Auditora Computacional

Modulo 4 : Tipos y Clases de

Auditoras Informticas
www.inacap.cl
4.1 Areas Generales y Especificas
de la Auditora Informtica

4.1.1 Areas Generales de la Auditora

Informtica.
4.1.2 Areas Especficas de la Auditora
Informatica.

www.inacap.cl
4.1 Areas Generales y Especificas
de la Auditora Informtica
Direccin Usuario
reas Generales

Interna Seguridad

Explotacin Seguridad

Desarrollo Comunicaciones

reas Especficas
Sistemas
www.inacap.cl
4.1.1 Areas Generales de la
Auditora Informtica

reas Generales
Interna Usuario Direccin Seguridad
En esta rea de En esta rea, el En esta rea, se En esta rea, se
la Auditoria, se Departamento realiza el realiza el
realiza el de Informtica, control de las anlisis y
anlisis de la a pesar de actividades del control de los
actividad tener sus departamento conceptos de
informtica actividades de informtica seguridad
cotidiana real. dentro de la con el exterior; fsico y lgico
misma esto permite del mbito
empresa, entender las informtico.
trabaja como si necesidades
fuera una que tiene la
entidad empresa.
independiente.

www.inacap.cl
4.1.2 Areas Especficas de la
Auditora Informtica
Auditora de
Explotacin

Auditora de Auditora de
Seguridad Desarrollo

Auditora de Auditora de
Comunicaciones Sistemas

www.inacap.cl
4.1.2 Areas Especficas de la
Auditora Informtica
Los criterios que se aplican para cada rea especfica en una
auditora son:

Los criterios que se han

Desde su propio funcionamiento interno
mencionado pueden ser
ampliados, y establecidos
Desde el apoyo que recibe de la Direccin y, en sentido
de acuerdo
ascendente, a ladereal
del grado de cumplimiento las directrices de sta

necesidad de la empresa
Desde la perspectiva de los usuarios, destinatarios reales de la
auditadainformtica. y a sus
caracteristicas
Desde el punto de vista de la seguridad que ofrece la
Informtica en general o la rama auditada.

www.inacap.cl
4.2 Auditora Informtica de
Explotacin

4.2.1 rea de Explotacin Informtica

4.2.2 Control de Entrada de Datos.
4.2.3 Planificacin y Recepcin de
Aplicaciones.
4.2.4 Centro de Control y Seguimiento de
Trabajos.
4.2.5 Sala de Servidores.
4.2.6 Centro de Control de Red y
Monitoreo.

www.inacap.cl
4.2.1 rea de Explotacin
Informtica

La Explotacin Informtica se ocupa de

producirAuditar Explotacin
resultados consiste
informticos en tipo:
de todo
informes auditar
impresos, archivosquesoportados
las secciones la
magnticamente
componen ypara otros informticos,
sus interrelaciones.
ordenes automatizadas para lanzar o modificar
La Explotacin
procesos Informtica
industriales, etc. La seexplotacin
divide
informtica se puedereas:
en tres grandes considerar como una
Planificacin,
fabrica con ciertas
Produccin peculiaridades
y Soporte Tcnico, en que
la la
distinguen de las reales. Para realizar la
que cada cual tiene varios grupos.
Explotacin Informtica se dispone de una
materia prima, los Datos, que es necesario
transformar, y que se someten previamente a
controles de integridad y calidad. La
transformacin se realiza por medio del
Proceso informtico, el cual est gobernado
por programas. Obtenido el producto final, los
resultados son sometidos a varios controles
de calidad y, finalmente, son distribuidos al
cliente, al usuario.

www.inacap.cl
4.2.2 Control de Entrada de
Datos

La informacin obtenida ser analizada para su

compatibilidad con los sistemas, se debe tomar en
cuenta los plazos establecidos para la entrega de los
datos y la correcta entrega de la informacin a los
entornos diferentes. Tambin se tomar en cuenta que
estos procedimientos se realicen de acuerdo a las
normas vigentes.

www.inacap.cl
4.2.3 Planificacin y Recepcin
de Aplicaciones

Las normas de entrega de Aplicaciones por parte de desarrollo

sern auditadas, comprobando su cumplimiento y su calidad.
Una forma de evaluar la informacin tambin es escogiendo una
serie de muestras representativas de la documentacin de las
aplicaciones en explotacin. Se har las investigaciones pertinentes
a fin de determinar sobre la anticipacin de contactos con desarrollo
para la planificacin a medio y largo plazo.

www.inacap.cl
4.2.4 Centro de Control y
Seguimiento de Trabajos

Se analizar cmo se prepara, se lanza y se sigue la produccin diaria.

Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o
lotes sucesivos (Batch), o en tiempo real. Mientras que las Aplicaciones
de Teleproceso estn permanentemente activas y la funcin de
Explotacin se limita a vigilar y recuperar incidencias, el trabajo Batch
absorbe una buena parte de los efectivos de Explotacin. Este grupo
determina el xito de la explotacin, en cuanto que es uno de los
factores ms importantes en el mantenimiento de la produccin.

www.inacap.cl
4.2.5 Sala de Servidores

Las relaciones que unen a las personas y la conexin lgica que existe de cargos y
salarios sern estudiadas, tambin se ver si es que la distribucin de turnos es
equitativa. Cada turno de trabajo estar bajo el cargo de un responsable de sala.
Los Manuales de Operacin son importantes, as como su utilizacin, tambin los
comandos y su grado de automatizacin sern analizados con el fin de despejar
dudas acerca de su buen funcionamiento. Los planes de formacin deben ser
analizados, adems estos deben ser cumplidos tambin es importante que se
cumpla el tiempo transcurrido para cada operador, desde el tiempo en que recibi
el ltimo curso.

Se verificarn los montajes diarios y por horas

de cintas o cartridge, luego el tiempo que
transcurre a solicitud de montaje por parte del
sistema hasta el montaje real. Sern
verificadas las lneas de papel impresas da a
da y en las horas de impresin, as tambin la
manipulacin de papel que este implica.

www.inacap.cl
4.2.6 Centro de Control de Red
y Monitoreo.

Existe un centro de control de red, el cual se encuentra siempre ubicado

dentro del rea de produccin Explotacin. Este centro dedica sus
funciones exclusivamente al entorno de las comunicaciones, se
relaciona mucho con el Software de Comunicaciones de Tcnicas de
Sistemas. La fluidez en cuanto a la relacin y el grado de coordinacin
entre ambos debe ser analizado. La existencia de un punto equidistante
ser estudiada, desde donde sean perceptibles todas las lneas que se
encuentren asociadas al sistema.
En cuanto al Centro de Diagnostico, aqu se atienden
llamadas de los usuarios clientes, quienes se ha averiado o
han sufrido alguna incidencia, tanto en Software como en
Hardware. Este centro es para informticos grandes con
usuarios dispersos en un territorio amplio.
El Centro de Diagnostico es uno de los que ms ayuda a
disponer la configuracin de la imagen de la informtica de
la empresa. La auditora debe tomar este punto de vista.
Desde el punto de eficacia y eficiencia del usuario en
cuanto al servicio que recibe. La verificacin de la eficiencia
tcnica del centro no es suficiente, por que ser necesario
un anlisis simultneo, en el entorno del usuario.

www.inacap.cl
4.3 Auditora Informtica de
Desarrollo de Proyectos

4.3.1 rea de Desarrollo de Proyectos

4.3.2 Revisin de Metodologas usadas.
4.3.3 Control Interno de las Aplicaciones.
4.3.4 Satisfaccin de Usuarios.
4.3.5 Seguridad de Procesos y Ejecucin
de Programas.

www.inacap.cl
4.3.1 rea de Desarrollo de
Proyectos

La funcin de Desarrollo es una evolucin del

llamado Anlisis y Programacin de Sistemas y
Aplicaciones. A su vez, engloba muchas reas, tantas
como sectores informatizados tiene la empresa. De
manera resumida, una Aplicacin recorre las
siguientes fases:
Prerequisitos del Usuario
Anlisis funcional
Diseo
Anlisis orgnico (Preprogramacin y
Programacin)
Pruebas
Entrega a Explotacin y alta para el Proceso.
Estas fases deben estar sometidas a un exigente
control interno, caso contrario, adems del aumento
de los costos, podr producirse la insatisfaccin del
usuario. Finalmente, la auditora deber comprobar la
seguridad de los programas en el sentido de
garantizar que los ejecutados por la maquina sean
exactamente los previstos y no otros.

www.inacap.cl
4.3.2 Revisin de Metodologas
usadas

Una revisin obligada de las metodologas utilizadas,

es decir estas sern analizadas, para as asegurar la
modularidad de las nuevas ampliaciones de
aplicacin, as como tambin su mantenimiento.

www.inacap.cl
4.3.3 Control Interno de las
Aplicaciones
Dentro del control interno se revisarn las mismas fases, las
mismas que han debido continuar en el rea correspondiente de
desarrollo :
Cuando la aplicaciones son grandes, caras y complejas es
importante un anlisis de su aplicacin

Las aplicaciones debern ser definidas de acuerdo a una lgica. Se

observan los postulados, en funcin de la metodologa que se aplica y los
objetivos que el proyecto persigue.

El Desarrollo Tcnico de la Aplicacin. Es importante que este desarrollo

tcnico sea ordenado y correcto. Debern ser compatibles las herramientas
tcnicas que se usen ya que la diversidad de programas as lo requiere.

Diseo de Programas, deben ser muy sencillos, sern tambin

econmicos y tendrn modularidad, es decir regulable.

www.inacap.cl
4.3.3 Control Interno de las
Aplicaciones
Dentro del control interno se revisarn las mismas fases, las
mismas que han debido continuar en el rea correspondiente de
desarrollo :

Debe haber un periodo de pruebas y para eso se debe utilizar un

mtodo, el cual ser realizado de acuerdo a las normas de instalacin. Se
harn pruebas de ensayo de datos, para mayor seguridad y los datos
reales no sern permitidos.

Documentacin. Toda actividad realizada ser documentada y deber

cumplir la normativa establecida en la instalacin.

Habr un equipo de programacin. Debido a que hay tareas

que deben ser observadas, estas son tareas de anlisis puro, de
programacin e intermedias

www.inacap.cl
4.3.4 Satisfaccin de Usuarios

Los usuarios cumplen un rol importante debido a que las

aplicaciones que se encuentren tcnicamente eficientes y
bien desarrolladas, que no satisfagan los requerimientos de
estos mismos, sern vistas como fracasadas, la aceptacin
por parte del usuario otorga ventajas, debido a que se podrn
evitar nuevas programaciones, ahorrando en mantenimiento
de la aplicacin.

www.inacap.cl
4.3.5 Seguridad de Procesos y
Ejecucin de Programas

Otro punto son los programas crticos a quienes hay que mantener un
control de procesos y ejecuciones: entonces el Auditor debe tener la
posibilidad de ejecutar un mdulo el cual no corresponde con el programa
fuente que desarrollo, codific y prob en el rea de Desarrollo de
Aplicaciones. La compilacin debe corresponder al programa codificado,
de no ser as podran provocar graves daos y altos costos de
mantenimiento, lo que tambin puede suceder es que se prestara para
fraudes y sabotajes, etc.

Cuando un programa se da por bueno entonces se sujeta

a ciertas normas que determinan el ser entregados a
explotacin con el fin de copiar el programa fuente en la
librera de fuentes de explotacin, ha esta librera nadie
ms tiene acceso. Despus la compilacin y el montaje
del programa ponindolo en la librera de mdulos de
explotacin, a esta tampoco nadie tiene acceso, y por
ltimo hacer una copia de los programas fuente que se
soliciten para modificarlos o en todo caso para ser
arreglados una vez hecho esto es necesario volver a
verificar todo.

www.inacap.cl
4.4 Auditora informtica de
Sistemas

4.4.1 rea de Sistemas

4.4.2 Sistemas Operativos.
4.4.3 Software Bsico.
4.4.4 Software de teleproceso (On line -
Tiempo real).
4.4.5 Tunning.
4.4.6 Optimizacin de los Sistemas.
4.4.7 Administracin de Bases de Datos.
4.4.8 Investigacin y Desarrollo.

www.inacap.cl
4.4.1 rea de Sistemas

La auditoria informtica de Sistemas, se

ocupa de analizar la actividad que se
conoce como Tcnica de Sistemas en
todas sus facetas.
Hoy, la importancia creciente de las
telecomunicaciones ha propiciado que las
Comunicaciones, Lneas y Redes de las
instalaciones informticas, se auditen por
separado, aunque formen parte del entorno
general de Sistemas.

www.inacap.cl
4.4.2 Sistemas Operativos

Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en

primer lugar que los Sistemas estn actualizados con las ltimas versiones del
fabricante, indagando las causas de las omisiones si las hubiera. El anlisis de las
versiones de los Sistemas Operativos permite descubrir las posibles
incompatibilidades entre otros productos de Software Bsico adquiridos por la
instalacin y determinadas versiones de aquellas. Deben revisarse los parmetros
variables de las Libreras ms importantes de los Sistemas, por si difieren de los
valores habituales aconsejados por el constructor.

www.inacap.cl
4.4.3 Software Bsico

Es fundamental para el auditor conocer los productos de software bsico que han
sido facturados aparte de la propia computadora. Esto, por razones econmicas y
por razones de comprobacin de que la computadora podra funcionar sin el
producto adquirido por el cliente. En cuanto al Software desarrollado por el
personal informtico de la empresa, el auditor debe verificar que ste no ataque,
vulnere ni condicione al Sistema. Igualmente, debe considerar el esfuerzo realizado
en trminos de costes, por si hubiera alternativas ms econmicas.

www.inacap.cl
4.4.4 Software de teleproceso
(On line - Tiempo real)

Un sistema de tiempo real es aquel en el que para que las operaciones

computacionales estn correctas no depende solo de que la lgica e
implementacin de los programas computacionales sea correcto, sino tambin en
el tiempo en el que dicha operacin entreg su resultado. Si las restricciones de
tiempo no son respetadas el sistema se dice que ha fallado.
Los sistemas de tiempo real, no se incluyen en Software Bsico por su especialidad
e importancia. Las consideraciones anteriores son vlidas para ste tambin

www.inacap.cl
4.4.5 Tunning

Es el conjunto de tcnicas de observacin y de

medidas encaminadas a la evaluacin del
comportamiento de los Subsistemas y del Sistema en
su conjunto. Las acciones de tunning deben
diferenciarse de los controles habituales que realiza el
personal de Tcnica de Sistemas. El tunning posee
una naturaleza ms revisora, establecindose
previamente planes y programas de actuacin segn
los sntomas observados. Se pueden realizar:
Cuando existe sospecha de deterioro del
comportamiento parcial o general del Sistema.
De modo sistemtico y peridico, por ejemplo
cada 6 meses. En este caso sus acciones son
repetitivas y estn planificados y organizados de
antemano.
El auditor deber conocer el nmero de Tunning
realizados en el ltimo ao, as como sus resultados.
Deber analizar los modelos de carga utilizados y los
niveles e ndices de confianza de las observaciones.

www.inacap.cl
4.4.6 Optimizacin de los
Sistemas

Tcnica de Sistemas debe realizar acciones permanentes de optimizacin

como consecuencia de la realizacin de tunnings preprogramados o
especficos. El auditor verificar que las acciones de optimizacin fueron
efectivas y no comprometieron la Operatividad de los Sistemas ni el plan
crtico de produccin diaria de Explotacin.

www.inacap.cl
4.4.7 Administracin de Bases
de Datos

El diseo de las Bases de Datos, sean relaciones o

jerrquicas, se ha convertido en una actividad muy
compleja y sofisticada, por lo general desarrollada en
el mbito de Tcnica de Sistemas, y de acuerdo con
las reas de Desarrollo y usuarios de la empresa. Al
conocer el diseo y arquitectura de stas por parte
de Sistemas, se les encomienda tambin su
administracin. Los auditores de Sistemas han
observado algunas problemas derivados de la debil
experiencia que el rea de Sistemas tiene sobre la
problemtica general de los usuarios de Bases de
Datos.

La administracin tendra que estar a cargo de Explotacin. El auditor de Base de

Datos debera asegurarse que Explotacin conoce suficientemente las que son
accedidas por los Procedimientos que ella ejecuta. Analizar los Sistemas de
salvaguarda existentes, que competen igualmente a Explotacin. Revisar
finalmente la integridad y consistencia de los datos, as como la ausencia de
redundancias entre ellos.

www.inacap.cl
4.4.8 Investigacin y Desarrollo

Las empresas de hoy necesitan de

informticas desarrolladas, y saben que su
propio personal desarrolla aplicaciones y
ganancias que, pensadas inicialmente
para su utilizacin interna, pueden ser
susceptibles de otras empresas, creando
una competencia a las compaas del
ramo. La auditoria informtica debe tener
cuidado que la Investigacin y el
Desarrollo no sea una actividad que
estorbe a otras actividades internas de la
empresa.

www.inacap.cl
4.5 Auditora informtica de
Comunicaciones y Redes

4.5.1 rea de Comunicaciones y Redes.

4.5.2 Soporte fisico-lgico del tiempo
real.
4.5.3 Zonas comunes con la auditoria de
Explotacin.
4.5.4 Polifacetismo del Centro de Control
de Red.

www.inacap.cl
4.5.1 rea de Comunicaciones y
Redes

Este tipo de auditoria se enfoca en las

redes, lneas, concentradores, etc. As
pues, la Auditoria Informtica ha de
analizar situaciones y hechos algunas
veces alejados entre s, y est
condicionada a la participacin de la
empresa telefnica que provee el servicio.
Para este tipo de auditoria se requiere un
equipo de especialistas y expertos en
comunicaciones y redes.
El auditor informtico deber inquirir sobre
los ndices de utilizacin de las lneas
contratadas, solicitar informacin sobre
tiempos de desuso; deber proveerse de la
topologa de la red de comunicaciones
actualizada.
www.inacap.cl
4.5.2 Soporte fsico-lgico del
tiempo real
reas controladas para los equipos de comunicaciones,
previniendo los accesos inadecuados.
Proteccin y tendido adecuado de cables para evitar
accesos fsicos.
Prioridad de recuperacin del sistema
Tanto el informtico como el auditor, las Redes
Controles especficos en caso de que se utilicen lneas de
acceso normales con acceso a la red de datos para prevenir
Nodales, Concentradores, Redes Locales,
accesos no autorizados a los sistemas o la red.
Lneas, Multiplexores conforman lo que ellos
conocen como la estructura del soporte
Debe tener contraseas fsico-
y otros procedimientos
para limitar y detectar cualquier intento de acceso
lgico del Tiempo Real
no autorizado.
Detectar errores de transmisin.
Asegurar que las transmisiones van solo a
usuarios autorizados
Registros de actividad de la red, para reconstruir
incidencias y detectar accesos no autorizados.
Tcnicas de cifrado de datos.

www.inacap.cl
4.5.3 Zonas comunes con la
auditoria de Explotacin

Las debilidades ms frecuentes o importantes se encuentran en las deficiencias

organizativas que son comunes a las que se presentan en la auditoria de
explotacin . La contratacin e instalacin de lneas va asociada a la instalacin de
los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales,
Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas
actividades deben estar muy coordinadas y a ser posible, dependientes de una sola
organizacin

Se debe Tener:
Una gerencia de comunicaciones con autoridad para establecer procedimientos
y normativa.
Vigilancia del uso de la red de comunicaciones, ajustes de rendimiento y
resolucin de problemas.
Procedimientos para el seguimiento del costo de las comunicaciones y su
reparto a las personas o unidades apropiadas.
Gestin de la red, inventario de equipamiento y normativa de conectividad
Monitorizacin de las comunicaciones, registro y resolucin de problemas.
Revisin de costos y su asignacin de proveedores

www.inacap.cl
4.5.4 Polifacetismo del Centro
de Control de Red

La auditoria de este sector requiere un

equipo de especialistas, expertos
simultneamente en Comunicaciones y
en Redes Locales, que permita
enfrentar las deficiencias tcnicas del
entorno, debido a que debe realizar un
estudio profundo de todas las
actividades, siendo partcipe de
situaciones y hechos alejados entre s,
encontrndose inserto en la gestin de
quienes provean el servicio de soporte.

www.inacap.cl
4.6 Auditora de la Seguridad
informtica

4.6.1 rea de Seguridad Informtica.

4.6.2 Soporte fsico-lgico de la auditoria
de seguridad informtica.
4.6.3 Seguridad general y especfica de la
auditoria informtica.

www.inacap.cl
4.6.1 rea de Seguridad
Informtica.

La gestin del rea de la seguridad

consiste en la realizacin de las
tareas necesarias para garantizar
los niveles de seguridad exigibles
en una Organizacin.
Ejemplo de Composicin de una
area de Seguridad Informtica:

www.inacap.cl
4.6.1 rea de Seguridad
Informtica.

Descripcion de los componentes del rea

Jefe de Seguridad Informtica: Es el responsable de
mantener el rea de seguridad informtica.
ABM Usuarios: Se dedica al alta/baja/modificacin de
usuarios, contraseas dentro de los sistemas
operativos y aplicaciones de toda la Empresa.
Revisin, evaluacin y mantenimiento: Se dedica a
revisar la seguridad informtica de la red de la
Empresa, de los sistemas que se estn utilizando, se
encarga de realizar pruebas de productos de seguridad
informtica y del mantenimiento de la seguridad
informtica activa en todos los sectores.
Participacin en proyectos: Se dedica a participar en
todos los proyectos de informtica de la Empresa, para
que desde el inicio se cuente con un diseo e
implementacin de los nuevos sistemas en un entorno
seguro.

www.inacap.cl
4.6.1 rea de Seguridad
Informtica.

Funciones del rea de Seguridad Informtica

Proteger los sistemas informticos de la Empresa ante posibles
amenazas.
Mantenimiento de las polticas y estndares de seguridad de la
informacin.
Mantenimiento de los usuarios, contraseas y accesos a los
sistemas por parte de los usuarios de la Empresa.
Desarrollo e implementacin del Plan de Seguridad.
Monitoreo del da a da de la implementacin y uso de los
mecanismos de seguridad de la informacin.
Coordinar investigaciones de incidentes de seguridad
informtica.
Revisin de logs de auditora y sistemas de deteccin de
intrusiones.
Participar en los proyectos informticos de la Empresa
agregando todas las consideraciones de seguridad informtica.

www.inacap.cl
4.6.2 Soporte fisico-lgico de la
auditoria de seguridad informtica

La seguridad en la informtica abarca los conceptos de seguridad

fsica y seguridad lgica. La seguridad fsica se refiere a la
proteccin del Hardware y de los soportes de datos, as como a la
de los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catstrofes naturales,
etc.
La seguridad lgica se refiere a la seguridad de uso del software, a
la proteccin de los datos, procesos y programas, as como la del
ordenado y autorizado acceso de los usuarios a la informacin.

www.inacap.cl
4.6.3 Seguridad general y especfica
de la auditora informtica

La seguridad informtica se la
Con el incremento de agresiones a
puede dividir como Area General y
instalaciones informticas en los
como Area Especifica (seguridad de
ltimos aos, se han ido originando
Explotacin, seguridad de las
acciones para mejorar la Seguridad
Aplicaciones, etc.). As, se podrn
Informtica a nivel fsico. Los
efectuar auditorias de la Seguridad
accesos y conexiones indebidos a
Global de una Instalacin
travs de las Redes de
Informtica -Seguridad General- y
Comunicaciones, han acelerado el
auditorias de la Seguridad de un
desarrollo de productos de
rea informtica determinada
Seguridad lgica y la utilizacin de
Seguridad Especifica -.
sofisticados medios criptogrficos.

www.inacap.cl
4.6.3 Seguridad general y especfica
de la auditora informtica

El sistema integral de seguridad debe comprender:

Elementos Elementos tcnicos y

administrativos procedimientos

Definicin de una poltica Sistemas de seguridad de

de seguridad equipos y de sistemas

Organizacin y divisin de Aplicacin de los

responsabilidades sistemas de seguridad

Seguridad fsica y contra El papel de los auditores,

catstrofes internos como externos

Prcticas de seguridad del Planeacin de programas de

personal desastre y su prueba

www.inacap.cl
 PREGUNTAS ?

www.inacap.cl