AUDITORIA INFORMATICA
¿Cuál es el objetivo del Auditor?.
1.- Identificación de vulnerabilidades, amenazas, exposiciones y riesgos portenciales.
2.- Asegurar que los controles contengan pistas de auditoría y medidas de seguridad.
3.- Verificar que éstos estén funcionando correcta y efectivamente.
 
TIPOS DE RIESGOS COMPUTACIONALES, EXPOSICIONES Y PÉRDIDAS.

INTENCIONALES.

Daños. Fuego, robo de equipo como cartuchos, discos y cintas. Destrucción fisica de datos, irrupción en las instalaciones, disturbios, sabotajes, etc.

Alteraciones. Agregar, cambiar o borrar algo; desde datos hasta archivos de programas para beneficio personal, venganza o diversión.

Diseminaciones. Vender información para beneficio personal, venganza o diversión.

NO INTENCIONALES.

Daños. Catástrofes naturales, incendios, inundaciones, terremotos, daños accidentales de discos, cartuchos, cintas e instalaciones.

Alteraciones. Accidentalmente agregar, cambiar o borrar datos o programas. Alteracion debido a fallas de software o Hardware.

Diseminaciones. Revelar información a los colegas o amigos. Desplegar accidentalmente passwords y salidas de los sistemas.

La mayoría de estos riesgos son causados por agentes (personas) y objetos (instalaciones fisicas, equipo computacional, terminales, redes, archivos, etc.) como vehículo para realizar o incurrir estos actos ya sea de forma intencional o no. Si se establecen controles de seguridad adecuados y efectivos para los agentes y objetos de riesgo, entonces las pérdidas pueden ser eliminadas o incluso eliminadas.

Procedimiento que tiende a disminuir riesgos.

De los siguientes riesgos, indicar por lo menos 2 controles:

  • Falla en el suministro eléctrico.
  • Terremoto, Incendio o inundación.
  • Acceso no autorizado al sistema.
  • Pérdida de información por virus.
  • Pérdida de información por daños o fallas en el hardware.
  • Renuncia del desarrolador del sistema; desconocimiento del funcionamiento y estructura del mismo.
  • Desperdicio de recursos durante un proyecto de software.
  • El sistema terminado no satisface los reuqrimientos del usuario final.

IMPACTO TOTAL DE LOS RIESGOS Y PÉRDIDAS

PÉRDIDA DE VENTAS O INGRESOS
PÉRDIDA DE GANANCIAS
PÉRDIDA DE PERSONAL
IMPOSIBILIDAD DE CUBRIR REQUERIMIENTOS O LEYES GUBERNAMENTALES
IMPOSIBILIDAD DE SERVIR A LOS CLIENTES
IMPOSIBILIDAD DE MANTENER EL CRECIMIENTO
IMPOSIBILIDAD DE OPERAR EFECTIVA Y EFICIENTEMENTE
IMPOSIBILIDAD DE COMPETIR EXITOSAMENTE CON NUEVOS CLIENTES
IMPOSIBILIDAD DE MANTENERSE A LA DELANTERA DE LA COMPETENCIA
IMPOSIBILIDAD DE CONTROLAR LOS COSTOS
IMPOSIBILIDAD DE CONTROLAR A EMPLEADOS EN ACTIVIDADES ILEGALES CON PROV. DE SW.
COMPLETO FRACASO DE LA COMPAÑÍA

 

Evaluación de riesgos computacionales.

Una evaluación de riesgos que sea significativa no es fácil de lograr. Debido a la falta de datos consistentes, la dificultad para cuantificar datos como vulnerabilidad y las pérdidas potenciales y la dificultad para explicar los resultados a otros (especialmente a la gerencia). Por tales razones, algunas personas prefieren un análisis simplemente cualitativo basado en la experiencia y en opiniones de particulares. Los procesos informales e intuitivos suelen ser mas atractivos para la gerencia que los procesos estadísticos y de modelado.

1.- Identificar los archivos y actividades que deben ser protegidos.

2.- Analizar vulnerabilidades y riesgos que afectan tales archivos.

3.- Hacer una lista de controles de seguridad existentes a efectos de atacar los riesgos de vulnerabilidad.

4.- Empatar los controles de seguridad con los riesgos.

5.- Hacer un análisis costo-beneficio.

6.- Hacer recomendaciones económicamente efectivas a la gerencia para disminuir los riesgos existentes.

 

SEGURIDAD EN INFORMATICA

Seguridad Física. La revisión de la seguridad física en un centro de cómputo tiene que ver con controles de acceso físico tales como: llaves y cerraduras, que incluye tarjetas electrónicas para lograr el acceso a la instalación; condiciones ambientales tales como calor, humedad y aire acondicionado; extinguidores y medicamentos de emergencia para los empleados. Algunas de las preocupaciones del auditor hacia la seguridad física es:

1.- Los empleados pueden no seguir los procedimientos de seguridad establecidos.

2.- Los guardias de seguridad o recepcionistas pueden no checar a fondo la identificación de los empleados.

3.- El hardware y el software pueden no estar protegidos de daño intencional como del no intencional.

Seguridad de Datos. Las prácticas de la seguridad de datos son cruciales, debido a que los medios más comunes de realizar fráudes informáticos se efectúan simplemente modificando archivos de datos. Ya que la toma de decisiones se basa en los datos contenidos en dichos archivos, estos deben ser protegidos del uso no autorizado. La integridad de los datos depende de la seguridad de los mismos.

El alcance de la revisión de la seguridad de los datos incluye:

1.- Evaluar la función de la seguridad de los datos.

2.- Comprender la administración de passwords.

3.- Clasificar los datos de acuerdo con su grado de sensibilidad o criticalidad, y protegerlos de acuerdo a ello.

4.- Establecer un expediente o bitácora de acceso de usuarios a los archivos.

5.- Proveer reportes de mantenimiento de archivos para asegurar la integridad de datos.

6.- El manejo apropiado de datos confidenciales almacenados en medios escritos, emcánicos y electrónicos.

 

Plan de Contingencia. El plan de contingencia es un plan hecho para permitir a una instalación de cómputo restablecer sus operaciones en el caso de un desastre (huracanes, temblores, incendios, sabotajes, fallas de hardware y errores humanos). Es muy importante El poder desarrollar un plan que resulte práctico y poder probarlo para asegurar que éste funcionará cuando se requiera. Existen al menos 4 opciones para desarrollar un plan de contingencia.

1.- Desarrollo en casa. Esta opción es barata, pero puede tomar mucho tiempo para su desarrollo y por falta de experiencia, así como de la necesidad de diseñarlo desde 0; tiene como ventaja que lo podamos ajustar a las necesidades específicas de la organización.

2.- Comprar un paquete de software. Existen en el mercado este tipo de paquetes con opciones y menús para guiar al usuario en el desarrollo del plan. Esta opción es más sencilla y más rápida que la anterior, pero más cara.

3.- Contratar consultores. Aunque esta opción es la más cara de todas, un consultor experto nos puede ahorrar mucho tiempo debido a su experiencia con otros clientes del ramo.

4.- Combinación de las anteriores. El plan puede ser diseñado desde 0 o usando un paquete de software y luego puede ser revisado por un consultor, el cual podría incluso proveer el equipo de respaldo y soporte necesarios. El consultor puede entonces evaluar si el plan es adecuado o no.

Algunos de los puntos que debe tener un plan de contingencia son los siguientes:

1.- Lista de distribución de PC.

2.- Propósito y alcance.

3.- Pruebas al PC.

4.- Lista de proveedores de negocios de la compañía con números telefónicos.

5.- Ubicación del plan de contingencia y revisión periódica de los materiales usados en él.

6.- Procedimientos de recuperación post-desastre y normalización de los servicios de proceso de datos.

7.- Funciones del comité de recuperación, así como responsabilidades individuales de los empleados; deben tambien incluirse sus números telefónicos.

8.- Lista de números telefónicos de la policía, bomberos, servicio médico, proveedores de hardware, y software, locaciones de respaldo y miembros del equipo de recuperación.

9.- Procedimientos médicos para personas lesionadas.

10.- Nombres y direcciones de las personas-contacto en las locaciones de respaldo.

11.- Descripción del hardware, equipo periférico, software y arquitectura del equipo y red de telecomunicaciones en la locación de respaldo.

12.- Acuerdos contractuales con las locaciones de respaldo y su vigencia.

13.- Hardware del centro de cómputo primario, equipo periférico y configuración de software.

14.- Ubicación y disponibilidad de archivos de datos; diccionarios de datos, procedimientos de control de trabajos, programas, documentación y manuales; formas de captura, documentos fuente y consumibles en instalación ubicadas fuera de la compañía (ubicar en dónde conseguirlos).

15.- Trabajos y procesos prioritarios y sus agendas.

16.- Procedimientos manuales-alternativos tales como: preparación de nóminas y facturación, es decir, a mano.

17.- Arreglos con compañías que puedan proveer el servicio de págos de nóminas y empleados eventuales, tanto de oficina como de planta.

18.- Nombres de empleados con conocimientos de primeros auxilios u otras técnicas de salvamento.

Registros Vitales. Evaluar que las prácticas de retención de registros en papel o en medios magnéticos sean adecuados es otra responsabilidad del auditor. Algunas dependencias gubernamentales requieren a todas las organizaciones el contar con ciertos registros sin importar el medio de almacenamiento para propósitos de evidencia y/o referencia. Esto incluye registros de pago de impuestos, nómina, pólizas de seguro, gastos, órdenes de venta por mencionar algunos. La organización podría pagar multas cuantiosas si no contase con dichos registros. Es de interés del auditor el conocer las prácticas, tanto de retención como de disposición de registros vitales debido a que afectan la seguridad y confidencialidad, así como la posibilidad de la empresa de reanudar actividades en caso de desastre.

Algunos ejemplos de registros vitales en papel son:

  • Formas de solicitud de compras.
  • Ordenes de compra.
  • Pedidos del cliente.
  • Ordenes de producción.
  • Facturas.
  • Documentos fuente y formas de captura.
  • Bitácoras de control.
  • Hojas de datos de cliente.

Ejemplos de registros electrónicos:

  • Archivos maestros de transacciones, archivos de referencia, archivos históricos, etc. (de bases de datos o no).
  • Librerías de programas fuente.
  • Bitácoras de:
    • Seguridad
    • Administración de Bases de Datos.
    • Comunicaciones.
    • Del sistema operativo.

  •  

Tabla de retención de registros.

TIPOS DE REGISTROS
PERIODO DE RETENCIÓN
DEPÓSITOS BANCARIOS
3 AÑOS
BALANCE GENERAL
PERMANENTEMENTE
REGISTROS DE CAJA CHICA
7 AÑOS
DEVOLUCIONES DE IMPUESTOS Y PAGOS
7 AÑOS
GASTOS EN GENERAL
7 AÑOS
BALANCES
7 AÑOS
PÓLIZAS DE SEGUROS
6 AÑOS
RETENCIÓN DE IMPUESTOS DE EMPLEADOS
7 AÑOS
ORDENES DE PAGOS
2 AÑOS

 

Políticas hacia el personal. Las políticas de seguridad del personal implican ciertos puntos de interés para el auditor:

1.- Es prácticamente imposible que el departamento de personal pueda detectar los empleados deshonestos a la hora de la contratación, ya que la gente cambia con el tiempo.

2.- Los administradores quizás no estén interesados en la seguridad y no desean motivar a los empleados en seguir buenas prácticas de seguridad.

3.- Finalmente, la administración puede estar renuente a establecer un sistema de recompensas por ajustarse a las políticas y de castigos por no hacerlo.

POLÍTICAS DE CONTRATACIÓN Y TERMINACIÓN DEL CONTRATO.

Para contratación.

  • Deben hacerse verificaciones en los empleos anteriores, ya sea por vía telefónica o por cualquier otro medio.
  • Deben hacerse verificaciones de los títulos escolares mostrados, situación financiera, antecedentes penales, recomendaciones y referencias pesonales, etc.
  • Deben llenarse formas en las cuales se establezca al acuerdo de no revelar información crítica de protección de la propiedad intelectual, consentimientos de carácter ético. Debe existir un código de conducta que delimite las políticas organizacionales de protección de información crítica hacia el cual los empleados deben sujetarse mientras trabaje en la empresa. Se deben ennumerar las consecuencias aplicables en caso de desacato.
  • El empleado debe dejar establecido que no divulgará su USER-ID, número de cuenta o PASSWORD a otros usuarios.
  • Deben realizarse pruebas psicológicas,conducidas por psicólogos competentes para determinar la honestidad y balance mental de aquellos empleados que estarán en puestos de confianza.
  • El empleado debe recibir manuales de política de uso correcto de las computadoras y estándares de seguridad.

Durante el desempeño de labores.

  • Todos los empleados deben tomar sus vacaciones. Donde sea posible, aplicar las políticas de rotación de personal.
  • Los empleados disgustados deben transferirse a otras áreas donde no puedan hacer daño a la organización.
  • Deben realizarse juntas periódicamente para dar a conocer avances y otras actividades, para así hecer sentir a los empleados como parte de la empresa. Esas juntas elevan la moral.
  • Los administradores en todos los niveles deben adoptar "políticas de puertas abiertas" para que los empleados puedan acercarse a ellos y comunicarles inquietudes y sugerencias.
  • Los empleados temporales deben sujetarse a las mismas políticas de seguridad que los empleados formales.

Para la terminación de contrato.

  • Debe existir una forma llenada por personal administrativo que indique las razones por las que el empleado renuncie y otros datos pertinentes que puedan auxiliar en futuras contrataciones. Se les debe preguntar a los empleados salientes que describan debilidades en los sistemas de seguridad.
  • Todas las llaves, tarjetas magnéticas, libros, manuales,tarjetas de negocios y todo aquello, propiedad de la compañía, le debe ser recolectado.
  • Los passwords y códigos de acceso deben ser cambiados.
  • Todas las cuentas financieras con el departamento de contabilidad deben ser ajustadas.
  • Dependiendo del rango del empleado, se debe identificar a los demás departamentos de la organización que terminen todo tipo de relaciones con él.

Los seguros. Es responsabilidad del auditor verificar los siguiente:

  1. Que el departamento administrativo ha verificado y cuantificado todos los riesgos posibles, así como sus costos asociados. Obtener inventario de todos los objetos asegurables en la organización.
  2. Averiguar si los del departamento administrativo y legal han establecido límites en las pólizas de seguros, así como montos de co-aseguramiento.
  3. Revisar las pólizas de seguros para que contengan covertura debido a interrupción del negocio por fallas de hardware o software, daños en la propiedad física, medios magnéticos y costos de reconstrucción de archivos, retención y daño de registros vitales y fraudes computarizados.
  4. Averiguar si existe cobertura de fidelidad contra actos de empleados desonestos que tengan relación con computadoras. La covertura de fidelidad generalmente cubre riesgos contra fraude o robo de empleados deshonestos.
  5. Asegurar que existe covertura para protección contra fraudes perpretados por terceros. Por ejemplo, un seguro contra fraudes en un medio bancario cubre transferencia electrónica ilegal de fondos, algunas excluciones son: extorción, pérdida de ingresos potenciales, guerra, amenaza nuclear entre otros.
  6. Averiguar si las pólizas de seguros brindan coberturas contra pérdidas que puedan ocurrir durante el transporte de cintas, discos o cartuchos entre un inmueble de la organización y otro, ya sean vehículos de la empresa o de un servicio externo.

 

INTRODUCCION A LA AUDITORIA Y AL CONTROL INTERNO

Definición de auditoría en informática. Es el examen y validación de los controles y procedimientos utilizados por el área de informática, a fin de verificar que los objetivos de Continuidad de Servicio, Confidencialidad, Seguridad de la información y la Integridad y coherencia de la información se estén cumpliendo satisfactoriamente y de acuerdo a la normatividad (interna y externa).

El auditor de informática evalúa la suficiencia de las medidas de control adoptadas para abatir la posibilidad de que los riesgos se materialicen.

Tipos de auditoria.

Auditoría de Estados Financieros. Es la revisión de registros y libros contables. Es el estudio y evaluación del control interno. Está basada en las normas y procedimientos de auditoría con la finalidad de emitir una opinión sobre la razonabilidad de las cifras.

Auditoría administrativa. Es el examen de la estructura de la empresa en cuanto a sus planes y objetivos. Se basa en el organigrama funcional que es la representación gráfica de jerarquías, funciones y responsabilidades.

Auditoría operacional. Es la evaluación de las áreas de operación para determinar si los controles son adecuados para promover la eficiencia, abatir costos e incrementar la productividad.

Auditoría Técnica. Es la evaluación de los aspectos técnicos como son en: constructoras, laboratorios químicos, en informática, etc.

Auditoría social. Es la evaluación de los logros sociales: personal empleado, inversión en remuneraciones, participación en el mercado con precios accesibles.

 

NORMAS DE LA AUDITORIA

 

Son los requisitos mínimos de calidad relativos a:

  • Personalidad del Auditor:
    • Cuidado y diligencia profesional
    • Entrenamiento Técnico y capacidad profesional.
    • Independencia mental, es decir, que no existan lazos jerárquicos o familiares entre auditores y auditados.
  • Ejecución del trabajo.
    • Planeación y supervisión.
    • Estudio y evaluación del control interno.
    • Obtención de evidencia suficiente y competente (vistas de auditoría).

  •  

El programa de auditoría.

  1. Determina el área a auditar.
  2. Evaluar o revisar información relativa a el área a la cual se tiene acceso: el programa de trabajo del área, organigrama, manual de organización, reportes de trabajo, plantilla de personal, relación de sistemas que está desarrollando o explotando el área, entre otros.
  3. Preparar documentos de trabajo (Cuestionario de auditoría).
  4. Presentarnos con el área a auditar y explicar de qué forma se llevará la auditoría.
  5. Aplicar el cuestionario al área aplicada, y el auditado debe proporcionar evidencia que corrobore sus afirmaciones.
  6. Analizar la información obtenida y elaborar un dictamen.
  7. Revisar el dictamen y aclarar puntos obscuros o dudosos.
  8. Presentar el dictamen a la alta dirección y al auditado.
  9. Elaboración de una minuta de la reunión, estableciendo compromisos de trabajo.
  10. Verificar que se hayan llevado acabo los compromisos de trabajo.

Nota: Este procedimiento se lleva acabo en el I.N.E.G.I., puede variar segun la empresa en la que se aplique.

Técnicas de auditoría.

Son los métodos prácticos de investigación y prueba.

  1. Estudio General
  2. Análisis de los componentes de un todo.
  3. Cálculo.
  4. Estudio y Evaluación del Control Interno.
  5. Observación.
  6. Confirmación (rectificación a través de terceros).
  7. Certificación (de un hecho a través de funcionarios de la empresa).

Papeles de Trabajo.

  1. Cuestionarios.
  2. Dictámen.
  3. Documentos de los sistemas.
  4. Procedimientos de trabajo.
  5. Manuales de los sistemas.
  6. plan de contingencias.
  7. Estados financieros.

El informe de auditoría.

Aun cuando las diversas organizaciones tengan definidos formatos de informes, es conveniente que en este se presenten los siguientes elementos, ya que esto facilitará la toma de decisiones por la dirección acerca de los puntos tratados en el mismo.

Hay que recordar que el objetivo de un informe es generar acciones y que por definición, un informe que no logre esto, es un informe que no será útil en la institución.

Los elementos son los siguientes:

  1. Situación encontrada: Muestra objetivamente cuál es la situación irregular que se puso de manifiesto en nuestra evaluación.
  2. Riesgos que se generan por la situación anterior: señalando si es posible el grado de exposición al riesgo.
  3. Impacto en la Institución: Sea cualitativa o cuantitativamente.
  4. Causas que dieron lugar a lo anterior: Siendo extremadamente cuidadosos en estas percepciones por el impacto que puede tener en las personas.
  5. Alternativas de solución a la problemática planteada. Aquí es claro que el auditor actuará como consultor en aquellos casos en que la situación se refiera a la ausencia de políticas y procedimientos.

Tipos de dictámenes.

  1. Opinión limpia. El control interno es en general bueno.
  2. Opinión negativa. El control interno es en general deficiente.
  3. Opicnión con salvedades: (es el más común). El control interno es en general bueno pero existen excepciones.
  4. Abstención de opinión. No se tienen elementos (evidencia suficiente o competente) para opinar sobre el control interno.

 

Justificación de la auditoría al proceso de desarrollo.

El principal objetivo que tiene sobre el mecanismo de desarrollo de sistema las actividades de auditoría, está en ayudar a prevenir la omisión de controles adecuados durante el desarrollo de nuevas aplicaciones y durante el proceso de mantenimiento de estas aplicaciones. En resumen, la auditoría al proceso de desarrollo constituye un control preventivo. Los controles en el desarrollo deben asegurar el cumplimiento de estándares de diseño y deben proteger contra la instalación de cualquier aplicación que contenga ciertas debilidades de control.

Dos enfoques de auditoría al desarrollo.

Antes de considerar la auditoría de sistemas automatizados, el auditor debe entender claramente que al auditoria al proceso de desarrollo es muy diferente a participar en el desarrollo de una aplicación en particular. Cuando el auditor participa en el desarrollo de un sistema, su preocupación principal son los controles que tienen incorporados como aplicación. Los controles que están bajo examen durante la revisión al proceso de desarrollo son los que se encuentran descritos en la primera parte de estos apuntes. Mientras que la recopilación de evidencia que sustente la existencia de controles sobre el proceso de desarrollo requiere del examen de documentación de una aplicación en específico, los objetivos son diferentes.

  1. Traducción.
  2. Exposiciones (en limpio).
  3. Una lista o tabla con los sistemas que están manejando la descripción del sistema, el lenguaje, el número de personas que lo manejan, el desarrollo, plataforma.

 

 

Hosted by www.Geocities.ws

1