Escolar Documentos
Profissional Documentos
Cultura Documentos
TECNOLGICA
INSTITUTO TECNOLGICO DEL VALLE DE OAXACA
ANTOLOGIA DE LA MATERIA AUDITORIA EN TECNOLOGAS DE
LA INFORMACIN
CARRERA: Ingeniera en Tecnologas de la Informacin y Comunicaciones
PROFESOR: Miguel Santibez Miguel.
Contenido
UNIDAD 1. INTRODUCCION A LA AUDITORA..........................................................3
1.1.
Caractersticas de un auditor....................................................................3
1.2.
Examen de organigrama.........................................................................19
2.2.
2.3.
Entrevistas a directivos..........................................................................20
2.4.
Evaluacin............................................................................................ 21
3.2.
reas a revisar....................................................................................... 22
3.3.
Evaluacin de riesgos............................................................................ 23
3.4.
4.2.
4.3.
4.4.
5.2.
Diseo y carga....................................................................................... 31
5.3.
Explotacin y mantenimiento.................................................................31
5.4.
Revisin post-implantacin....................................................................32
5.5.
SGBD.................................................................................................... 32
6.2.
Desarrollo de sistemas...........................................................................32
6.3.
6.4.
Mantenimiento y soporte........................................................................33
6.5.
Resolucin de incidencias......................................................................33
6.6.
Seguridad y control................................................................................ 34
7.2.
Consecuencias y riesgos.......................................................................35
7.3.
Rutas de acceso.................................................................................... 35
7.4.
Claves de acceso................................................................................... 36
7.5.
Seguridad en telecomunicaciones..........................................................38
8.2.
Tcnicas y herramientas........................................................................40
BIBLIOGRAFIA................................................................................................ 42
REFERENCIAS BIBLIOGRAFICAS....................................................................42
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnologa informtica
Continuidad de operaciones
Gestin de riesgos
9) Principio de discrecin
El auditor deber en todo momento mantener una cierta discrecin en la
divulgacin de datos, aparentemente inocuos, que se le hayan puesto de
manifiesto durante la ejecucin de la auditora.
Este cuidado deber extremarse cuando la divulgacin de dichos datos pudiera
afectar a derechos relacionados con la intimidad o profesionalidad de las personas
concernidas por los mismos o a intereses empresariales, y mantenerse tanto
durante la realizacin de la auditora como tras su finalizacin.
10) Principio de economa
El auditor deber proteger, en la medida de sus conocimientos, los derechos
econmicos del auditado evitando generar gastos innecesarios en el ejercicio de
su actividad.
En cumplimiento de este principio deber procurar evitar demoras innecesarias en
la realizacin de la auditora. Esta economa de tiempos permitir al auditado
reducir los plazos de actuacin tendentes a solventar los problemas detectados o
a la adecuacin a los nuevos mtodos propuestos aportando un determinado valor
aadido al trabajo del auditor.
11) Principio de formacin continuada
El auditor deber proteger, en la medida de sus conocimientos, los derechos
econmicos del auditado evitando generar gastos innecesarios en el ejercicio de
su actividad.
En cumplimiento de este principio deber procurar evitar demoras innecesarias en
la realizacin de la auditora. Esta economa de tiempos permitir al auditado
reducir los plazos de actuacin tendentes a solventar los problemas detectados o
a la adecuacin a los nuevos mtodos propuestos aportando un determinado valor
aadido al trabajo del auditor.
12) Principio de respeto a la profesin
Este principio impone a los auditores el deber y la responsabilidad de mantener
una permanente actualizacin de sus conocimientos y mtodos a fin de
adecuarlos a las necesidades de la demanda y a las exigencias de la competencia
de la oferta.
13) Principio de independencia
Este principio, obliga al auditor exigir una total autonoma e independencia en su
trabajo, condicin sta imprescindible para permitirle actuar libremente segn su
leal saber y entender. La independencia del auditor constituye, en su esencia, la
garanta de que los intereses del auditado sern asumidos con objetividad; en
Auditoria en Tecnologas de la InformacinPgina 6
La palabra auditoria viene del latn auditorius, y de esta proviene auditor, el que
tiene la virtud de or, y revisar cuentas. La Informtica hoy, est integrando en la
gestin de la empresa, y por eso las normas y estndares propiamente
informticos deben estar, sometidos a los generales de la misma. Debido a su
importancia en el funcionamiento de una empresa, existe la Auditora Informtica.
La Auditora Informtica es un examen crtico que se realiza con el fin de evaluar
la eficacia y eficiencia de una empresa.
Los principales objetivos que constituyen a la auditora Informtica son:
o El control de la funcin informtica,
o El anlisis de la eficiencia de los Sistemas Informticos,
o La verificacin del cumplimiento de la Normativa en este mbito
Y la revisin de la eficaz gestin de los recursos informticos.
Es el examen objetivo, crtico, metodolgico y selectivo de evidencia relacionada
con polticas, prcticas, procesos y procedimientos en materia de Tecnologas de
la Informacin y la Comunicacin, para expresar una opinin independiente
respecto:2
1) A la confidencialidad, integridad, disponibilidad y confiabilidad de la
informacin.
2) Al uso eficaz de los recursos tecnolgicos.
3) A la efectividad del sistema de control interno asociado a las Tecnologas de
la Informacin y la Comunicacin.
La auditora de Tecnologas de la Informacin y la Comunicacin est definida
principalmente por sus objetivos y puede ser orientada hacia uno o varios de los
siguientes enfoques:
a) Enfoque a las Seguridades: Consiste en evaluar las seguridades
implementadas en los sistemas de informacin con la finalidad de mantener la
confidencialidad, integridad y disponibilidad de la informacin.
b) Enfoque a la Informacin: Consiste en evaluar la estructura, integridad y
confiabilidad de la informacin gestionada por el sistema de informacin.
c) Enfoque a la Infraestructura tecnolgica: Consiste en evaluar la
correspondencia de los recursos tecnolgicos en relacin a los objetivos
previstos.
d) Enfoque al Software de Aplicacin: Consiste en evaluar la eficacia de los
procesos y controles inmersos en el software de aplicacin, que el diseo
conceptual de ste cumpla con el ordenamiento jurdico administrativo vigente.
e) Enfoque a las Comunicaciones y Redes: Consiste en evaluar la confiabilidad y
desempeo del sistema de comunicacin para mantener la disponibilidad de la
informacin.
2
http://www.contraloria.gob.bo/portal/Auditor%C3%ADa/Auditor%C3%ADasTIC.aspx
5. Auditora gubernamental
Revisin que se realiza a todas las actividades y operaciones de una entidad
gubernamental, cualquiera que sea la naturaleza de las dependencias y entidades
de la Administracin Pblica Federal. Su fin es evaluar el correcto desarrollo de las
funciones de todas las reas y unidades administrativas de dichas entidades, as
Auditoria en Tecnologas de la InformacinPgina 13
como los mtodos y procedimientos que regulan las actividades necesarias para
cumplir con los objetivos gubernamentales, estatales o municipales.
6. Auditora de sistemas
El propsito fundamental de esta auditoria es evaluar el uso adecuado de los
sistemas para el correcto ingreso de los datos, el procesamiento adecuando de la
informacin y la emisin oportuna de sus resultados en la institucin, incluyendo la
evaluacin en el cumplimiento de las funciones, actividades y operaciones de
funcionarios, empleados y usuarios involucrados con los servicios que
proporcionan los sistemas computacionales a la empresa.
1.3. Fases de la auditora: preparacin, planeacin, revisin de auditora in
situ, elaboracin del reporte
PREPARACIN
Esta fase comienza con la decisin de realizar una auditora, comprende todas las
actividades desde la seleccin del equipo hasta la recogida de la informacin in
situ.
En el momento que es asignada la auditoria y al comienzo de esta, se debe sentar
las bases y la organizar el trabajo adecuadamente.
1.
2.
3.
4.
5.
6.
7.
Pasos
Definir el propsito de la auditoria.
Definir el mbito de la auditoria.
Determinar los recursos que se van a aplicar.
Identificar la autoridad de la auditoria.
Identificar los requisitos para la actividad auditada.
Adquirir conocimientos tcnicos de los procesos que se van a auditar.
Preparar un plan para la auditoria y ponerse en contacto con los que van a
ser auditados.
8. Realizar una evaluacin inicial, desde los documentos de nivel inferior hasta
los requisitos de ms alto nivel.
9. Preparar los papeles de trabajo para la recogida de datos.
PLANEACIN
Para la planeacin de la auditoria se siguen una serie de pasos previos que
permiten dimensionar el tamao y caractersticas del rea dentro de la
organizacin a auditar, sus sistemas, organizacin y equipo. Con ello es posible
determinar el nmero y las caractersticas del personal de auditora, las
herramientas necesarias, el tiempo y el costo.
El trabajo de la auditora debe incluir la planeacin de la auditora, el examen y la
evaluacin de la informacin, la comunicacin de los resultados y el seguimiento.
La planeacin debe ser documentada y debe incluir:
Auditoria en Tecnologas de la InformacinPgina 14
Identificacin de irregularidades
Incumplimiento de la normatividad legal y profesional
Irregularidades
Incumplimiento de la normatividad legal y profesional.
Planificar
Se trata d prever la utilizacin de tecnologas de la informacin en la
empresa. Existen varios tipos de planes informticos. El principal lo
constituye el Plan Estratgico de Sistemas de Informacin.
Este plan es el marco bsico de la actuacin de los Sistemas de
Informacin en la empresa. El cual debe de asegurar los alineamientos de
los mismos con los objetivos de la propia empresa.
Independientemente de la metodologa, los plazos y las acciones concretas
llevadas a cabo, debe existir un proceso, con participacin activa de los
usuarios, que regularmente elabore planes estratgicos de sistemas de
informacin a largo plazo, cualquiera que sea ese largo, el auditor debe de
evaluar su adecuacin.
Organizar y Coordinar
El proceso de organizar sirve estructurar los recursos, flujos de informacin
y controles que permitan alcanzar los objetivos marcados durante la
planificacin.
Controlar
La tarea de dirigir no puede considerarse completa sin esta faceta que
forma parte de la responsabilidad.
Organizacin
Normas y polticas
Planes de trabajo
Controles
Estndares
Procedimientos
Objetivos de la direccin
Polticas y normas de la direccin
Planeacin
UNIDAD 3. AUDITORA DE LA SEGURIDAD FSICA
Antes
Obtener y mantener un nivel adecuado de seguridad fsica sobre los activos
de la organizacin, este nivel se refiere al conjunto de acciones utilizadas
para evitar el fallo, o en su caso, aminorar las consecuencias que de l
puedan derivar.
Ubicacin del edificio
Compartimentacin
Elementos de construccin
Potencia elctrica
Sistemas contra incendios
Control de accesos
Seleccin del personal
Seguridad de los medios
Medidas de proteccin
Duplicacin de medios
Durante
Ejecutar un plan de contingencias adecuado.
Cabe definir que desastre es cualquier evento que, cuando ocurre, tiene la
capacidad de interrumpir el proceso normal de una empresa.
Despus
Hacer un recuento de las prdidas, gastos y responsabilidades que se
pueden derivar una vez detectado y corregido el fallo.
Edificio
Instalaciones
Equipamiento y telecomunicaciones
Datos
personas
El sector de la entidad
La entidad misma
El momento
Una vez identificados y medidos los riesgos, lo mejor sera poder eliminarlos, pero
lo ms que se puede conseguir es disminuir la probabilidad de que algo se
produzca o bien su impacto: con sistemas de deteccin, de extincin, revisiones
peridicas, copiando archivos crticos (respaldo), exigiendo contraseas u otros
controles segn sea el caso.
La evaluacin de riesgos puede ser global: todos los sistemas de informacin,
centros y plataformas, pero tambin puede producirse una evaluacin parcial de
riesgos, tanto por reas como por centros, departamentos, redes o aplicaciones,
as como previa a un proyecto, como puede ser una aplicacin a iniciar.
3.4. Fuentes a utilizar
Adquisicin de la informacin
Plan de contingencias
El plan de contingencias y el plan de seguridad tienen la finalidad de proveer a la
organizacin los requerimientos para su recuperacin ante desastres.
Los desastres pueden clasificarse en:
-
Definicin:
La identificacin y proteccin de los procesos crticos de la organizacin y los
recursos requeridos para mantener un aceptable nivel de transacciones y de
ejecucin, protegiendo estos recursos y preparando procedimientos para asegurar
la sobrevivencia de la organizacin en caso de desastre. 4
Estrategia planificada constituida por:
-
Objetivos:
Fases:
1) Anlisis y diseo
Se estudia la problemtica, las necesidades de recursos, las alternativas de
respaldo, y se analiza el costo/beneficio de las mismas. Durante esta etapa se
identifican los procesos crticos o esenciales y sus repercusiones en caso de no
estar en funcionamiento.
Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) e
identificar las aplicaciones que tengan un alto riesgo.
Cuantificar el impacto en caso de suspensin del servicio en aquellas
aplicaciones con alto riesgo
Se debe evaluar el nivel de riesgo de la informacin para hacer un estudio
costo/beneficio entre el costo por prdida de informacin y el costo de un sistema
de seguridad.
Para evaluar la instalacin en trminos de riesgo se debe:
-
Para cuantificar el riesgo es necesario que se efecten entrevistas con los altos
niveles administrativos directamente afectados por la suspensin en el
procesamiento para que cuantifiquen el impacto que les puede causar este tipo de
situaciones.
2) Seleccin de la estrategia
Ya que se tiene definido el grado de riesgo, se debe elaborar una lista de sistemas
con las medidas preventivas que se deben tomar, as como las correctivas en caso
de desastre, sealndole a cada funcin su prioridad.
Se deben identificar y comentar procesos alternativos para procesos identificados
como crticos en la organizacin.
3) Desarrollo del plan
En estafase se desarrolla la estrategia seleccionada implantndose hasta el final
todas las acciones previstas. Se definen las distintas organizaciones de
emergencia y se desarrollan los procedimientos de actuacin generando as la
documentacin del plan.
Al finalizar el plan de contingencia este debe contener:
4) Pruebas y mantenimiento
Se definen las pruebas, sus caractersticas y sus ciclos, y se realiza la primera
prueba como comprobacin de todo el trabajo realizado, as como mentalizar al
personal implicado.
Asi mismo se define la estrategia de mantenimiento, la organizacin destinada a
ello, la normativa y procedimientos necesarios para llevarlo a cabo.
UNIDAD 4. AUDITORA DE SERVICIOS DE SUBCONTRATACIN
4.1. Subcontratacin de servicios en TI
Outsourcing o Tercerizacin (tambin llamada subcontratacin), es una tcnica
que consiste en la transferencia a terceros de ciertos procesos complementarios
que no forman parte del giro principal del negocio, permitiendo la concentracin de
los esfuerzos en las actividades esenciales a fin de obtener competitividad y
resultados tangibles.
Tambin se puede definir como la subcontratacin de servicios que busca agilizar
y economizar los procesos productivos para el cumplimiento eficiente de los
objetos sociales de las instituciones, de modo que las empresas se centren en lo
que les es propio.
Objetivos del outsourcing.
Los principales objetivos que pueden lograrse con la contratacin de un servicio
de outsourcing son los siguientes:
-
Su duracin.
Las condiciones de la cesin de los activos (tanto econmicas como de
otro tipo) referidos al momento inicial del acuerdo entre la Administracin
y el contratista.
CARACTERSTICAS.
Relativas al contrato entre las partes.
Su elaboracin es compleja, puesto que debe establecer claramente las
responsabilidades de ambas partes en cualquier aspecto, no slo del nivel de
servicio actual sino tambin del nivel de servicio futuro.
Suele tener una duracin de varios aos. En el sector privado tiene una duracin
no menor a 5 7 aos, siendo habitual un perodo de 10 aos.
Uno de los aspectos ms importantes del contrato es la definicin de su resolucin
(finalizacin), el establecimiento de salidas programadas antes de cumplirse el
plazo acordado, as como los perodos de preaviso en caso de reversin del
servicio.
Junto con los conceptos financieros, a lo largo de todo el proceso de evaluacin se
deben establecer criterios de transferencia de personal (para el caso de que
existan).
El alcance del contrato es a la medida, es decir, podr ser tan amplio como lo
deseen las partes contratantes.
Debe ser flexible para que la Administracin pueda cambiar los requisitos del
servicio y el proveedor pueda cambiar los medios con los que lo da. Mientras que
Auditoria en Tecnologas de la InformacinPgina 27
un contrato de outsourcing se firma para que sea vlido durante aos, los
requisitos de tecnologa estn en constante evolucin.
Acuerdo de Nivel de Servicio (SLA)
El SLA debe recoger en un lenguaje no tcnico, o cuando menos comprensible
para el cliente, todos los detalles de los servicios brindados.
Tras su firma, el SLA debe considerarse el documento de referencia para la
relacin con el cliente en todo lo que respecta a la provisin de los servicios
acordados, por tanto, es imprescindible que contenga claramente definidos los
aspectos esenciales del servicio tales como su descripcin, disponibilidad, niveles
de calidad, tiempos de recuperacin, etc.
Los SLAs deben contener una descripcin del servicio que abarque desde los
aspectos ms generales hasta los detalles ms especficos del servicio.
Es conveniente estructurar los SLAs ms complejos en diversos documentos de
forma que cada grupo involucrado reciba exclusivamente la informacin
correspondiente al nivel en que se integra, ya sea en el lado del cliente como del
proveedor.
La elaboracin de un SLA requiere tomar en cuenta aspectos no tecnolgicos
entre los que se encuentran:
FASE 1 EVALUACIN.
Qu hace? Establece los criterios para la licitacin, define los detalles para
los requisitos y prepara una lista breve de invitaciones para el concurso.
Cunto tiempo? De ocho a diez semanas.
Quin participa? El equipo formado durante la fase 1, ms un
representante de compras (o abastecimientos o contratos), del
departamento jurdico y de recursos humanos, en caso de que no estn
representados.
Qu se entrega? Un plan para el proceso de licitacin, incluyendo
documentacin para la licitacin, descripcin de los servicios, borradores de
acuerdos del nivel de servicios y una estrategia para las negociaciones con
los proveedores.
Qu se decide? A quien se invita a conservar, bajo que criterios y las
medidas de desempeo.
-
FASE 3 CONTRATACIN.
El auditor tendr que tomar una muestra de ciertos elementos (tablas, vistas,
ndices) y comprobar que su definicin es completa, y ha sido aprobada por el
usuario y que el administrador de la base de datos particip en su establecimiento.
Una vez diseada la base de datos (BD), se proceder a su carga, ya sea
migrando datos de un soporte magntico o introducindolos manualmente.
Estas migraciones o conversiones de sistemas, como el paso de un sistema de
archivos a uno de base de datos, debern estar claramente planificadas para
evitar prdida de informacin y la transmisin al nuevo sistema de datos errneos.
5.5. SGBD
Componentes de un Sistema Gestor de Base Datos (SGBD):
Ncleo (Kernel)
Catalogo (Componente fundamental para asegurar la seguridad de la base
de datos)
Utilidades para el administrador
Archivos diarios
El auditor deber revisar, por tanto, la utilizacin de todas las herramientas que
ofrece el propio SGBD y las polticas y procedimientos que sobre su utilizacin
haya definido el administrador para evaluar si son suficientes o si deben ser
mejorados.
UNIDAD 6. AUDITORA DE SISTEMAS
6.1. Concepto de la auditora de sistemas
Auditoria en Tecnologas de la InformacinPgina 31
Slo lectura
Slo escritura
Lectura y consulta
Lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar.
El esquema de rutas de acceso sirve para identificar todos los puntos de control
que pueden ser usados para proteger los datos en el sistema. El auditor debe
conocer las rutas de acceso para la evaluacin de los puntos de control
apropiados.
7.4. Claves de acceso
Un rea importante en la seguridad lgica es el control de claves de acceso de los
usuarios. Existen diferentes mtodos de identificacin para el usuario:
Un password o cdigo
Una credencial con banda magntica
Algo especfico del usuario (caractersticas propias)
El sistema debe verificar primero que el usuario tenga una llave de acceso
vlida.
La llave de acceso debe ser de una longitud adecuada para ser un secreto.
La llave de acceso no debe ser desplegada cuando es tecleada.
Huellas dactilares
La retina
La geometra de la mano
La firma
La voz
Transformacin de los datos en una forma en que no sea posible leerla por
cualquier persona, al menos que cuente con la llave de desencriptacin. 5
El encriptamiento se usa para proteger mensajes de correo electrnico, firmas
electrnicas, llaves de acceso, informacin de tipo financiero e informacin
confidencial.
Los sistemas de encriptamiento pueden ser clasificados en sistemas de llave
simtrica y sistemas de llave pblica.
Se pueden utilizar algoritmos de clave simtrica o de clave asimtrica:
Amenaza
Las amenazas representan la posibilidad de que alguien dae la integridad fsica o
moral de otra persona, o su propiedad, mediante una accin intencionada y a
menudo violenta. La valoracin de las amenazas nos ser til para saber qu
probabilidad hay de que stas se lleven a cabo.
Las amenazas incidentales surgen al menos por:
a) Encontrarse en zonas de enfrentamientos armados (estar donde no tienes
que estar en el peor momento posible).
b) Ataques por delincuencia comn, en especial si el trabajo de derechos
humanos se hace en zonas especialmente peligrosas. Hay que sealar, no
obstante, que muchos casos de delincuencia comn encubren casos de
targeting.
Auditoria en Tecnologas de la InformacinPgina 38
Tipos de amenazas:
-
Targeting: amenazas que surgen por el trabajo que hacemos (pueden ser
amenazas directas, contra alguien, e indirectas, contra personas
relacionadas)
Amenazas incidentales: emanan del contexto en que trabajamos
(amenazas por delincuencia comn, o por enfrentamientos armados en
zonas de conflicto).
Utilizacin de cortafuegos
Una de las formas de proteger la red de otra red, por lo general un cortafuego
puede verse como la unin de un mecanismo para bloquear el trfico y otro para
permitirlo.
Tipos de cortafuegos:
BIBLIOGRAFIA
[1] Auditoria informtica
Jos Antonio Echenique Garca
Mc Graw Hill, 2. Edicin
[2] Auditoria en sistemas computacionales
Carlos Muoz Razo
Editorial Pearson
[3] Auditora Informtica, un enfoque prctico
Mario G. Piattini
Alfaomega, 2. Edicin
[4] OUTSOURCING
Bachiller Jos Antonio Romero
URBE
Maracaibo-Venezuela
Abril 2002
[5] SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA
Marta Monte de Paz
Marzo, 2010
REFERENCIAS BIBLIOGRAFICAS
[1] Auditoras de Tecnologas de la Informacin y Comunicacin
http://www.contraloria.gob.bo/portal/Auditor%C3%ADa/Auditor
%C3%ADasTIC.aspx
[2] Revisin de la documentacin
https://www.verite.org/es/helpwanted/toolkit/revisi%C3%B3n-de-la-documentaci
%C3%B3n
[3] Gestin de Niveles de Servicio
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_niveles_de_servici
o/proceso_gestion_de_niveles_de_servicio/implementacion_de_niveles_de_servici
o.html