Inacap Ingeniera en Informtica

Primavera 2007.
Enrique Vera V.


Auditora Informtica


Evolucin de Auditora Informtica.
Etapas del desarrollo humano.
Primera ola: Agricultura.
Segunda ola: Revolucin Industrial.
Tercera Ola: Sociedad de la informacin.
La informacin es un activo del negocio y se debe regular,
controlar y asegurar como cualquier otro activo.

Auditoras se comienzan realizando al rea contable y
financieras de las empresas.
Ahora existen auditoras especficas a diversas reas y una
de las ms requeridas es la del rea informtica.
La auditora es un exmen crtico que busca evaluar la
eficiencia y eficacia de la seccin, organismo, entidad, etc.
Recomendacin de control.
Ante la necesidad de control interno de la informacin como
activo surgen variadas recomendaciones.
ISACA presenta COBIT a mediados de los 90.
ISACA: Information Systems Audit and control Association.
COBIT: Control Objectives for Information and Related
Technology.
Objetivo de Cobit:
Definicin de estndares y conducta profesional para la gestin
y control de sistemas de informaciones.
Diferencia de Cobit respecto de otras recomendaciones:
Orientado al negocio.
Relacin informtica auditora.
Auditora con el computador.
Se comienza a usar el computador como herramienta para
agilizar las auditoras.
Auditora alrededor del computador.
Se entiende que la informacin est en los computadores y se
auditan en trminos de entradas y salidas para determinar la
correccin de los procesos que se realizan.
Auditora del computador.
Abarca las entradas y salidas, como se efectan los procesos al
interior de la estructura informtica, como se coordina con las
otras reas de la empresa, como se organiza el departamento,
las funciones que deben realizar, etc.
Concepto de auditora.
Emisin de una opinin profesional sobre si el objeto
sometido a anlisis presenta adecuadamente la realidad
que pretende reflejar y/o cumple las condiciones que le han
sido prescritas.(AI-pp, p.4)
Contenido: Una opinin.
Condicin: Profesional.
Justificacin: Sustentada en determinados procedimientos.
Objeto: Una determinada informacin obtenida en un cierto
soporte.
Finalidad: Determinar si presenta adecuadamente la realidad o
sta responde a las expectativas que le son atribudas, es decir,
su fiabilidad.
Ocurre a posteriori, sobre actividades ya realizadas para las
cuales hay que emitir una opinin.
Auditora Informtica
Determinar si un sistema de informacin:
Salvaguarda la informacin.
Mantiene la integridad de los datos.
Cumple sus propsitos eficientemente.
Cumple las normas y fines de la organizacin.
Utiliza eficientemente los recursos materiales y humanos.
Exigencia:
Conocimientos informticos a nivel de la tecnologa utilizada en
el rea u organizacin que se examina.
Necesidad:
La informacin debe ser objeto de controles y se debe proteger
y asegurar al igual que los sistemas (activos) no informticos.
Se debe controlar la funcin informtica.
Propsito de la AI.
Propsito de la auditora informtica: asegurar que.

Sistemas, procedimientos y controles estn bien definidos y se
estn operando con eficiencia y eficacia.

La informacin adecuada est disponible para la toma de
decisiones y definicin de responsabilidades.

La informacin disponible es debidamente utilizada en el
proceso de toma de decisiones.

Los recursos y bienes estn adecuadamente protegidos.

Las regulaciones legales estn siendo obedecidas.

Perfil del auditor.
Acta con bastante independencia dentro del organismo y
tiene facultad para consultar con la mayor amplitud todos
los elementos de informacin que considere necesario para
el desarrollo de su funcin.
Debe conocer la empresa, sus objetivos, sus controles, las
polticas y planes. Su trabajo debe ser planificado y tener
una estrategia. Los informes deben ser documentados y
basarse en evidencias encontradas.

Tarea: Leer los principios aplicables a los auditores
informticos, resumir cada uno en no ms de 5 lneas y
exponerlo brevemente para comentarlo en grupo.
Los principios , AI-pp, captulo 7.

Evidencias.
Evidencia fsica, verifica la existencia real de los activos y su
calidad. Puede requerir tcnicos o expertos en la materia.

Evidencia documental, se obtiene del exmen de documentos
importantes y exmen de los registros (contables). Pueden ser
creados interna o extrenamente.

Evidencia analtica, conjunto de procedimientos que implican
clculos matemticos.

Evidencia verbal, contacto con personal y terceras personas
cuyas declaraciones pueden ser formales o informales. Sirve
para detectar puntos dbiles o conflictivos que permitan iniciar
una especial investigacin del hecho.
Evidencias (2)
Control interno, condiciona el alacance del trabajo de auditora,
cuanto mejor el control interno, menores pruebas a realizar por
el auditor. Debe ser evidente que el control existe y es eficaz.

Evidencia obtenida de libros diarios y contables.

Comparaciones e ndices, compara eventos con perodos
pasados para encontrar cambios significativos.
Por qu se realiza una AI?
Acceso al computador, acceso a la informacin.
Cada persona tiene informacin que slo le interesa a ella.
Informacin en computadores facilita la suplantacin.
Se obtiene acceso a informacin hacindose pasar por otro, o
se obtiene acceso a datos en bruto sin mayor exigencia.
Se evita con adecuada gestin de la seguridad.

Costos y complejidad del rea informtica.
Area informtica agrega costos a la empresa.
Hay costos evidentes y otros no tanto.
Difciles de evaluar porque no producen beneficios
directamente. (ms vendedores <> ms RAM).
Se controla con la gestin del rea y sus funciones.
Por qu se realiza una AI? (2)
Calidad de la informacin.
Relacin del rea informtica con la empresa va de la mayor
intromisin a la mayor lejana.
La direccin quiere aplicar esquemas de subdivisin del trabajo
que carecen de la flexibilidad que el rea necesita; o bien dejan
que el rea se gestione como mejor le parezca sin controlarla.
Se debe establecer un esquema de gestin que permita:
Obtener la mejor relacin costo-beneficio de los sistemas
implantados por el rea informtica.
Aumentar el nivel de satisfaccin de los usuarios.
Apoyar la metas y objetivos de la organizacin.
Conocer la actividad real del rea informtica, funciones y
esfuerzos en pro de lograr los objetivos.
Capacitar y educar sobre controles en los sistemas de
informacin.

Sintomas de descoordinacin y desorganizacin:
No coindicen los los objetivos de la informtica con la organizacin.
Los estndares de produccin se desvan de lo habitual.
Sintomas de mala imagen y desconfianza de usuarios:
No se atienden la peticiones de cambios de los usuarios.
No se reparan las averas de hardware en tiempos razonables.
No se cumplen los plazos de entrega.
Sintomas de debilidad economica:
Incremento de costos.
Justificacion de inversiones.
Desviaciones de presupuestos.
Sintomas de Inseguridad:
Seguridad logica y fisica.
Confidencialidad.
Continuidad de servicio.
Centro de proceso fuera de control.
Sintomas de necesidad de AI
Estructura orgnica.
La informtica es parte de la gestin de la empresa. No
decide pero ayuda a la toma de decisiones.
La ubicacin del rea informatica determina el impacto y la
responsabilidad que tiene en el desarrollo de soluciones
para la empresa.
Ubicarla a nivel de staff, implica que no tiene poder de
decisin en ninguna materia.
Ubicarla bajo alguna gerencia provoca acaparar, por parte
de esa gerencia, las funciones del rea informtica en
desmedro de las demas gerencias (y reas) de la empresa.

Revisar Auditoria Informtica, Echeique.
Planes necesarios DI.
La gestin del departamento informtica implica planificar
las actividades que se realizan y justificarlas.
Se consideran varios tipos de planes:
Viabilidad.
Plan de cambios,mantencin y actualizacin.
Plan de desarrollo.
Plan maestro.
Plan de seguridad.
Funciones del depto. informtica
Operaciones.
Gestin.
Explotacin.
Desarrollo.
Comunicaciones y redes.
Base de datos.
Seguridad.
Evaluacin DI: Operaciones.
La operatividad de los sistemas es la preocupacin
fundamental.
La operatividad es funcionar aunque sea al mnimo.
No es admisible detener la maquinaria informtica, descubrir
sus fallas y comenzar de nuevo.
Cuando los sistemas estan operativos, se inicia la auditora y
uno de sus objetivos es mantener esa situacin.
Los controles generales se encargan de verificar que exista
compatibilidad entre sistema operativo, software de base,
aplicaciones implantadas y otro software aplicativo.
Los controles especficos se encargan de verificar aspectos
que regulan o mejoran la operacin total como ser: cuotas de
disco, tiempo de obsolescencia de los datos, borrado de
ficheros antiguos, descartar contenidos no autorizados, etc.
Evaluacin DI: Gestin.
Verificar el cumplimiento de las normas existentes en el DI y
su coherencia con las normas de la empresa.
Normas de instalacin de hardware, software u otros.
Documento firmado, recepcin conforme, observaciones, etc.
Procedimientos tcnicos del rea informtica.
Poltica de adquisiciones.
Procedimiento de recepcin de solicitudde desarrollo/cambios.
Procedimientos de prueba de aplicaciones.
Procedimientos de alta de nuevas prestaciones
Procedimientos generales del rea informtica.
Procedimientos de contratacin y despido de personal.
Procedimientos de reemplazos, turnos, vacaciones, etc.
Procedimientos de seleccin de capacitacin.
Evaluacin DI: Explotacin.
La explotacin se encarga de obtener resultados del uso de
los sistemas: informes, consultas, archivos, respaldos,
envos, rdenes automticas, etc.
Se identifica tres reas: planificacin, produccin y soporte.
Planificacin se encarga de prever que estn todo lo necesario
para que se pueda usar los sistemas al mximo.
Produccin se encarga de que los sistemas se usen, que los
procesos operen normalmente dentro de los parmetros
previstos y detectar cualquier anomala.
Soporte se encarga mantener en buen estado todos los
elementos involucrados y volver a un estado de explotacin
normal aquellos elementos anmalos o que presentan fallas.

Evaluacin DI: Desarrollo.
Verificar que el desarrollo de aplicaciones sea controlado en
trminos de tiempo oportuno, costos, calidad y seguridad.
Revisin de metodologias usadas, interesa ver el grado de
reutilizacin que posean y facilidad de cambios permitida.
Control de las aplicaciones (estudio viabilidad, diseo detallado
y consistente con la aplicacin en operacin, normas de
codificacin y diseo de interfaz, mtodo de pruebas, etc).
Cumplimiento de los requerimientos originarios.
Satisfaccin de los usuarios.
Control de procesos y ejecuciones, interesa verificar que no se
pueda o no est ejecutndose procesos que no estn
establecidos.
Evaluacin DI: Comunicaciones.
Se encarga de administrar las comunicaciones tanto
internas como externas asegurando la mayor disponibilidad
all donde sea preciso.
Verificar que los elementos de red usan la versin ms
actualizada disponible.
Controlar que se permita slo lo establecido y descartar lo
dems.
Revisar peridicamente los registros en busca de intentos de
accesos no autorizados y hacer los ajustes que precisaren.
Testear la fortaleza de los elementos de red.
Evaluar los trficos de informacin para detectar patrones que
indiquen la necesidad de realizar ajustes a la configuracin de
los equipos o variar los anchos de banda.
Evaluacin DI: Base de datos.
Establecer que datos se almacenan, cmo, a quin
pertenecen, quienes pueden verlos, con que autorizacin,
de que manera, etc.
Verificar que exista la capacidad necesaria para administrar la
base de datos.
Verificar que existe un diccionario de datos adecuado o su
equivalente.
Verificar que la estructura de la base de datos es coherente y
soporta apropiadamente el diseo de los sistemas que la usan.
Verificar que existen niveles de seguridad y permisologa
apropiada.
Verificar que existen procedimientos de respaldo y
recuperacin de la base de datos ante fallas.
Verificar que existen registros de actividad en la base de datos
que permitan detectar cambios o accesos no autorizados.
Evaluacin DI: Seguridad.
Se encarga de establecer los procedimientos de seguridad
a aplicar en el rea informtica.
Abarca todas las funciones anteriores.
Puede estar integrada en cada una de ellas o separada.
Existen estndares ISO en la materia que especifican en detalle
los controles que deben considerarse (ISO 17999, 27001).
Abarca desde el control de virus hasta la concordancia con
las polticas de la empresa.
Se considera seguridad fsica y seguridad lgica.
La fsica se refiere a la proteccin del hardware y los soportes de
datos ante daos por desastres, mal uso o sabotajes.
La lgica se refiere a la seguridad del uso del software, la
proteccin de los datos, programas y procesos, y el acceso
controlado y seguro a la informacin.
Perodo Bi-Learning
Desde el 27/09 hasta 25/10.
Evaluacin de las etapas de desarrollo de sistemas.
Evaluacin de la explotacin de sistemas.

Definicin de seguridad. Plan de seguridad.
Seguridad del entorno.
Normas de acceso.
Elementos magnticos.
Condiciones ambientales.
Incendios, inundaciones, terremotos.
Plan de actuacin frente a situaciones de emergencia.

Auditora al desarrollo.
La funcin de desarrollo es una evolucin del llamado
anlisis y programacin de sistemas.
Engloba muchas reas, tantas como sectores posibles de
informatizar tiene la empresa.
Una aplicacin recorre las siguientes fases:
Prerequisitos del usuario.
Estudio de factibilidad.
Recoleccin de requisitos.
Anlisis funcional y conceptual.
Diseo detallado.
Programacin.
Pruebas.
Puesta a explotacin.
Mantencin.
Auditora al desarrollo (II).
Cada una de las fases debe estar sometida a un exigente
control interno, caso contrario, se puede perder el control de
los costos y podr producirse la insatisfaccin del usuario.

La auditora debe comprobar la seguridad de los programas
en el sentido de garantizar que los ejecutados por la
maquina sean exactamente los previstos y no otros.

Existen metodologas que pueden usarse tanto para evaluar
como para gestionar estos procesos.
Auditora al desarrollo (III).
Esta auditora pasa por la observacin y el anlisis de
cuatro consideraciones:
1. Revisin de las metodologas utilizadas: Se analizaran stas,
de modo que se asegure la modularidad de las posibles futuras
ampliaciones de la aplicacin y el fcil mantenimiento de las
mismas.
2. Control interno de las aplicaciones: se debern revisar las
mismas fases que presuntamente ha debido seguir el rea
correspondiente de desarrollo:
Estudio de viabilidad. importante para aplicaciones largas,
complejas y caras.
Diseo lgico. se analizar que se han observado los postulados
lgicos de actuacin, en funcin de la metodologa elegida y la
finalidad que persigue el proyecto.
Diseo detallado. se verificar que ste es ordenado y correcto.
Las herramientas tcnicas utilizadas en los diversos programas
debern ser compatibles
Auditora al desarrollo (IV)
Diseo de programas. debern poseer la mxima sencillez,
modularidad y economa de recursos
Mtodos de pruebas. se realizarn de acuerdo a las normas de
la Instalacin. Se utilizarn juegos de ensayo de datos, sin que
sea permisible el uso de datos reales.
Documentacin. cumplir la normativa establecida en la
Instalacin, tanto la de desarrollo como la de entrega de
aplicaciones a explotacin.
Equipo de programacin. deben fijarse las tareas de anlisis
puro, de programacin y las intermedias. En aplicaciones
complejas se produciran variaciones en la composicin del
grupo, pero estos debern estar previstos
3. Satisfaccin de usuarios: una aplicacin tcnicamente
eficiente y bien desarrollada, se considera fracasada si no sirve
a los intereses del usuario que la solicit. La conformidad del
usuario proporciona ventajas posteriores, ya que evitar
reprogramaciones y disminuir el mantenimiento de la
aplicacin.
Auditora al desarrollo (V).
4. Control de procesos y ejecuciones de programas crticos: El
auditor debe considerar la posibilidad de que se ejecute un
mdulo que no se corresponde con el programa fuente que
desarroll, codific y prob el rea de desarrollo.
Se ha de comprobar la correspondencia biunvoca y exclusiva
entre el programa codificado y su compilacin. Si programas
fuente y los programa mdulo no coincidieran puede provocar,
desde errores de bulto que produciran graves y altos costos de
mantenimiento, hasta fraudes, pasando por acciones de
sabotaje, espionaje industrial, etc.
Hay normas muy rgidas en cuanto a las libreras de programas,
su almacenamiento, acceso y distribucin; el rea de desarrollo
debe tener una metodologa que asegure que no puede pasar a
explotacin un programa sin aprobar.

Auditora al desarrollo (VI).
Aquellos programas fuente que hayan sido dados por
buenos por el rea de desarrollo, son entregados a
explotacin con el fin de que ste:
1. Copie el programa fuente en la librera de fuentes de
explotacin, a la que nadie ms tiene acceso.
2. Compile y monte ese programa, depositndolo en la librera
de mdulos de explotacin, a la que nadie ms tiene acceso.
3. Copie los programas fuente que les sean solicitados para
modificarlos, arreglarlos, etc. en el lugar que se le indique.
Auditora al desarrollo (VII).
Para auditar y dar el alta a una nueva aplicacin se utiliza
un sistema llamado U.A.T (User Acceptance Test).
Consiste en que el usuario ocupe la aplicacin como si la
estuviera usando en explotacin para que detecte o se
denoten por s solos los errores de la misma.
Esos defectos que se encuentran se van corrigiendo a
medida que se va haciendo el U.A.T.
Una vez que se consigue el U.A.T., el usuario tiene que dar
el Sign Off (esto est bien).
Auditora controla y evalua que el testeo sea correcto, que
exista un plan de testeo, que est involucrado tanto el
cliente como el desarrollador y que los defectos se corrijan.
Auditora tiene que corroborar que el U.A.T. prueba todo y
que el Sign Off del usuario sea un Sign Off por todo.
Auditora de bases de datos.
La importancia de la informacin para las empresas ha
llevado a que los datos que manejan sean vitales y sujetos
a estricto control y aseguramiento.
Regularmente los datos estan almacenados en bases de
datos y por ello la auditora de las mismas resulta ser una
de las ms relevantes.
Se puede realizar siguiendo un enfoque de lista de control
(checklist) cuando se aplica a un producto especfico y se
realiza con amplio nivel de detalle.
Otro enfoque es establecer primero los objetivos de control
para luego detectar los riesgos presentes, regularmente por
medio de pruebas.
Auditora de base de datos (II).
Administrador de la base de datos.
Es la persona encargada de administrar al ms alto nivel la
base de datos (BD) y debe contar con las calificaciones
necesarias tanto tcnicas como personales.
Algunas de sus funciones son:
Realizar el diseo conceptual y lgico de la BD.
Establecer estndares de diseo, desarrollo y contenido del
diccionario de datos de la BD.
Desarrollar polticas de gestin de los datos.
Controlar la integridad y seguridad de la BD.
Planificar la evolucin de la BD de la empresa.
Proporcionar controles de seguridad.
Distribuir las tareas de administracin y capacitar a quienes se
les asigne las operaciones (respaldar, crear procedimientos, etc).
Identificar situaciones optimizacin de rendimiento y control.
Auditora de base de datos (III).
Autentificacin.
El acceso a la BD puede ser controlado por la propia base de
datos registrando cada usuario de la misma as como su
identificacin segn la forma de verificacin que se aplique.
La BD puede confiar en el mtodo de verificacin del sistema
operativo sobre el que opera o en un software intermedio que
se use con ese propsito (LDAP).
El mtodo habitual de verificacin es el de contrasea, pero
aumenta rpidamente el de uso de tokens, como los
certificados digitales o los tickets otorgados por software
(Kerberos).
Ya es posible usar comercialmente verificacin biomtrica por
lo que se prevee un auge de este mtodo en aquellas
situaciones que los ameriten.
Auditora de base de datos (IV).
Usuario administrador.
Todo software de base de datos tiene al menos un usuario
administrador con permisos para realizar todas las funciones,
el nombre vara segn el producto, pero siempre se crea al
instalar el software y se habilita con una clave por omisin.
La primera tarea siempre ha de ser cambiar esa clave por otra
que slo la conozca quien(es) deba(n).
Puerta de acceso (TCP/IP).
Una BD ubicada en un servidor, espera que le hagan peticiones
para responderlas. Si esas peticiones vienen desde la red, se
solicitan en un puerto especfico que vara segn el producto.
Cambiar el puerto no agrega seguridad.
Si la base de datos slo contesta peticiones locales (a un
servidor web instalado en la misma mquina) no necesita
soporte TCP/IP dado que suelen usar otras tcnicas de
comunicacin interna (Named Pipes, Shared Memory).

Permisos.
Para que un usuario pueda realizar tareas con la BD debe
disponer de los permisos necesarios.
Se pueden fijar permisos a nivel de base de datos, de
tablas, de columnas. Igualmente se puede permisos
separados para consultar, agregar, actualizar y borrar
datos, as como para la ejecucin de procedimientos
almacenados, cambio de la estructura de las tablas, etc.
El software de administracin de la BD debe registrar los
permisos asignados y aplicarlos en cada operacin de
acceso a los datos, para permitir la peticin o rechazarla por
falta de permisos suficientes.
Definir permisos por cada usuario individual es un proceso
complejo y propenso a errores.
Roles.
La BD permite crear roles (usuario tipo) y asignar los
permisos al rol. Luego cada usuario que se agrega a la
base de datos es asociado a alguno de los roles existentes.
Los roles son una forma de simplificar la asignacin de
permisos y permiten aplicar y quitar permisos con rapidez a
grandes grupos de usuarios.
La BD suele comenzar con algunos roles ya definidos
(Administrador, respaldador, etc).
El administrador de la BD debe definir los roles necesarios
para el acceso a la BD y conforme a ello asignar los
permisos y asociar los usuarios.
Si un usuario tiene permisos segn un cierto rol y permisos
para el propio usuario se debe tener claro que permiso se
aplica en caso que haya conflicto (el rol no le permite algo,
pero su propio permiso si lo hace).
Vistas.
Las vistas proveen otro mecanismo de seguridad al permitir
accesos a rangos de filas o columnas de una tabla en lugar
de a la tabla completa (tabla base).

Los usuarios nunca obtienen acceso a las tablas, slo a
vistas sobre ellas.

Los permisos se otorgan para el acceso a las vistas y de
ese modo se controla quien puede obtener que dato.

Procedimientos almacenados.
En un ambiente seguro, los usuarios no tienen acceso a las
tablas base y las vistas se usan para recuperar informacin
de la BD. Cmo agregamos, cambiamos o borramos?

Se definen procedimientos almacenados en la BD que se
encargan de las tareas que significan alteracin de la
informacin almacenada y se asocian los permisos de
quienes pueden ejecutarlos (a travs de roles).

La combinacin de vistas y procedimientos almacenados
permite disponer de una buen nivel de seguridad que puede
ajustarse con facilidad.