Professional Documents
Culture Documents
ndice de contenido
1.- Introduccin a la auditoria informtica.......................................................................................4 1.1.- Conceptos de auditoria y auditoria Informtica..................................................................4 1.2.- Tipos de auditoria................................................................................................................4 1.2.1 Auditoria interna y externa.............................................................................................4 Auditora Interna................................................................................................................4 Auditoria Externa...............................................................................................................5 1.3.- Campo de la auditoria informtica......................................................................................5 1.4.- Control interno.....................................................................................................................5 1.5.- Modelos de control utilizados en auditoria informtica......................................................6 1.6.- Principios aplicados a los auditores informticos................................................................6 1.7.- Responsabilidades de los administradores y del auditor.....................................................8 2.- Planeacin de la auditoria Informtica......................................................................................10 2.1.- Fases de la auditoria..........................................................................................................10 2.1.1.- Planeacin..................................................................................................................10 2.1.2.- Revisin preliminar....................................................................................................10 2.1.3.- Revisin detallada......................................................................................................10 2.1.4.- Examen y evaluacin de la informacin....................................................................10 2.1.5.- Pruebas de controles de usuario.................................................................................11 2.1.6.- Pruebas sustantivas....................................................................................................11 2.2.- Evaluacin de los sistemas de acuerdo al riesgo...............................................................12 2.3.- Investigacin preliminar....................................................................................................12 2.4.- Personal participante..........................................................................................................12 3.- Auditoria de la funcin informtica...........................................................................................14 3.1.- Recopilacin de la informacin organizacional................................................................14 3.2.- Evaluacin de los recursos humanos.................................................................................14 3.3.- Entrevistas con el personal deinformtica.........................................................................15 3.4.- Situacin presupuestal y financiera...................................................................................15 3.4.1.- Presupuestos...............................................................................................................15 3.4.2.- Recursos financieros y materiales..............................................................................16 4.- Evaluacin de la seguridad........................................................................................................17 4.1.- Generalidades de la seguridad del rea fsica....................................................................17 4.2.- Seguridad lgica y confidencial........................................................................................17 4.3.- Seguridad personal............................................................................................................17 4.4.- Clasificacin de los controles de seguridad.......................................................................18 4.5.- Seguridad en los datos y software de aplicacin...............................................................18 4.6.- Controles para evaluar software de aplicacin..................................................................20 4.7.- Controles para prevenir crmenes y fraudes informticos.................................................21 4.8.- Plan de contingencia, seguros, procedimientos de recuperacin de desastres..................22 4.9.- Tcnicas y herramientas relacionadas con la seguridad fsica y del personal...................22 4.10.- Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin...................................................................................................................................22 5.- Auditoria de la seguridad en la teleinformtica.........................................................................24 5.1.- Generalidades de la seguridad en el rea de la teleinformtica.........................................24
2
5.2 Objetivos y criterios de la auditoria en el rea de la teleinformtica...................................24 5.3 Sntomas de riesgo...............................................................................................................25 5.4 Tcnicas y herramientas de auditoria relacionadas con la seguridad en la teleinformtica.25 6.- Informe de la auditoria informtica...........................................................................................26 6.1.- Generalidades de la seguridad del rea fsica....................................................................26 6.2.- Caractersticas del informe................................................................................................26 6.3.- Estructura del informe.......................................................................................................27 6.4.- Formato para el informe....................................................................................................28 Fuentes de informacin...................................................................................................................29
Es el campo de la infomtica, la auditora es un conjunto de tcnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificacin, control eficacia, seguridad y adecuacin del servicio informtico en la organizacin, por lo que comprende un examen metdico, puntual y discontinuo del servicio informtico, con vistas a mejorar en: Rentabilidad Seguridad Eficacia
Auditoria Externa
La auditora externa de diferenca de la interna, debido a que el personal que la realiza es ajeno a la institucin y es personal altamente calificado para desempear estos trabajos. El dictamen u opinin independiente tiene trascendencia a los terceros, pues da plena validez a la informacin generada por el sistema ya que se produce bajo la figura de la fe pblica, que obliga a los mismos a tener plena credibilidad en la informacin examinada. La Auditora Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella informacin producida por los sistemas de la organizacin. Sus objetivos son: Obtencin de elementos de juicio fundamentados en la naturaleza de los hechos examinados. Medicin de la magnitud de un error ya conocido, deteccin de errores supuestos o confirmacin de la ausencia de errores. Propuesta de sugerencias, en tono constructivo, para ayudar a la gerencia. Control de las actividades de investigacin y desarrollo.
Se trataba entonces de materializar un objetivo fundamental: definir un nuevo marco conceptual del control interno, capaz de integrar las diversas definiciones y conceptos que venan siendo utilizados sobre este tema, logrando as que, al nivel de las organizaciones pblicas o privadas, de la auditoria interna o externa, o de los niveles acadmicos o legislativos, se cuente con un marco conceptual comn, una visin integradora que satisfaga las demandas generalizadas de todos los sectores involucrados. Componentes El marco integrado de control que plantea el informe COSO consta de cinco componentes interrelacionados, derivados del estilo de la direccin, e integrados al proceso de gestin: Ambiente de control Evaluacin de riesgos Actividades de control Informacin y comunicacin
encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas. Principio de cautela. El auditor en todo momento debe ser consiente de que sus recomendaciones deben estar basadas en el experiencia contrastada que se le supone tiene adquirida, evitando que, por un exceso de vanidad, el auditado se embarque en proyectos de futuro fundamentos en simples intuiciones sobre la posible evolucin de las nuevas tecnologas de la informacin. Principio de comportamiento profesional. El auditor, tanto en sus relaciones con el auditado como con terceras personas, deber, en todo momento, actuar conforma a las normas, implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal. Principio de concentracion en el trabajo. En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas a l encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente controlada, provocar la conclusin de los mismos sin las debidas garantas de seguridad. Principio de confianza. El auditor deber facilitar e incrementar la confianza del auditoreo en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos. Principio de criterio propio. El auditor durante la ejecucin deber actuar con criterio propio y no permitir que est subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo. Principio de discrecin. El auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria Principio de economa. El auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad. Principio de formacin continuada. Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta. Principio de fortalecimiento y respeto de la profesin. La defensa de los auditados pasa por el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de las auditorias. Principio de independencia. Este principio, muy relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informtica, a exigir una total autonoma e independencia en su trabajo, condicin esta imprescindible para permitirle actuar libremente segn su leal saber y entender. Principio de informacin suficiente. Este principio obliga al auditor a ser plenamente consciente de su obligacin de aportar, en forma pormenorizada, clara, precisa e inteligible para el auditado, informacin tanto sobre todos y cada uno de los puntos relacionados con la auditoria que puedan tener algn inters para el, como sobre las conclusiones a las que a llegado. Principio de integridad moral. Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad, y a evitar participar, voluntaria o inconscientemente, en cualquier acto de corrupcin personal o de terceras personas. Principio de legalidad. La primaca de esta obligacin exige del auditor un comportamiento activo de oposicin a todo intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto integrado en el derecho positivo.
7
Principio de libre competencia. La actual economa de mercado exige que el ejercicio de la profesin se realice en el marco de la libre competencia siendo rechazables, por tanto, las prcticas colusorias tendentes a impedir o limitar la legitima competencia de otros profesionales y las prcticas abusivas consistentes en el aprovechamiento en beneficio propio, y en contra de los intereses de los auditados, de posiciones predominantes. Principio de no discriminacin. El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia, su actuacin deber mantener una igualdad de trato profesional con la totalidad de personas con las que en virtud de su trabajo tenga que relacionarse. Principio de no injerencia. El auditor, dada la injerencia que puede derivarse de su tarea, deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar un cierto desprestigio de su cualificacin profesional. Principio de precisin. Este principio estrechamente relacionado con el principio de calidad exige del auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas , debiendo ampliar sus estudios de ser necesario. Principio de publicidad adecuada. La oferta y promocin de los servicios de auditoria debern en todo momento ajustarse a las caractersticas, condiciones y finalidad perseguidas, siendo contraria a la tica profesional la difusin de publicidad falsa o engaosa que tenga como objetivo confundir a los potenciales usuarios de dichos servicios. Principio de responsabilidad. El auditor deber, como elemento intrnseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje. Principio de secreto profesional. La confidencia y confianza con caractersticas esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligacin de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional. Solamente por imperativo legal podr decaer esa obligacin. Principio de servicio publico. La aplicacin de este principio debe incitar al auditor a hacer lo que este en su mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales. Principio de veracidad. El auditor en sus comunicaciones con el auditado debera tener siempre presente la obligacion de asegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto, correccion, y secreto profesional.
Sistemas operativos. Telecomunicaciones. Administracin de Bases de Datos. Redes locales. Seguridad fsica. Operacin y planificacin informtica (efectividad de las operaciones y rendimiento del sistema). Administracin de seguridad de los sistemas (planes de contingencia). Administracin del cambio. Administracin de Datos. Automatizacin de oficinas (ofimtica). Comercio electrnico Encriptacin de datos
B) Especializacin en funcin de la importancia econmica que tienen distintos componentes financieros dentro del entorno empresarial; Por ejemplo, en un entorno financiero pueden tener mucha importancia las comunicaciones, por lo que se debe tener una especializacin en esa rama. C) Debe conocer tcnicas de administracin de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen. 4) Debe tener un enfoque de Calidad Total, lo cual har que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad. Es responsable de realizar las siguientes actividades para la funcin de la Auditora Informtica: Verificacin del control interno tanto de las aplicaciones como de los SI, perifricos, etc. Anlisis de la administracin de Sistemas de Informacin, desde un punto de vista de riesgo de seguridad, administracin y efectividad de la administracin. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del anlisis de aplicaciones. Auditora del riesgo operativo de los circuitos de informacin. Anlisis de la administracin de los riesgos de la informacin y de la seguridad implcita. Verificacin del nivel de continuidad de las operaciones. Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las consecuencias empresariales que un desfase tecnolgico puede acarrear. Diagnstico del grado de cobertura que dan las aplicaciones a las necesidades estratgicas y operativas de informacin de la empresa
Tambin el auditor informtico es responsable de establecer los objetivos de control que reduzcan o eliminen la exposicin al riesgo de control interno. Despus de que los objetivos de auditora se hayan establecido, el auditor debe revisar los controles y evaluar los resultados de su revisin para determinar las reas que requieran correcciones o mejoras. Adems de analizar el grado de implantacin y cumplimiento de los controles internos, se considera que el auditor puede hacer las veces de consultor del auditado, dndole ideas de cmo establecer procedimientos de seguridad, control interno, efectividad y eficacia, medicin del riesgo empresarial, entre otros.
gran nmero de transacciones. El examen de los objetivos de la auditora, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluacin, nos lleva a la conclusin de que el papel del computador afecta significativamente las tcnicas a aplicar. Mediante una revisin adecuada del sistema de procesamiento electrnico de datos del cliente, y el uso de formatos bien diseados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente. Al evaluar la informacin automtica, el auditor debe revisar varios documentos, como diagramas de flujo y documentos de programacin, para lograr un mejor entendimiento del sistema y los controles que se disearon en l. En el sistema de procesamiento electrnico de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la automatizacin del proceso, y algunos que sustituyen aquellos que en los mtodos manuales se basaron en juicios humanos y la divisin de labores. Muchos de los controles en ambientes informticos, pueden combinarse en los programas de computadoras con en el proceso manual. Para ayudar en la revisin de los sistemas de procesamiento de datos y los controles internos, en ocasiones de suma utilidad los cuestionarios para obtener informacin respecto al sistema. Una vez obtenida la informacin, el auditor debe proceder a obtener evidencias de la existencia y efectividad de los procedimientos para l. Una parte significativa del sistema de control interno est comprendida en el programa de la computadora. Existen baches en la ruta de auditora, haciendo difcil e poco prctico obtener resultados o verificar clculos. Esta situacin es posible tanto en aplicaciones sencillas, como en sistemas integrados complejos.
El auditor puede decidir que no hace falta confiar en los controles internos porque existen controles del usuario que los sustituyen o compensan. Para un auditor externo, revisar estos controles del usuario puede resultar ms costoso que revisar los controles internos. Para un auditor interno, es importante hacerlo para eliminar posibles controles duplicados, bien internos o bien del usuario, para evitar la redundancia.
Pruebas para confirmar la adecuada comunicacion. Prueba para determinar falta de seguridad. Pruebas para determinar problemas de legalidad.
12
Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para complementar el grupo, como colaboradores directos en la realizacin de la auditoria, se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Conocimientos de Admn., contadura y finanzas. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos y experiencias en psicologa industrial. Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar. Conocimientos de los sistemas ms importantes. En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencias en reas especficas como base de datos, redes y comunicaciones, etctera. Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias sealadas, pero si que deben intervenir una o varias personas con las caractersticas apuntadas.
Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta la carta (convenio de servicios profesionales en el caso de auditores externos -) y el plan de trabajo. La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes que se han de entregar.
13
Toda la informacin tiene un valor en si misma, el mtodo de obtencin de informacin esta directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad depender del objetivo que se busque y los medios para llevar acabo esa recoleccin de datos en tiempo y forma para su posterior anlisis.
4. Patones de costo: son los costos, directos e indirectos, de la rotacin de personal, de los accidentes en el trabajo, de los beneficios sociales, de las obligaciones sociales, de la relacin costo-beneficio del entrenamiento. Los patrones permiten la evaluacin y el control por medio de la comparacin con: 1. Resultados finales: cuando la comparacin entra el patrn y la variable se hace despus de realizada la operacin. La medicin se realiza en trminos de algo rpido y acabado, en el fin de la lnea, lo cual presenta el inconveniente de mostrar los aciertos y las fallas de una operacin ya terminada, una especie de partida de defuncin de algo que ya sucedi. 2. Desempeo: cuando la comparacin entre el patrn y la variable se hace simultneamente con la operacin, es decir, cuando la comparacin acompaa ala ejecucin de la operacin. La medicin es concomitante con el procesamiento de operacin. A pesar de que se realiza en forma simultanea, lo que quiere decir es que es actual, la medicin se realiza sobre una operacin en proceso y no terminada an. La comparacin es la funcin de verificar el grado de concordancia entra una variable u su patrn. La ARH se encarga de planear, organizar y controlar las actividades relacionadas con la vida del personal en la empresa. Parte de la ejecucin de estas actividades al realizan los organismos de recursos humanos, en tantos que alguna parte de ella la realizan diversos organismos de lnea. De este modo las actividades de recursos humanos planeadas y organizadas con antelacin muestran durante su ejecucin y control algunas dificultades y distorsiones que requieren ser diagnosticadas y superadas, con el fin de evitar mayores problemas. La rapidez con que esto se haga depende de una revisin y auditoria permanentes, capaces de suministrar una adecuada retroalimentacin para que los aspectos positivos puedan mejorarse y los negativos, corregirse y ajustarse.
16
nuestra informacin caiga en otras manos, pero es el usuario quien debe guardar celosamente su informacin.
Nivel D. Este nivel contiene slo una divisin y est reservada para sistemas que han sido
18
evaluados y no cumplen con ninguna especificacin de seguridad. Sin sistemas no confiables, no hay proteccin para el hardware, el sistema operativo es inestable y no hay autentificacin con respecto a los usuarios y sus derechos en el acceso a la informacin. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh. Nivel C1: Proteccin Discrecional. Se requiere identificacin de usuarios que permite el acceso a distinta informacin. Cada usuario puede manejar su informacin privada y se hace la distincin entre los usuarios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administracin del sistema slo pueden ser realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralizacin de los sistemas de cmputos, no es raro que en una organizacin encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario. A continuacin se enumeran los requerimientos mnimos que debe cumplir la clase C1: Acceso de control discrecional: distincin entre usuarios y recursos. Se podrn definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrn actuar usuarios o grupos de ellos. Identificacin y Autentificacin: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podr ser accedido por un usuario sin autorizacin o identificacin. Nivel C2: Proteccin de Acceso Controlado. Este subnivel fue diseado para solucionar las debilidades del C1. Cuenta con caractersticas adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no slo en los permisos, sino tambin en los niveles de autorizacin. Requiere que se audite el sistema. Esta auditora es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios. La auditora requiere de autenticacin adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos. Los usuarios de un sistema C2 tienen la autorizacin para realizar algunas tareas de administracin del sistema sin necesidad de ser administradores. Permite llevar mejor cuenta de las tareas relacionadas con la administracin del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema. Nivel B1: Seguridad Etiquetada. Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueo del archivo no puede modificar los permisos de un objeto que est bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con unas categoras (contabilidad, nminas, ventas, etc.). Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados. Tambin se establecen controles para limitar la propagacin de derecho de accesos a los distintos objetos. Nivel B2: Proteccin Estructurada. Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Proteccin Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicacin con otro objeto a un nivel inferior. As, un disco rgido ser etiquetado por almacenar archivos que son accedidos por distintos
19
usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los dems usuarios. Nivel B3: Dominios de Seguridad. Refuerza a los dominios con la instalacin de hardware: por ejemplo el hardware de administracin de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificacin de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega segn las polticas de acceso que se hayan definido. Todas las estructuras de seguridad deben ser lo suficientemente pequeas como para permitir anlisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexin segura. Adems, cada usuario tiene asignado los lugares y objetos a los que puede acceder. Nivel A: Proteccin Verificada. Es el nivel ms elevado, incluye un proceso de diseo, control y verificacin, mediante mtodos formales (matemticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseo requiere ser verificado de forma matemtica y tambin se deben realizar anlisis de canales encubiertos y de distribucin confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.
Roles. El acceso a la informacin tambin puede controlarse a travs de la funcin o rol del
usuario que requiere dicho acceso. Algunos ejemplos de roles seran los siguientes: programador, lder de proyecto, gerente de un rea usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios. Transacciones. Tambin pueden implementarse controles a travs de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transaccin determinada. Limitaciones a los Servicios. Estos controles se refieren a las restricciones que dependen de parmetros propios de la utilizacin de la aplicacin o preestablecidos por el administrador del sistema. Un ejemplo podra ser que en la organizacin se disponga de licencias para la utilizacin simultnea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilizacin del producto a un sexto usuario. Ubicacin y Horario. El acceso a determinados recursos del sistema puede estar basado en la ubicacin fsica o lgica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a
20
determinadas horas de da o a determinados das de la semana. De esta forma se mantiene un control ms restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompaados de alguno de los controles anteriormente mencionados.
Son los requerimientos bsicos para la seguridad, que deben proveerse de una manera confiable. Los requerimientos cambian ligeramente, dependiendo de lo que se est asegurado. La importancia de lo que se est asegurando y el riesgo potencial involucra en dejar uno de estos requerimientos o tener que forzar
21
niveles ms altos de seguridad. Estos no son simplemente requerimientos para el mundo de la red, sino tambin para el mundo fsico.
4.10.- Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin
Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificacin. Estos mecanismos permiten saber que los operadores tienen slo los permisos que se les dio. La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informtico con toda confianza. Por eso en lo referente a
22
elaborar una poltica de seguridad, conviene: Elaborar reglas y procedimientos para cada servicio de la organizacin. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusin Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informticos. Los derechos de acceso de los operadores deben ser definidos por los responsables jerrquicos y no por los administradores informticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la poltica de seguridad definida. Adems, como el administrador suele ser el nico en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e informacin relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, as como ser el punto de entrada de la comunicacin a los trabajadores sobre problemas y recomendaciones en trmino de seguridad informtica.
23
24
25
Sabotajes El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Control de Accesos El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, rea o sector dentro de una empresa o institucin. Verificacin Automtica de Firmas (VAF) En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque tambin podra encuadrarse dentro de las verificaciones biomtricas. Mientras es posible para un falsificador producir una buena copia visual o facsmil, es extremadamente difcil reproducir las dinmicas de una persona: por ejemplo la firma genuina con exactitud. La VAF, usando emisiones acsticas toma datos del proceso dinmico de firmar o de escribir. La secuencia sonora de emisin acstica generada por el proceso de escribir constituye un patrn que es nico en cada individuo. El patrn contiene informacin extensa sobre la manera en que la escritura es ejecutada. El equipamiento de coleccin de firmas es inherentemente de bajo costo y robusto. Esencialmente, consta de un bloque de metal (o algn otro material con propiedades acsticas similares) y una computadora barata.
26
1. Es un documento mercantil o pblico. 2. Muestra el alcance del trabajo. 3. Contiene la opinin del auditor. 4. Se realiza conforme a un marco legal.
observaciones que no tienen solucin inmediata, las de menor importancia deben ser dados a conocer a los responsables durante el Trabajo de Campo para su solucin inmediata. Durante el curso del examen, el auditor agotar todos los medios razonables a su alcance a fin de permitir las pruebas documentarias suficientes para absolver las Observaciones que el auditor encuentre. No se expedir ningn informe de Auditora en forma final sin darle a los administradores la oportunidad de discutir las observaciones y presentar sus puntos de vista, excepto en caso de fraude o desfalco. Estas acciones evitarn que los informes de auditora contengan Observaciones y Conclusiones que no estn debidamente sustentadas, o en todo caso, hubiese sido posible solucionarlas en el transcurso de la ejecucin de la auditora. Conclusiones Constituyen el resumen de las Observaciones sobre las irregularidades y deficiencias que son el producto del juicio profesional del auditor. Las Conclusiones sern objetivas, basadas en hechos reales y adecuadamente respaldadas en los Papeles de Trabajo. Las conclusiones son enumeradas y presentadas en orden de importancia haciendo mencin, si fuera necesario del nombre de los responsables que han incurrido en falta. Recomendaciones Las recomendaciones que presenta el auditor, luego de terminar de examinar el conjunto de operaciones y actividades de la empresa o entidad, las considera como sugerencias positivas que tienen por finalidad la solucin de los problemas para coadyudar a la eficiencia de la administracin. Las recomendaciones estarn orientadas a la mejor utilizacin de los recursos humanos, materiales y financieros de la empresa o entidad auditada. La importancia de las recomendaciones en que cumple uno de los fines de la auditora, es decir, enmendar los errores que se vienen cometiendo que no son observados por los empresarios o funcionarios. Las recomendaciones son dirigidas al titular de la organizacin examinada a fin de que provea lo conveniente para su cumplimiento. Las recomendaciones del auditor sern presentadas en el Informe de Auditora, en forma ordenada, considerando el grado de importancia de acuerdo a la presentacin de las Conclusiones. Anexos Son esquemas complementarios que se adjuntan a las auditoras administrativas cuando son necesarios y generalmente sirven de fundamento a las observaciones planteadas.
Contenido del informe tcnico 1. Ttulo y cdigo del proyecto 2. Nombre del investigador principal y de la Facultad, Centro o Instituto al que pertenece 3. Fecha de entrega del Informe 4. Sinopsis divulgativa: Con el propsito de promover la divulgacin de las actividades investigativas que adelanta la Sede Bogot y para dar mayor difusin a los proyectos, deben incluir un resumen de una cuartilla que servir de base para la elaboracin de notas acadmicas dirigidas a los medios de comunicacin de la Universidad. 5. Resumen tcnico de los resultados obtenidos durante la realizacin del proyecto y de las principales conclusiones (mximo cinco pginas). 6. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado, relacione los resultados obtenidos durante la realizacin del proyecto, los cuales deben estar soportados por sus respectivos indicadores verificables: publicaciones, patentes, registros, normas, certificaciones, memorias, formacin de recurso humano, capacitacin, organizacin y/o participacin en eventos cientficos, etc., estos deben numerarse y adjuntarse como anexos del informe (ver cuadro No. 1). 7. Descripcin del impacto actual o potencial de los resultados: En trminos de generacin de nuevo conocimiento a nivel mundial, de aporte para el desarrollo del pas, de contribucin a la solucin de problemas especficos, de fortalecimiento de la capacidad cientfica, y de fortalecimiento de la investigacin y creacin en la Sede Bogot (mximo dos pginas). 8. Conclusiones
Fuentes de informacin
1. Piattini Velthuis, Mario G. Auditoria Informtica. Un enfoque prctico.(2a edicin ampliada y revisada). 2. Jos Antonio Echenique. Auditoria Informtica. Ed. Mc-Graw Hill.
29