Académique Documents
Professionnel Documents
Culture Documents
Sesin 3.2
Introduccin
La informacin que es tratada en una organizacin es un recurso critico que deberia ser protegido, ya que es la misma base de la mayoria de las decisiones que son adoptadas a lo largo del tiempo. Para tener una seguridad razonable sobre si la informacin es exacta y completa, estar disponible cuando lo necesita y ser confidencial, la implementacin de controles internos informaticos es necesario y ademas para cumplir con las exigencias legales en materias de derecho informatico.
Introduccin
Cabe aclarar que la Informtica no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por s misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditora Informtica.
El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas.
El concepto de auditora es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc
Control Interno
Para un mejor control de la auditoria informtica no nos podemos olvidar del control interno y la veracidad que este tiene que tener, como cuando el sistema esta en funcionamiento su evaluacin y control se tienen que hacerse siempre El control interno informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin de la organizacin y/o la direccin informtica, as como los requerimientos legales
Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.
Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad.
Auditoria en sistemas
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizados salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. De este modo la auditoria informatica sustenta y confirma la consecucin de los objetivos tradicionales de la auditoria
El auditor es responsable de revisar e informar a la direccin de la organizacin sobre el diseo y el funcionamiento de los controles implantados y sobre la fiabilidad de la informacin suministrada.
Buscar una mejor relacin costo-beneficio de los sistemas automticos o computarizados diseados e implantados por el PAD(Departamento de Procesamiento de Datos).
Auditoria de Sistemas
A continuacin se analizaran algunas normas y buenas prcticas para TI desde la perspectiva de la auditoria de SI A modo de ejemplo, entre muchos otros, la publicacin por IBM, de su A Management System for the Information Business en 1981(GE20-0662-1 a 4) Que abarcaba en sus cuatro volumenes los siguientes temas: Visin general de la direccin / gerencia
Auditoria de Sistemas
En la decada de 1970 se consolida la que hoy se llama Information System Audit And Control Association (ISACA), an hoy la nica entidad, a nivel mundial, de los auditores de SI, y que gestiona una certificacin en esta materia : Certified Information Systems Auditor (CISA). Esta asociacin, que esta presente en mas de 140 paises, a traves de mas de 170 capitulos en todo el mundo, establece normas y procedimientos para la funcin de la auditoria de SI y los profesionales que las realizan
El Cobit
El COBIT es precisamente un modelo para auditar la gestin y control de los sistemas de informacin y tecnologa, orientado a todos los sectores de una organizacin, es decir, administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. Las siglas COBIT significan Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas (Control Objectives for Information Systems and related Technology). El modelo es el resultado de una investigacin con expertos de varios pases, desarrollado por ISACA.
El Cobit
La adecuada implementacin de un modelo COBIT en una organizacin, provee una herramienta automatizada, para evaluar de manera gil y consistente el cumplimiento de los objetivos de control y controles detallados, que aseguran que los procesos y recursos de informacin y tecnologa contribuyen al logro de los objetivos del negocio en un mercado cada vez ms exigente, complejo y diversificado
COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo los computadores personales y las redes. Est basado en la filosofa de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.
El Cobit
define un marco de referencia que clasifica los procesos de las unidades de tecnologa de informacin de las organizaciones en cuatro dominios principales, a saber:
Dirigir y hacer funcionar una organizacin satisfactoriamente requiere gestionar de una manera sistemtica y visible.
Los dos sistemas de gestin del sector de las TIC que estan siendo mas implantados por las empresas ya sean grandes corporaciones o PYMES son los denominados SGSI y SGSTI.
SGSI Sistema de Gestin de la Seguridad de la Informacin basado en la Norma UNE ISO / IEC 27001: 2007 (Motor -PDCA-) y en la Norma ISO/IEC 27002 (Conocimiento - Gua de buenas prcticas - Repositorio de Controles para la seguridad en TIC). SGSTI Sistemas de Gestin del La gran ventaja de estos sistemas Informacin- basado en la Norma UNE ISO/IEC 20000-1:2005 (Motor PDCA) y en la Norma UNE ISO/IEC 20000 2 ( (Conocimiento guia de buenas practicas repositorio de controles para la seguridad en TIC).
La principal ventaja que presentan estos sistemas de Gestin en las TIC la constituye su capacidad de integracin con otros sistemas ya muy difundidos en las empresas, como son el sistema de Gestin de calidad (UNE ISO 9001) y el sistema medioambiental (UNE ISO 14000). Por este motivo, con su implantacin se logra que las TIC queden integradas y alineadas con otros procesos de negocios.
La auditoria en SI se ver beneficiada con la implantacin de estas normas en que tendran mejores evidencias y sustentacin de los controles implantados en un entorno de TI.
La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin pueden ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. La seguridad lgica, se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin.
Al auditar los sistemas, se debe tener cuidado que no se tengan copias piratas o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos.
El sistema integral de seguridad debe comprender: Elementos administrativos Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes (incendio, terremoto, etc.) Practicas de seguridad del personal Plizas de seguros Planeacin de programas de desastre y su prueba
21
22
Consideraciones de una red Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como porttiles.
Las metodologas de auditora informtica son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Estn basadas en profesionales de gran nivel de experiencia y formacin, capaces de dictar recomendaciones tcnicas, operativas y jurdicas, que exigen en gran profesionalidad y formacin continua. Solo existen dos tipos de metodologas para la auditora informtica: Controles Generales Metodologas de los auditores internos
Metodologas de los auditores internos.Estn formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. Tambin se define el objetivo de la misma, que habr que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genricos, con una orientacin de los controles a revisar. El auditor interno debe crear sus metodologas necesarias para auditar los distintos aspectos o reas en el plan auditor.
La misin principal de la funcin de auditoria de los SI es proveer a los organos del gobierno y a los de gestin de una organizacin de una seguridad razonable que los sistemas de control interno de los recursos de informacin de dicha organizacin estn bien definidos y efectivamente administrados, y que apoyan y ayudan a la creacin de valor de la oranizacin.
Validar que los recursos de informacion apoyan los objetivos de negocio y cumplen los requerimientos establecidos.
Analizar los nuevos riesgos derivados de las nuevas tecnologas y de los nuevos negocios.
Formar y divulgar respecto de los riesgos y amenazas que se derivan de una inadecuada utilizacin de los recursos de informacin.
Ubicacin en la organizacin
El auditor de SI debe revisar el control interno de los recursos de informacin y esta afecta a toda la organizacin, debe por tanto ubicarse en un punto del organigrama de la organizacin que le dote de total independencia del resto de unidades, y ademas de suficiente autoridad para poder ejercer su labor. Es por ello que la funcin de auditoria de SI no pueden de modo alguno estar incluida en el departamento de sistemas de informacion de una compaa. Dado que limitaria esta independencia, ya que el auditor tiene que estar evaluando procesos que estan bajo la responsabilidad del cargo al que a su vez tambin reportaria al departamento de auditori de SI.
En la actualidad existen normativas, tanto nacionales como internacionales, de gobierno corporativo, que establecen y/o recomiendan la posicin y el rol que debe tener la funcin de la auditoria interna en una organizacn.
La funcin de la auditoria interna es un rgano dependiente del consejo de administracin, a traves del comit de auditoria por delegacin, tiene la responsabilidad de supervisar, controlar y designar al responsable de la funcin. El personal de auditoria interna no asumira responsabilidades operativas, y actuar con independencia de criterio respecto a las otras unidades de la organizacin. La funcin de la auditoria Interna tenga total acceso a los registros, archivos, documentos y fuentes de informacin de la organizacin necesarios para el adecuado ejercicio de su labor.
Recursos necesarios
Recursos tecnicos: Son los recursos necesarios para que el personal del departamento de auditoria de SI pueda desarrollar eficaz y eficientemente su labor.
Recursos econmicos, los cuales deberan ser presentados y aprobados por el comit de auditoria
Auditar Explotacin consiste en auditar las secciones que la componen y sus interrelaciones. La Explotacin Informtica se divide en tres grandes reas: Planificacin, Produccin y Soporte Tcnico. Control de entrada de datos: Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de acuerdo a Norma.
El Centro de Diagnosis es el ente en donde se atienden las llamadas de los usuarios-clientes que han sufrido averas o incidencias, tanto de Software como de Hardware.
El Centro de Diagnosis est especialmente indicado para informticos grandes y con usuarios dispersos en un amplio territorio.
Estas fases deben estar sometidas a un exigente control interno, caso contrario, adems del disparo de los costes, podr producirse la insatisfaccin del usuario. La auditora deber comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros. Una auditora de Aplicaciones pasa indefectiblemente por la observacin y el anlisis de tres consideraciones:
Revisin de las metodologas utilizadas: Se analizaran stas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas. Control Interno de las Aplicaciones: se debern revisar las mismas fases que presuntamente han debido seguir el rea correspondiente de Desarrollo:
Estudio de Vialidad de la Aplicacin. Importante para Aplicaciones largas, complejas y caras. Definicin Lgica de la Aplicacin. Se analizar que se han observado los postulados lgicos de actuacin, en funcin de la metodologa elegida y la finalidad que persigue el proyecto.
Desarrollo Tcnico de la Aplicacin. Se verificar que ste es ordenado y correcto. Las herramientas tcnicas utilizadas en los diversos programas debern ser compatibles. Diseo de Programas. Debern poseer la mxima sencillez, modularidad y economa de recursos. Mtodos de Pruebas. Se realizarn de acuerdo a las Normas de la Instalacin. Se utilizarn juegos de ensayo de datos, sin que sea permisible el uso de datos reales.
Documentacin. cumplir la Normativa establecida en la Instalacin, tanto la de Desarrollo como la de entrega de Aplicaciones a Explotacin.
Equipo de Programacin. Deben fijarse las tareas de anlisis puro, de programacin y las intermedias. En Aplicaciones complejas se produciran variaciones en la composicin del grupo, pero estos debern estar previstos. Satisfaccin de usuarios: Una Aplicacin tcnicamente eficiente y bien desarrollada, deber considerarse fracasada si no sirve a los intereses del usuario que la solicit. La conformidad del usuario proporciona grandes ventajas posteriores, ya que evitar reprogramaciones y disminuir el mantenimiento de la Aplicacin.
Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque formen parte del entorno general de Sistemas.
Sistemas Operativos: Engloba los Subsistemas de Teleproceso, Entrada/Salda, etc. Debe verificarse en primer lugar que los Sistemas estn actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El anlisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Bsico adquiridos por la instalacin y determinadas versiones de aquellas.
Deben revisarse los parmetros variables de las Libreras ms importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor.
Tunning:
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del comportamiento de los Subsistemas y del Sistema en su conjunto. Se pueden realizar:
Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema. De modo sistemtico y peridico, por ejemplo cada 6 meses. En este caso sus acciones son repetitivas y estn planificados y organizados de antemano.
Por ejemplo: cuando se instala una Aplicacin, normalmente est vaca, no tiene nada cargado adentro. Lo que puede suceder es que, a medida que se va cargando, la Aplicacin se va poniendo cada vez ms lenta; Porque la informacin que est moviendo es cada vez mayor, entonces la Aplicacin se tiende a poner lenta.
Lo que se tiene que hacer es un anlisis, para luego optimizarla, mejorar el rendimiento de dicha Aplicacin.
Investigacin y Desarrollo: La auditora informtica deber cuidar de que la actividad de Investigacin y Desarrollo no interfiera ni dificulte las tareas fundamentales internas. Auditora Informtica de Comunicaciones y Redes: Para el informtico y para el auditor informtico, la estructura conceptual que constituyen las Redes Nodales, conmutadores, Concentradores, enrutadores, Redes Locales, etc. no son sino el soporte fsico-lgico del Tiempo Real.
La auditora de este sector requiere un equipo de especialistas, expertos simultneamente en Comunicaciones y en Redes Locales.
El auditor de Comunicaciones deber proveerse de la topologa de la Red de Comunicaciones, actualizada, ya que la des actualizacin de esta documentacin significara una grave debilidad.
Tambin puede ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos.
En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar: el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se encuentra principalmente para paquetes que son copiados sin autorizacin ("piratas") y borra toda la informacin que se tiene en un disco.
Al auditar los sistemas se debe tener cuidado que al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. La seguridad en la informtica abarca los conceptos de seguridad fsica y seguridad lgica. La seguridad fsica se refiere a la proteccin del Hardware y de los soportes de datos, as como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catstrofes naturales, etc.
La seguridad lgica se refiere a la seguridad de uso del software, a la proteccin de los datos, procesos y programas, as como la del ordenado y autorizado acceso de los usuarios a la informacin. La seguridad informtica se la puede dividir como rea General y como rea Especifica As, se podrn efectuar auditoras de la Seguridad Global de una Instalacin Informtica Seguridad General y auditoras de la Seguridad de un rea informtica determinada Seguridad Especifica .
Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos en el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes.
Andersen
Ernst & Young
KPMG
PriceWaterHouseCoopers