Fases de la Auditoria Informtica

Fase I:
Fase II: Fase III: Fase IV: Fase V:

Fase I: Conocimientos del Sistema

1.1. Aspectos Legales y Polticas Internas. Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluacin. 1.2.Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditora realizadas anteriormente 1.3.Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora Seguridad de la aplicacin (claves de acceso) Procedimientos para generacin y almacenamiento de los archivos de la aplicacin.

Conocimientos del Sistema

Anlisis de transacciones y recursos Anlisis de riesgos y amenazas Anlisis de controles Evaluacin de Controles

Fase VI:
Fase VII:

El Informe de auditoria
Seguimiento de las Recomendaciones

Fase II: Anlisis de transacciones y recursos

2.1.Definicin de las transacciones. Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deber ser asignada con los administradores. 2.2.Anlisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualizacin del funcionamiento y recorrido de los procesos. 2.3.Anlisis de los recursos Identificar y codificar los recursos que participan en el sistemas 2.4.Relacin entre transacciones y recursos

Fase III: Anlisis de riesgos y amenazas

3.1.Identificacin de riesgos
Daos fsicos o destruccin de los recursos Prdida por fraude o desfalco Extravo de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupcin de las operaciones del negocio Prdida de integridad de los datos Ineficiencia de operaciones Errores

3.2.Identificacin de las amenazas

Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones

3.3.Relacin entre recursos/amenazas/riesgos

La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en su ambiente real de funcionamiento.

Fase IV: Anlisis de controles

4.1.Codificacin de controles
Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los controles deben contener una codificacin la cual identifique el grupo al cual pertenece el recurso protegido.

Fase V: Evaluacin de Controles

5.1.Objetivos de la evaluacin Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes

4.2.Relacin entre recursos/amenazas/riesgos

La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o ms controles.

4.3.Anlisis de cobertura de los controles requeridos

Este anlisis tiene como propsito determinar si los controles que el auditor identific como necesarios proveen una proteccin adecuada de los recursos.

5.2.Plan de pruebas de los controles Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba.
5.3.Pruebas de controles 5.4.Anlisis de resultados de las pruebas

Fase VI: Informe de Auditoria

6.1. Informe detallado de recomendaciones 6.2. Evaluacin de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la reas. Introduccin: objetivo y contenido del informe de auditoria Objetivos de la auditora Alcance: cobertura de la evaluacin realizada Opinin: con relacin a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones

Fase VII:
7.1. 7.2.

Seguimiento de Recomendaciones

Informes del seguimiento Evaluacin de los controles implantados

Auditora Informtica

Auditora Informtica
Objetivos
Presentar recomendaciones en funcin

Revisin

Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Informacin

Evaluacin

de las fallas detectadas. Determinar si la informacin que brindan los Sistemas de Informticos es til. Inspeccionar el Desarrollo de los Nuevos Sistemas. Verificar que se cumplan las normas y polticas de los procedimientos.
Informtica II. Decanato de Administracin y Contadura

Informtica II. Decanato de Administracin y Contadura

Auditora Informtica
Tipos
Interna: Aplicada con el personal que labora en la empresa. Externa: Se contrata a una firma especializada para realizar la misma.

Auditora Informtica Externa

Las empresas recurren a la auditora externa cuando existen:

Sntomas de Descoordinacin
Sntomas de Debilidades Econmicas Sntomas de Mala Imagen Sntomas de Inseguridad

Informtica II. Decanato de Administracin y Contadura

Informtica II. Decanato de Administracin y Contadura

Auditora Informtica de Desarrollo de Aplicaciones

Aspectos Fundamentales en la Auditora de los Sistemas de Informacin

Cada una de las fases del desarrollo de las nuevas aplicaciones informticas deben ser sometidas a un minucioso control, a fin de evitar un aumento significativo de los costos, as como tambin insatisfaccin de los usuarios.

Informtica II. Decanato de Administracin y Contadura

Informtica II. Decanato de Administracin y Contadura

Auditora Informtica de Sistemas

Auditora de los Datos de Entrada
Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas establecidas.

Se audita:
Sistema Operativo: Verificar si la versin instalada permite el total funcionamiento del software que sobre ella se instala, si no es as determinar la causa Software de Aplicacin: Determinar el uso de las aplicaciones instaladas. Comunicaciones: Verificar que el uso y el rendimiento de la red sea el ms adecuado .
Informtica II. Decanato de Administracin y Contadura

Informtica II. Decanato de Administracin y Contadura

Tcnicas de Auditora
Existen varias tcnicas de Auditora Informtica de Sistemas, entre las cuales se mencionan: Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen: Datos de Excepcin. Datos Ilgicos. Transacciones Errneas
Informtica II. Decanato de Administracin y Contadura

Tcnicas de Auditora
...(Continuacin) Auditora para el Computador: Permite determinar si el uso de los equipos de computacin es el idneo. Mediante esta tcnica, se detectan equipos sobre y subutilizados. Prueba de Minicompaa: Revisiones peridicas que se realizan a los Sistemas a fin de determinar nuevas necesidades.

Informtica II. Decanato de Administracin y Contadura

Peligros Informticos
Incendios: Los recursos informticos son muy sensibles a los incendios, como por ejemplo reportes impresos, cintas, discos. Inundaciones: Se recomienda que el Departamento de computacin se encuentre en un nivel alto. La Planta Baja y el Stano son lugares propensos a las inundaciones. Robos: Fuga de la informacin confidencial de la empresa. Fraudes: Modificaciones de los datos dependiendo de intereses particulares.
Informtica II. Decanato de Administracin y Contadura

Medidas de Contingencia
Mecanismos utilizados para contrarrestar la prdida o daos de la informacin, bien sea intencionales o accidentales. La ms utilizada es la Copia de Seguridad (Backup), en la cual se respalda la informacin generada en la empresa .

Informtica II. Decanato de Administracin y Contadura

Copias de Seguridad
Las copias pueden ser totales o parciales y la frecuencia vara dependiendo de la importancia de la informacin que se genere.
Backup Se recomienda tener como mnimo dos (2) respaldos de la informacin, uno dentro de la empresa y otro fuera de sta (preferiblemente en un Banco en Caja Fuerte).
Informtica II. Decanato de Administracin y Contadura

Medidas de Proteccin
Medidas utilizadas para garantizar la Seguridad Fsica de los Datos.
Aquellos equipos en donde se genera informacin crtica, deben tener un UPS. De igual forma, el suministro de corriente elctrica para el rea informtica, debe ser independiente del resto de las reas.

Informtica II. Decanato de Administracin y Contadura

Medidas de Control y Seguridad

Mecanismos utilizados para garantizar la Seguridad Lgica de los Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la Informacin, mediante un nombre de usuario (login) y una contrasea (password). Del mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos excepcionales.

Informtica II. Decanato de Administracin y Contadura

Definiciones y consideraciones

Auditora Informtica
Por: Paul M. Vildoso Alvarado
Instructor en TI

Exmen de las demostraciones y registros administrativos. Observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos. Persigue el fin de evaluar y mejorar la eficiencia dentro de una organizacin.

Objetivos de la AI
Controlar las funciones informticas. Analizar la eficiencia de los sistemas informticos. Verificar la normativa general de la empresa en el mbito informtico. Revisin de la eficaz gestin de los recursos materiales y humanos informticos.

Recomendaciones para tener xito en una AI

Estudiar hechos, no opiniones. Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y datos recabados. Registrar TODO.

Tipos de AI
Interna
Los recursos y personas pertenecen a la empresa auditada Es remunerada La organizacin la controla

Alcances de la AI
Tener el claro el objetivo Conocer el ambiente Limites del sistema Control de integridad de registros
Para aplicaciones de registros comunes

Externa
Los recursos y personas no pertenecen a la empresa auditada Es remunerada Distancia entre auditores y auditados: mayor objetividad

Control de validacin de errores

Detectar y corregir errores

Deben figurar en el informe final

Lo incluyente Lo excluyente

Sntomas de necesidad
Descoordinacin y desorganizacin
Concordancia con los objetivos Desvos importantes del plan operativo anual Alta rotacin de personal Cambios grandes

Sntomas de necesidad
Debilidades econmicas-financieras
Incremento de costos Justificacin de inversiones informticas Desviaciones presupuestarias Costos y plazos de nuevos proyectos

Mala imagen Insatisfaccin de los usuarios

Software Hardware Plazos de entregas

Inseguridad
Lgica Fsica Confidencialidad Carencia de planes de contingencias

Fundamentos de la AI
Sistemas informticos OPERATIVOS Controles tcnicos generales
Software y hardware compatibles Software de base y de aplicacin compatibles
$$$ y ocio

Consideraciones en una AI?

Control de la entrada de datos
Captura, calendario, transmisin, integridad y calidad de los datos. Debe especificase la norma/procedimiento.

Planificacin y recepcin de aplicaciones

Por parte del rea de desarrollo de sistemas

Productos comunes y compatibles (desarrollo interno de productos de software)

Centro de control y seguimiento de trabajos

Batch Tiempo Real

Controles tcnicos especficos

Cuotas en disco

La AI en del desarrollo de proyectos / aplicaciones

Anlisis Diseo Programacin Prueba Implantacin Seguimiento

Consideraciones de la AI en el desarrollo de sistemas

Revisin de las metodologas utilizadas
Modularidad, ampliaciones y mantenimiento

Control interno de las aplicaciones

Para casa fase del proceso

Satisfaccin de usuarios Control de procesos y ejecuciones de programas crticos

La AI de Sistemas
SO
Actualizacin de versin Incompatibilidades con el software de aplicacin

La AI de comunicaciones y redes
Redes nodales Concentradores MAN WAN Wi-Fi Multiplexores Lneas telefnicas (proveedores externos) ..entre otros aspectos

Otro software de Base Software de Teleproceso Administracin de Bases de Datos Investigacin y Desarrollo

Auditora de la Seguridad Informtica

Fsica
Equipos Infraestructura Amenazas naturalesetc

Que debe tener?

Elementos administrativos Polticas de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes Practicas de seguridad del personal Elementos tcnicos y procedimientos Sistemas de seguridad de equipos y de sistemas locales y remotos Aplicacin de los sistemas de seguridad, incluyendo datos y archivos Rol de los auditores internos y externos Planes de desastres y su prueba

Lgica
Datos, procesos, programas y usuarios

Planes de contingencia-desastres Piratera/hackers Ataques vricos

Estudio INICIAL de una AI

Constitucin legal - Antecedentes Organigrama Departamentos Relaciones jerrquicas y funcionales Flujos de informacin Cursogramas Planos - Layout

Entorno Operacional de una AI

Situacin geogrfica de los sistemas
Donde estn los centros de procesos de datos Responsables de cada CPD Estndares de trabajo de cada CPD

Arquitectura y configuracin de Hardware y Software

Segn fichas de relevamiento adjuntas

Inventario de hardware y software Comunicacin y redes de datos

Entorno de Aplicaciones
Volumen, antigedad y complejidad de las aplicaciones Metodologa de diseo Documentacin Bases de Datos
Cantidad Complejidad

CRMR
Evaluacin de la gestin de recursos informticos Es una evaluacin de la eficiencia de utilizacin de los recursos por medio de la administracin. No es una AI Proporciona soluciones rpidas a problemas concretos y evidentes Aplicable a problemas de deficiencia organizativas y gerenciales.

CRMR reas de aplicacin

Gestin de Datos Control de operaciones Control y utilizacin de recursos materiales y humanos Interfaces y relaciones con usuarios Planificacin Organizacin y administracin

CRMR Objetivo
Evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un CPD

CRMR Alcances
Reducidos: sealar reas de actuacin con potencialidad inmediata de obtencin de beneficios Medio: establece conclusiones y recomendaciones Amplia: incluye planes de accion en concordancia con las recomendaciones realizadas

CRMR Que necesito?

Datos del mantenimiento preventivo del hardware Informe de anomalas de los sistemas Procedimientos de emergencia Monitoreo de sistemas Rendimiento de sistemas Mantenimiento de librera de programas Gestin de espacio en disco Documentacin de entrega de aplicaciones Utilizacin de CPU, canales y datos Datos de paginacin de sistemas Volumen total y libre de almacenamiento Ocupacin media de disco Manuales de procedimiento ..entre las mas importantes http://www.msc-inc.net/Documents/CRMR/CRMR.htm

Planeacin de la AI
Permite dimensional el tamao y las caractersticas del rea dentro de la organizacin a auditar
Sistemas Organizacin Equipos

Herramientas a utilizar
Entrevistas Visitas a la organizacin Estudio de documentacin y antecedentes Cuestionarios Encuestas Aporte de la clase..

Entrevista a USUARIOS
Determinar el universo Definir el objetivo
Relevamiento de datos Comprobacin de datos

Planeacin de la AI
Estudio Preliminar
Administracin Sistemas

Personal
Capacitado practica profesional Valores morales y ticos Eficiente Pensar en los roles!!! Multidisciplinario
Solo tcnicos NO..Porque?

Disearlas Ver diseos apunte

Evaluacin de sistemas
Sistemas aislados vs. entrelazados Plan estratgico de sistemas
Cuestionario adjunto (practica)

Evaluacin del Anlisis

Polticas, procedimientos y normas Origen/fuente de la aplicacin
Plan estratgico Usuario Inventario de sistemas
A desarrollar En desarrollo Desarrollada
Modificaciones, con problemas, etc

Documentacin y registros usados en la elaboracin del sistema

Evaluacin del diseo lgico

Analizar las especificaciones del sistema
Que debe hacer? Como, cuando, en que orden, etc.

Evaluacin del desarrollo del sistema

Se auditan
Programas Diseo de programas Lenguaje utilizado Interconexin entre programas
Red

Analizar la participacin
Usuario Auditoria interna (rea)

Comparar lo entregado como documento y lo que el sistema realmente hace

Caractersticas del hardware utilizado

La administracin de proyectos
Tiene como finalidad el control del avance de lo sistemas en una organizacin Requiere de lder de proyectos Debe confeccionarse un plan y su seguimiento respectivo
Actividades/Recursos Metas Tiempos/prioridades Costos Personal involucrado/Gestin de desempeo

Control de Diseo de sistemas y

programas
Acorde a las especificaciones funcionales desde:
Anlisis
Ambigedades Omisiones

Diseo
Errores Debilidades Omisiones

Programacin
Claridad Modularidad Verificacin

Instructivos de operacin
Diagramas
Flujo E/S

Pruebas
Modulares De sistema De aceptacin Paralelas

Diseo de formularios Mensajes de errores Parmetros Formulas

CONTROLES
De datos
Fuente Volumen Frecuencia Acceso Cifras de control

CONTROLES
De salida De medios de almacenamiento masivo
Acceso a los medios Documentacin de los soportes Copias de seguridad ver cuestionarios en apunte

De operacin
Calidad e integridad de la documentacin para el proceso en una computadora Procedimientos e instructivos formales de operacin Estandarizacin y cumplimiento de los procedimientos

De Mantenimiento
Total : Correctivo y preventivo Por demanda in situ En banco

Orden en un CPD
Reglas
Orden Cuidado Lugares fsicos de almacenamiento de medios Funcionalidad de muebles .ver cuestionario apunte

Evaluacin de la configuracin del CPD

Evaluar posibles cambios de hardware Modificacin de equipos
Reducir costos o tiempos de proceso

Utilizacin de perifricos

AUDITORA INFORMTICA La Auditora Informtica es una parte integrante de la auditora. Se preguntar por que se estudia por separado, pues simplemente para abordar problemas ms especficos y para aprovechar los recursos del personal. Sin embargo, es bueno acotar que debe realizarse dentro de un marco de auditora general. Para clarificar an ms la lmina, diremos entonces que la Auditora Informtica es el proceso de revisin y evaluacin de los controles y medidas de seguridad que se aplican a los recursos: a). Tecnolgicos. b). Personal. c). Software d). Procedimientos. que se utilizan en los Sistemas de Informacin manejados en la empresa. En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controles apropiados y adecuados en los sistemas de informacin. AI: OBJETIVOS La auditora Informtica va mucho ms all de la simple deteccin de errores. Si bien es cierto que la Auditora es un proceso que permite detectar fallas, es menester de la auditora, el presentar algunas sugerencias que puedan ser aplicadas para evitar de esta manera la repeticin de las mismas en un futuro. Bsicamente, el objetivo principal de la auditora informtica es garantizar la operatividad de los procesos informticos. En otras palabras, ofrecer la continuidad los procesos de generacin, distribucin, uso y respaldo de informacin dentro de las organizaciones. Ya puede ir formndose una idea entonces de la importancia que tiene la Auditora Informtica (si no es as, le parece poco el hecho de que permita mantener operativo todos los procesos relacionados con el manejo de la informacin?). Importancia de la Auditora Informtica Tal como se mencion anteriormente su importancia radica en el hecho de garantizar la operatividad de los procesos informticos. Del mismo modo, la Auditora es compatible con la calidad, ya que mediante la auditora, se buscan implantar mejoras en busca del perfeccionamiento de los procesos, incorporando nuevas tcnicas y tecnologas.

AI:TIPOS Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a ninguna duda. Sin embargo, consideramos prudente ampliar nuestra exposicin y ofrecerle algo ms que una mera definicin. Auditora Interna La auditora Interna ofrece algunas ventajas en relacin a la externa, en primer lugar es menos costosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el riesgo de que personas extraas conozcan la informacin generada dentro de la firma. Sin embargo, tiene sus limitaciones, entre las cuales se mencionan: la poca especializacin que tienen los integrantes en la materia conlleva al hecho de que se escapen algunos detalles dentro del proceso (omisin de deteccin de errores) y por otro lado se corre el riesgo de que se encubran deficiencias. Es factible que dentro del proceso de auditora, las personas no informen de alguna anomala a fin de no perjudicar al amigo. Auditora Externa Con este tipo de auditora existe menor margen de error, puesto que las personas que se encargan de realizarla son especialistas en el rea. Entonces, deben ser pocos los errores que se detecten y las sugerencias aportadas son muy valiosas. Del mismo modo existe poco margen de encubrimiento, ya que son personas ajenas a la firma. AI EXTERNA Si bien es cierto que la Auditora Interna es menos costosa, es una buena prctica para las empresas, realizar Auditoras Externas peridicamente. Sin embargo, existen algunas razones por las cuales una firma debera contratar los servicios de gente especializada. Tales razones son las mostradas en la lmina, las cuales explicaremos con ms detalle a continuacin: Sntomas de Descoordinacin: No coincide el objetivo informtico con el de la empresa. En este sentido, es recomendable revisar la gestin de la informtica a fin de que la misma est en funcin de apoyar al logro de los objetivos. Sntomas de Debilidad Econmica: Cuando existe un crecimiento indiscriminado de los costos informticos. De igual forma, se contrata un servicio externo para estudiar la factibilidad de invertir una fuerte suma de dinero en el rea. Sntomas de Mala Imagen: Existe una percepcin poco idnea de los usuarios finales de computadoras en relacin a la Gestin actual del personal de Informtica. Existen quejas de que los programas no funcionan, problemas con la red informtica, desconfiguracin de equipos, entre otros. Sntomas de Inseguridad: Cuando no existe seguridad ni fsica ni lgica de la informacin manejada en la empresa. ASPECTOS FUNDAMENTALES EN LA AUDITORA DE LOS SISTEMAS DE INFORMACIN Hasta estos momentos se ha mencionado un poco lo que es la Auditora Informtica, cuales son sus objetivos y su importancia dentro de las organizaciones. Consideramos que ya tiene la base suficiente para adentrarnos entonces en el estudio de la Auditoria Informtica. Existen dos enfoques bsicos para la Auditoria de Sistemas de Informacin, conocidos como: Auditoria Alrededor del Computador y Auditoria a travs del Computador. Auditoria Alrededor del Computador: La cual comprende la verificacin tanto de los datos de entrada como de salida, sin evaluar el software que proces los datos. Aunque es muy sencillo, no hace el seguimiento de las transacciones ni la exactitud ni integridad del software utilizado. Es por ello, que se recomienda como un complemento de otros mtodos de auditoria.

Auditoria a Travs del Computador: Comprende la verificacin de la integridad del software utilizado, as como tambin los datos de entrada y la salida generada tanto por las redes y sistemas computacionales. Sin embargo, la auditoria a travs del computador requiere de un conocimiento tanto de las redes como del desarrollo de software. AI DE DESARROLLO DE APLICACIONES Una de las actividades que ms dolores de cabeza trae a las organizaciones es el desarrollo de los nuevos sistemas informticos. Existen muchas razones para tantos inconvenientes, entre las que se destaca: una pobre determinacin de los requerimientos (tanto los analistas como los usuarios, que en muchas oportunidades asumen cosas que el otro no ha dicho), carencia de un prototipo adecuado, una deficiente prueba del sistema y la premura con la que se implanta el mismo. En este sentido, la auditora debe verificar que se cumplan a cabalidad cada una de las fases del desarrollo del sistema. Se deben chequear los instrumentos y mtodos empleados para la determinacin de los requerimientos, las herramientas que se utilizan para la construccin del sistema, evaluar el prototipo que va a ser mostrado a los usuarios y verificar que se hagan las pruebas al sistema antes de ser implantado. Recuerde: es preferible esperar un poco ms por un sistema probado y ajustado a las necesidades que querer implantar en dos das un software que no ayudar en nada a los procesos empresariales, por el contrario: entorpecer los mismos. (Cuantas veces no le han dicho en la calle como excusa tenemos problemas con el sistema?). AI DE DATOS DE ENTRADA La materia prima para la generacin de la informacin son los datos de entrada, es por ello que todo proceso de auditoria informtica debe contemplar el estudio de los mismos. Bajo esta premisa, es importante llevar un control del origen de los datos que se introducen al sistema y en la medida de lo posible, el responsable de la introduccin de los mismos. Por ejemplo, para un banco el origen de los datos lo representan las planillas de depsito, retiro, entre otras. Si se lleva un control de dichos documentos es fcil auditar lo que tiene el sistema contra el soporte fsico (las planillas). Dicho proceso permite entonces detectar errores de trascripcin de datos al Sistema. Otro hecho importante de la Auditoria de los datos de entrada, es que puede ser utilizado como un mecanismo para determinar fraudes informticos. Cmo cree usted que se puede determinar un retiro no autorizado de una cuenta bancaria?, el cambio de calificaciones de un estudiante?. Es por ello que todas las organizaciones deben contar con mecanismos apropiados que permitan auditar los datos de entrada.de los sistemas informticos. AI DE SISTEMAS Al igual que ocurre con los datos de entrada, se deben revisar peridicamente las herramientas informticas que se utilizan dentro de la firma, a fin de verificar que se adecuen a las necesidades del negocio. Es importante sealar que dicha revisin no debe limitarse nicamente al hardware, por el contrario, se debe incluir tambin la revisin tanto del software instalado como la red informtica existente. Toda empresa debe poseer software actualizado y con licencia de uso; el Sistema Operativo no escapa de dicha situacin. En este sentido, es conveniente que se cuente con una versin que permita la evolucin de las aplicaciones, de no ser as determinar las causas de ello. Por ejemplo en el caso especfico del Sistema Operativo Windows, es inusual que se labore con la versin 3.11 para grupos de trabajo, en tal caso, como mnimo Windows 98 o Windows NT 4.0. Del mismo modo se debe auditar la red informtica instalada, entre otras cosas para observar su rendimiento (velocidad), la seguridad que ofrece (gran parte de los fraudes obedecen a la carencia de seguridad tanto de los Sistemas como de las Redes Informticas) y verificar que se cumplan con las polticas y estndares establecidos para la red. Y la Auditora de las aplicaciones?. Pues la exposicin se detallar en las lminas subsiguientes.

TCNICAS DE AUDITORIA La prueba de un Sistema es una tarea un poco ms compleja de lo que realmente parece ser. La misma no se limita exclusivamente a introducir algunos datos al Sistema a fin de verificar que arroje el resultado esperado. Va mucho ms all. En primer lugar, la prueba del Sistema no debe ser efectuada por los programadores, ya que stos conocen los trucos del sistema, e inconscientemente introducirn datos que no harn fallar a la aplicacin, razn por la cual se recomienda la designacin de un equipo responsable para las misma. Dicho equipo debe disear una Batera de Prueba, la cual consiste en un conjunto de datos a ser introducidos en el sistema para observar su comportamiento. Por supuesto los resultados de dichos datos se deben conocer con antelacin a fin de que puedan ser cotejados contra los que arroja el sistema. En toda batera de prueba aparte de las transacciones comunes, se debe contar con: Datos de Excepcin: Aquellos que rompen con la regla establecida. Se deben incluir dichos datos a fin de determinar si el sistema contempla las excepciones. Datos Ilgicos: Son datos que no tienen ningn sentido. Se incluyen dentro de la prueba a fin de determinar si el sistema posee los mecanismo de validacin adecuados que impidan el procesamiento de los mismos. Datos Errneos: Son aquellos que no estn acordes con la realidad. El sistema no est en capacidad de determinar si un dato esta correcto o no. Sencillamente, se introducen este tipo de datos a fin de verificar si el sistema posee los mecanismos que permitan revertir la transaccin. Auditora para el Computador Es importante determinar el uso de las computadoras. Esto a fin de verificar que no existan computadores sobre o subutilizados. Por ejemplo, suponga el caso de un computador con la configuracin ms actualizada que est siendo empleado nicamente como terminal del sistema de facturacin de la empresa, por supuesto, es fcil deducir que no se est aprovechando al mximo las bondades del equipo. Ahora suponga la contrario, es decir, que exista un equipo con mediana capacidad en donde se manejen todas las aplicaciones Office (Word, Excel y Power Point) y se ejecuten algunos Sistemas Informticos propios de la empresa. Est subutilizado?. La aplicacin de dicha tcnica no reviste de mayor complicacin, lo que se hace es anotar la configuracin del equipo y las actividades que se realizan en l, a fin de determinar si tal configuracin est acorde con lo que se realiza en l. Con esto se logran varias cosas: primero, se determinan los equipos candidatos a ser sustituidos o repotenciados y segundo, ofrece un mecanismo para una futura de reasignacin de equipos de acuerdo a las necesidades existentes. Que problema coyuntural cree usted que pueda ocurrir al aplicar dicha tcnica?. Piense un poco, de todos modos si no lo logra determinar, en dos lminas ms encontrars la respuesta. Peligros Informticos Usted pensar perfecto, estos son los peligros que existen, por lo que he ledo creo que la Auditoria pude ayudar a evitar los robos y fraudes informtico, pero un incendio o una inundacin?, no veo como. Si esa es su manera de pensar, pues le diremos que est en lo cierto. Aqu no le vamos a decir cmo evitar incendios o inundaciones. Sino ms bien de que tome conciencia de las cosas que puede pasar dentro de una empresa. Pero sigo sin entender que tiene que ver todo esto, es muy simple: lo que se busca es crear conciencia, de los peligros que existen, que ninguna organizacin est exenta de ellos y que por lo tanto es necesario que existan mecanismos que contrarresten los mismos. Esto es precisamente lo prximo que se va a exponer a continuacin. Respuesta a la Pregunta Anterior: Puede ocasionar molestias a las personas en la reubicacin de equipos (una persona con un equipo muy potente pero subutilizado, no estar muy conforme que le reasignen un equipo de menor potencia).

Medidas de Contingencia Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar la continuidad de los procesos que en ella se realizan. Dentro de la informtica tal aspecto no debe variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como realizar un proceso manualmente en caso de que falle el automatizado). En este mdulo nos compete exclusivamente la contingencia de la informacin. Al igual que otras cosas, la informacin puede tener daos, los cuales pueden obedecer a causas accidentales (tales como errores en la trascripcin de datos, ejecucin de procesos inadecuados) o intencionales (cuando se busca cometer algn fraude). No importa cual sea la causa, lo importante en este momento (claro, es importante determinar a que obedeci el problema) es disponer algn mecanismo que nos permita obtener la informacin sin errores. Las copias de seguridad nos ofrecen una alternativa para ello, ya que en caso de que se dae la informacin original, se recurre entonces al respaldo el cual contiene la informacin libre de errores. Copias de Seguridad Como se mencion anteriormente, las copias de seguridad ofrecen una contingencia en caso de prdidas de informacin. La frecuencia con la cual deben hacerse dichas copias va a depender de acuerdo a la volatilidad de la misma. Por ejemplo, usted puede decir que es suficiente realizar las copias de seguridad diariamente, as en caso de ocurrir algn imprevisto, se perder tan solo un da de trabajo. Tal concepcin puede funcionar para muchas organizaciones, pero no para todas, para un banco sera catastrfico perder la informacin de todas las transacciones de un da, caso contrario ocurre en una organizacin donde la informacin no vare con tanta frecuencia, en la cual no tendra mucho sentido respaldarla diariamente. Independientemente de la frecuencia con la cual se haga, es recomendable tener como mnimo dos (2) copias de seguridad, una permanecer dentro de la empresa y la otra fuera de ella. As en caso de que se pierda la informacin se pueda acceder a la copia que est dentro de la empresa. Y para qu la otra copia?. Recuerde los peligros informticos, los incendios, las inundaciones. En caso de que se incendie el edificio, se perdera el original y una copia, pero se tendr acceso a la que est fuera de la empresa. A lo mejor usted dir: qu gracia tiene tener otro respaldo si se quem el edificio de la empresa?. Suponga que dicho edificio sea de la Sucursal de un Banco, lo ms seguro que al da siguiente, los clientes estarn preguntando qu pasar con sus ahorros. Ahora si le encuentra sentido?. Nota la importancia de la informacin sobre otros activos?. Un edificio se recupera, la informacin de toda la empresa no. Medidas de proteccin Deben existir medidas que impidan la prdida de informacin, ocasionada por averas en los equipos (Seguridad Fsica). Si bien es cierto que los computadores no estn exentos de sufrir algn desperfecto (es por ello que existen las copias de seguridad), es recomendable disear normas para disminuir tales amenazas. Una de las principales causales de prdida de informacin, son las bajas de energa. Es por ello que deben estar conectados a un UPS todos los equipos en donde se genere informacin crtica. Un UPS es un dispositivo (parecido a un regulador de voltaje) que ofrece corriente alterna por un perodo de tiempo (depende de las especificaciones del equipo, los hay de 5 minutos hasta casi dos horas). De acuerdo a lo anterior, se deduce entonces su importancia: primero, permite completar transacciones inconclusas en el momento del fallo de energa y segundo permite guardar la informacin y apagar el equipo con normalidad. De igual forma a fin de disminuir las fallas de energa, debe existir una toma independiente de corriente para el rea informtica. Recuerda los peligros que existen?. Las inundaciones?, es por ello que el Departamento de Computacin debe estar ubicados en las zonas ms altas del edificio, puesto que tanto los stanos como los primeros pisos son los ms propensos a inundarse.

Medidas de Control y Seguridad Uno de los mayores peligros dentro de las empresas son los Fraudes Informticos (muy comunes hoy en da), es por ello que se disean medidas que permitan garantizar la integridad de la informacin y que la misma est acorde con la realidad (Seguridad Lgica). El mayor riesgo existe en los Sistemas Multiusuarios, puesto que pueden se manejados por varias personas concurrentemente. En dichos sistemas no todas las personas pueden acceder a la misma informacin (no todos pueden manipular la nmina de la empresa). para ello se restringe el uso de los Sistemas a travs de nombres de usuarios y contraseas, as cuando una persona desea utilizar el Sistema debe identificarse (con su nombre de usuario) y podr manipular nicamente lo que tenga autorizado. En este sentido, se debe tener un control de los usuarios que entran al sistema (existen muchos sistemas operativos que lo hacen de manera automtica), es por ello que no se debe divulgar el nombre de usuario a otras personas. Por ejemplo, suponga que Marta Gonzlez tiene asignado el nombre de usuario mgonz128a y su amigo Marcelo Alvarez le pide por favor su nombre de usuario, porque necesita hacer algunas cosas con su mdulo, (Marcelo tiene su usuario asignado, malv287s), pues resulta que ocurri un problema con dicha informacin a quin reporta el sistema como responsable?. Sencillo, al usuario que accedi al Sistema, en este caso mgonz128a que pertenece a Marta Gonzlez. De igual forma, se debe restringir el acceso al Sistema en horas no laborables, ya que el mayor nmero intento de fraudes ocurre durante dicho perodo (por lo general en horas de la madrugada). Con estas medidas estoy 100% seguro que no existirn fraudes informticos?. No, nadie est exento de sufrir un fraude informtico, con decirle que han violado la seguridad del Pentgono, NASA, Yahoo!, entre otros. En tal caso le disminuye le riesgo, por lo tanto se recomienda revisar las medidas de seguridad constantemente.