccionar. Y cargar
únicamente los programas autorizados. Siendo los técnicos autorizados los
únicos que podrán modificar las configuraciones.
Deben existir protección de distinto tipo, así como detecciones de accesos no
autorizados (externas o internas), y frente a virus por diferentes vías de
infección.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
80
Se revisaran las redes cuando existan repercusiones económicas
(transferencias de fondos o correo electrónico).
Puntos complementarios:
Tipo de redes y conexiones.
Información de programas transmitidos, y uso de cifrado.
Tipo de transacciones.
Tipo de terminales y protección: física, lógica, llamadas de retorno.
Protección de conversaciones de voz en caso necesario.
Protección de transmisiones por fax si el contenido esta clasificado.
Consideraciones especiales a través de gateway y routers.
Internet e Intranet.
Separación de dominios y medidas de control especiales como normas y
cortafuegos.
El correo Electrónico. Tanto por privacidad y para evitar virus como para
que el uso del correo sea adecuado y referido a la propia función y no
para fines personales.
Protección de programas. El uso no adecuado de programas
propietarios o de los que tengan licencia.
El control sobre las páginas Web. Quien puede modificarlos y desde
donde. Para evitar la publicidad acerca de seguridad.
Es necesarios que queden registrados los accesos a la red para facilitar
los trabajos de control y auditorias.
4.2.12 AUDITORÍA DE LA CONTINUIDAD DE LAS OPERACIONES
Es uno de los puntos que nunca se deberá pasa por alto, estamos hablando de
los planes de contingencia, no vasta con ver los manuales sino que es
imprescindible ver si funciona con las garantías necesarias y cubrir los
requerimientos de tiempos allí denominados.
Se debe evaluar su idoneidad así como los resultados de las pruebas que se
han realizados, si las revisiones no nos aportan garantía suficientes debemos
sugerir pruebas complementarios o hacerlo constar en el informe e incluso
indicarlos en el apartado de limitaciones.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
81
Es fundamental la existencia de copias actualizadas de recursos vitales en un
lugar distante y de consideración adecuada tanto física como de protección.
No debe existir copia del plan fuera de las inhalaciones primarias
En caso de los sistemas distribuidos es necesario conocer el características del
centro o sistemas alternativos y deben revisarse si la capacidad de proceso, la
de comunicación y la de almacenamiento del sistema del sistema alternativo
sean suficientes, así como las medidas de protección.
4.2.13 REGULACIÓN DE AUDITORÍA CON ADMINISTRACIÓN DE
SEGURIDAD
• La función de Administración de seguridad en parte será interlocutora en los
procesos de auditoría de seguridad, si bien los auditores no podemos
perder nuestra necesaria independencia, ya que podemos evaluar el
desempeño de la función de administración de seguridad, desde si sus
funciones son adecuadas y están respaldadas por algún documento
aprobado a nivel suficiente, hasta el cumplimiento de esas funciones si no
hay conflicto con otras.
• La función de auditoría de sistemas de información y de la administración
de seguridad pueden ser complementarias, si bien sin perder su
independencia: se trata de funciones que contribuyen a una mayor y mejor
protección, y resulta como anillos protectores, como se muestra en la figura:
4.3 CONCLUSIONES
• Se espera que siga la tendencia y las entidades vayan entendiendo cada
vez más la utilidad de la protección de información y de la auditoría.
• También es cierto que han surgido bastantes entidades suministradoras
que han incluido la seguridad y la auditoría entre sus posibles servicios o
simplemente han aceptado trabajos, en ambos casos sin disponer de
expertos.
• Por otra parte hemos podido verificar que la auditoría de la seguridad
informática, su filosofía, así como sus técnicas y métodos, interesan
cada vez más a los responsables de sistemas de información, a veces
AUDITORIA INFORMÁTICA Y DE SISTEMAS
82
para conocer como pueden evaluar los auditores sus áreas, por a
menudo saber cuales pueden ser los riesgos y que controles implantar.
ACTIVIDAD 01: Definiendo los Activos de Información de la Organización
Utilice los siguientes formatos para documentar los activos de información de
su organización. a) Defina un activo de información en algún proceso de su organización e
identifique al (los) propietario (s)
Perfil de Activo de Información
Nombre del Activo de
Información
Fecha de Creación
Versión
Definido por:
Descripción del
Activo de información
Propietarios del Activo de Información
AUDITORIA INFORMÁTICA Y DE SISTEMAS
83
b) Identifique los medios de almacenamiento del Activo de información
Perfil de Activo de Información
Nombre del Activo de Información
Fecha de Creación
Versión
Medios de Almacenamiento
Sistemas y Aplicaciones
Aplicaciones
Sistemas Operativos
Hardware
Servidores
Redes
PC y Otros
Personas
Funcionarios de Negocios
Personal Técnico
Otros
Otros Medios
Ubicación Física
Papeles
Otros lugares
AUDITORIA INFORMÁTICA Y DE SISTEMAS
84
c) Defina los requerimientos de seguridad para los activos de información
identificados
Perfil de Activo de Información
Nombre del Activo de
Información
Fecha de Creación
Versión
Requerimientos de Seguridad
Confidencialidad
Integridad
Disponibilidad
AUDITORIA INFORMÁTICA Y DE SISTEMAS
85
d) Determine el valor para su organización del Activo de información
Perfil de Activo de Información
Nombre del Activo de Información
Fecha de
Creación
Versión
Valuación del Activo de Información
e) De las fichas anteriores, elaborar un resumen del inventario de activos de información que se encontró según el formato siguiente:
AUDITORIA INFORMÁTICA Y DE SISTEMAS
86
Inventario de Activos de Información
Preparado por: Fecha
Revisado y Aprobado por: Fecha
Requerimientos de Seguridad
Tipo de
Activo
Descripción
del Activo
Proceso de
Negocio
Fecha
Creación Propietario
Medios de
Almacenamiento Confidencialidad Integridad Disponibilidad
Valor de Activo de
Información
Información Información de los clientes
Comercialización 12/03/2005 Gerente
Comercial
Sis tema Comercial (ERP) Reportes de
Clientes
La información
debe ser accedida sólo por personal
de ventas, facturación e almacén. Cualquier
otro requerimiento de acceso debe ser autorizado por el Gerente Comercial .
Se requiere que la
información sea exacta y completa.
Los sistemas que manejan dicha información deben
tener procedimientos y mecanismos de validación.
Como parte del
proceso de facturación se
requiere que la información se encuentre disponible
durante 12 horas del día de lunes a viernes .
La información de
los clientes es de vi tal importancia
para el negocio. El acceso no autorizado podría ocasionar que
la empresas competidoras los contacten y perdamos ventaja
competi tiva .
Hardware Servidor de Correo Electrónico
Comunicación interna y externa
10/03/2005 Jefe de Infraestructura
Data Center No aplicable No aplicable Se requiere que el activo se encuentre disponible 24x7x365.
Daños o inhabili tación del servidor ocasionaría
fal ta de comunicaciones
AUDITORIA INFORMÁTICA Y DE SISTEMAS
87
La seguridad sigue siendo el área más importante a auditar, la importancia de
la información especialmente relacionada con los sistemas basadas en el uso
de la tecnología de la información y comunicaciones, tienen un impacto mayor
que hace unos años, de ahí las necesidades de protecciones adecuadas que
se evalúan y recomiendan en la auditoría de seguridad.
Los grandes grupos de control son los siguientes: controles directivos,
controles preventivos controles de detección, controles correctivos, controles
de recuperación.
Cada entidad ha definir sus propios objetivos de control en cuanto a seguridad
de otras áreas y crear y mantener un sistema de control interno (funciones,
procesos, actividades, dispositivos...) que puedan garantizar que se cumplen
los objetivos de control. El sistema de control interno ha de basarse en las
políticas y se implanta con apoyo de herramientas, lo que encontramos a
menudo en las auditorías que lo que existe es más bien la implantación
parcial de control de acceso lógico a través de paquetes o sistemas basados
en el criterio de los técnicos pero no sustentadas en normativa.
Desde la perspectiva de la auditoría de la seguridad es necesario revisar si se
han considerado las amenazas, o bien evaluarlas si es el objetivo, y de todo
tipo; errores y negligencias en general desastres naturales, fallos de
instalaciones, o bien fraudes o delitos y que pueden traducirse en fallos a
personas, datos, programas redes instalaciones y otros activos. En auditoría
de seguridad física se evaluarán las protecciones físicas de datos, programas ,
instalaciones , equipos redes, y soportes y por supuesto habrá que considerar
a las personas que estén protegidas y existan medidas de evacuación,
alarmas , salidas alternativas así como que no estén expuestas a riesgos
superiores a los considerando admisibles en la entidad. Las amenazas pueden
ser sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios
inundaciones , averías importantes derrumbamientos , explosiones , así como
AUDITORIA INFORMÁTICA Y DE SISTEMAS
88
otros que afectan a las personas y pueden impactar el funcionamiento de los
centros tales como errores, negligencias , huelgas epidemias o intoxicaciones.
En las políticas de la entidad debe reconocerse que los sistemas, redes y
mensajes transmitidos y procesados son de propiedad de la entidad y no deben
usarse para otros fines no autorizados por seguridad y por productividad, tal
vez salvo emergencias concretas si así se han especificado.
En el informe se hacen constar los antecedentes y los objetivos, para que
quiénes lean el informe puedan fijarse que ha habido una comunicación
adecuada así como que metodología de evaluación de riesgos y estándares
se han utilizado.
Littlejhon Shider, Debra, “Superutilidades y detección de Delitos
Informáticos”, Edit. Anaya, 1era. Edición, 2003.
Jones J., Keith, “Superutilidades Hackers “, Edit. Mc.Graw Hill, 1era.
Edición, 2003.
Cougias,Dorian/E.L. Heiberg, “Herramientas de Protección y
Recuperación de Datos”, Edit. Anaya, 1era. Edición, 2004
Solís Montes, Gustavo Adolfo, “Reingeniería de la Auditoria”, Edit.
Trillas, 1ra. Edición. 2002.
Piattini Mario G., ”Auditoria Informática”. Edit. AlfaOmega, 2da.
Edición 2001.
Echenique GARCIA, José Antonio, “Auditoria en Informática”, Edit.
Mc. Graw Hill, 2da. Edición, 2001.
Radlow J. “Informática y computadoras en la sociedad”, Edit. Mc.
Graw Hill. 1ra. Edición 2001.
INEI, “Auditoria de Sistemas”, Edición 2002
COBIT versión 4.0 , ”Manual de Objetivos de Control” de ISACA,.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
89
En el siguiente fascículo se desarrolla los puntos importantes de una auditoria
de base de datos, así como también su importancia para iniciar una auditoria
de las aplicaciones que la utilizan.
1. La seguridad de la información en Perú, situación ¿se conocen
realmente riesgos? Perspectivas.
2. El perfil del auditor en seguridad del sistema de información.
3. Estándares para la auditoria de la seguridad.
4. La comunicación a auditados y el factor sorpresa en auditorias de
seguridad.
5. ¿Qué debe hacer el auditor si le pide que omita o varié algún punto en
su informe?
6. Auditoria de la seguridad en las próximas décadas: nuevos riesgos,
técnicas y herramientas.
7. Equilibrio entre seguridad, calidad y productividad.
8. ¿Qué es mas critico: datos, personas, comunicaciones,
instalaciones,…?
9. Relaciones entre Administración de Seguridad y Auditoria de sistemas
de información interna y externa.
10. Calculo de la rentabilidad de la auditoria de seguridad informática.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
90
UNIDAD ACADÉMICA V
AUDITORIA DE BASE DE DATOS Y APLICACIONES
Las aplicaciones o sistemas de información son uno de los “productos finales”
que genera la infraestructura de TI en las organizaciones y por ende son el
aspecto de mayor visibilidad desde la perspectiva de negocio.
Los errores o las deficiencias de control en las aplicaciones y por ende en las
bases de datos en las cuales se trabajan, tienen un impacto directo en los
intereses de las empresas, ya sea económico, de eficiencia, de imagen, de
cumplimiento legal normativo, etc.
En el presente fascículo se presentara en primer lugar las metodologías para
una auditoria de Base de Datos, debido a la importancia como punto de
partida para una auditoria de aplicaciones, para luego detalla r una metodología
completa para realizar una auditoria de aplicaciones.
Al finalizar el estudio del presente fascículo el estudiante:
Conocer la gran difusión de los SGBD como uno de los recursos
fundamentales de las empresas.
Conocer las diferentes metodologías que se utilizan para la auditoria de
Base de Datos.
Entender la importancia de planificar, preparar y realizar auditorias de
aplicaciones en funcionamiento en cuanto al grado del cumplimiento de los
objetivos para los que las mismas fueron creados.
Conocer la problemática que afronta la utilización de una aplicación
informática y las medidas tendentes a solucionarlas.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
91
Conocer las herramientas utilizadas dentro de una auditoria de una
aplicación así como sus requisitos y consejos para poder utilizarlos
efectivamente.
Conocer las diversas etapas de la auditoria de una aplicación informática y
lo necesario para realizarla.
5.1 AUDITORIA DE BASE DE DATOS
La gran difusión de los sistemas de gestión
de base de datos (SGBD), junto con la
consagración de los datos como uno de los
recursos fundamentales de las empresas,
han hecho que los temas relativos a su
control interno y auditoria cobren, cada día,
mayor interés.
Como ya se ha comentado, normalmente la
auditoria informática se aplica de dos formas distintas; por un lado, se auditan
las principales áreas del departamento de informática: explotación, dirección,
metodología de desarrollo, sistema operativo, etc. y por otro se auditan las
aplicaciones que funcionan en la empresa. La importancia de la auditoria del
entorno de base de datos radica en que es el punto de partida para poder
realizar la auditoria de aplicaciones que utiliza esta tecnología.
Los Sistemas de Gestión de Bases de Datos proveen mecanismos que
garantizan la seguridad, consistencia y reglas de integridad. Es de gran
importancia par el auditor de sistemas, conocerlos y apoyarse en ellos para
verificar el ambiente de control establecido en la instalación.
5.1.1 ¿QUÉ ES UNA AUDITORIA DE BASE DE DATOS?
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar
los accesos a la información almacenada en las bases de datos incluyendo la
capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
92
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue la sentencia del acceso a la base de datos.
Es uno de los procesos fundamentales para apoyar la responsabilidad
delegada a TI (Tecnologías de Información) por la organización frente a las
regulaciones y su entorno de negocios o actividad.
Características:
Debe ser independiente de las aplicaciones.
Es una auditoria selectiva.
La auditoria de Base de Datos tiene como ámbito posible lo que
ocurre dentro del gestor y por tanto no puede dar razón de lo que
ocurra fuera.
La auditoria depende de la tecnología del gestor de base de datos.
5.1.2 OBJETIVOS DE LA AUDITORIA DE BASE DE DATOS
Es obtener información de las operaciones que cada usuario realiza sobre los
objetos de una Base de Datos. Así como también, disponer de mecanismos
que permitan tener trazas de auditoria completas y automáticas relacionadas
con el acceso a las bases de datos incluyendo la capacidad de generar alertas
con el objetivo de: Apoyar el cumplimiento regulatorio, mitigar los riesgos
asociados con el manejo inadecuado de los datos y satisfacer los
requerimientos de los auditores.
5.1.3 NIVELES DE AUDITORIA DE BASE DE DATOS
A. Agregada: son estadísticas sobre el número de operaciones realizadas
sobre un objeto de BD, por cada usuario. Como cualquier estadística, su
medida puede hacerse con técnicas censales o muéstrales.
Censal: El gestor toma datos de todas las operaciones que reciben el
gestor, esto se ejecutara en paralelo a las operaciones auditadas.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
93
Muestral: Periódicamente se toman datos de las operaciones que se
tienen en ese momento por el gestor.
B. Detallado: Incluye todas las operaciones realizadas sobre cada objeto de la
base de datos.
Cambios: El contenido de los datos, debe contener los mismos datos
anteriores y posteriores a la operación de cambios.
Accesos: limitada a los cambios de acceso al contenido de los datos y
tiene dos niveles de detalle: operación (Sentencia SQL que se ejecutó) y
resultado (los datos que se usan en la sentencia SQL ejecutada).
Otros: Copias de seguridad y reconstrucción de estados.
Niveles de auditoria BD más utilizados:
• Reconstrucción a un punto en el tiempo.
• Backup, Restore y Recover
• Resultado de la operación de acceso.
• Operación acceso
• Cambio de estructura
• Cambio de Contenido
• Agregado muestral
• Agregado censal.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
94
Cuadro 5.1 Niveles de auditoria en los diferentes SGBD
5.1.4 METODOLOGÍAS PARA AUDITORIA DE BASE DE DATOS
Aunque existen distintas metodologías que se aplican en auditoria informática
(prácticamente cada firma o consultora de auditores y cada empresa desarrolla
la suya propia), se pueden agrupar en dos clases:
A. Metodología Tradicional: en este tipo de metodología el auditor revisa el
entorno de la base de datos con la ayuda de una lista de verificación
(checklist), que consta de una serie de cuestiones a verificar. Este tipo de
técnica suele ser aplicada a la auditoria de productos de bases de datos,
especificándose en la lista de control todos los aspectos a tener en cuenta.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
95
Figura 5.1: Ejemplo de checklist
B. Metodología de Evaluación de Riesgos: ROA (Risk Oriented Approach)
que es propuesto por ISACA basado en objetivos de control. Este tipo de
metodología inicia fijando los objetivos de control que minimizan los riesgos
potenciales a los que esta sometido el entorno.
Un objetivo de control puede llevar asociadas varias técnicas que permiten
cubrirlo en su totalidad. Estas técnicas pueden ser preventivas correctivas.
En caso de que los controles existan, se diseñan unas pruebas que
permiten verificar la consistencia de los mismos.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
96
Figura 5.2 Ciclo de vida de una Base de Datos
5.1.5 TÉCNICAS PARA AUDITORIA DE BD
Análisis de los caminos de acceso:
Con esta técnica se documentan el flujo, almacenamiento y
procesamiento de los datos en todas las fases por las que pasan desde
el momento en que se introducen, identificando los componentes del
sistema que atraviesan (tanto hardware como software) y los controles
asociados. Con este método el auditor puede identificar las debilidades
que expongan los datos a riesgos de integridad, confidencialidad y
seguridad, las distintas interfaces entre componentes y la compleción de
los controles.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
97
Figura 5.3: Análisis de los caminos de acceso.
Revisión de entorno de BD
Cuando el auditor, se encuentra el sistema en explotación, deberá
estudiar el SGBD y su entorno. El gran problema de las bases de datos
es que su entorno cada vez es más complejo y no puede limitarse solo al
propio SGBD. En la figura… se muestra un posible entorno de bases de
datos en el que aparecen los elementos más usuales.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
98
Figura 5.4.: Entorno de Base de Datos
5.1.6 ASPECTOS A TOMAR EN CUENTA EN UNA AUDITORIA DE BASE DE
DATOS
No se debe comprometer el desempeño de las base de datos:
soportar diferentes esquemas de auditoria
se debe tomar en cuenta el tamaño de las base de datos a auditar y
los posibles SAL establecidos.
Segregación de funciones: el sistema de auditoria de base de datos no
puede ser administrado por los DBA del área de IT.
Proveer valor a la operación del negocio:
información para auditoria y seguridad
Información para apoyar la toma de decisiones de la organización
Información para mejorar el desempeño de la organización
Auditoria completa y extensiva:
Cubrir gran cantidad de manejadores de base de datos
Estandarizar los reportes y de reglas de auditoria
AUDITORIA INFORMÁTICA Y DE SISTEMAS
99
5.1.7 PRACTICA DE AUDITORIA DE BASE DE DATOS
A continuación desarrollamos un ejercicio práctico, el cual muestra cómo usar
los triggers (procedimientos almacenados) para hacer un control de cambios
sobre una tabla. Esta tarea es muy común en muchas empresas o productos,
por lo cual es importante saber cómo hacerla., para esto necesitamos tener
instalado el gestor de base de datos del SQL Server 2000 como mínimo:
1. Planteamos el problema: Disponemos de una tabla ALUMNOS, la cual
nos piden que cada vez que alguien modifique un campo en especial
esto quede guardado en otra tabla; lo mismo si alguien borra registros.
2. Para empezar a trabajar crearemos primero la tabla en cuestión
”ALUMNOS”:
CREATE TABLE ALUMNOS
(CODIGO INT PRIMARY KEY,
NOMBRE VARCHAR (50),
APELLIDOS CHAR (60),
FECHA_INGRESO DATETIME DEFAULT GETDATE ()
)
3. Luego lo que haremos es insertar algunos registros para poderlo usar
luego en nuestro control.
DECLARE @N INT
SET @N = 1
WHILE @N < 250
BEGIN
INSERT INTO ALUMNOS VALUES (@N,'ANA' +
CONVERT(CHAR(4),@N),'GONZALES',GETDATE())
SET @N = @N + 1
END
4. La tabla Auditoria tendrá la siguiente estructura:
CREATE TABLE AUDITORIA_ALUMNOS (
CODIGO INT,
AUDITORIA INFORMÁTICA Y DE SISTEMAS
100
NOMBRE VARCHAR(50),
CUIT CHAR(15),
FECHA_INGRESO DATETIME,
USUARIO VARCHAR(100) DEFAULT SUSER_SNAME(),
FECHA_AUDITORIA DATETIME DEFAULT GETDATE(),
TIPO CHAR(1) CHECK (TIPO='U' OR TIPO='D')
5. Bien, ahora tenemos nuestra tabla ALUMNOS y nuestra tabla
AUDITORIA_ALUMNOS, lo que nos queda por hacer son los triggers,
para que cuando se borren o reemplacen registros en nuestra tabla
ALUMNOS, actualice la tabla AUDITORIA_ALUMNOS. El primer trigger
que haremos será el del DELETE; para que si alguien borra registros,
los datos de los mismos se pasen a la tabla de auditoria.
CREATE TRIGGER TR_ALUMNOS_BORRAR
ON CLIENTES FOR DELETE AS
INSERT INTO AUDITORIA_ALUMNOS
SELECT
CODIGO,
NOMBRE,
CUIT,
FECHA_INGRESO,
SUSER_SNAME(),
GETDATE(),D'
FROM DELETED
6. Ahora probaremos si lo que hemos hecho realmente funciona. Para
poder hacer esto no hay nada mejor que borrar registros; esto lo
haremos en 2 etapas: en la primera solo borraremos 1 registro, y en la
segunda borraremos 5 registros; veremos que en ambos casos el trigger
funciona.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
101
Primera Prueba:
Esto lo usamos solo para ver que registro vamos a eliminar.
SELECT * FROM ALUMNOS WHERE CODIGO=1
DELETE FROM ALUMNOS WHERE CODIGO=1
Aquí acabamos de borrar un registro.
SELECT * FROM AUDITORIA_ALUMNOS
Si todo salió bien, veremos en nuestra tabla AUDITORIA_ALUMNOS el
registro que se eliminó y los datos del usuario (conexión activa), y en
qué fecha se produjo la acción.
Segunda prueba:
SELECT TOP 5 * FROM ALUMNOS ORDER BY CODIGO DESC
Estos serán los registros que se va a eliminar.
DELETE ALUMNOS
FROM (
SELECT TOP 5 * FROM ALUMNOS ORDER BY CODIGO DESC) AS t1
WHERE ALUMNOS.CODIGO = t1.iD
Aquí acabo de borrar los registros.
SELECT * FROM AUDITORIA_ALUMNOS
Ahora veremos que en nuestra tabla AUDITORIA_ALUMNOS no solo
está el registro anterior sino estos cinco nuevos, o sea que nos da un
total de seis registros en la tabla de auditoria que se han borrado.
7. Ahora solo nos quedaría armar el otro trigger para cuando alguien haga
un Update sobre los registros.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
102
CREATE TRIGGER TR_ALUMNOS_ACTUALIZAR
ON ALUMNOS FOR UPDATE AS
INSERT INTO AUDITORIA_ALUMNOS
SELECT
D.CODIGO,
D.NOMBRE,
D.CUIT,
D.FECHA_INGRESO,
SUSER_SNAME(),
GETDATE(),'U'
FROM DELETED D
INNER JOIN INSERTED I
ON D.CODIGO = I.CODIGO
AND (D.NOMBRE <> I.NOMBRE OR D.CUIT <> I.CUIT)
Como verán, este trigger lo que hace es solo insertar en la tabla
AUDITORIA_ALUMNOS si hay algún cambio en el campo nombre ó
CUIT. Esto es así porque sino cada vez que alguien ejecute un Update
el trigger querrá insertar en la tabla AUDITORIA_ALUMNOS llenándola
de basura si realmente no se ha modificado nada.
UPDATE ALUMNOS SET NOMBRE='MAXI' WHERE CODIGO=100
UPDATE ALUMNOS SET NOMBRE='MAXI' WHERE CODIGO=100
UPDATE ALUMNOS SET NOMBRE='MAXI' WHERE CODIGO=100
SELECT * FROM AUDITORIA_ALUMNOS WHERE TIPO='U’
Ahora haremos esto:
TRUNCATE TABLE AUDITORIA__ALUMNOS
UPDATE ALUMNOS SET NOMBRE='NN’
SELECT * FROM AUDITORIA_ALUMNOS WHERE TIPO='U’
AUDITORIA INFORMÁTICA Y DE SISTEMAS
103
5.2 AUDITORIA DE APLICACIONES
Una meticulosa y exhaustiva auditoría de
una aplicación informática de relevancia en
una empresa o entidad podría dar pie para
poner en funcionamiento la práctica
totalidad de la extensa gama de técnicas y
rica metodología de la auditoria informática.
Este método se va ha centrar en la fase
final de la vida de la aplicación informática,
la de su funcionamiento ordinario, una vez
superada la crítica etapa de su
implantación, que habrá cerrado el ciclo precedido por las de concepción y
desarrollo.
Uno de los objetivos este capítulo consiste en tratar de ayudar a planificar,
preparar y llevar acabo auditorías de aplicaciones en funcionamiento en
cuanto al grado de cumplimiento de los objetivos para los que las mismas
fueron creadas: con carácter general, éstos estarán en la línea de servir de
eficaces herramientas operativas y de gestión que potencien la más
eficiente contribución, por parte de las organizaciones usuarias de las
aplicaciones, a la consecución de los objetivos generales de la empresa,
grupo o entidad a la que pertenecen.
5.2.1 PROBLEMÁTICA DE LA AUDITORIA DE UNA APLICACIÓN
INFORMÁTICA.
Una aplicación informática o sistema de información habitualmente persigue
como finalidad:
Registrar fielmente la información considerada de interés entorno a las
operaciones llevadas a cabo por una determinada organización.
Permitir la realización de cuantos procesos de cálculo y edición sean
necesarios a partir de la información registrada.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
104
Facilitar respuestas a las consultas de todo tipo sobre la información
almacenada.
Generar informes que sirvan de ayuda para cualquier finalidad de interés
en la organización, presentando la información adecuada
Ni el rigor en la creación de la aplicación ni la profesionalidad en el uso de la
misma pueden ser garantizados. Además la profundidad no inmuniza contra
el cansancio y el estrés. Asumido esta también que de humano es
equivocarse, cometer errores y omisiones involuntariamente. Y tampoco es
imposible que en un momento determinado un empleado descontento
comete errores intencionadamente o que otros, en apuros económicos,
sucumba a la tentación de intentar un fraude perfecto si considera mínima la
probabilidad de ser descubierto, tal y como funciona el sistema y la
organización, que puede no estar dando muestras de ejercer un control
interno riguroso.
Y no son estas las únicas amenazas al normal cumplimiento de la finalidad
de nuestra aplicación:
La posibilidad de fallo en cualquiera de los elementos que intervienen en
el proceso informático.
La conexión cada vez más generalizada de las empresas a entornos
abiertos como el Internet multiplica los riesgos que amenazan la
confidencialidad e integridad de la información de nuestros sistemas.
Para cada una de estas amenazas y cualquier otras que pueda ser
identificada se habrán debido estudiar las posibles medidas tendentes a
eliminar el riesgo que entraña o a reducir la probabilidad de su
materialización. Dichas medidas son fundamentalmente medidas de control
interno.
En el terreno de una aplicación informática, el control interno se materializa
fundamentalmente en controles de 2 tipos:
AUDITORIA INFORMÁTICA Y DE SISTEMAS
105
Controles manuales: a realizar normalmente por parte de personal del
área usuaria.
Controles automáticos: incorporados a los programas de aplicación que
sirvan de ayuda para tratar de asegurar que la información se registre y
mantenga completa y exacta.
Controles que, según su finalidad, se suelen clasificar en:
Controles preventivos.
Controles detectivos.
Controles correctivos.
Y pueden ser utilizados:
En las transacciones de recogido o toma de datos.
En todos los procesos de información que la aplicación realiza.
En la generación de informes y resultados de salida.
Es importante realizar la conveniencia de la participación de auditoría
interna en la revisión de los controles diseñados durante el desarrollo de la
aplicación.
La participación de auditoría interna en le desarrollo de un sistema
informático debe tener un alcance mas amplio que el referente al sistema
informático, ya que debe contemplar no solo los riesgos relacionados con la
aplicación, sino todos los que puedan afectar al proceso completo al que la
misma sirva de herramienta.
Podemos centrar la problemática de la auditoría de una aplicación: se trata
de realizar una revisión de la eficacia del funcionamiento de los controles
diseñados para cada uno de los pasos de la misma frente a los riesgos que,
trata de eliminar o minimizar, como medios para asegurar la fiabilidad,
seguridad, disponibilidad y confidencialidad de la información gestionada
por la aplicación.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
106
5.2.2 HERRAMIENTAS DE USO MÁS COMÚN EN LA AUDITORÍA DE
UNA APLICACIÓN
La tremenda evolución de las tecnologías, en todo lo referente a los
sistemas de información, obliga a un esfuerzo considerable de información
a todo el personal de auditoría interna, y en particular a los especialistas en
auditoría informática. Este reto debe estar asumido por la dirección de
auditoría, que debe impulsar la respuesta adecuada al mismo, recogida d
un ambicioso plan de formación, que incluya la atención a las nuevas
tendencias y preocupaciones.
Ello no es óbice para que, dentro de la política de la empresa, se contemple
la posibilidad de contratar la realización de determinadas auditorías
informáticas muy especializadas (outsourcing) o personal auditor que
participe en trabajos.
A. ENTREVISTAS
De amplia utilización a lo largo de todas las etapas de la auditoría, las
entrevistas deben cumplir una serie de requisitos:
Las personas a entrevistar deben ser aquellas que mas puedan
aportar al propósito pretendido.
La entrevista debe ser preparada con rigor de cara a sacar el máximo
partido de ella.
Para ello es indispensable escribir el guión de temas y apartados a
tratar, para evitar que quede sin tratar algún asunto de interés,
también exige haber alcanzado el nivel de conocimientos sobre la
aplicación necesario en ese momento para conducir con soltura la
entrevista.
Ha de ser concertada con los interlocutores con antelación suficiente
informándoles del motivo y las materias a tratar en ella.
Las jefaturas de las personas a entrevistas deben estar informadas
de las actuaciones previstas.
Durante el desarrollo de la entrevista, el auditor tomara las
anotaciones imprescindibles.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
107
B. ENCUESTAS
Con las lógicas salvedades, la mayor parte de los requisitos enumerados
para las entrevistas son también de aplicación para las encuestas:
En este caso si que hay que preparar un cuestionario que pueda
ser contestado con la mayor rapidez a base de marcar las
respuestas entre las posibles.
Conviene que todas las preguntas vayan seguidas de un espacio
destinado a observaciones.
Aunque no puede ni debe exigirse la identificación personal del
encuestado, si debe hacerse de la organización a la que
pertenece.
C. OBSERVACIÓN DEL TRABAJO REALIZADO POR LOS USUARIOS
Aunque por otros medios puede llegarse a comprobar que la aplicación
funciona con garantías de exactitud y fiabilidad, es conveniente observar
como algún usuario hace uso de aquellas transacciones más significativas
por su volumen o riesgo.
D. PRUEBAS DE CONFORMIDAD
De uso general en todo el campo de la auditoría, son actuaciones
orientadas específicamente a comprobar que determinados
procedimientos, normas internos, se cumplen o funcionen de
acuerdo con lo previsto y esperado.
La comprobación debe de llevar a la evidencia a través de la
inspección de los resultados producidos.
La evidencia de incumplimiento puede ser puesta de manifiesto a
través de informes de excepción.
Los testimonios de incumplimiento no implican evidencia pero, si
parten de varias personas, es probable que la organización
asuma como validos dichos testimonios.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
108
E. PRUEBAS SUBSTANTIVAS O DE VALIDACIÓN
Orientadas a destacar la presencia o ausencia de errores o
irregularidades en procesos, actividades, transacciones o
controles internos integrados en ellos.
Todo tipo de error o incidencia imaginable puede ser objeto de
investigación en esta clase de pruebas.
Infinidad de recursos pueden ser utilizados para detectar indicios,
en primera instancia, de posibles errores.
Otros recursos clásicos utilizados para la detección de errores o
sus indicios son de ejecución manual.
Ejemplo de estos recursos de ejecución manual son: arqueo,
inventario, inspección.
F. USO DEL COMPUTADOR
El uso de computadores constituye una de las herramientas mas
valiosas en la realización de la auditoría de una aplicación
informática.
Existen en el mercado infinidad de productos de software
concebidos para facilitar la tarea del auditor.
Sin restar su valor a estos productos, y desde la óptica del auditor
interno, se pueden obtener resultados similares haciendo uso de
herramientas disponibles en la organización y no necesariamente
diseñadas para funciones de auditoría.
Las pistas de auditoría de que esta provista la aplicación deben
constituir un apoyo importante a la hora de utilizar el computador
para detectar situaciones o indicios de posible error.
También hay que considerar la posibilidad de utilizar la propia
aplicación.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
109
5.2.3 ETAPAS DE LA AUDITORÍA DE UNA APLICACIÓN INFORMÁTICA
A. RECOGIDA DE INFORMACIÓN Y DOCUMENTACIÓN SOBRE LA
APLICACIÓN.
Para cubrir esta etapa del trabajo de auditoría resulta útil confeccionar unas
guías que nos permitan seguir una determinada pauta en las primeras
entrevistas y contengan la relación de documentos a solicitar todos aquellos
que ayuden a:
Adquirir una primera visión global del sistema: Descripción
general de la aplicación, presentaciones que hayan podido
realizarse de la aplicación con distintas finalidades a lo largo de
su vida.
Conocer la organización y los procedimientos de los servicios que
utilizan la aplicación.
Describir el entorno en el que se desarrolla la aplicación.
Entender el entorno de software básico de la aplicación.
Asimilar la arquitectura y características lógicas de la aplicación.
Conocer las condiciones de explotación de la aplicación y los
riesgos que se puedan dar.
Conocer las condiciones de seguridad de que dispone la
aplicación.
Disponer de información relativa a: estadísticas de tiempos de
explotación para cada proceso, de tiempos de respuesta de
transacciones on line.
B. DETERMINACIÓN DE LOS OBJETIVOS Y ALCANCE DE LA
AUDITORÍA
Es de desear que los objetivos propuestos sean consensuados
con el equipo responsable de la aplicación en la organización
usuaria.
Es preciso conseguir una gran claridad y precisión en la
definición de los objetivos de la auditoría y del trabajo y pruebas
AUDITORIA INFORMÁTICA Y DE SISTEMAS
110
que se propone realizar, delimitando perfectamente su alcance d
manera que no ofrezcan dudas de interpretación.
En la preparación del plan de trabajo trataremos de incluir:
• La planificación de los trabajos y el tiempo a emplear.
• Las herramientas y métodos.
• El programa de trabajo detallado.
• Test de confirmación, test sobre los datos y los resultados.
La auditoria de una aplicación informática, debe ser objeto de una
planificación cuidadosa. En este caso es de crucial importancia
acertar con el momento mas adecuado para su realización:
• Por una parte no conviene que coincida con el periodo de
su implantación, especialmente critico, en que los usuarios
no dominan todavía la aplicación y están más agobiados
con la tarea diaria.
• Por otra parte el retraso excesivo en el comienzo de la
auditoría puede alargar el periodo de exposición a riesgos
superiores que pueden y deben ser aminorados como
resultados de ella.
También hay que establecer el ámbito de actuación.
Para la selección de ese limitado numero de centros en los que
llevar a cabo el trabajo de campo.
Debe conseguir cuanto antes, solicitándolo ya en la primera toma
de contacto.
C. TRABAJO DE CAMPO, INFORME E IMPLANTACIÓN DE MEJORAS.
La etapa de realización del trabajo de campo consiste en la
ejecución del programa de trabajos establecidos.
Una recomendación de cara a esta etapa es la de plantearse la
mínima uti lización de “papeles de trabajo”, en el sentido literal,
físico, potenciando la utilización de PCs.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
111
La situación óptima a alcanzar es conseguir que la organización
auditada asuma las propuestas de actuación para implantar las
recomendaciones como objetivos de la organización.
5.3 CONCLUSIONES
La creciente importancia asignada a los sistemas de información como
ayuda inestimable e imprescindible en el desarrollo de los procesos de
negocio, aportando no ya información, sino conocimiento.
Efectivamente, si la base de la toma de decisiones no es segura, fiable
y confidencial los resultados pueden ser exactamente los contrarios a los
pretendidos.
Por otro lado el enorme y continuo avance tecnológico en este terreno y
la apertura de los sistemas al exterior, exige un gran esfuerzo de
formación a los auditores informáticos.
ACTIVIDAD 01:
CASO: Problemas de Segregación de Funciones
En una universidad de prestigio un DBA modifico la información académica de
estudiantes para conseguir compensación económica. El DBA tenía el poder
para borrar o detener los procesos de auditoria, no existía segregación de
funciones.
Durante 5 años el DBA estuvo falsificando registros de estudiantes y el
problema fue identificado por casualidad por un profesor al ver un resumen de
un antiguo estudiante.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
112
Las consecuencias de este problema son muy graves consecuencias en la
reputación de la universidad, pérdidas económicas y afectadas en la
credibilidad de sus registros académicos, de la universidad,
La administración general de la universidad, debido a los hechos descritos en
líneas anteriores ha decidido establecer contacto con una Compañía
especializada en la realización de Auditorias Externas, para que efectúe este
estudio.
De las distintas fases que componen una auditoria, realizar solamente:
Definir el alcance de la auditoria externa.
Objetivos de Control y Pruebas a realizar para evaluar los distintos
riesgos, que permitieron los problemas que se detallaron.
ACTIVIDAD 02:
Realizar un análisis de todas las herramientas de software que se ofrecen
actualmente en el mercado, para realizar una auditoria de base de datos, en las
empresas que se utilizan gestores de base de datos como el SQL Server,
MySQL u Oracle.
La gran difusión de los sistemas de gestión de bases de datos, (SGBD) junto
con la consagración de los datos como uno de los recursos fundamentales de
las empresas, ha hecho que los temas relativos a su Control interno y auditoría
cobren cada día mayor interés.
Aunque existan distintas metodologías que se aplican en auditoría informática
se pueden agrupar en dos Clases: Metodología tradicional, metodología de
evaluación de riesgos .Algunos objetivos y técnicas de control a cuenta a lo
largo del ciclo de vida de una BD que abarca desde el estudio previo hasta su
explotación.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
113
Asimismo, la importancia asignada a los sistemas de información como ayuda
inestimable e imprescindible en el desarrollo de los procesos de negocio,
aportando no ya información, sino conocimiento, se esta demandando que
apoye la correcta toma de decisiones atribuye esa misma importancia a la
auditoria de las aplicaciones informática, garantes del correcto cumplimiento de
la función encomendada a las mismas.
Cougias,Dorian/E.L. Heiberg, “Herramientas de Protección y
Recuperación de Datos”, Edit. Anaya, 1era. Edición, 2004
Solís Montes, Gustavo Adolfo, “Reingeniería de la Auditoria”, Edit.
Trillas, 1ra. Edición. 2002.
Piattini Mario G., ”Auditoria Informática”. Edit. AlfaOmega, 2da.
Edición 2001.
COBIT versión 4.0,”Manual de Objetivos de Control” de ISACA.
En el siguiente fascículo se desarrollara los aspectos mas importantes para
desarrollar una auditoria de redes y telecomunicaciones.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
114
1. Establezca objetivos de control relativos al diseño de una base de
datos.
2. Defina un procedimiento para la adquisición de SGBD
3. ¿Cuáles son las diferencias más importantes entre las funciones de
un administrador de datos y las de un administrador de base de
datos?
4. ¿Por qué resulta tan crítico un diccionario de datos?
5. ¿Qué controles establecería sobre la distribución de listados
extraídos a partir de la base de datos?
6. Objetivos de control sobre la formación del personal relacionado con
el SGBD (usuarios finales, administradores, diseñadores, etc.).
7. ¿Qué riesgos adicionales implica el hecho de distribuir las bases de
datos?
8. ¿Qué controles establecería para desarrollos que empleen lenguajes
visuales que acceden a base de datos?
9. Analice el soporte que ofrecen las herramientas de minería de datos
al auditor informático.
10. Enumeré las principales amenazas que pueden impedir a las
aplicaciones informáticas cumplir sus objetivos.
11. Valore la importancia del manual de usuario para la auditoria de
aplicaciones.
12. Proponga técnicas para medir el nivel de satisfacción del usuario con
el modo de operar de las aplicaciones.
13. ¿Cómo verificaría el grado de fiabilidad de la información tratada por
una aplicación?
AUDITORIA INFORMÁTICA Y DE SISTEMAS
115
UNIDAD ACADÉMICA VI
AUDITORIA DE REDES DE COMPUTADORAS
Las tecnologías de transmisión de datos a través de redes de computadoras
son el eje central del funcionamiento de un entorno informático que presta
servicios de tipo cliente/servidor. Un excelente desempeño de la red trae como
consecuencia un aumento de la productividad informática.
El ingreso de nuevos equipos en la red, la existencia de protocolos no necesarios, la mala configuración de equipos, activos de red o el escaso mantenimiento del cableado estructurado y el envejecimiento de los equipos de conexión, pueden causar la decadencia y el envejecimiento de la red. A través de pruebas, captura de paquetes, análisis de flujo de datos y verificación de la configuración de equipos activos (switch, routers), la auditoria de redes permite control y para optimar el funcionamiento de red.
Conocer las capas del modelo denominado OSI.
Especificar los tres tipos de incidencias que pueden producirse en una red
de comunicaciones.
Brindar un conocimiento de los principales protocolos de alto nivel.
Conocer los objetivos de control tener en cuenta para auditar la gerencia de
comunicaciones.
Dar a conocer los principales controles para auditar la red física y lógica.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
116
6.1 AUDITORIA DE REDES
6.1.1 TERMINOLOGÍA DE REDES
Para poder auditar redes, lo primero y fundamental es uti lizar el mismo
vocabulario que los expertos en comunicaciones que las manejan. Debido a
la constante evolución en este campo, un primer punto de referencia es
poder referirse a un modelo comúnmente aceptable. El modelo común de
referencia, adoptado por ISO (International Standards Organization) se
denomina OSI (Open Systems Interconection), y consta de siete capas:
Grafico: 6.1 Niveles OSI
La potencia del Modelo OSI proviene de que cada capa no tiene que
preocuparse de qué es lo que hagan las capas superiores ni las inferiores:
cada capa se comunica con su igual en el interlocutor, con un protocolo de
comunicaciones específico.
Para establecer una comunicación, la información atraviesa
descendentemente la pila formada por las siete capas, atraviesa el medio
físico y asciende a través de las siete capas en la pila de destino. Por tanto,
cada capa tiene unos métodos prefijados para comunicarse con las
inmediatamente inferior y superior.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
117
La red LAN Más extendida, ETHERNET, está basada en que cada emisor
envía, cuando desea, una trama al medio físico, sabiendo que todos los
destinatarios están permanentemente en escucha. Justo antes de enviar, el
emisor se pone a la escucha, y si no hay trafico, procede directamente al
envío. Sí al escuchar detecta que otro emisor está enviando, espera un
tiempo aleatorio antes de volverse a poner a la escucha.
La LAN Token Ring, desarrollada por IBM, está normalizada como IEEE
802.5, tiene velocidades de 4 y 16 Mbps y una mejor uti lización del canal
Cuando se incremente el tráfico.
Para redes WAN, está muy extendido el X.25, se basa en fragmentar la
información en paquetes, habitualmente de 128 caracteres. Estos paquetes
se entregan a un transportista habitualmente público que se encarga de ir
enviándolos saltando entre diversos nodos intermedios hacia el destino.
6.1.2 VULNERABILIDAD EN REDES
La información transita por lugares físicamente alejados de las personas
responsables. Esto presupone un compromiso en la seguridad, ya que no
existen procedimientos físicos para garantizar la inviolabilidad de la
información.
En las redes de comunicaciones, por causas propias de la tecnología,
pueden producirse básicamente tres tipos de incidencias:
Alteración de bits , por error en los medios de transmisión, una trama
puede sufrir variaciones en parte de su contenido.
Ausencia de Tramas , por error en el medio o en algún, o por
sobrecarga, alguna trama puede desaparecer en el camino del emisor al
receptor.
Alteración de Secuencia , el orden en el que se envían y se reciben las
tramas no coincide.
Por causas dolosas, y teniendo en cuenta que es físicamente posible
interceptar la información, los tres mayores riesgos a atajar son:
AUDITORIA INFORMÁTICA Y DE SISTEMAS
118
Indagación, Un mensaje puede ser leído por un tercero, obteniendo
la información que contenga.
Suplantación, Un tercero puede introducir un mensaje espurio que
el receptor cree proveniente del emisor legítimo.
Modificación, Un tercero puede alterar el contenido de un mensaje.
Para este tipo de actuaciones dolosas, la única medida prácticamente
efectiva en redes MAN y WAN (cuando la información sale del edificio) es la
criptografía.
6.1.3 PROTOCOLOS DE ALTO NIVEL
Como protocolos de alto nivel, los más importantes por orden de aparición
en la industria son: SNA, OSI, Netbios, IPX y TCP/IP.
SNA, System Network Architecture , fue diseñado por IBM a partir de los
años setenta, al principio con una red estrictamente jerarquizado, y luego
pasando a una estructura más distribuida, fundamentalmente con el tipo de
sesión denominado LU 6.2.
OSI, Fue diseñado por el antiguo comité Consultivo Internacional de
Teléfonos y telégrafos (CCITT), se diseñaron todas las capas, desde los
medios físicos hasta las aplicaciones como transferencia de archivos o
Terminal virtual. Donde ha tenido éxito es en el protocolo de red X.25 y en
el correo electrónico X.400.
Netbios, este protocolo fue el que se propuso por Microsoft, para comunicar
entre sí computadoras personales en redes locales. Es una extensión a red
del “Basic Input/Output System” del sistema operativo DOS. Está muy
orientado a la utilización en LAN, siendo bastante ágil y efectivo.
IPX, es el protocolo propietario de Novell que, al alcanzar en su momento
una posición de predominio en el sistema operativo en red, ha gozado de
gran difusión.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
119
TCP/IP,(Transfer Control Protocolo/Internet Protocol)
Diseñado originalmente en los años setenta, la enorme versatilidad de este
protocolo y su aceptación generalizada le ha hecho el paradigma de
protocolo abierto, siendo la base de interconexión de redes que forman la
Internet. La transmisión de archivos FTP (File Transfer Protocol), el correo
electrónico SMTP (Simple Mail Transfer Protocol) o el Terminal virtual
Telnet han de correr precisamente sobre una “pila” de protocolo TCP/IP.
Se establece así un retroalimentación donde las utilidades refuerzan al
protocolo TCP/IP, que se vuelve cada vez más atractivo para que los
desarrolladores escriban nuevas utilidades.
6.1.4 REDES ABIERTAS TCP/IP
Ante el auge que está tomando el protocolo TCP/IP, como una primera
clasificación de redes, se está adoptando la siguiente nomenclatura para las
redes basadas en este protocolo:
Intranet: Es la red interna, privada y segura de una empresa, utilice o no
medios de transporte de terceros.
Extranet: Es una red privada y segura, compartida por un conjunto de
empresas, aunque utilice medios de transporte ajenos e inseguros, como
pudiera ser Internet.
Internet: Es la red de redes, “metared” a donde se conecta cualquier red
que se desee abrir al exterior, pública e insegura, de alcance mundial,
donde puede comunicar cualquier pareja o conjunto de interlocutores,
dotada además le todo tipo de servicios de valor añadido.
Figura 6.1 Cortafuegos.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
120
Un dispositivo específicamente dedicado a la protección de una lntranet
ante una Extranet, y fundamentalmente ante Internet, es el cortafuegos
(Firewall). Esta es una máquina dedicada en exclusiva a leer cada paquete
que entra o sale de una red para permitir su paso o desecharlo
directamente. Esta autorización o rechazo está basada en unas tablas que
identifican, para cada pareja de interlocutores (bien sea basado en el tipo de
interlocutor o inclusive en su identificación individual) los tipos de servicios
que pueden ser establecidos. Para llevar a cabo su misión, existen diversas
configuraciones, donde se pueden incluir encaminadores (routers),
servidores de proximidad (proxy), zonas desmilitarizadas, bastiones, etc.
6.1.5 AUDITANDO LA GERENCIA DE COMUNICACIONES
Cada vez mas las comunicaciones están tomando un papel determinante en
el tratamiento de datos, cumpliéndose el lema “el computador es la red’
siempre esta importancia queda adecuadamente reflejada dentro de la
estructura organizativa de proceso de datos, especialmente en
organizaciones de tipo “tradicional”, donde la adaptación a los cambios no
se produce inmediatamente.
Mientras que comúnmente el directivo informático tiene amplios
conocimientos de proceso de datos, no siempre sus habilidades y
cualificaciones en temas de comunicaciones están a la misma altura, por lo
que el riesgo de deficiente anclaje de la gerencia de comunicaciones en el
esquema organizativo existe. Por su parte, los informáticos a cargo de las
comunicaciones suelen auto considerarse exclusivamente técnicos,
obviando considerar las aplicaciones organizativas de su tarea.
Todos estos factores convergen en que la auditoria de comunicaciones no
siempre se practique con la frecuencia y profundidad equivalentes a las de
otras áreas del proceso de datos.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
121
Por tanto, el primer punto de una auditoria es determinar que la función de
gestión de redes y comunicaciones esté claramente definida, debiendo ser
responsable, en general de las siguientes áreas:
Gestión de la red, invento de equipamiento y normativa de conectividad.
Monitorización de las comunicaciones, registro y resolución de
problemas.
Revisión de costes y su asignación de proveedores y servcios de
transporte, balanceo de tráfico entre rutas y selección de
equipamiento.
Participación activa en la estrategia de proceso de datos, fijación de
estándares a ser usados en el desarrollo de aplicaciones y evaluación
de necesidades en comunicaciones.
6.1.6 AUDITANDO LA RED FÍSICA
En general, muchas veces se parte del supuesto de que si no existe acceso
físico desde el exterior a la red interna de una empresa las comunicaciones
internas quedan a salvo. Debe comprobarse que efectivamente los accesos
físicos provenientes del exterior han sido debidamente registrados, para
evitar estos accesos. Debe también comprobarse que desde el interior del
edificio no se intercepta físicamente el cableado (“pinchazo”).
En caso de desastre, bien sea total o parcial, ha de poder comprobarse cuál
es la parte del cableado que queda en condiciones de funcionar y qué
operatividad puede soportar. Ya que el tendido de cables es una actividad
irrealizable a muy corto plazo, los planes de recuperación de contingencias
deben tener prevista la recuperación en comunicaciones.
Ha de tenerse en cuenta que la red física es un punto claro de contacto
entre la gerencia de comunicaciones y la gerencia de mantenimiento
general de edificios, que es quien suele aportar electricistas y personal
profesional para el tendido físico de cables y su mantenimiento.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
122
6.1.7 AUDITANDO LA RED LÓGICA
Cada vez más se tiende a que un equipo pueda comunicarse con cualquier
otro equipo, de manera que sea la red de comunicaciones el substrato
común que les une. Si un equipo. por cualquier circunstancia, se pone a
enviar indiscriminadamente mensajes, puede ser capaz de bloquear la red
completo y, por tanto, al resto de los equipos de la instalación.
Es necesario monitorizar la red, revisar los errores o situaciones anómalas
que se producen y tener establecidos los procedimientos para detectar y
aislar equipos en situación anómala. En general, si se quiere que la
información que viaja por la red no pueda ser espiada, la única solución
totalmente efectiva es la encriptación.
6.6 AUDITORIA A SISTEMAS EN INTERNET
Junto con la popularidad de Internet y la explosión de usuarios en todo el
mundo, ha venido una creciente amenaza de ataques hacia los sistemas y
la información de las organizaciones públicas y privadas.
Es importante tener en cuenta algunas características que presenta los
sistemas de información actuales:
Gran Importancia de la Información
Mayor conocimiento de los usuarios sobre estos sistemas
Gran avance de los sistemas de comunicación y redes
Internet como medio global de intercambio de información y plataforma
de negocios.
Cuando se realizan negocios por Internet (Comercio electrónico) se
tienen cuatro piedras angulares:
Impedir transacciones de datos no autorizados.
Impedir alteración de Mensajes después de envío
Capacidad determinar si transmisión es desde fuente auténtica o
suplantada.
Manera de impedir a un emisor, que se está haciendo pasar por otro.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
123
6.2.1 Componentes en Ambientes Internet
Internet crea todas las posibilidades para hacer frágil la seguridad en el
sistema: Tiempo de exposición, protocolos conocidos, usuarios "expertos" y la
mezcla e igualdad de sistemas:
Navegador o Browser.
Servidor Web
Servidor de Servicios Internet (ISP)
Enrutadores
Puntos de Acceso a la Red
Enlace Usuario – ISP
Protocolo http
Protocolos TCP/IP
HTML
Código Móvil: ASP, Servlets, Applets, CGI...
Protocolos seguros: http-S, SSL
6.2.2 Riesgos asociados a estos ambientes
Gran parte de los problemas asociados a Internet están relacionados por un
lado, con la seguridad misma de los protocolos que lo conforman y por el otro
por la disponibilidad del sistema en tiempo y espacio para que sea examinado y
eventualmente atacado. En general estos riesgos los podemos resumir en:
Acceso no Autorizado al Sistema
Divulgación de información confidencial
Robo o alterar información de la empresa.
Denegación de Servicio
Espionaje o alteración de mensajes
Transacciones fraudulentas.
Modificación o sabotaje de Sitios Web, generando pérdida de la imagen
corporativa.
Pérdida de recursos
Uso del sistema vulnerado para realizar ataques a otros sistemas
AUDITORIA INFORMÁTICA Y DE SISTEMAS
124
Virus, gusanos y troyanos.
Instalación y uso de código malicioso
6.2.3 Vulnerabilidades de Seguridad en Internet más criticas
La mayor parte de los ataques en Internet, se realizan sobre un pequeño
número de vulnerabilidades en los sistemas y aprovechando que las
organizaciones pasan por alto las revisiones constantes de los problemas
detectados en las versiones de sus productos y por lo tanto no hacen las
correcciones del caso. El Instituto Sans emite un informe sobre las mas criticas
de estas vulnerabilidades (SAN00).
Debilidades en los servidores de Nombres de Dominio (DNS), en particular
BIND.
Soluciones:
o Desactivarlo en caso de no ser necesario.
o Descargar y actualizar a las ultimas versiones
Debilidades asociadas con programas CGI en los servidores, generalmente
por uso de CGIs desconocidos
Soluciones:
o Uso de programas conocidos.
o Deshabilitar el soporte CGI, para aquellos servidores que no lo
necesiten.
Problemas con llamadas a procedimientos remotos RPC
Solución: Deshabilitar en los casos que sea posible servicios que usen RPC
en sistemas expuestos a Internet.
Agujeros de seguridad en Servidores Web (Especialmente IIS)
Solución: Actualizar desde sitio del fabricante y configurar según
procedimiento recomendado.
Debilidad en desbordamiento de Buffer en SendMail.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
125
Solución: No usar la modalidad deamon en sistemas que no sean servidores
de correo. Actualización a última versión parcheada.
Problemas con compartición de archivos (NetBios, NFS)
Soluciones:
Verificar que solo se comparten los directorios requeridos. En lo posible
compartir solo con direcciones IP específicas. Usar contraseñas para definir
nivel de acceso. Bloquear las conexiones entrantes al servicio de sesión
NetBios
Contraseñas inapropiadas
Solución: Crear una política de contraseñas exigente
Configuraciones inapropiadas de Protocolos de correo
Soluciones:
o Deshabilitar estos en aquellas maquinas que no son servidores de
correo.
o Utilizar versiones actualizadas.
o Usar canales encriptados como SSH y SSL
Nombres de comunidad por defecto en SNMP (Public, private)
Soluciones:
o Si no se usa SNMP deshabilitarlo.
o Si se usa, usar políticas de seguridad fuertes.
o Usar solo los elementos requeridos y con las configuraciones
necesarias.
Posibles Infractores
Crackers
Hackers
Vándalos
Empleados
AUDITORIA INFORMÁTICA Y DE SISTEMAS
126
Algunas definiciones que vale la pena traer son:
Hacking. Entrar en forma ilegal y sin el consentimiento del propietario en su
sistema informático. No conlleva la destrucción de datos ni la instalación de
virus. También se puede definir como cualquier acción encaminada a conseguir
la intrusión en un sistema (ingeniería social, caballos de Troya, etc.)
Cracker. Un individuo que se dedica a eliminar las protecciones lógicas y
físicas del software. Normalmente muy ligado al pirata informático puede ser un
hacker criminal o un hacker que daña el sistema en el que intenta penetrar.
Crackeador o crack: Son programas que se utilizan para desproteger o sacar
los passwords de programas comerciales. Pudiendo utilizarse éstos como si se
hubiera comprado la licencia. Quienes los distribuyen son altamente
perseguido por las entidades que protegen los productores de software.
Entre las variantes de crackers maliciosos están los que realizan Carding
(Tarjeteo, uso ilegal de tarjetas de crédito), Trashing (Basureo, obtención de
información en cubos de basura, tal como números de tarjetas de crédito,
contraseñas, directorios o recibos) y Phreaking o Foning (uso i legal de las
redes telefónicas).
Ataques
- Ataques a Contraseñas.
- Consecución de direcciones IP
- Scaneo de puertos
- Código Dañino
- Captura y análisis de trafico.
- Denegación del Servicio (DOS).
- IP Spoofing (Modificación del campo de dirección origen de los paquetes IP,
por la que se desea suplantar
AUDITORIA INFORMÁTICA Y DE SISTEMAS
127
Herramientas usadas
Aprovechar Huecos de Seguridad en Sistemas operativos y/o Servicios:
Defectos en el software, que permiten la intrusión o generan fallas graves en el
funcionamiento.
A. Scaneo de Puertos: Siendo una herramienta que apoya la seguridad puede
ser utilizada en contra de ella. Permite conocer el estado de los puertos
asociados con los servicios disponibles en la instalación.
B. Sniffer: Es un programa que intercepta la información que transita por una
red. Sniffing es espiar y obtener la información que circula por la red. Coloca la
interfaz en modo promiscuo y captura el tráfico. Su misión para los ataques es
fisgonear la red en busca de claves o puertos abiertos.
C. Troyanos: Programas que simulan ser otros para así atacar el sistema.
Ataque de Fuerza bruta sobre claves. Forma poco sutil de entrar en un sistema
que consiste en probar distintas contraseñas hasta encontrar la adecuada.
D. Ingeniería Social: Es una técnica por la cual se convence a alguien, por
diversos medios, de que proporcione información úti l para hackear o para
beneficiarnos. Requiere grandes dosis de psicología. Explota la tendencia de la
gente a confiar en sus semejantes.
E. Basureo o Trashing: Recoger basura. Se trata de buscar en la basura (física
o informática) información que pueda ser útil para hackear.
F. Ping: Ubicar equipos conectados.
G. Traceroute: Ver la ruta de paquetes y enrutadores en la red
H. Spams: No es un código dañino, pero si bastante molesto. Es un programa
que ejecuta una orden repetidas veces. Ampliamente utilizado por empresas de
marketing usando el correo electrónico para enviar sus mensajes en forma
exagerada.
6.2.4 Evaluación de Seguridad
El auditor debe verificar que se tengan presenten y se implementen medidas
que a partir de los riesgos planteados y dada la importancia del sistema para la
organización minimicen las amenazas.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
128
Medidas de Control
Conocimiento de los riesgos a que esta expuesta la instalación en
particular.
Conocimiento y corrección o "parcheo" de los problemas detectados y/o
reportados en versiones de - Sistemas Operativos y Servicios implementados.
Este mecanismo parte de la instalación inicial.
Concientización de los usuarios de los riesgos a que esta expuesta la
instalación y el papel de cada uno en la protección. El 99% de los ataques se
realizan apoyándose en fallas al interior de la organización.
Implementación de políticas de seguridad en sistemas operativos.
Auditoria y monitoreo a trafico, accesos y cambios en el sistema.
Uso de sniffer y scanner para conocer el estado del sistema.
Montaje de Firewall (Muro de Protección): Software y hardware de
seguridad encargado de chequear y bloquear el tráfico de la red hacia y/o es de
un sistema determinado. Se ubica entre la red privada e Internet.
Pueden ser enrutadores de filtración de paquetes o gateways de
aplicaciones basados en proxy.
Utilización de herramientas para Detección de Intrusos (IDS).
Uso de protocolos seguros como SSL y HTTP-S
Requerimientos de certificados de autenticación en los casos de
operaciones de alta importancia.
A nivel de la empresa en lo posible, tener los datos de importancia en zonas
protegidas o fuera del acceso desde Internet.
Encriptación de los datos sensitivos.
Evaluar que los usuarios usan solo los servicios requeridos para su labor y
que no exponen la seguridad con el uso de IRC, P2P, etc.
Se debe considerar la posibilidad de apoyarse en Hacking Etico para
evaluar la seguridad del sistema
AUDITORIA INFORMÁTICA Y DE SISTEMAS
129
Caso 01: Taller auditoria de redes
Uno de los aspectos relevantes en toda red es evaluar y monitorear el paso de
paquetes a través de ésta, para lo cual se utilizan herramientas de monitoreo
que muestran en forma legible el comportamiento de la red.
Objetivo: Utilizar el programa Ethereal para examinar paquetes en una red de
datos.
Actividades a desarrollar:
o Bajar e instalar el software Ethereal (http://www.ethereal.com)
o Conectarse a un servidor (SUN, Linux,UNIX,etc) y capturar 2 minutos de
trafico.
o Observar los distintos protocolos y el encapsulamiento
o Establecer conclusiones
o Entregar en formato digital en archivo .doc tipo informe de reporte según
lo que solicite.
Estructura del informe:
o Aspectos y consideraciones en la instalación
o Configuración de la red de pruebas
o Captura del trafico
o Análisis del tráfico ( grafos de protocolos, seguridad,etc)
o Conclusiones relevantes
AUDITORIA INFORMÁTICA Y DE SISTEMAS
130
Toda organización en la parte de las redes de computadores tiene un punto de
viraje bastante importante; es por ello que en el presente fascículo tratamos en
un inicio los modelos de redes más conocidos como el modelo OSI y TCP/IP
con algunas variaciones, como el de encapsular varios protocolos, como el
Netbios, el cual nos sirve como base para realizar todo un proceso de auditoria
de redes de computadoras dentro de nuestras organizaciones, para luego
determinar la vulnerabilidades existentes dentro de nuestras redes y poder
proponer las estrategias necesarias para eliminar o reducir dichos problemas.
Littlejhon Shider, Debra, “Superutilidades y detección de Delitos
Informaticos”, Edit. Anaya, 1era. Edición, 2003.
Jones J., Keith, “Superutilidades Hackers “, Edit. Mc.Graw Hill, 1era.
Edición, 2003.
Cougias,Dorian/E.L. Heiberg, “Herramientas de Protección y
Recuperación de Datos”, Edit. Anaya, 1era. Edición, 2004
Solís Montes, Gustavo Adolfo, “Reingeniería de la Auditoria”, Edit.
Trillas, 1ra. Edición. 2002.
Piattini Mario G., ”Auditoria Informática”. Edit. AlfaOmega, 2da.
Edición 2001.
Echenique GARCIA, José Antonio, “Auditoria en Informática”, Edit.
Mc. Graw Hill, 2da. Edición, 2001.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
131
En el siguiente fascículo se describe los aspectos básicos que se deben
analizar y evaluar durante una auditoria de redes de computadoras.
1. ¿Cuáles son las incidencias que pueden producirse en las redes de
comunicaciones?
2. ¿Cuales son los mayores riesgos que ofrecen las redes?
3. ¿Existe el riesgo de que intercepte un canal de comunicaciones?
4. ¿Qué suele hacerse con las contraseñas de los usuarios?
5. ¿Cuáles son los protocolos mas importantes de alto nivel?
6. Diferencias entre Internet, Intranet y Extranet
7. ¿Qué es un “Cortafuegos”?
8. ¿Qué es un gusano?
9. ¿Qué objetivos de control destacaría en la auditoria de gerencia de
comunicaciones?
AUDITORIA INFORMÁTICA Y DE SISTEMAS
132
UNIDAD ACADÉMICA VII
AUDITORIA A LA DIRECCIÓN DE TECNOLOGIAS DE INFORMACIÓN
Uno de los factores competitivos claves en los últimos veinte años ha sido, sin
duda, la aplicación estratégica de las tecnologías de información y de
comunicaciones. Si bien estas inversiones han estado focalizadas en la
automatización, en el escenario competitivo actual surge la necesidad de
operar de maneras más dinámicas, nuevos modelos de negocio que exigen
inversiones en tecnologías y aplicaciones cada vez más flexibles e integradas
como factor de supervivencia.
Un aspecto estratégico en las organizaciones es la Dirección de las
Tecnologías de Información. En efecto, la manera en que se gestiona la
materialización, operación y continuidad de los servicios tecnológicos
requeridos por la organización ya no son una ventaja competitiva, sino un factor
que al no estar alineado a las necesidades de la empresa, constituirá una
desventaja competitiva relevante.
La Auditoria de la Dirección de Tecnologías de Información es una tarea difícil.
Sin embargo, la contribución que dicha gestión realiza (o debe realizar) al
ambiente de control de las operaciones informáticas de una empresa es
esencial.
Dar a conocer las principales actividades de todo proceso de dirección,
desde una visión de las tecnologías de información en la organización.
Conocer y aplicar las herramientas indicadas de la auditoria en una
auditoria de la dirección de tecnologías de información.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
133
7.1 PLANIFICACIÓN ESTRATÉGICA
La planificación estratégica pone en movimiento a una organización para
alcanzar los objetivos de la empresa. Una planificación exhaustiva ayuda a
garantizar una organización eficaz y eficiente. La planificación estratégica está
orientada al tiempo y a los proyectos y ayuda a definir prioridades y alcanzar
los objetivos empresariales.
El Departamento de Tecnologías de Información (TI) debe tener planes a largo
plazo (a más de un año, típicamente entre 3 y 5 años) y a corto plazo(a un año)
para contribuir a que se alcancen con éxito los objetivos globales de la
empresa. Tales planes deben ser coherentes con los planes globales de la
organización para alcanzar sus objetivos de negocio.
Por ejemplo, si una organización tiene el objetivo de negocio de que sus
procesos de negocio estén soportados por la tecnología (un ejemplo podría ser
el comercio electrónico), deberá tener un departamento de TI con fuerte
capacidad de innovación. Sin embargo, si una empresa tiene la vocación de
dar un servicio de bajo costo, necesitará un departamento de TI menos
innovativo.
7.1.1 COMITÉ DE DIRECCIÓN DE TECNOLOGIAS DE INFORMACIÓN (TI)
Los Comités de Dirección de TI aseguran que las actividades del departamento
de TI están alineadas con la misión y objetivos de la empresa. Aunque no es
una práctica común, en este comité debe haber un miembro del Comité de
Dirección de la empresa, que esté al tanto los riesgos y problemas respecto a
la tecnología informática, así como de la ventaja estratégica que la utilización
eficiente de la TI conlleva. El resto del comité, debe estar constituido por
gerentes de alto nivel, incluyendo al de TI, de las diferentes áreas de la
empresa representando a todas las áreas del negocio de la organización. Su
objetivo es revisar y actuar ante las solicitudes de nuevos sistemas, de acuerdo
con los objetivos de la empresa. Por ello, la responsabilidad del comité es
asegurar la uti lización eficiente de los recursos de procesamiento de datos y
fijar prioridades, examinar los costos y respaldar a los diversos proyectos.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
134
7.1.2 POLÍTICAS Y PROCEDIMIENTOS
Las políticas y procedimientos son guías y directrices para desarrollar los
controles sobre los sistemas de información y los recursos relacionados:
Políticas, las políticas son documentos de alto nivel. En ellas se plasma la
filosofía de la organización y la estrategia de la alta dirección. Para que sean
eficaces deben estar escritas de forma clara y concisa. La dirección, en sus
diferentes niveles, debe crear un entorno de control positivo asumiendo la
responsabilidad de formular, desarrollar, documentar y divulgar políticas que
cubran los objetivos generales. También debe asegurar que los empleados
afectados por una política concreta reciben una explicación detallada de la
política y de que entienden su intención.
Procedimientos, los procedimientos son documentos de detalle. Cada uno de
ellos debe derivarse de una política y debe implementar la intención de la
política. Al igual que las políticas deben escribirse de forma clara y concisa
para que se puedan entender y aplicar. Los procedimientos documentan los
procesos de negocio y los controles involucrados en ellos. Generalmente, los
procedimientos son más dinámicos que la política de la que emanan. Deben
reflejar los cambios habidos por lo que es necesario que se revisen y actualicen
frecuentemente. Para un auditor constituirá un tema de preocupación el
encontrarse con que una organización no realiza el proceso de revisión de los
procedimientos. Los auditores revisan los procedimientos para
identificar/evaluar y, posteriormente, probar los controles sobre los procesos de
negocio. Cuando encuentran que las prácticas operacionales no siguen los
procedimientos o cuando no existen los documentos de los procedimientos,
será difícil poder identificar los controles y asegurar que están operativos.
En la mayoría de las organizaciones, el departamento de Tecnologías de
Información es un departamento de servicios. El papel tradicional de un
departamento de servicios es el de ayudar a los departamentos de producción
a realizar sus operaciones de una forma más eficaz.
Sin embargo hoy en día, TI se ha constituido como parte integral de las
operaciones de una organización. Su importancia continúa creciendo año tras
AUDITORIA INFORMÁTICA Y DE SISTEMAS
135
año, y todo hace prever que esta tendencia no cambie. Por tanto, los auditores
de TI tienen que entender y apreciar que un departamento de TI bien
gestionado es crucial para la salud de una organización.
Principios de Gestión
Los principios estándar de buena gestión aplican a la gestión de TI, no obstante
las prácticas de gestión reales diferirán dependiendo de la naturaleza del
departamento de TI. Por ejemplo, una compañía con un gran computador
central puede tener un gran número de métodos diferentes que una compañía
que tiene una amplia red de oficinas dispersas, cada una con una RAL (red de
área local) de PCs y un alto grado de autonomía.
Algunas áreas clave donde el foco y el énfasis son diferentes en el
departamento de TI son las siguientes:
Gestión de la persona: El personal en un departamento típico de TI está
altamente cualificado. Estos profesionales de TI suelen cambiar de trabajo
frecuentemente y las subidas de salario normales y los cambios a puestos
de gestión no son una motivación para ellos. Los departamentos de TI
muchas veces son organizaciones planas con pocos niveles de jerarquía.
Personal con poca experiencia tiene importantes responsabilidades y toma
decisiones cruciales. Por tanto, la formación de los empleados y un plan de
carrera profesional son de gran ayuda.
Gestión del cambio: No solo el personal cambia frecuentemente, sino que
también el departamento está en un estado de cambio manejando
demandas de nuevas aplicaciones y nuevas tecnologías. Es importante
para el departamento estar al tanto de la tecnología y adoptar
proactivamente el cambio cuando sea necesario.
Foco en buenos procesos: Debido a la tasa de cambio, es importante
implementar y promover buenos procesos. Debe haber procedimientos
documentados de todos los aspectos del departamento ya sean estándares
de programación, pruebas o respaldo de los datos. El control y el
aseguramiento de la calidad son otros ejemplos de elementos importantes
de un departamento bien gestionado. Los procesos y los procedimientos no
AUDITORIA INFORMÁTICA Y DE SISTEMAS
136
deben ser estáticos, tienen que estar al corriente de la actualidad de la
organización.
Seguridad: La preocupación por la seguridad es más importante y
penetrante dentro de un departamento de TI que en muchos otros
departamentos. Internet ha hecha mayor esta preocupación. Como recurso
crucial que es, el departamento de TI debe estar igualmente preocupado
por la continuidad de las operaciones del negocio y de la recuperación de
desastres.
Gestión de terceras partes: Dado que los departamentos de TI utilizan
productos, hardware, software y redes de alta tecnología, tienen muchos
suministradores que deben trabajar juntos para entregar los resultados
deseados.
7.2 AUDITORIA DE LA GESTIÓN DE TECNOLOGIAS DE INFORMACIÓN
Los departamentos de TI están integrados en organizaciones mayores y que,
por tanto son destinatarios de un sin fin de estímulos de las mismas, que duda
cabe de que, dado el ámbito tecnológico tan particular de la informática, la
principal influencia que dichos departamentos reciben viene inducida desde la
propia dirección de TI.
Las enormes sumas que las empresas dedican a las tecnologías de
información en un crecimiento que no se vislumbra el final y la absoluta
dependencia de las mismas al uso correcto de dicha tecnología hacen muy
necesaria una evaluación independiente de la función que la gestiona. La
dirección TI no debe quedar fuera: es una pieza clave del engranaje.
Se podría decir que algunas de las actividades básicas de todo proceso de
dirección son:
Planificar.
Organizar.
Coordinar
Controlar
AUDITORIA INFORMÁTICA Y DE SISTEMAS
137
Grafico 7.1: Funciones de un proceso de dirección
7.2.1 PLANIFICAR
Se trata de prever la utilización de las tecnologías en la empresa. Existen
varios tipos de planes informáticos. El principal, y origen de todo lo demás, lo
constituye el plan estratégico del sistema de información.
PLAN ESTRATÉGICO DEL SISTEMA DE INFORMACIÓN
Debe asegurar el alineamiento de los mismos con los objetivos de la empresa.
Desgraciadamente la transformación de los objetivos de la empresa en
objetivos informáticos no es siempre una tarea fácil. Estos planes no son
responsabilidad exclusiva de la dirección de informática, pero debe ser el
permanente impulsor de una planificación de sistemas de información
adecuada y a tiempo. Aunque se suele definir la vigencia de un plan estratégico
de 3 a 5 años, tal plazo es muy dependiente del entorno en el que se mueve la
empresa. Cada empresa tiene su equilibrio natural y el auditor deberá evaluar
si los plazos en uso en su empresa son los adecuados. Debe existir un
proceso, con participación activa de los usuarios, que regularmente elabore
planes estratégico de sistemas de información a largo plazo y el auditor deberá
evaluar su adecuación.
Planificar Organizar Coordinar y Controlar
AUDITORIA INFORMÁTICA Y DE SISTEMAS
138
Guía De Auditoria
El auditor deberá examinar el proceso de planificación de sistemas de
información y evaluar si se cumple los objetivos. Deberá evaluar si durante el
proceso de planificación se presta adecuada atención al plan estratégico de la
empresa y se presta adecuada consideración a nuevas TI.
Las tareas y actividades presentes en el plan tienen la correspondiente y
adecuada asignación de recursos para poder llevarlas a cabo así mismo si
tiene plazo de consecución realista.
Acciones a realizar tenemos:
Lectura de actas de sesiones del comité de informática y dedicadas a la
planificación estratégica.
Identificación y lectura de los documentos intermedios prescritos por la
metodología de planificación.
Lectura y comprensión detallada del plan e identificación de las
consideraciones incluidas en el mismo.
Realización de entrevista al director de informática y otros miembros del
comité de informática participantes en el proceso de elaboración de plan
estratégico así como a los usuarios
Identificación y comprensión de los mecanismos existentes de seguimiento
y actualización del plan y de su relación con la evolución de la empresa.
Otros planes relacionados:
Normalmente deben existir otros planes informáticos, todos ellos nacidos al
amparo del plan estratégico. Entre otros, los más habituales suelen ser:
Plan operativo anual.
Plan de dirección tecnológica.
Plan de arquitectura de información.
Plan de recuperación ante desastres.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
139
Plan operativo anual:
Se establece al comienzo de cada ejercicio y es el que marca las pautas a
seguir durante el mismo.
Entre otros aspectos, debe señalar los SI a desarrollar, los cambios
tecnológicos previstos, los recursos y los plazos necesarios, etc.
El auditor deberá evaluar la existencia del plan y su nivel de la calidad.
Deberá estudiar su alineamiento con el plan estratégico, grado de atención
a las necesidades de los usuarios, sus previsiones de los recursos
necesarios para llevar acabo el plan, etc.
Deberá analizar si los plazos descritos son realistas, teniendo en cuenta las
experiencias anteriores en la empresa.
Plan de recuperación ante desastres:
Una instalación informática puede verse afectada por desastres de variada
naturaleza, que tengan como consecuencia inmediata la indisponibilidad de
un servicio informático adecuado.
La dirección debe prever esta posibilidad y, por tanto, planificar para
hacerle frente.
7.2.2 ORGANIZAR Y CONTROLAR
El proceso de organizar sirve para estructurar los recursos, los flujos de
información y los controles que permitan alcanzar los objetivos marcados
durante la planificación.
Comité de Tecnologías de Información (TI)
El comité de Tecnologías de Información es el primer lugar de encuentro dentro
de la empresa de los informáticos y sus usuarios: es el lugar en el que se
debate los grandes asuntos de la informática que afectan a toda la empresa y
permiten a los usuarios conocer las necesidades del conjunto de la
organización y participar en la fijación de prioridades.
Si bien estrictamente el nombramiento, la fi jación de funciones, etc. del comité
de informática no son responsabilidades directas de la dirección de
AUDITORIA INFORMÁTICA Y DE SISTEMAS
140
Tecnologías de Información, sino de la dirección general, la dirección de TI se
ha de convertir en el principal impulsor de la existencia de dicho comité.
Se ha escrito mucho sobre las funciones que debe realizar un comité de TI y
parece existir un cierto consenso en los siguientes aspectos:
Aprobación del plan estratégico de SI.
Aprobación de las grandes inversiones en TI.
Fijación de prioridades entre los grandes proyectos informáticos.
Vehículo de discusión entre la informática y sus usuarios.
Vigila y realiza el seguimiento de la actividad del departamento de TI.
Guía de auditoria
El auditor deberá asegurar que el Comité de TI existe y cumple su papel
adecuadamente. Para ello, deberá conocer, en primer Lugar, las funciones
encomendadas al Comité. Entre las acciones a realizar tenemos:
Lectura de la normativa interna, si la hubiera, para conocer las funciones
que debería cumplir el Comité de TI.
Entrevistas a miembros destacados del Comité con el fin de conocer las
funciones que en la práctica realiza dicho Comité.
Entrevistas a los representantes de los usuarios, miembros del Comité, para
conocer si entienden y están de acuerdo con su papel en el mismo.
Una vez establecida la existencia del Comité deTI, habrá que evaluar la
adecuación de las funciones que realiza.
Posición del Departamento de TI en la empresa
El Departamento debería estar suficientemente alto en la jerarquía y contar con
masa critica suficiente para disponer de autoridad e independencia frente a los
departamentos usuarios.
Hoy en día, las tecnologías de información da soporte a un conjunto mucho
mayor de áreas empresariales y, por ello, cada vez es más habitual encontrar a
departamentos de TI dependiendo directamente de Dirección General.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
141
Incluso en las grandes organizaciones, el Director de TI es miembro de
derecho del Comité de Dirección u órgano semejante
Guía de auditoria
El auditor deberá revisar el emplazamiento organizativo del Departamento de
TI y evaluar su independencia frente a departamentos usuarios.
Para este proceso, será muy útil realizar entrevistas con el Director de TI y
directores de algunos departamentos usuarios para conocer su percepción
sobre el grado de independencia y atención del Departamento de TI.
Aseguramiento de la Calidad
La calidad de los servicios ofrecidos por el Departamento de TI debe estar
asegurada mediante el establecimiento de una función organizativa de
Aseguramiento de la Calidad.
Es muy importante que esta función, de relativa nueva aparición en el mundo
de las organizaciones informáticas, tenga el total respaldo de la Dirección y sea
percibido así por el resto del Departamento.
Guía de auditoria
El auditor deberá comprobar que las descripciones están documentadas y son
actuales y que las unidades organizativas informáticas las comprenden y
desarrollan su labor de acuerdo a las mismas. Entre las tareas que el auditor
podrá realizar:
Examen del organigrama del Departamento de TI e identificación de las
grandes unidades organizativas.
Revisión de la documentación existente para conocer la descripción de las
funciones y responsabilidades.
Realización de entrevistas a los directores de cada una de las grandes
unidades organizativas para determinar su conocimiento de las
responsabilidades de su unidad y que éstas responden a las descripciones
existentes en la documentación correspondiente.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
142
Examen de las descripciones de las funciones para evaluar si existe adecuada
segregación de funciones, incluyendo la separación entre desarrollo de
sistemas de información, producción y departamentos usuarios. Igualmente,
será menester evaluar la independencia de la función de seguridad.
Observación de las actividades del personal del Departamento para analizar,
en la práctica, las funciones realizadas, la segregación entre las mismas y el
grado de cumplimiento con la documentación analizada.
Estándares del funcionamiento y procedimientos.
Descripción dé los puestos de trabajo.
Deben existir estándares de funcionamiento y rendimiento que gobiernen la
actividad del Departamento de TI por un lado y sus relaciones con los
departamentos usuarios por otro.
Dichos estándares y procedimientos deberían estar documentados.
actualizados y ser comunicados adecuadamente a todos los departamentos
afectados.
Por otro lado deben existir documentadas descripciones de los puestos de
trabajo dentro de Informática delimitando claramente la autoridad y la
responsabilidad en cada caso.
Guía de auditoria
El auditor deberá evaluar si existen estándares de funcionamiento
procedimientos y descripciones de puestos de trabajo, adecuados y
actualizados. Entre las acciones a realizar, se pueden citar:
o Evaluación del proceso por el que los estándares, procedimientos y
puestos de trabajo son desarrollados, aprobados, distribuidos y
actualizados.
o Revisión de los estándares y procedimientos existentes.
o Revisión de las descripciones de los puestos de trabajo para evaluar
si reflejan las actividades realizadas en la práctica.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
143
Gestión de Recursos Humanos:
Selección, Evaluación del Desempeño, Formación, Promoción,
Finalización.
La gestión de los recursos humanos es uno de los elementos críticos en la
estructura general informática.
La calidad de los recursos humanos influye directamente en localidad de los
sistemas información producidos, mantenidos y operados por el
departamento de informática.
Guía de auditoria
Entre otros el auditor deberá evaluar que:
La selección de personal se basa en criterios objetivos.
El rendimiento de cada empleado se evalúa regularmente en base a
estándares.
Existen procesos para determinar las necesidades de formación de
empleados en base a su experiencia.
Existen procesos para la promoción del personal que tienen en cuenta su
desempeño profesional.
Existen controles que tienden a asegurar que el cambio de puesto de
trabajo y la finalización de los contratos laborales no afectan a los controles
internos y a la seguridad informática
Además el auditor deberá evaluar que todos los aspectos anteriores están
en línea con las políticas y procedimientos de la empresa.
Entre las acciones realizadas se pueden citar:
Conocimiento y evaluación de los procesos uti lizados para cubrir vacantes
en el Departamento.
Análisis de las cifras de rotación de personal, niveles de absentismo laboral
y estadísticas de proyectos terminados fuera de presupuesto y de plazo.
Realización de entrevistas a personal del Departamento.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
144
Revisión del calendario de cursos, descripciones de los mismos, métodos y
técnicas de enseñanza.
Revisión de los procedimientos para la finalización de contratos.
Comunicación
Es necesario que exista una comunicación efectiva y eficiente entre la
Dirección de Informática y el resto del personal del Departamento.
Entre los aspectos que es importante comunicar se encuentran: actitud
positiva hacia los controles, integridad, ética, cumplimiento de la normativa
interna entre otras, la de seguridad informática compromiso con la calidad,
etc.
Guía de auditoria
El auditor deberá evaluar las características de la comunicación entre la
Dirección y el personal de Informática.
Para ello se podrá servir de tareas formales como las descritas hasta ahora
y de otras, por ejemplo, a través de entrevistas informales con el personal
del Departamento.
Gestión económica
Este apartado de las responsabilidades de la Dirección de Informática tiene
varias facetas: presupuestario, adquisición de bienes y servicios y medida y
reparto de costes.
Presupuesto
Como todo departamento de la empresa, el de Informática debe tener un
presupuesto económico, normalmente en base anual.
Los criterios sobre cuáles deben ser los componentes del mismo varían
grandemente.
Sea cual sea la política seguida en la empresa, el Departamento de TI debe
seguirla para elaborar su presupuesto anual.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
145
Guía de auditoria
El auditor deberá constatar la existencia de un presupuesto económico de un
proceso para elaborarlo -que incluya consideraciones de los usuarios- y
aprobarlo, y que dicho proceso está en línea con las políticas y procedimientos
de la empresa y con los planes estratégico y operativo del propio
Departamento.
Adquisición de bienes y servicios
Los procedimientos que el Departamento de TI siga para adquirir los bienes y
servicios descritos en su plan operativo anual y/o que se demuestren
necesarios a lo largo del ejercicio han de estar documentados y alineados con
los procedimientos de compras del resto de la empresa. Aquí, las variedades
infinitas, con lo que es imposible dar reglas fijas.
Guía de auditoria
Una auditoria de esta área no debe diferenciarse de una auditoria tradicional
del proceso de compras de cualquier otra área de la empresa, con lo que el
auditor deberá seguir básicamente las directrices y programas de trabajo de
auditoria elaborados para este proceso.
Medida y reparto de costes
La dirección de informática debe en todo momento gestionar los costes
asociados con la uti lización de los recursos humanos y tecnológicos. Y ello,
obviamente, exige medirlos.
Guía de auditoria
El auditor deberá evaluar la conveniencia de que exista o no un sistema de
reparto de costes informáticos y de que este sea justo, incluya los conceptos
adecuados y de que el precio de transferencia aplicada este en línea o por
debajo del mercado. Entre las acciones a llevarse acabo, se puede mencionar:
Realización de entrevistas a la dirección de los departamentos usuarios.
Análisis de los componentes y criterios con los que está calculado el precio
de transferencia.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
146
Conocimiento de los diversos sistemas existentes en el departamento.
SEGUROS
La dirección de informática debe tomar las medidas necesarias con el fin de
tener la suficiente cobertura para los sistemas informáticos.
Estas coberturas amparan riesgos tales como la posible perdida de negocio,
los costes asociados al hecho de tener que ofrecer servicio informático
desde un lugar alternativo por no estar disponible en sitio primario, los
costos asociados a la regeneración de datos por perdida o inutilización de
los datos originales, etc.
Guía de auditoria
El auditor deberá estudiar las pólizas de seguros y evaluar la cobertura
existente, analizando si la empresa está suficientemente cubierta o existen
huecos en dicha cobertura. Por ejemplo, algunas pólizas sólo cubren el
reemplazo del equipo, pero no los otros costes mencionados, etc.
7.2.3 CONTROL Y SEGUIMIENTO
Un aspecto común a todo lo que se ha dicho hasta el momento es la obligación
de la Dirección de controlar y efectuar un seguimiento permanente de la distinta
actividad del Departamento.
Se ha de vigilar el desarrollo de los planes estratégico y operativo y de los
proyectos que los desarrollan, la ejecución del presupuesto, etc. En esta labor,
es muy conveniente que existan estándares de rendimiento con los que
comparar las diversas tareas.
Guía de auditoria
Entre las acciones a realizar, se pueden mencionar:
Conocimiento y análisis de los procesos existentes en el Departamento para
llevar a cabo el seguimiento y control, Evaluación de la periodicidad e los
mismos. Analizar igualmente los procesos de represupuestación.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
147
Revisión de planes, proyectos, presupuestos de años anteriores y del actual
para comprobar que son estudiados, que se analizan las desviaciones y que
se toman las medidas correctoras necesarias.
Cumplimiento de la normativa legal
La Dirección de Informática debe controlar que la realización de sus actividades
se lleva a cabo dentro del respeto a la normativa legal aplicable.
Asimismo, deben existir procedimientos para vigilar y determinar
permanentemente la legislación aplicable.
Guía de auditoria
El auditor deberá evaluar si la mencionada normativa aplicable se cumple.
Para ello, deberá, en primer lugar, entrevistarse con la Asesoría Jurídica de
la empresa la Dirección de Recursos Humanos y la Dirección de Informática
con el fin de conocer dicha normativa.
A continuación, evaluará el cumplimiento de las normas, en particular en los
aspectos más críticos.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
148
Realizar un plan de auditoría para la auditoría de la direccion de la direccion de tecnologias de información.
Describa las actividades a realizar por un auditor para evaluar un plan estrategico de sistemas de información.
En el presente fascículo se da a conocer los principales aspectos que se deben
analizar y revisar durante una auditoria a la dirección de tecnologías de
información de cualquier organización. Así como también la importancia de
dicha auditoria en la calidad del marco de controles impulsado e inspirado por
la Dirección de TI sobre el probable comportamiento de los sistemas de
información.
Littlejhon Shider, Debra, “Superutilidades y detección de Delitos
Informaticos”, Edit. Anaya, 1era. Edición, 2003.
Jones J., Keith, “Superutilidades Hackers “, Edit. Mc.Graw Hill, 1era.
Edición, 2003.
Cougias,Dorian/E.L. Heiberg, “Herramientas de Protección y
Recuperación de Datos”, Edit. Anaya, 1era. Edición, 2004
Solís Montes, Gustavo Adolfo, “Reingeniería de la Auditoria”, Edit.
Trillas, 1ra. Edición. 2002.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
149
Piattini Mario G., ”Auditoria Informática”. Edit. AlfaOmega, 2da.
Edición 2001.
Echenique GARCIA, José Antonio, “Auditoria en Informática”, Edit.
Mc. Graw Hill, 2da. Edición, 2001.
1. ¿Que evidencias deberá buscar un auditor para poder evaluar si las
necesidades de los usuarios son adecuadamente tenidas en cuenta?
2. ¿Qué tareas debe hacer un auditor para evaluar el plan de formación del
departamento de informática? ¿Cómo puede juzgar si dicho plan esta
acorde con los objetivos de la empresa?
3. Descríbase un programa de trabajo para evaluar Acuerdos de Nivel de
Servicio. Para el área de desarrollo y programación, identifíquense los
principales conceptos de servicio que debería contener un ANS así
como los indicadores de medida pertinentes.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
150
UNIDAD ACADÉMICA VIII
OTROS ASPECTOS DE LA AUDITORIA DE INFORMÁTICA
En el presente fascículo se tratara algunos aspectos de mucha importancia
dentro del proceso de una auditoria, debido a la velocidad de avance de las
tecnologías de información y su gran impacto en cada uno de todas las
áreas del que hacer diario del ser humano: en primer lugar se describirá los
objetivos y desempeño de la asociación internacional ISACA y su respectivo
capitulo en nuestro país, así como también se exp licara la importancia de el
“Código Deontológico” en aquellos profesionales que ejercen una
determinada actividad, en especial la auditoria informática, y finalmente se
analizara el estado de la seguridad informática en Latinoamérica y la
convergencia de la seguridad como un nueva panorama para la gestión de
las tecnologías de información.
Conocer los principios deontológicos y códigos éticos que son exigibles
a los profesionales auditores informáticos como deberes y formas de
conducta que deben de seguir.
Entender que los códigos deontológicos sirven como ejemplo y cauce
idóneo por parte de los auditores para transmitir, al resto de la sociedad,
sus singulares y especificas percepciones, inquietudes y
autolimitaciones.
Analizar y aplicar los nuevos conceptos y enfoques de la seguridad y
auditoria informática.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
151
8.1 ORGANISMOS E INSTITUCIONES DEDICADAS A LA SEGURIDAD Y
AUDITORIA INFORMÁTICA
8.1.1 ISACA (Asociación de Auditoria y Control de Sistemas de
Información)
ISACA comenzó en 1967, cuando
un pequeño grupo de personas
con trabajos similares-controles de
auditoría en los sistemas
informáticos que son cada vez más
críticos para las operaciones de sus organizaciones-se sentaron a discutir la
necesidad de una fuente centralizada de información y orientación en el campo.
En 1969, el grupo formalizado, como la incorporación de los auditores EDP
Asociación. En 1976 la asociación formó una fundación de educación para
llevar a cabo los esfuerzos de investigación a gran escala para expandir el
conocimiento y el valor de la gobernanza de las TI y el campo de control.
Hoy en día, los miembros de ISACA-más de 86.000 en todo el mundo firme-se
caracterizan por su diversidad. Los miembros viven y trabajan en más de 160
países y cubren una variedad de profesionales de TI puestos conexos-para
nombrar sólo algunas, es auditor, consultor, educador, es la seguridad
profesional, regulador, director de información y auditor interno. Algunos son
nuevos en el campo, otros se encuentran en los niveles de la gerencia media y
otros están en la mayoría de los rangos superiores. Trabajan en casi todas las
categorías de la industria, incluidas las cuentas públicas financieras y
bancarias, el gobierno y el sector público, servicios públicos y la fabricación.
Esta diversidad permite a los miembros aprendan unos de otros, y el
intercambio de puntos de vista ampliamente divergentes sobre una variedad de
temas profesionales. Durante mucho tiempo ha sido considerado como uno de
los puntos fuertes de ISACA. Anteriormente conocida como la Auditoría de
Sistemas de Información y Control Association, ISACA ahora va por su sigla en
sólo, para reflejar la amplia gama de profesionales de TI de gobierno que sirve.
Otro de los puntos fuertes de ISACA es su red de capítulo. ISACA tiene más de
AUDITORIA INFORMÁTICA Y DE SISTEMAS
152
175 capítulos establecidos en más de 70 países de todo el mundo, y los
capítulos de proporcionar a sus miembros educación, intercambio de recursos,
promoción, contactos profesionales y una serie de otros beneficios a nivel local.
Averigüe si hay un capítulo cerca de usted.
Desde su creación, ISACA se ha convertido en un ritmo de establecimiento de
la organización mundial para la gestión de la información, control, seguridad y
profesionales de la auditoría. La de auditoría y normas de control IS son
seguidos por los profesionales de todo el mundo. Su investigación se señala
cuestiones profesionales difíciles de sus mandantes. Su Certified Information
Systems Auditor (CISA), la certificación es reconocida a nivel mundial y ha sido
ganado por más de 60.000 profesionales desde su creación. El certificado
Security Information Manager (CISM) de certificación únicamente los objetivos
de la información de la audiencia de gestión de seguridad y se ha ganado por
más de 10.000 profesionales. El Certificado de gobernanza de TI de las
empresas (CGEIT) la designación promueve el progreso de los profesionales
que deseen ser reconocidos por su gobierno de TI relacionados con la
experiencia y conocimiento y ha sido obtenido por más de 200 profesionales.
Publica una revista técnica de liderazgo en el campo de control de la
información, el Diario de ISACA. Alberga una serie de conferencias
internacionales centradas en temas técnicos y de gestión pertinentes a la es la
seguridad, control, seguridad y Profesiones de la gobernanza. Juntos, ISACA y
su filial IT Governance Institute dirigir la información a la comunidad técnica de
control y sirven a sus practicantes, proporcionando los elementos necesarios
para los profesionales de TI en un entorno en constante cambio en todo el
mundo.
8.1.2 ISACA en el Perú: APACSI
El Capítulo 146 de ISACA, es una asociación de profesionales, miembros de
ISACA, dedicados a la práctica de la auditoria, control y seguridad de sistemas
de información, en la cuidad de Lima – Perú.
El Capítulo 146 de ISACA fue fundado en el año 1997 y su objetivo principal es
AUDITORIA INFORMÁTICA Y DE SISTEMAS
153
brindar a sus miembros educación, recursos compartidos, promoción,
contactos profesionales y una amplia gama de beneficios adicionales a nivel
local, para el mejoramiento y desarrollo de las capacidades individuales
relacionados con la práctica de la auditoria, el control y la seguridad de
sistemas de información.
ISACA se ha convertido
actualmente en una
organización global que
establece las pautas para
los profesionales de
auditoria, control y seguridad de sistemas de información. Sus normas de
auditoria, control y seguridad de sistemas de información son respetadas por
profesionales de todo el mundo. Sus investigaciones resaltan temas
profesionales que desafían a sus constituyentes.
Certificaciones:
Su certificación Certified Information Systems Auditor (Auditor Certificado de
Sistemas de Información, o CISA) es reconocida en forma global y ha sido
obtenida por más de 30.000 profesionales.
Su nueva certificación Certified Information Security Manager (Gere nte
Certificado de Seguridad de Información, o CISM) se concentra
exclusivamente en el sector de gerencia de seguridad de la información.
Publica un periódico técnico líder en el campo de control de la información,
el Information Systems Control Journal (Periódico de Control de Sistemas
de Información).
Organiza una serie de conferencias internacionales que se concentran en
tópicos técnicos y administrativos pertinentes a las profesiones de gobernación
de TI y aseguración, control, seguridad de SI. Juntos, ISACA y su Instituto de
Gobernación de TI
(IT Governance Institute) asociado lideran la comunidad de control de
tecnología de la información y sirven a sus practicantes brindando los
elementos que necesitan los profesionales de TI en un entorno mundial en
AUDITORIA INFORMÁTICA Y DE SISTEMAS
154
cambio permanente.
APACSI
8.2 DEONTOLOGIA APLICADA A LOS AUDITORES INFORMATICOS
Las asociaciones de profesionales elaboran sus propios códigos de ética para
establecer sanciones que pueden aplicarse a sus agremiados en caso de
incumplimiento de alguno de sus preceptos.
8.2.1 PRINCIPIOS DEONTOLÓGICOS APLICABLES A LOS AUDITORES
INFORMÁTICOS Y CODIGOS ETICOS
Los principios deontológicos aplicables a los auditores deben necesariamente
estar en consonancia con los del resto de profesionales y especialmente con
los de aquellos cuya actividad presente mayores concomitancias con la
auditoría. Se pueden indicar como básicos los siguientes:
Estos principios son los que están en consonancia con los del resto de
profesionales y especialmente con los de aquellos cuya actividad presente
mayores concomitancias con la de la auditoria, estos principios deontológicos
son adoptados por diferentes colegios y asociaciones profesionales del entorno
socio-cultural pudiéndose indicar como básicos para el buen desarrollo de
auditoria informática.
A. El principio de beneficio del auditado, el auditor deberá ver como se
puede conseguir la máxima eficacia y rentabilidad de los medios informáticos
de la empresa auditada, estando obligado a presentar recomendaciones acerca
AUDITORIA INFORMÁTICA Y DE SISTEMAS
155
del reforzamiento del sistema y el estudio de las soluciones más idóneas según
los problemas detectados en el sistema informático.
B. El principio de calidad, el auditor deberá prestar sus servicios a tener de
las posibilidades de la ciencia y medios a su alcance con absoluta libertad
respecto a la utilización de dichos medios y en unas condiciones técnicas
adecuadas para el idóneo cumplimiento de su labor.
C. El principio de capacidad, el auditor debe estar plenamente capacitado
para la realización de la auditoria encomendada, teniendo en cuenta que, en la
mayoría de los casos, a los auditados en algunos casos les puede ser
extremadamente difícil verificar sus recomendaciones y evaluar correctamente
la precisión de las mismas.
D. El principio de cautela, el auditor debe en todo momento ser consciente de
que sus recomendaciones deben estar basadas en la experiencia que le
supone tiene adquirida, evitando que el auditado se embarque en proyectos de
futuro fundamentos en simples intuiciones sobre la posible evolución de las
nuevas tecnologías de la información.
E. El principio de comportamiento profesional, el auditor, tanto en sus
relaciones con el auditado como con terceras personas, deberá, en todo
momento, actuar conforme a las normas implícitas o explicitas de dignidad de
la profesión y de corrección en el trato personal.
F. El principio de concentración en el trabajo, el auditor deberá evitar que
un exceso de trabajo supere sus posibilidades de concentración y precisión en
cada una de las tareas encomendadas, ya que esto puede provocar la
conclusión de los mismos sin las debidas garantías de seguridad.
G. El principio de confianza, el auditor deberá facilitar e incrementar la
confianza del auditado en base a una actuación de transparencia en su
actividad profesional sin alardes científicos-técnicos que puedan restar
credibilidad a los resultados obtenidos y a las directrices aconsejadas de
actuación.
H. El principio de criterio propio, el auditor durante la ejecución de la
auditoria deberá actuar con criterio propio y no permitir que éste esté
subordinado al de otros profesionales que no coincidan con el mismo.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
156
I. El principio de discreción, el auditor deberá en todo momento mantener
una cierta discreción en la divulgación de datos, que se le hayan puesto de
manifiesto durante la ejecución de la auditoria.
J. El principio de economía, el auditor deberá proteger en la medida de sus
conocimientos los derechos económicos del auditado evitando generar gastos
innecesarios en el ejercicio de su actividad.
K. El principio de formación continua, el auditor tiene un deber y
responsabilidad de mantener una permanente actualización de sus
conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda
y a las exigencias de la competencia de la oferta.
L. El principio de fortalecimiento y respeto de la profesión, la defensa de
los auditados pasa por el fortalecimiento de la profesión de los auditores
informáticos, lo que exige un respeto por el ejercicio de la actividad
desarrollada por los mismos y un comportamiento acorde con los requisitos
exigibles para el idóneo cumplimiento de la finalidad de las auditorias.
F. El principio de independencia, el auditor deberá actuar tanto como
profesional externo o con independencia laboral respecto a la empresa en la
que deba realizar la auditoria informática.
G. El principio de información suficiente, el auditor deberá ser plenamente
consciente de su obligación de aportar información clara y precisa al auditado
sobre todo y cada uno de los puntos relacionados con la auditoria q ue puedan
tener algún interés para él.
H. El principio de integridad moral, el auditor deberá ser honesto, leal y
diligente en el desempeño de su misión a ajustarse a las normas morales de
justicia y probidad y evitar en participar en actos corruptos tanto personal como
de terceros.
I. El principio de legabilidad, el auditor deberá evitar sus conocimientos para
facilitar a los auditados la contravención de la legabilidad vigente.
J. El principio de libre competencia, el auditor mediante la actual economía
de mercado deberá actuar en el marco de la libre competencia tratando de que
el auditado no entre en comportamientos desleales para que con sus
competidores.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
157
K. El principio de no discriminación, el auditor deberá evitar inducir,
participar o aceptar situaciones discriminatorias de ningún tipo, ejerciendo su
actividad profesional sin prejuicios de ninguna clase y con independencia de las
características personales, sociales o económicas de sus clientes.
L. El principio de no injerencia, el auditor deberá evitar injerencia en los
trabajos de otros profesionales, respetar su labor y eludir hacer comentarios
despreciativos de la misma.
M. El principio de precisión, el auditor deberá estar convencido de su trabajo
antes de concluirlo por completo, debiendo ampliar el estudio del sistema
informático cuanto considere necesario.
N. El principio de publicidad adecuada, el auditor deberá en todo momento
ver el ajustamiento de la oferta y promoción de los servicios de auditoria a las
características, condiciones y finalidad perseguidas, evitando falsas difusiones
de publicidad con el objeto de engañar a los usuarios.
O. El principio de secreto profesional, el auditor deberá no difundir datos que
correspondan al auditado durante el desarrollo de su trabajo que pudieran
perjudicar a su cliente.
P. El principio de servicio publico, el auditor deberá hacer lo que este en su
mano y sin perjuicios de los intereses de sus clientes, para evitar daños
sociales durante la ejecución de la auditoria.
Q. El principio de veracidad, el auditor deberá tener siempre presente la
obligación de asegurar la veracidad de sus manifestaciones con los límites
impuestos por los deberes de respeto, corrección y secreto profesional.
8.2.2 CÓDIGOS DE CONDUCTA DE ALGUNAS ASOCIACIONES
La ISACF (Fundación de Control y Auditoria de Sistema de Información)
propone el siguiente Código de Ética Profesional para orientar a la conducta
profesional.
A. Los Auditores Certificados de Sistema de Información deberán:
1. Apoyar el establecimiento y cumplimiento de normas, procedimientos y
controles de las auditorias de sistemas de información.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
158
2. Cumplir con las Normas de Auditoria de Sistemas de Información, según
las adopte la ISACF.
3. Actuar en interés de sus empleadores, accionistas, clientes y público en
general en forma diligente, leal y honesta, y no contribuir a sabiendas en
actividades ilícitas o incorrectas.
4. Mantener la confidencialidad de la información obtenida en el curso de
sus deberes.
5. Cumplir con sus deberes en forma independiente y objetiva y evitar toda
actividad que comprometa o parezca comprometer su independencia.
6. Mantener su capacidad en los campos relacionados con la auditoria y
los sistemas de información mediante la participación en actividades de
capacitación profesional.
7. Ejercer sumo cuidado al obtener y documentar material suficiente sobre
el cual basar sus conclusiones y recomendaciones.
8. Informar a las partes involucradas del resultado de las tareas de
auditoria que se hayan realizado.
9. Apoyar la entrega de conocimientos a la gerencia, clientes y al publico
en general para mejorar su comprensión de la auditoria y los sistemas
de información.
10. Mantener altos estándares de conducta y carácter tanto en las
actividades profesionales como en las privadas.
B. The British Computer Society por su parte establece un Código de
Conducta cuyos principios es esquematizan a continuación:
Conducta Profesional.
Integridad Profesional.
Interés Público.
Fidelidad.
Competencia Técnica.
Imparcialidad.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
159
El auditor informático debe ser plenamente consciente de que su
comportamiento profesional presenta dos factores, íntimamente ligadas,
que configuran el régimen de su responsabilidad frente a terceros.
La primera corresponde a la aplicación de sus conocimientos técnicos
con la finalidad de determinar las condiciones de seguridad, fiabilidad y
calidad de los medios, elementos o productos que conforman el sistema
informático auditado.
La segunda debe poner de manifiesto la aplicación de los fundamentos
humanísticos que como persona y como profesional le son éticamente
exigibles.
En los casos de producirse algún conflicto entre ambas facetas, la
ponderación de los derechos deberá dar primacía a los valores morales
sobre los materiales.
8.2.3 CÓDIGO DE ÉTICA DE ISACA PERÚ
El Código de Ética Profesional
La Information Systems Audit and Control Association, Inc. (ISACA) dispuso y
actualizó el código de ética profesional para dirigir la conducta personal y
profesional de los miembros de la asociación y/o de aquellos que cuenten con
cualquiera de las credenciales de certificación internacional de ISACA.
En ese sentido, los miembros, certificados o no, están obligados a cumplir el
siguiente código de ética:
1. Apoyar el establecimiento y cumplimiento apropiado de estándares,
procedimientos y controles en los sistemas de información.
2. Realizar sus deberes con el debido cuidado profesional, objetividad, y
diligencia, de acuerdo con los estándares profesionales y las mejores
prácticas.
3. Dar servicio a sus empleadores, accionistas, clientes y público en general
en forma diligente, leal y honesta, manteniendo altos niveles de conducta y
no participar en actividades que desacrediten a la profesión.
AUDITORIA INFORMÁTICA Y DE SISTEMAS
160
4. Mantener la confidencialidad de la información obtenida en el curso de sus
deberes, a menos que el acceso sea requerido por una autoridad legal. Tal
información no será utilizada para la ventaja personal ni será divulgada a
terceros.
5. Mantener la capacidad en sus campos respectivos y acordar emprender
solamente aquellas actividades que razonablemente puede esperar
realizarlas competentemente.
6. Informar a las partes apropiadas los resultados del trabajo realizado,
revelándoles todos los hechos significativos.
7. Apoyar la educación de clientes, gerentes y público en general, para realzar
su comprensión de los sistemas de información, su seguridad y su control.
8. El cumplimiento del Código de Ética contribuye con el respeto y
reconocimiento mundialmente ganados por ISACA y contribuye al logro de
sus fines. La falta de adherencia al Código del Ética Profesional, de acuerdo
a lo establecido por ISACA Internacional, puede dar lugar a una
investigación y, en última instancia, a medidas disciplinarias.
8.3 SEGURIDAD DE LA INFORMACIÓN EN LATINOAMÉRICA:
TENDENCIAS 2009
La Asociación Colombiana de Ingenieros de Sistemas (ACIS) publicaron una
los resultados de una encuesta para con el fin de tomar una primera radiografía
al estado actual de la seguridad de la información en el continente.
El análisis realizado se desarrolló basado en una muestra aleatoria de
profesionales de tecnologías de información de Argentina, Chi le, Colombia,
México, Uruguay y otros países de Latinoamérica, la cual respondió una
encuesta de manera interactiva a través de una página web, con los resultados
de dicho análisis se llego a la siguientes conclusiones:
Las regulaciones internacionales llevarán a las organizaciones en
Latinoamérica a fortalecer los sistemas de gestión de la seguridad de la
información. Actualmente las normas como SOX y Basilea II comienzan a
AUDITORIA INFORMÁTICA Y DE SISTEMAS
161
cambiar el panorama de la seguridad de la información en la Banca y en el
mercado accionario.
La industria en Latinoamérica exige más de dos años de experiencia en
seguridad informática como requisito para optar por una posición en esta
área. De igual forma, se nota que poco a poco el mercado de especialistas
en seguridad de la información toma fuerza, pero aún la oferta de
programas académicos formales se encuentra limitada, lo que hace que las
organizaciones opten por contratar a profesionales con poca experiencia en
seguridad y formarlos localmente.
Las certificaciones CISSP, CISA y CISM son la más valoradas por el
mercado y las que a la hora de considerar un proyecto de seguridad de la
información marcan la diferencia para su desarrollo y contratación. Se
advierte un importante giro en las certificaciones CFE, CIA y CIFI que si
bien no aparecen con resultados “muy importantes”, si son consideradas
importantes por la industria.
La inversión en seguridad de la información se encuentra concentrada en
aspectos perimetrales, las redes y sus componentes, así como la protección
de datos de clientes que se reafirma con el 53,1% concentrado en temas de
seguridad de la información.
Las cifras en 2009 muestran a los antivirus, las contraseñas y los firewalls
de software como los mecanismos de seguridad más uti lizados, seguidos
por los sistemas VPN y proxies. Existe un marcado interés por las
herramientas de cifrado de datos y control de contenidos dos tendencias
emergentes ante las frecuentes fugas de información y migración de las
aplicaciones web al contexto de servicios o web services.
La limitada aplicación de las normas o regulaciones vigentes en temas de
delito informático en Latinoamérica y baja formación de los jueces en estos
temas establece un reto importante para la administración de justicia en el
continente. En este contexto, adelantar un proceso jurídico puede resultar
más costoso para la organización que para el posible infractor, dado que
generalmente la carga de la prueba está a cargo de la parte acusadora y los
AUDITORIA INFORMÁTICA Y DE SISTEMAS
162
posibles costos derivados de peritaje informático o análisis forense no
ayudan con la economía procesal requerida.
Si bien están tomando fuerza las unidades especializadas en delito
informático en Latinoamérica, es necesario continuar desarrollando
esfuerzos conjuntos entre la academia, el gobierno, las organizaciones y la
industria, para mostrarles a los intrusos que estamos preparados para
enfrentarlos.
La falta de apoyo directivo y la falta de tiempo, no pueden ser excusas para
no avanzar en el desarrollo de un sistema de gestión de seguridad. La
inversión en seguridad es costosa, pero la materialización de inseguridad
puede serlo mucho más. La decisión está en sus manos.
Los resultados sugieren que en Colombia el ISO 27000, ITIL y el Cobit 4.1
son el estándar y las buenas prácticas que están en las áreas de seguridad
de la información o en los departamentos de tecnologías de información.
Son motivadores de la inversión en seguridad: la continuidad de negocio, el
cumplimiento de regulaciones y normativas internas y externas, así como la
protección de la reputación de la empresa. Así mismo, se manifiesta la
necesidad de adelantar al menos un ejercicio anual de análisis de riesgos
como soporte a los temas de seguridad y procesos de negocio.
8.4CONVERGENCIA DE LA SEGURIDAD
En la actualidad, han surgido nuevas tecnologías de protección como resultado
del incremento no predecible de las amenazas y su mayor complejidad. Cada
vez más, es necesario mezclar tales alternativas en la organización.
Las organizaciones de hoy buscan incrementar a toda costa su Productividad y
de la forma más eficientemente posible, los recursos Disponibles, de tal
manera que sus productos y/o servicios sean ofrecidos de la mejor manera. En
este sentido es que la seguridad y la protección de la información han visto la
necesidad de evolucionar, de ver más allá, de buscar una manera integral para
garantizar su protección.
Este escenario cambiante y dinámico de la inseguridad de la información ha
direccionado los esfuerzos de la organización a entender que la protección de
AUDITORIA INFORMÁTICA Y DE SISTEMAS
163
la información debe contemplar un contexto completo, ver cómo la información
circula a través de empresa y cómo se deben Implementar las respectivas
medidas de protección, sin discriminar el ambiente del que se esté hablando.
Por la misma evolución de la seguridad y la protección de la información, que
ha venido desarrollándose, ya no sólo se ve a la inseguridad como un camino
que integra procesos, gente y tecnología, sino que ahora se integra con otros
elementos propios de protección, respondiendo a la necesidad de ver a la
inseguridad de manera total alrededor de la información, donde inclusive el
riesgo que se ha vuelto un elemento estratégico para el desarrollo natural de la
organización, ahora se puede ver por su evolución natural como un riesgo de
valor corporativo y así como la seguridad se ve como un elemento transversal a
la organización, y no de manera individual por cada unidad de negocio por
donde circula información.
Este nuevo panorama hace que se requieran mayores esfuerzos dentro de la
organización por el cumplimiento de un programa estructurado, con una forma
y un contenido, buscando cumplir de la mejor manera por esa nueva visión
integral del la inseguridad, enfocada a la protección de los activos de
información de la organización.
En este orden de ideas se requiere de alguien capaz de poder dirigir y dar
marcha al programa creado y diseñado de manera específica para la
organización; alguien que con esfuerzo, disciplina y una convicción clara pueda
llevar a acabo la ardua labor de orquestar el panorama desmedido de
inseguridad, al que la organización se ve expuesto, en su constante
crecimiento.
8.4.1 DEFINICIÓN DE CONVERGENCIA
Convergencia es un término que ha existido desde los años 70, y al que se le
han atribuido muchas definiciones y diferentes connotaciones. Al momento de
revisar la definición de convergencia encontramos lo siguiente. Según
diccionarios online se define la convergencia como “. Unión de dos o mas
cosas que confluyen en un mismo punto...” Según la Real Academia de la
AUDITORIA INFORMÁTICA Y DE SISTEMAS
164
Lengua. “Acción y efecto de convergir” y en los términos matemáticos se
entiende por convergencia, cuando una sucesión de número tiene un limite
definido.
Al analizar la definición se nota que se está hablando de que las tendencias se
unen o se encuentran en algún punto del tiempo y del espacio, de tal manera
que conjuran sus esfuerzos en pro de algo; que si bien al principio no poseen
características similares, tienden a entrelazarse por la misma naturaleza de la
situación o porque encuentran que sus esfuerzos mancomunados los llevan al
mismo objetivo.
Cuando se habla de convergencia de la seguridad, se hace referencia a un
todo como un elemento que integra las visuales de seguridad, desde todos sus
puntos de vista. Se trata de ver los servicios de seguridad no operando de
manera independiente; por un lado la seguridad física y por otro la seguridad
lógica, como un primer enfoque. Es ir más allá, para presentar la seguridad
como un todo, un elemento universal, un elemento único que contempla todas
las aristas posibles, en pro de un propósito: proteger un servicio de negocio.
Hablando puramente de seguridad, la convergencia en términos de compartir,
cooperar, colaborar parte de un propósito, la defensa; por lo tanto, es posible
definirla como todos aquellos esfuerzos mancomunados de seguridad de las
organizaciones, para compartir el propósito de “la defensa” y todo lo que a ella
le corresponda.
8.4.2 CONVERGENCIA EN LA SEGURIDAD INFORMÁTICA
La convergencia es un nuevo panorama que muestra una realidad, que se
puede leer como una tendencia que vendrá o existe en la actualidad, pero que
en el futuro cercano podría llegar a convertirse en una consideración y
recomendación para muchos tipos de organizaciones.
Es necesario que cada organización de sus pasos en el tema, sin dejarse
presionar por factores externos; lo importante podría ser reconocer su estado y
AUDITORIA INFORMÁTICA Y DE SISTEMAS
165
si de alguna manera es beneficioso llegar a una convergencia total, proceso,
tecnología y gente como marco de trabajo.
Existen en la actualidad algunos Framework de trabajo para adaptarse a los
modelos de convergencia; lo esencial de todos ellos es tener clara la visión de
negocio como elemento importante, de tal manera que pueda apalancar los
procesos de cambio que requiera la organización al acercarse a cualquier
modelo.
Es necesario que el líder o responsable de una visión corporativa de seguridad
cambie su posición de una postura funcional y experta, a una persona con
visión de negocio, que vea de manera transversal la información y en ella lo
que puede afectar de manera integral a la misma.
La colaboración, trabajo en equipo y esfuerzo conjunto serán piezas claves, de
tal forma que se pueda trabajar en pro de un propósito corporativo común,
“objetivo estratégico”.
Es posible que las organizaciones definan un modelo de madurez, para poder
cubrir los escenarios propuestos de convergencia presentados, una
convergencia a TI, como un primer nivel que nos permite tener una visión de
riesgos de TI unificada entre lo físico y lo lógico, después reordenar la
responsabilidades, y competencias del responsable de este rol; y, por último,
una visión global del riesgo,
En donde desde un punto unificado y con los recursos y esfuerzos adecuados
se pueda gestionar y gobernar los riesgos de la organización, teniendo en
cuenta la visión del negocio y no las áreas funcionales
AUDITORIA INFORMÁTICA Y DE SISTEMAS
166
Realizar un análisis y comentario sobre las organizaciones nacionales que se dedican a la seguridad y auditoria informática
Este fascículo trata de algunos aspectos de mucha importancia dentro del
proceso de una auditoria, como las organizaciones dedicadas a la
seguridad y auditoria informática como lo es ISACA, la importancia de el
“Código Deontológico” en el desempeño profesionales en especial la
auditoria informática, y finalmente se brinda algunas aspectos del estado
actual de la seguridad informática en Latinoamérica.
Piattini Mario G., ”Auditoria Informática”. Edit. AlfaOmega, 2da.
Edición 2001.
Echenique GARCIA, José Antonio, “Auditoria en Informática”, Edit.
Mc. Graw Hill, 2da. Edición, 2001.
INEI, “Auditoria de Sistemas”, Edición 2002
Salvador Sánchez, J.,“Ingeniería de Proyectos Informáticos”,Edit.
Universitat Jaume I, Edición 2003.
1. Comente la importancia de la formación continua del auditor informático
2. Explique el grado de independencia del auditor informático.
3. ¿Qué es el principio de libre competencia?
4. Explique la responsabilidad del auditor informático.
5. ¿A qué obliga el secreto profesional?
6. Comentar sobre la convergencia de la seguridad informática.