AUDITORIA DE LA SEGURIDAD

Integrantes: Juan Pablo Albarran Giovanni Carrizo A.

INDICE
2 3 4 5 6 $ ' (( (3 (4 (5 Introduccin Evaluacin de Riegos Seguridad Fsica Seguridad Lgica roduccin ! E"#lotacin %uditoria de &ase de Datos Faces de la %uditoria %uditoria In)or*+tica en Redes ! teleco*unicaciones %uditoria E"terna %uditoria Interna %uditoria de la %d*inistracin,

AUDITORIA DE LA SEURIDAD

16

IN-R.D/CCI0N
La auditoria de la seguridad sigue siendo el rea principal a auditar. Ya sabemos que puede haber seguridad sin auditoria cuya rea puede ser mayor o menor segn la entidad o el momento, lo cierto es que cada da es mayor la importancia de la informacin especialmente relacionada con sistemas vasados en el uso de tecnologas de la informacin y comunicaciones, por lo que el impacto de los fallos, los accesos no autorizados, la revelacin de la informacin y otras incidencias. La auditoria de los sistemas de informacin se define como cualquier auditoria, que abarca la revisin y evaluacin de todos los aspectos de los sistemas automticos de procesamientos , incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes , para ser una adecuada planeacin de la auditoria en informtica, hay que seguir una serie de pasos previos , que permitirn dimensionar el tama o y caractersticas de reas dentro del organismo a auditar !sus sistemas, organizaciones y equipos".

AUDITORIA DE LA SEURIDAD

16

E1%L/%CI0N DE RIES2.S
La evaluacin de riesgo es probablemente el paso ms importante en un proceso de gestin de riesgos, y tambi#n el paso ms difcil y con mayor posibilidad de cometer errores. $na vez que los riesgos han sido identificados y evaluados, los pasos subsiguientes para prevenir que ellos ocurran, protegerse contra ellos o mitigar sus consecuencias son mucho ms programticos. %arte de la dificultad en la gestin de riesgos es que la medicin de los dos parmetros que determinan el riesgo es muy difcil, por lo cual se dice que es un proceso sub&etivo. La incertidumbre asociada a la medicin de cada uno de los dos parmetros !L y %" es por lo general grande. La gestin de riesgo tambi#n sera ms simple si fuera posible contar con una nica m#trica que refle&e en la medicin toda la informacin disponible. 'in embargo esto no es posible, ya que se trata de medir dos cantidades. $n riesgo con gran magnitud de p#rdida o da o y una ba&a probabilidad de ocurrencia debe ser tratado en forma distinta que un riesgo con una reducida magnitud de p#rdida o da o y una alta probabilidad de ocurrencia. (n teora los dos riesgos indicados poseen una id#ntica prioridad para su tratamiento, pero en la prctica es bastante difcil gestionarlos cuando se hace frente a limitaciones en los recursos disponibles, especialmente tiempo para llevar a cabo el proceso de gestin de riesgo

AUDITORIA DE LA SEURIDAD

16

SE2/RID%D FISIC%
(s muy importante ser desde el punto de vista seguridad de la misma cualquier otro tipo de recuperacin. consciente que por ms que la empresa sea la ms segura de ataques e)ternos !hac*ers, virus, ataques de +os, etc.", la ser nula si no se ha previsto como combatir un incendio o desastre natural y no tener presente polticas claras de

La seguridad fsica es uno de los aspectos ms olvidados a la hora del dise o de un sistema informtico. 'i bien algunos de los aspectos de seguridad fsica bsicos se prev#n, otros, como la deteccin de un atacante interno a la empresa que intenta acceder fsicamente a una sala de cmputo de la misma, no. (sto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de bac*up de la sala de cmputo, que intentar acceder va lgica a la misma. Las #rinci#ales a*ena3as 4ue se #rev5n en Seguridad Fsica son6 -. +esastres naturales, incendios accidentales, tormentas e inundaciones .. /menazas ocasionadas por el hombre 0. +isturbios, sabota&es internos y e)ternos deliberados -ener controlado el a*7iente ! acceso )sico #er*ite 1 +isminuir siniestros 2raba&ar me&or manteniendo la sensacin de seguridad +escartar falsas hiptesis si se produ&eran incidentes 2ener los medios para luchar contra accidentes

AUDITORIA DE LA SEURIDAD

16

SE2/RID%D L.2IC%
Luego de ver como el sistema puede verse afectado por la falta de seguridad fsica, es importante recalcar que la mayora de los da os que puede sufrir un centro de cmputo no ser sobre los medios fsicos sino contra informacin por #l almacenada y procesada. /s, la seguridad fsica slo es una parte del amplio espectro que se debe cubrir para no vivir con una sensacin ficticia de seguridad. 3omo ya se ha mencionado, el activo ms importante que se posee es la informacin, y por lo tanto deben e)istir t#cnicas, ms all de la seguridad fsica que la asegure. (stas t#cnicas las brinda la 'eguridad Lgica. La Seguridad Lgica consiste en la 4aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo5. ()iste un vie&o dicho en la seguridad informtica que dicta que 4todo lo que no est permitido debe estar prohibido5 y esto es lo que debe asegurar la 'eguridad Lgica. Los o78etivos 4ue se #lantean ser+n6 -. 6estringir el acceso a los programas y archivos .. /segurar que los operadores puedan traba&ar sin una supervisin minuciosa y no puedan modificar los programas ni los archivos que no correspondan. 0. /segurar que se est#n utilizando los datos, archivos y programas correctos en y por el procedimiento correcto. 7. 8ue la informacin transmitida sea recibida por el destinatario al cual ha sido enviada y no a otro. 9. 8ue la informacin recibida sea la misma que ha sido transmitida. :. 8ue e)istan sistemas alternativos secundarios de transmisin entre diferentes puntos. ;. 8ue se disponga de pasos alternativos de emergencia para la transmisin de informacin.

AUDITORIA DE LA SEURIDAD

16

R.D/CCI0N 9 E: L.-%CI0N

La ()plotacin <nformtica se ocupa de producir resultados informticos de todo tipo1 listados impresos, ficheros soportados magn#ticamente para otros informticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. La e)plotacin informtica se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales. Control de Entrada de Datos6 'e analizar la captura de la informacin en soporte compatible con los 'istemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos, la correcta transmisin de datos entre entornos diferentes. 'e verificar que los controles de integridad y calidad de datos se realizan de acuerdo a =orma. lani)icacin ! Rece#cin de %#licaciones6 'e auditarn las normas de entrega de /plicaciones por parte de +esarrollo, verificando su cumplimiento y su calidad de interlocutor nico. +ebern realizarse muestreos selectivos de la +ocumentacin de las /plicaciones e)plotadas. 'e inquirir sobre la anticipacin de contactos con +esarrollo para la planificacin a medio y largo plazo.

AUDITORIA DE LA SEURIDAD

16

Centro de Control ! Segui*iento de -ra7a8os6 'e analizar cmo se prepara, se lanza y se sigue la produccin diaria. >sicamente, la e)plotacin <nformtica e&ecuta procesos por cadenas o lotes sucesivos, o en tiempo real. ?ientras que las /plicaciones de 2eleproceso estn permanentemente activas y la funcin de ()plotacin se limita a vigilar y recuperar incidencias, el traba&o >atch absorbe una buena parte de los efectivos de ()plotacin. -ie*#o Real6 Las /plicaciones que son >atch son /plicaciones que cargan mucha informacin durante el da y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la informacin, calcular cosas y obtener como salida, por e&emplo, reportes. @ sea, recolecta informacin durante el da, pero todava no procesa nada. (s solamente un tema de A+ata (ntryA que recolecta informacin, corre el proceso >atch !por lotes", y calcula todo lo necesario para arrancar al da siguiente. .#eracin, Salas de .rdenadores6 'e intentarn analizar las relaciones personales y la coherencia de cargos y salarios, as como la equidad en la asignacin de turnos de traba&o. 'e verificar la e)istencia de un responsable de 'ala en cada turno de traba&o. 'e analizar el grado de automatizacin de comandos, se verificara la e)istencia y grado de uso de los ?anuales de @peracin. 'e analizar no solo la e)istencia de planes de formacin, sino el cumplimiento de los mismos y el tiempo transcurrido para cada @perador desde el ltimo 3urso recibido. Centro de Control de Red ! Centro de Diagnosis6 (l 3entro de 3ontrol de 6ed suele ubicarse en el rea de produccin de ()plotacin. 'us funciones se refieren e)clusivamente al mbito de las 3omunicaciones, estando muy relacionado con la organizacin de 'oftBare de 3omunicaciones de 2#cnicas de 'istemas.

AUDITORIA DE LA SEURIDAD

16

%/DI-.RI% DE &%SE DE D%-.S

(l dise o de las >ases de +atos, sean relaciones o &errquicas, se han convertido en una actividad muy comple&a y sofisticada .La administracin tendra que estar a cargo de ()plotacin .(l auditor de >ase de +atos debera asegurarse que ()plotacin conoce suficientemente las que son accedidas por los %rocedimientos que ella e&ecuta. /nalizar los 'istemas de salvaguarda e)istentes, que competen igualmente a ()plotacin, revisar finalmente la integridad y consistencia de los datos, as como la ausencia de redundancias entre ellos.

AUDITORIA DE LA SEURIDAD

16

F%CES DE L% %/DI-.RI%
Fase I6 Conoci*ientos del Siste*a /spectos Legales y %olticas <nternas1 'obre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluacin. 3aractersticas del 'istema @perativo1 @rganigrama del rea que participa en el sistema, <nformes de auditora realizadas anteriormente 3aractersticas de la aplicacin de computadora1 ?anual t#cnico de la aplicacin del sistema, (quipos utilizados en la aplicacin de computadora

Fase 26 %n+lisis de las transacciones +efinicin de las transacciones. (stablecer el flu&o de los documentos <dentificar y codificar los recursos que participan en los sistemas 6elacin entre transacciones y recursos

Fase 36 %n+lisis de riesgos ! a*ena3as <dentificacin de riesgos <dentificacin de las amenazas 6elacin entre recursosCamenazasCriesgos

Fase 46 %n+lisis de controles 3odificacin de controles 6elacin entre recursosCamenazasCriesgos /nlisis de cobertura de los controles requeridos
AUDITORIA DE LA SEURIDAD

16

Fase 56 Evaluacin de Controles @b&etivos de la evaluacin %lan de pruebas de los controles %ruebas de controles /nlisis de resultados de las pruebas

Fase 66 In)or*e de %uditoria <nforme detallado de recomendaciones (valuacin de las respuestas <nforme resumen para la alta gerencia

Fase ;6 Segui*iento de Reco*endaciones <nformes del seguimiento (valuacin de los controles implantados

AUDITORIA DE LA SEURIDAD

16

%/DI-.RI% INF.R<%-IC% EN REDES 9 -ELEC.</NIC%CI.NES

La informacin de la empresa y para la empresa, siempre importante, se ha convertido en un /ctivo 6eal de la misma, como sus 'toc*s o materias primas si las hay. %or ende, han de realizarse inversiones informticas, materia de la que se ocupa la /uditora de <nversin <nformtica. +el mismo modo, los 'istemas <nformticos han de protegerse de modo global y particular1 a ello se debe la e)istencia de la /uditora de 'eguridad <nformtica en general, o a la auditora de 'eguridad de alguna de sus reas, como pudieran ser +esarrollo o 2#cnica de 'istemas. 3uando se producen cambios estructurales en la <nformtica, se reorganiza de alguna forma su funcin1 se est en el campo de la /uditora de @rganizacin <nformtica.
AUDITORIA DE LA SEURIDAD

16

(stos tres tipos de auditoras engloban a las actividades auditoras que se realizan en una auditora parcial. +e otra manera1 cuando se realiza una auditoria del rea de +esarrollo de %royectos de la <nformtica de una empresa, es porque en ese +esarrollo e)isten, adems de ineficiencias, debilidades de organizacin, o de inversiones, o de seguridad, o alguna mezcla de ellas.

%erfil del /uditor <nformtico en 6edes y 2elecomunicaciones (l perfil de un auditor informtico en redes y telecomunicaciones es el que corresponde a un <ngeniero en <nformtica o en 'istemas especializado en el rea de telemtica. (l auditor de informtico especializado en esta rea deber inquirir sobre los ndices de utilizacin de las lneas contratadas con informacin abundante sobre tiempos de desuso. +eber proveerse de la topologa de la 6ed de 3omunicaciones, actualizada, ya que la desactualizacin de esta documentacin significara una grave debilidad. La ine)istencia de datos sobre la cuantas lneas e)isten, cmo son y donde estn instaladas, supondra que se bordea la <noperatividad <nformtica. 'in embargo, las debilidades ms frecuentes o importantes se encuentran en las disfunciones organizativas.

AUDITORIA DE LA SEURIDAD

16

%/DI-.RI% E:-ERN%
La /uditora ()terna e)amina y evala cualquiera de los sistemas de informacin de es una organizacin que emite una opinin independiente sobre los mismos, pero las empresas generalmente requieren de la evaluacin de su sistema de informacin financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el t#rmino /uditora ()terna a /uditora de (stados Dinancieros, lo cual como se observa no es totalmente equivalente, pues puede e)istir /uditora ()terna del 'istema de <nformacin 2ributario, /uditora ()terna del 'istema de <nformacin /dministrativo, /uditora ()terna del 'istema de <nformacin /utomtico etcE La /uditora ()terna o <ndependiente tiene por ob&eto averiguar la razonabilidad, integridad y autenticidad de los estados, e)pedientes y documentos y toda aquella informacin producida por los sistemas de la organizacin. $na /uditora ()terna se lleva a cabo cuando se tiene la intencin de publicar el producto del sistema de informacin e)aminado con el fin de acompa ar al mismo una opinin independiente que le d# autenticidad y permita a los usuarios de dicha informacin tomar decisiones confiando en las declaraciones del /uditor $na auditora debe hacerla una persona o firma independiente de capacidad profesional reconocidas. (sta persona o firma debe ser capaz de ofrecer una opinin imparcial y profesionalmente e)perta a cerca de los resultados de auditora, basndose en el hecho de que su opinin ha de acompa ar el informe presentado al t#rmino del e)amen y concediendo que pueda e)presarse una opinin basada en la veracidad de
AUDITORIA DE LA SEURIDAD

16

los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su traba&o de investigacin >a&o cualquier circunstancia, un 3ontador profesional acertado se distingue por una combinacin de un conocimiento completo de los principios y procedimientos contables, &uicio certero, estudios profesionales adecuados y una receptividad mental imparcial y razonable.

%/DI-.RI% IN-ERN%

La auditora <nterna es el e)amen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando t#cnicas determinadas y con el ob&eto de emitir informes y formular sugerencias para el me&oramiento de la misma. (stos informes son de circulacin interna y no tienen trascendencia a los terceros pues no se producen ba&o la figura de la De %ublica. Las auditoras internas son hechas por personal de la empresa. $n auditor interno tiene a su cargo la evaluacin permanente del control de las transacciones y operaciones y se preocupa en sugerir el me&oramiento de los m#todos y procedimientos de control interno que redunden en una operacin ms eficiente y eficaz. 3uando la auditora est dirigida por 3ontadores %blicos profesionales independientes, la opinin de un e)perto desinteresado e imparcial constituye una venta&a definida para la empresa y una garanta de proteccin para los intereses de los accionistas, los acreedores y el %blico. La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno, puesto que no puede divorciarse completamente de la influencia de la alta administracin, y aunque mantenga una actitud independiente como debe ser, esta puede ser cuestionada ante los o&os de los terceros. %or esto se puede afirmar que el /uditor no solamente debe ser independiente, sino parecerlo para as obtener la confianza del %blico.

AUDITORIA DE LA SEURIDAD

16

%/DI-.RI% DE L% %D<INIS-R%CI0N
Las distintas reas operativas de las organizaciones se sostienen y apoyan cada vez ms en los servicios de las tecnologas de la informacin y las comunicaciones !2<3", que han acompa ado la automatizacin y el crecimiento de todos los procesos productivos, y la prestacin de nuevos servicios. 3omo consecuencia, son muchas las organizaciones en las que la informacin y la tecnologa que la soporta representan los activos ms valiosos, y a su vez, reconocen los beneficios potenciales que las nuevas tecnologas les pueden proporcionar. La productividad de cualquier organizacin depende del funcionamiento ininterrumpido de los sistemas 2<3, transformando a todo el entorno como un proceso crtico adicional. %or tanto, se requiere contar con una efectiva administracin de los riesgos asociados con las 2<3, y que viene dada por1 F La necesidad de dar respuestas adecuadas a los problemas planteados por la creciente dependencia de la informacin y de los sistemas que la proporcionan. F (l incremento de la vulnerabilidad de los sistemas, por el amplio espectro de amenazas a las que estn e)puestos. F La importancia y magnitud de los costes y las inversiones 2<3. F La desconfianza que los procedimientos automatizados o los servicios electrnicos pudieran provocar en el colectivo usuario y en los ciudadanos en general.

AUDITORIA DE LA SEURIDAD

16

F (l potencial de las nuevas tecnologas de la informacin es tal que pueden llegar a introducir <mportantes cambios en la organizacin, y en las prcticas de su actividad, para crear nuevas oportunidades y reducir costes. 6esulta de ello el rol bsico que debe desempe ar la funcin de /uditora <nformtica, o /uditora de los 'istemas de <nformacin, en una organizacin1 supervisin de los controles efectivamente implementados y determinacin de la eficiencia de los mismos. +ada la especializacin de los controles a supervisar, es indudable que en la /dministracin %blica el perfil de los profesionales 2<3 es el idneo para asumir y realizar directamente esas funciones, ayudando a las organizaciones a fortalecer la confianza en los servicios prestados, en especial los enmarcados dentro de la /dministracin (lectrnica. (s as que los profesionales 2<3 de la /dministracin tienen ante si un reto en su carrera profesional1 realizar tareas propias de la funcin de auditora, para contribuir a la me&ora de la calidad de los servicios prestados a los ciudadanos.

AUDITORIA DE LA SEURIDAD

16