AUDITORA FSICA Hace referencia a todo elemento tangible que de una u otra manera interpreta o permita el correcto funcionamiento

del CENTRO DE PROCESAMIENTO DE DATOS.

REAS DE LA SEGURIDAD FSICA QUE DEBEN TENERSE EN CUENTA: a.) Instalaciones, edificacin: Dada la poca experticia del auditor Informtico en este campo se deber incluir un perito que realice la evaluacin correspondiente a la infraestructura fsica del edificio, de tal manera que estos emiten sus conceptos y certifiquen las condiciones generales dentro de los tpicos. A tener en cuenta estn: 1. 2. 3. 4. 5. 6. Ubicacin del edificio Ubicacin del CPD dentro del edificio Elementos de construccin Potencia elctrica Sistemas contra incendios. Inundaciones

El auditor informtico debe interesarse de manera personal en : b.) Organigrama de la empresa: Con el objetivo de conocer las dependencias orgnicas, funcionales y jerrquicas, los diferentes cargos. Da la primera visin de conjunto del Centro de Proceso. c. ) Auditora Interna: Debern solicitarse los documentos de las auditoras anteriores, normas, procedimientos y planes que sobre seguridad fsica se tengan al departamento de auditora o en su defecto al encargado de calidad. d.) Administracin de la seguridad: Vista desde una perspectiva que ampare las funciones, dependencias, cargos y responsabilidades de los diferentes componentes:

Director o responsable de la seguridad integral. Responsable de la seguridad informtica. Administradores de redes. Administradores de bases de datos.

e.) CPD (Centro de Procesamiento de Datos) e Instalaciones: Entorno en el que se encuentra incluso el CPD como elemento fsico y en el que debe realizar su funcin:

Las instalaciones son elementos, accesorios que deben ayudar a la realizacin de la funcin informtica y a la vez proporcionar seguridad a las personas, al software, se deben inspeccionar entre otras:

Sala de Hosts Sala de impresoras Oficinas Almacenes Sala de acondicionamiento elctrico Aire Acondicionado reas de descanso, etc.

f.) Equipo y Comunicaciones: Son los elementos principales del CPD: Hosts, terminales, computadores personales, equipos de almacenamiento masivo de datos, impresoras, medios y sistemas de telecomunicaciones. Se debe inspeccionar su ubicacin dentro del CPD y el control de acceso a los elementos restringidos.

g.) Computadores personales conectados en red: Es preciso revisar la forma en que se llevan a cabo los back- up's, as como los permisos de acceso al equipo por parte de los usuarios y del equipo a los datos de la red, se deben examinar los mtodos y mecanismos de bloqueo al acceso de informacin no autorizada, inspeccionando o verificando dichos accesos.

h.) Seguridad fsica del personal: accesos y salidas seguras, medios y rutas de evacuacin, extincin de incendios y sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios, etc.

FUENTES BSICAS DE LA AUDITORA FSICA

El siguiente listado indica las fuentes que deben estar accesibles en todo CPD.

Polticas, normas y procedimientos. Auditoras anteriores. Contratos de seguros, proveedores y de mantenimiento. Entrevistas con el personal de seguridad, personal informtico, personal de limpieza, etc. Actas e informes tcnicos de peritos que diagnostiquen el estado fsico del edificio, electricistas, fontaneros, aire acondicionado, alarmas, agencias de seguridad, etc. Informes de accesos y visitas. Polticas de personal: Revisin de antecedentes personales y laborales,procedimientos de cancelacin de contratos, rotacin en el trabajo, contratos fijos, y temporales. Inventario de archivos: fsicos y magnticos: back-up, procedimiento de archivo, control de salida y recuperacin de soportes, control de copias, etc.

TCNICAS Y HERRAMIENTAS DEL AUDITOR

Tcnicas.

Observacin Revisin analtica de la documentacin. Entrevistas con el personal. Consultores o tcnicos y/o peritos.

Herramientas

Cuaderno y/o grabadora de audio. Cmara fotogrfica y/o grabadora de video.

RESPONSABILIDADES DE LOS AUDITORES

Auditor informtico interno:

Revisar los controles relativos a la seguridad fsica. Revisar el cumplimiento de los procedimientos Evaluar riesgos Participar en la seleccin, adquisicin e implantacin de equipos y materiales. Participar en la creacin de planes de contingencia. Revisin del cumplimiento de las polticas y normas de seguridad fsica. Efectuar auditoras programadas. Emitir informes y efectuar el seguimiento de las recomendaciones.

Auditor informtico externo:

Revisar las funciones del auditor informtico interno. Efectuar pruebas a los planes de contingencia. Mismas del A.I.I. Emitir informes y recomendaciones

Auditoria Ofimtica Que distingue la auditoria de ofimtica de la de otros entornos informticos? La auditoria de ofimtica se distingue de los otros entornos por que revisa, controla y evala todo lo relacionado al equipamiento hardware y software utilizados en las oficinas para desarrollar digitalmente tareas. Que mecanismos de seguridad de los que conoce se pueden aplicar a los computadores personales? Para proteger un computador personal recomendamos aplicar lo siguiente: 1) Instalar parches de seguridad recomendados para cada uno de los softwares que uno usa. 2) Instalar un buen antivirus, cuya base de datos de virus debe actulizarse regularmente (todas las semanas). 3) Firewall Personal que bloquee conexiones de red a su sistema. 4) No abrir correos que reciba de personas no confiables, sobre todo no ejecutar ningn archivo que reciba en un mensaje o por otro medio, a menos que est seguro de que el contenido es inofensivo. 5) Cambiar su Clave de acceso a Internet y de sus sistemas regularmente.

Auditoria de la fsica - logica Diferencie entre seguridad lgica, seguridad fisica y seguridad de las comunicaciones, poniendo varios ejemplos de cada tipo. La diferencia radica en que la seguridad lgica, consiste en desarrollar estrategias o procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo, en cambio la seguridad fsica hace referencia a las barreras fsicas y mecanismos de control en el entorno de un sistema informtico, para proteger el hardware de amenazas producidas tanto por el hombre como por la naturaleza Ejemplo Seguridad Fsica - Tener extintores por eventuales incendios. - Instalacin de cmaras de seguridad. - Guardia humana. - Control permanente del sistema elctrico, de ventilacin, etc. Ejemplo de Seguridad Logica Restringir al acceso a programas y archivos mediante clave Tener un sistema de copias de seguridad de la informacin, es decir una aplicacin que le saque de acuerdo a una determinado tem una copia.

Auditoria de la direccin Descrbanse las actividades a realizar por un auditor para evaluar un plan estratgico de sistemas de informacin.

Las actividades que realiza el auditor para evaluar un plan estratgico son: Planificar: el auditor debe de pensar o crear con anterioridad metodos o estrategias, que va hacer en la auditoria, con el objetivo de no improvisar en la misma. Organizar: el auditor debe disponerles a las partes que esta auditando todo los recursos o herramientas Coordinar: el auditor debe reunir esfuerzos, para poder organizar la auditoria de acuerdo a lo planeado. Controlar: el auditor debe guiar la gestion de manejar todos los procesos predestinados para que la auditoria no se le salga de las manos.

Auditoria de desarrollo Que factores contribuyen a la importancia de la auditoria de desarrollo? A veces el presupuesto destinado al software cada da, es mas elevado al que destina al hardware, debido al soporte y al cambio evolutivo de la sociedad. Las aplicaciones en ocasiones es difcil de evaluar, por que los auditores que la realizan no saben con que parmetros hacerla.

La Auditora Interna Del Mantenimiento . La auditora interna es una funcin dentro de la organizacin que tiene la capacidad deevaluar permanente e independientemente en cada organizacin, si es que tiene implementado unsistema de retroalimentacin destinado al mejoramiento continuo. Su objetivo principal es asesorar al tomador de decisiones en la promocin de la eficiencia de los procedimientos existentes.Cuando se plantea la necesidad de realizar la auditoria interna es para garantizar losresultados de la gestin y adems tener recomendaciones, las cuales son objeto de consideracionesy decisiones. Mltiples factores impulsan a tener un sistema de auditora, pero entre lo msgravitante se puede mencionar que durante los ltimos veinte aos, el mantenimiento ha cambiado,quizs ms que cualquier otra disciplina de la administracin. Los cambios se deben a un aumentoen el nmero y variedad de recursos fsicos que deben mantenerse, plantas mucho ms complejas,nuevas tcnicas de mantenimiento y puntos de vistas cambiantes en la organizacin del mantenimiento y en sus responsabilidades.El mantenimiento tambin est respondiendo a las expectativas cambiantes. stos incluyenun rpido y creciente conocimiento de hasta que punto la falla del equipo afecta la seguridad y elambiente, un conocimiento creciente de la conexin entre el mantenimiento y calidad del producto, presin creciente por lograr una alta disponibilidad de la planta y mantener controlados los costos.Se suma a lo anteriormente mencionado que ha habido un crecimiento explosivo de nuevosconceptos del mantenimiento y sus tcnicas. Se han desarrollado variadas durante los ltimos aos,y ms estn surgiendo en el presente. Los nuevos desarrollos incluyen: herramientas de apoyo a ladecisin, como estudios de riesgo, modos de falla

y anlisis de efectos y sistemas expertos; nuevastcnicas de mantenimiento, como monitoreo de condicin; diseo de equipo con un nfasis mayor en la fiabilidad y mantenibilidad y un cambio mayor en el pensamiento orgnico hacia la pa rticipacin, equipo- trabajo y flexibilidad.La auditora interna del mantenimiento es una funcin que evala en forma permanente siel sistema de control interno, implementado por la administracin del mantenimiento, est operandoefectiva e eficientemente. Su objetivo primordial es dar recomendaciones a la alta administracintanto para fortalecer los controles internos existentes o para sugerir nuevos controles, como para promover la eficiencia de los procedimientos existentes, despus de evaluarlos

Auditoria para la base de datosI.Introduccin La gran difusin de los Sistemas de Gestin de Bases de Datos (SGBD), junto con laconsagracin de los datos como uno de los recursos fundamentales de lasempresas, ha hechoque los temas relativos a su control interno y auditora cobren, cada da, mayor inters.Como ya se ha comentado, normalmente la auditora informtica se aplica de dos formasdistintas; por un lado, se auditan las principales reas del departamento de informtica:explotacin, direccin, metodologa de desarrollo, sistema operativo, telecomunicaciones, basesde datos, etc.; y, por otro, se auditan las aplicaciones (desarrolladas internamente,subcontratadas o adquiridas) que funcionan en la empresa. La importancia de la auditora delentorno de bases de datos radica en que es el punto de partida para poder realizar la auditorade las aplicaciones que utiliza esta tecnologa. II.- Qu es la Auditora de BD? Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a lainformacin almacenada en las base de datos incluyendo la capacidad de determinar: Quin accede a los datos Cundo se accedi a los datos Desde qu tipo de dispositivo/aplicacin Desde que ubicacin en la Red Cul fue la sentencia SQL ejecutada Cul fue el efecto del acceso a la base de datosEs uno de los procesos fundamentales para apoyar la responsabilidad delegada a IT por laorganizacin frente a las regulaciones y su entorno de negocios o actividad. III.- Participantes en la Auditora de Base de Datos Auditores de Sistemas Tecnologa de Informacin Corporativo Seguridad Corporativa IV.- Trminos similares a Auditora de Base de Datos Auditora de Datos Monitoreo de Datos Cumplimiento Corporativo Riesgo

V.- Seguridad de BD vs Auditora de BD Los esfuerzos en seguridad de base de datos normalmente estn orientados a: Impedir el acceso externo Impedir el acceso interno a usuarios no autorizados Autorizar el acceso slo a los usuarios autorizados Con la auditora de BD se busca Auditoras de Calidad: Introduccin: El Apartado 5.4 de la Norma ISO 9004 hace referencia a las Auditoras del Sistema de Calidad que corresponden a uno de los principios bsicos de todo sistema de calidad, aunque en la Norma ISO 9003, no se contemple la realizacin de auditoras. Las preguntas a formular sobre este tema, son : - Existe algn documento que establezca la realizacin de auditoras internas de calidad ?. - Se utilizan las auditoras para comprobar la eficacia del sistema de calidad ?. - Se elabora un plan especfico para la realizacin de cada auditora ?. - Est previsto que la direccin conozca los resultados y conclusiones de la auditora ?. - Se establece algn documento despus de cada auditora en el que se definan las lneas de actuacin para la eliminacin de discrepancias y quien es el responsable? Est claro que se hace referencia a auditoras internas, es decir, auditoras realizadas en el seno de la propia empresa como autodiagnstico del sistema de calidad, y comprobacin de la efectividad de dicho sistema para conseguir que el producto o servicio cumpla los requisitos exigibles, y no a las auditoras externas necesarias para la homologacin o certificacin del producto, servicio o sistema, realizadas por organismos competentes ( Ministerio de Industria o AENOR ), como puede ser la certificacin de cumplimentacin de la propia norma ISO 9000 que corresponda ( 9001, 9002 o 9003 ), ni tampoco a las auditoras que nuestros clientes puedan realizar para nuestra homologacin como proveedores, o inspecciones peridicas a las que puedan someternos. La Norma ISO 10011, equivalente a la Norma UNE 30011, se refiere especficamente a las reglas generales para las auditoras, auditores y gestin de programas de auditoras. Tipos de auditoras:

Dentro de las auditoras internas, podemos distinguir dos tipos bsicos : Auditoras del Sistema que corresponden a comprobaciones sobre el propio Sistema de Calidad, incidindose sobre el establecimiento e implantacin del mismo. Auditoras del Producto que corresponden a la comprobacin de que los productos o servicios se ajustan a los requerimientos exigidos, incidindose en la efectividad del sistema para conseguirlo. En ambos casos llevan siempre aparejado la correccin de deficiencias mediante el establecimiento de acciones correctoras. A travs de ellas se trata de obtener informacin objetiva sobre el funcionamiento del sistema y su efectividad para conseguir un producto de calidad. El auditor no es un enemigo al que se trata de hurtar la informacin sino un colaborador, y el auditado no es un inepto con el que haya que discutir, razones por las cuales, el personal auditor ha de ser diplomtico y no, agresivo. No se debe auditar por auditar sino que hay que fijar objetivos, y stos, deben ser conocidos tanto por el auditor como por el auditado. Auditoras del sistema: Las Auditoras del Sistema tratan no solo de poner de manifiesto la existencia de un correcto sistema de calidad documentado, sino tambin de que dicho sistema es conocido por toda la organizacin y no solo por la organizacin de calidad, y que adems, se cumple. Hay pues dos aspectos fundamentales a auditar: 1. La existencia documental del sistema (Manual de Calidad y Manual de Procedimientos). 2. La implementacin real de dicho sistema documental a todos los niveles desde el ms alto (gerentes, directores ), al ms bajo (empleados y operarios). Estos dos aspectos pueden dar lugar a diversas auditoras independientes en las que se contemplen distintas cuestiones o a una nica auditora que englobe a todas ellas. Hemos considerado la posibilidad de realizacin de diversas auditoras del sistema, indicando para cada una de ellas sus caractersticas bsicas. Auditora sobre la poltica de calidad: La poltica de calidad ha de estar documentalmente precisada en el Manual de Calidad. Esta poltica de calidad ha de abarcar tanto la poltica de estrategia de la compaa, como la poltica de calidad funcional o poltica de cada estamento. Han de establecerse los objetivos a conseguir, el sistema de medida de su grado de cumplimentacin, as como la modificacin peridica de los mismos.

Auditora sobre la organizacin: Las funciones y responsabilidades de todos los estamentos y personas, han de estar definidas claramente en el Manual de Calidad as como la autoridad en la toma de decisiones, especialmente en la que pueda estar directamente ligado a la calidad, con un apartado especfico dedicado a la organizacin de calidad. Quien puede modificar una decisin tomada, y en base a que puede hacerlo. Como se recogen documentalmente las posibles revocaciones en funcin de la jerarqua establecida. Cuantas personas pueden decidir sobre un mismo asunto. Todas estas cuestiones tienen que estar claramente definidas y documentadas. Auditora del sistema documental: Esta auditora consiste en la comprobacin de que los documentos recogidos en el Manual de Calidad, estn debidamente cumplimentados y archivados por las personas o estamentos responsables. La constancia documental es necesaria para la comprobacin de la bondad del sistema. En la mayora de las ocasiones, el sistema de calidad falla porque los documentos que figuran como soporte del mismo no estn bien diseados, son engorrosos, o difcilmente comprensibles para quien los tiene que cumplimentar o la informacin que pretenden recoger es escasa o superflua. Mi experiencia personal me ha demostrado que si pretendemos implantar un sistema de calidad es bueno tomar como base del mismo, los documentos que existan con algunas ligeras modificaciones puesto que es ms fcil asumir por parte de quien tiene que utilizarlo, una modificacin dentro de un impreso existente, que un nuevo impreso totalmente desconocido. Auditando la cadena de montaje de una empresa observ que los defectos que se detectaban se describan literalmente, y cada inspector utilizaba una descripcin distinta para el mismo defecto : "desconchado", "saltada pintura", "rozado", etc., por lo que propuse la codificacin de los defectos a travs de un nmero y la indicacin, sobre un croquis, de la ubicacin del defecto. Con estas simples modificaciones se descubri al cabo de menos de 15 das que el 80 % de los defectos correspondan a la falta de cuidado en la manipulacin de la carcasa antes de iniciar su montaje, cuando se depositaba sobre el camino de rodillos. Un buen auditor debe reconocer no solo la falta de algn documento con informacin necesaria, sino tambin detectar en los existentes los defectos que pueden restarle utilidad. Esta auditora, una vez implementado el sistema de calidad, se realizar peridicamente de forma rutinaria, debindose comprobar lo siguiente: 1. Todos los documentos estn debidamente archivados en el lugar que les corresponde.

2. Todos los documentos archivados estn debidamente cumplimentados y firmados por los responsables que en cada caso correspondan. La valoracin puede hacerse por puntos de demrito. Cada estamento dispondr de tantos puntos como documentos tenga que archivar ms las cumplimentaciones que en los mismos tenga que realizar. A este total se le restarn tantos puntos como documentos tenga sin archivar, indebidamente archivados, o no cumplimentados adecuadamente. La valoracin alcanzada, as como la fijacin de los mnimos objetivos a conseguir, ser responsabilidad de la Gerencia quien adems comunicar a cada estamento la puntuacin alcanzada en cada auditora. Auditora del Proceso: Tiene por objeto la valoracin de la eficacia del sistema de calidad mediante la comprobacin de que los procesos y desarrollo del trabajo en las distintas secciones o servicios, se ajusta a los procedimientos especificados, y en especial los conocimientos y mentalizacin, especialmente de los mandos responsables, son los correctos para la consecucin de una calidad ptima. En general, la documentacin necesaria para la puesta en prctica de esta auditora aparte del Manual de Procedimientos, son las instrucciones de mantenimiento y conservacin, valorndose tanto de la aptitud como la actitud del personal. Dentro de ella, los puntos y cuestiones a auditar, pueden ser los siguientes:

Limpieza de cada rea o seccin. Orden e identificacin del material en proceso o almacenado. Utilizacin adecuada de las instalaciones a su cargo. Utilizacin y cumplimentacin adecuada de los documentos bajo su responsabilidad. Limpieza maquinaria, tiles y herramientas a su cargo. Uso adecuado de maquinaria, instalaciones y documentacin. Seguimiento estricto de las fases programadas. Uso adecuado de calibres, y dems elementos de medida a su cargo. Eficacia de la motivacin, direccin e instruccin de su personal. Valoracin del rendimiento.

Otros.

Auditoras del Producto:

Las auditoras del producto tienen como fin comprobar que los productos estn en conformidad con la documentacin tcnica (planos, especificaciones, normas, disposiciones legales, etc.), por lo que aparte de la propia documentacin tcnica requerida, se necesitan los medios de medida y ensayo necesarios para comprobar los productos. En realidad se trata de asignar al producto una Nota de Calidad en concordancia con el grado de conformidad con las especificaciones. En la mayora de los casos, a cada producto, en funcin de cada caracterstica o propiedad especificada, se le asigna un nmero de puntos de control (Pc), atribuyendo a cada caracterstica que no cumpla lo especificado, unos puntos de demrito (Pd), que se estiman en funcin de la importancia del defecto, de tal forma que efectuando el cociente entre ambos valores (a = Pd/Pc), nos da un nmero inferior a la unidad pero de valor tanto mayor cuantos ms puntos de demrito obtengamos. Si este nmero se lo restamos a la unidad ( 1 - a ), podemos utilizarlo multiplicndolo por diez ( 10(1-a) = 10(1-Pd/Pc) ), o como potencia de diez ( 10(1-a) ), etc., para obtener la nota de calidad. Los puntos de demrito que represente el incumplimiento de cada caracterstica se valorarn fundamentalmente a travs de su importancia (crtica, importante, menor. e irrelevante), as como de su diferencia con el valor exigido ( ms del 100 % del campo de tolerancia, entre el 50 y el 100 % del campo de tolerancia, etc.). Aunque puede parecer complicado, el sistema es muy simple, y realmente, utilizando un coeficiente (k) que multiplique a a, cuyo valor inicial sera 1, pueden establecerse los objetivos anuales de mejora de la nota de calidad variando simplemente este valor a 1,1, a 1,15, a 1,2, etc. La extraccin de muestras ha de ser totalmente aleatoria. Las Auditoras del Producto pueden comprender dos aspectos:

1. La medida de la evolucin de la Calidad del Producto. 2. La valoracin de la Calidad del Producto. Auditora de la Evolucin de la Calidad del Producto:

Con esta auditora se recoge la Nota de Calidad del producto para cada seccin o fase del proceso de produccin, por ejemplo, Mecanizacin, Montaje, Pintura, Embalaje, etc. Esta Nota de Calidad se establece en funcin de los defectos detectados en cada seccin o servicio inspeccionada, entendiendo que dicha inspeccin se realiza sobre el producto, y con la documentacin tcnica que a dicho producto afecte en la fase que est. Normalmente la periodicidad de su realizacin suele ser mensual por lo que aparte de la Nota de Calidad mensual, se puede efectuar el clculo de la nota acumulada para comprobacin de la cumplimentacin de los objetivos anuales, o fijacin de seales de alerta si la nota de calidad se sita por debajo de valores preestablecidos. Esto es muy conveniente, pues si la nota de calidad de una determinada fase o seccin se encuentra siempre con seal de alerta, suele necesitarse la realizacin de inversiones para su remodelacin. Auditora de la Valoracin de la Calidad del Producto: Esta auditora consiste en retirar despus del control final o una vez ingresados en almacn, un nmero de productos de los dispuestos para su envo a cliente. El nmero de productos a retirar de una misma referencia, ser funcin del nmero de equipos fabricados, y dado que en general, la realizacin de todos los controles y ensayos, suele ser destructivo, ha de corresponder a un nmero muy limitado de unidades. La eleccin de las referencias de los productos a ensayar se realizar totalmente al azar. Si se trata de productos complejos que realicen una funcin por s mismos, y no solo de elementos simples se efectuar con ellos una prueba de fiabilidad segn norma previamente establecida. Superados los ensayos, se realizar por parte de los auditores, un estudio de los elementos que compongan el

conjunto ensayado para poder determinar el deterioro sufrido por cada elemento. La valoracin de los productos se realizar a travs de una Nota de Calidad aunque en este caso, se trasladarn a un Informe del producto. Si los resultados obtenidos son correctos, se archivar el informe, enviando copia del mismo a la Gerencia. Si los resultados no son correctos, en el informe se indicar la decisin que crea conveniente adoptar el auditor con el resto del material almacenado correspondiente a la misma referencia y el mismo lote de fabricacin, enviando una copia del informe a la Gerencia. Las decisiones a adoptar podrn ser :

Comunicar a los clientes la existencia de equipos defectuosos procediendo a su sustitucin. Retirar los productos almacenados y proceder a su recuperacin. Recuperar los equipos, aprovechando de ellos nicamente los elementos que se ajusten a especificacin, enviando los defectuosos a chatarra.

Etapas de las auditoras: Toda auditora consta de las siguientes etapas:

Planificacin, entendiendo por tal la eleccin del tipo de auditoras a realizar, la plasmacin documental de los procedimientos de realizacin de las mismas, entendiendo que en el caso de la realizacin de una auditora del producto, es necesaria la programacin de mediciones y ensayos a partir de los planos y normas de ensayo, la eleccin del personal auditor que puede ser nico, o distinto en funcin del tipo de auditora a realizar, y la fijacin de su periodicidad (mensual, anual,...). En ocasiones es conveniente asignar una nica persona para planificar y dirigir la realizacin de todas las auditoras, es decir, nombrar un lder que rena unas caractersticas idneas en cuanto a formacin y carcter, para la realizacin de esta tarea. Realizacin de auditoras segn procedimiento y plan definidos. Es conveniente que el personal que va a ser auditado conozca con antelacin tal hecho, y lo mejor desde el punto de vista prctico es que la realizacin de auditoras sea sistemtica, y el propio director o responsable del rea a auditar transmita a sus subordinados afectados las fechas concretas en las que estas auditoras sistemticas van a realizarse para que presten su mayor colaboracin. Posiblemente si se sigue este sistema, al recibir los responsables esta comunicacin, tratarn de inculcar en sus subordinados la necesidad de que todo est "en perfecto estado de revista" como se deca antiguamente, lo

que inicialmente podra alterar los resultados, pero si las auditoras son peridicas, esto dejar de producirse, y sin embargo el que el responsable comunique a sus subordinados las fechas de realizacin, as como la recomendacin de que presten su mxima colaboracin, confiere a las auditoras un papel destacado e importante dentro del sistema. Los documentos que recojan los resultados de las auditoras, es decir, respuestas, comprobaciones, resultados de medidas y ensayos, etc., han de estar consensuados entre auditor y auditado, de tal forma que recojan la conformidad de ambos, evitndose discusiones intiles. Se trata de auditar la efectividad del sistema, tanto a travs del propio sistema y su grado de cumplimentacin, como a travs de la calidad del producto obtenido, por lo que es necesario, para poder establecer las acciones correctoras, determinar el grado de cumplimentacin del sistema, y su relacin con la calidad del producto final. Si el fin del establecimiento de un sistema de calidad es obtener un producto de calidad es totalmente necesario comprobar su efectividad, sino se consigue este objetivo es necesario cambiar el sistema, y discutir o perseguir a las personas que lo aplican.

Evaluacin de los resultados de la auditora. Toda auditora ha de realizarse para obtener una nota final que sirva, aunque solo sea comparativamente, para medir la evolucin, tanto de la implementacin del sistema, como de la calidad del producto. Lo que se pretende es la obtencin de una valoracin totalmente objetiva por lo que el sistema de valoracin ha de ser consensuado, y adems, experimentado durante cierto tiempo, para poder fijar las seales de alerta, ndices de ponderacin, etc. Redaccin de informe y propuesta de medidas correctoras, si se considera necesario, con expresin de su grado de urgencia. Una vez valorada la auditora y antes de la redaccin del informe final y propuesta de las medidas correctoras, es conveniente la reunin con el director o responsable mximo afectado por la auditora para que sea el primer informado y pueda incluso colaborar en la propuesta de medidas correctoras as como en la decisin sobre la urgencia de las mismas, pues es conveniente que tanto el informe de la auditora como la propuesta de medidas correctoras, lo asuma como algo propio, entre otras cosas porque a veces, podr ejercer ms presin sobre la Gerencia que el propio auditor, sobretodo si alguna de las medidas propuestas corresponden o requieren inversiones. Introduccin a la Calidad

Sistemas de Calidad

AUDITORIA DE REDES

1. Introduccin La organizacin en la parte de las redes de comunicaciones de computadores es un punto de viraje bastante importante; es por ello, que uno de los modelos de red ms conocidos, es el modelo OSI. A grandes rasgos, el modelo OSI, dado por capas, est dividido en: Capa fsica: Se encarga de garantizar la integridad de la informacin transmitida por la red; por ejemplo, si se enva un 0, que llegue un 0 . Capa de enlace: Garantiza que la lnea o canal de transmisin, est libre de errores. Capa de red: Determina como se encaminan los paquetes, de la fuente al destino. Igualmente, debe velar por el trfico de la red, evitando al mximo las congestiones. Para ello, debe llevar un registro contable de los paquetes que transitan. Capa de transporte: Divide los datos en unidades ms pequeas y garantiza que tal informacin transmitida, llegue correctamente a su destino. De igual forma, crea una conexin de red distinta para cada conexin de transporte requerida, regulando as el flujo de informacin. Analiza tambin, el tipo de servicio que proporcionar la capa de sesin y finalmente a los usuarios de red. Capa de sesin: Maneja el sentido de transmisin de los datos y la sincronizacin de operaciones; es decir, si uno transmite, el otro se prepare para recibir y viceversa o Situaciones Commit, donde tras algn problema, se sigue tras ultimo punto de verificacin. Capa de presentacin: Se encarga de analizar si el mensaje es semntica y sintcticamente correcto. Capa de aplicacin: Implementacin de protocolos y transferencia de archivos. Lo anterior, nos permite describir 3 tipos de fallos en la seguridad de la red: 1. Alteracin de bits: Se corrige por cdigo de redundancia cclico.

2. Ausencia de tramas: Las tramas se desaparecen por el ambiente o una sobrecarga del sistema; para ello, se debe tener un nmero de secuencia de tramas. 3. Alteracin de la secuencia en la cual el receptor reconstruye mensaje. Otro de los tipos de modelos de referencia ms conocidos, es el TCP/IP, hoy da, con algunas variaciones, como el de encapsular varios protocolos, como el Netbios; el TCP/IP da replicacin de los canales para posibles cadas del sistema. Bajo sta poltica, entonces se ha definido como clases de redes:

Intranet = Red interna de la empresa. Extranet = Red externa pero directamente relacionada a la empresa. Internet = La red de redes.

El problema de tales implementaciones, es que por los puertos de estandarizacin pblica de TCP/IP, se puede entrar cualquier tercero para afectar la red de la compaa o su flujo de informacin Tal cuestin, es recurrente sobretodo en el acceso de la red interna de la compaa a la Internet, para lo cual, y como medida de proteccin, se usanFirewall ( cortafuegos ) que analizan todo tipo de informacin que entra por Internet a la compaa, activando una alarma, en caso de haber algn intruso o peligro por esa va a la red. La compaa puede definir 2 tipos extremos de polticas de seguridad:

Polticas paranoicas: Toda accin o proceso est prohibido en la red. Polticas promiscuas: No existe la ms mnima proteccin o control a las acciones de los usuarios en la red.

No importa lo que haga la empresa, siempre va a haber un punto de fallo, para adelantarse a intrusos, entonces se han ideado algunas herramientas para probar la eficacia de las polticas de seguridad en red de la empresa, algunas de tales herramientas, son: SAFEsuite y COPS. Estas empiezan probando la fiabilidad de las contraseas de usuario usando algunas tcnicas de indagacin como es el leer el trfico de la red buscando en tal informacin sobre nombres de usuarios y contraseas respectivas, probar la buena f de los usuarios mandndoles mensajes de la administracin solicitando su contrasea a una especificada por la herramienta o probando contraseas comunes o por defecto en muchos sistemas. 2. Auditoria de comunicaciones: Ha de verse:

La gestin de red = los equipos y su conectividad. La monitorizacin de las comunicaciones. La revisin de costes y la asignacin formal de proveedores. Creacin y aplicabilidad de estndares.

Cumpliendo como objetivos de control:

Tener una gerencia de comunicaciones con plena autoridad de voto y accin. Llevar un registro actualizado de mdems, controladores, terminales, lneas y todo equipo relacionado con las comunicaciones. Mantener una vigilancia constante sobre cualquier accin en la red. Registrar un coste de comunicaciones y reparto a encargados.

Mejorar el rendimiento y la resolucin de problemas presentados en la red.

Para lo cual se debe comprobar:

El nivel de acceso a diferentes funciones dentro de la red. Coordinacin de la organizacin de comunicacin de datos y voz. Han de existir normas de comunicacin en:
o o o o

Tipos de equipamiento como adaptadores LAN. Autorizacin de nuevo equipamiento, tanto dentro, como fuera de las horas laborales. Uso de conexin digital con el exterior como Internet. Instalacin de equipos de escucha como Sniffers (exploradores fsicos) o Traceadores (exploradores lgicos). La responsabilidad en los contratos de proveedores. La creacin de estrategias de comunicacin a largo plazo. Los planes de comunicacin a alta velocidad como fibra ptica y ATM ( tcnica de conmutacin de paquetes usada en redes MAN e ISDN). Planificacin de cableado. Planificacin de la recuperacin de las comunicaciones en caso de desastre. Ha de tenerse documentacin sobre el diagramado de la red. Se deben hacer pruebas sobre los nuevos equipos. Se han de establecer las tasas de rendimiento en tiempo de respuesta de las terminales y la tasa de errores. Vigilancia sobre toda actividad on-line. La facturacin de los transportistas y vendedores ha de revisarse regularmente.

3. Auditoria De La Red Fsica Se debe garantizar que exista:

reas de equipo de comunicacin con control de acceso. Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperacin del sistema. Control de las lneas telefnicas.

Comprobando que:

El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad fsica del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas telefnicas. Las lneas de comunicacin estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma. Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red. Existan revisiones peridicas de la red buscando pinchazos a la misma.

El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retrollamada, cdigo de conexin o interruptores.

4. Auditoria De La Red Lgica En sta, debe evitarse un dao interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para ste tipo de situaciones:

Se deben dar contraseas de acceso. Controlar los errores. Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informacin a la red. Registrar las actividades de los usuarios en la red. Encriptar la informacin pertinente. Evitar la importacin y exportacin de datos.

Que se comprueban si: El sistema pidi el nombre de usuario y la contrasea para cada sesin: En cada sesin de usuario, se debe revisar que no acceda a ningn sistema sin autorizacin, ha de inhabilitarse al usuario que tras un nmero establecido de veces erra en dar correctamente su propia contrasea, se debe obligar a los usuarios a cambiar su contrasea regularmente, las contraseas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar informacin sobre su ltima conexin a fin de evitar suplantaciones.

Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin. Crear protocolos con deteccin de errores. Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor. El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados. Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. Se debe hacer un anlisis del riesgo de aplicaciones en los procesos. Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones. Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red. Deben existir polticas que prohban la instalacin de programas o equipos personales en la red. Los accesos a servidores remotos han de estar inhabilitados. La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas:
o o

Servidores = Desde dentro del servidor y de la red interna. Servidores web.

o o o

Intranet = Desde dentro. Firewall = Desde dentro. Accesos del exterior y/o Internet.

5. Criptografia La criptografa se define como " las tcnicas de escrituras tales que la informacin est oculta de intrusos no autorizados". Esto, no incluye el criptoanlisis que trata de reventar tales tcnicas para descubrir el mensaje oculto. Existen 2 tipos de criptoanlisis: Diferencial: Con variaciones de un bit en cada intento, trata de averiguar la clave de descifrado del mensaje oculto. Lineal : Se apoya en variaciones XOR entre cada par de bits, hasta que se logre obtener un nico bit, parte de la clave. Relacionado con esto, se ha desarrollado tambin la esteganografa, que bajo un camuflaje totalmente ajeno al mensaje a transmitir, se enva la informacin oculta. Aunque el cifrado de informacin es una excelente tcnica para proteger los datos, no debera convertirse en el desvelo de la compaa, pues existen otros tipos de debilidades ms importantes para tratar por la compaa, ello, adems porque ya existen diferentes programas, hasta gratuitos, como algunas versiones de PGP, tales que toda la potencia informtica del mundo, podra romperlos. Algunos tipos de mtodos de criptografa, son: Transposicin : Invierte el orden de los caracteres en el mensaje. Por ejemplo, si se quiere cifrar "El perro de san Roque no tiene rabo " , colocndolo en un arreglo de columnas de tamao n, con clave de descifrado k = n en secuencia con 5 columnas {3,2,5,1,4}, el mensaje cifrado quedara = "osonea lr r ir ednu eo ere et p aqonb" Tal mecanismo, se criptoanaliza con estudios de factibilidad de cierto tipo de tuplas. DES: Utiliza una clave de 56 bits para codificar bloques de 64 bits, por su escasa longitud de clave de acceso, es fcil de romper. IDEA: Surgi del DES, IDEA genera bloques de ciframiento de 64 bits con una clave de 128 bits, adems usa diversas tcnicas de confusin, como es el XOR, suma modulo 2^16 y producto (2^16)+1 . El problema de la criptografa de llave privada, es que en una red muy grande, en caso de que se decida cambiar la clave de desciframiento, hay que notificar a cada uno de los participantes en los procesos de transmisin de datos, corrindose el peligro de que caiga la nueva clave en manos no autorizadas.. Es por ello, que se ha desarrollado la criptografa de llave pblica, que consta de 2 tipos de llaves:

Una que es pblica y conocida por todos los miembros autorizados de la red. Una segunda, que es privada y solo la conoce su dueo y el paquete cifrado.

De esa forma, si es necesario cambiar las claves, se notifica por un mensaje cifrado a todos los participantes de la transmisin usando la llave pblica. RSA es un tipo comn de transmisin encriptada por llave privada, opera por factorizaciones de los mensajes clave o registro por nmeros primos de orden. Consideraciones para Elaborar un Sistema de Seguridad Integral Como hablamos de realizar la evaluacin de la seguridad es importante tambin conocer como desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa." Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad. Sistema Integral de Seguridad Un sistema integral debe contemplar:

Definir elementos administrativos Definir polticas de seguridad A nivel departamental A nivel institucional Organizar y dividir las responsabilidades Definir prcticas de seguridad para el personal:
o

Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extinguidores.

- Nmeros telefnicos de emergencia

Definir el tipo de plizas de seguros Definir elementos tcnicos de procedimientos Definir las necesidades de sistemas de seguridad para:
o o o

Hardware y software Flujo de energa Cableados locales y externos. Aplicacin de los sistemas de seguridad incluyendo datos y archivos. Planificacin de los papeles de los auditores internos y externos Planificacin de programas de desastre y sus pruebas (simulacin) Planificacin de equipos de contingencia con carcter peridico. Control de desechos de los nodos importantes del sistema: Poltica de destruccin de basura copias, fotocopias, etc. Consideracin de las normas ISO 1400

Etapas para Implementar un Sistema de Seguridad Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos: Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad.

Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales. Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando: Plan de Seguridad Ideal (o Normativo) Un plan de seguridad para un sistema de seguridad integral debe contemplar: - El plan de seguridad debe asegurar la integridad y exactitud de los datos - Debe permitir identificar la informacin que es confidencial - Debe contemplar reas de uso exclusivo - Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles - Debe asegurar la capacidad de la organizacin para sobrevivir accidentes - Debe proteger a los empleados contra tentaciones o sospechas innecesarias Donde: Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc) Medidas pre.. (polticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad de personal, etc) Consideraciones para con el Personal Es de gran importancia la elaboracin del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluacin de sucomportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos Cumplir promesas Innovar Para apoyar estos objetivos se debe cumplir los siguientes pasos: Motivar Se debe desarrollar mtodos de participacin reflexionando sobre lo que significa la seguridad y el riesgo, as como su impacto a nivel empresarial, de cargo y individual. Capacitacinn General En un principio a los ejecutivos con el fin de que conozcan y entiendan la relacin entre seguridad, riesgo y la informacin, y su impacto en la empresa. El objetivo de este punto es que se podrn detectar las debilidades y potencialidades de la organizacin frente al riesgo. Este proceso incluye como prctica necesaria la implantacin la ejecucin de planes de contingencia y la simulacin de posibles delitos. Capacitacin de Tcnicos Se debe formar tcnicos encargados de mantener la seguridad como parte de su trabajo y que est capacitado para capacitar a otras personas en lo que es la ejecucin de medidas preventivas y correctivas. Practica y Cultura Se debe establecer un mtodo de educacin estimulando el cultivo de elevados principios morales, que tengan repercusin a nivel personal e institucional. De ser posible realizar conferencias peridicas sobre: doctrina, familia, educacin sexual, relaciones humanas, etc. Etapas para Implantar un Sistema de Seguridad en Marcha Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y

acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos: 1. Introducir el tema de seguridad en la visin de la empresa. 2. Definir los procesos de flujo de informacin y sus riesgos en cuanto a todos los recursos participantes. 3. Capacitar a los gerentes y directivos, contemplando el enfoque global. 4. Designar y capacitar supervisores de rea. 5. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. 6. Mejorar las comunicaciones internas. 7. Identificar claramente las reas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel. 8. Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad fsica. Beneficios de un Sistema de Seguridad Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH.

Auditoria de AplicacionesIntroduccin Las aplicaciones o sistemas de informacin son uno de los productos finales que genera lainfraestructura de las TI en las organizaciones y por ende son el aspecto de mayorvisibilidad desde la perspectiva de negocio.La siguiente exposicin presentar una metodologa completa y estructurada para realizarauditoras de aplicaciones adems de las principales tcnicas de auditora para desarrollo depruebas sustantivas en ambientes de tecnologa de informacin, tcnicas y herramientas deauditora. Aplicada a sistemas en funcionamiento en cuanto al grado de cumplimiento de losobjetivos para los que fueron creados. Problemtica de la auditora de una aplicacin informtica Una aplicacin informtica tiene como finalidad:-

egistrar exactamente la informacin considerada de inters en torno a lasoperaciones llevadas a cabo por una determinada organizacin: magnitudes fsicas oeconmicas, fechas, descripciones, atributos o caractersticas, identificacin de laspersonas fsicas o jurdicas que intervienen o guardan relacin con cada operacin,nombres, direcciones.-

Permitir la realizacin de cuantos procesos de clculo y edicin sean necesarios apartir de la informacin registrada, almacenar automticamente ms informacinque la de partida.-

Facilitar, a quienes lo precisen, repuesta a consultas de todo tipo sobre lainformacin almacenada, diseadas en contenido y forma para dar cobertura a lasnecesidades ms comunes constatadas.-

Generar informes que sirvan de ayuda para cualquier finalidad de inters en laorganizacin, presentado la informacin adecuada: se aplican segn convenga,criterios de seleccin, ordenacin, recuento y totalizacin por agrupamientos,clculos de todo tipo, desde estadsticos comunes hasta los ms complicadosalgoritmos.Si este planteamiento se consigue trasladar con tenacidad a una aplicacin informtica ylos usuarios la manejan con habilidad y con profesionalidad, la organizacin a la quepertenecen contar con un importante factor de xito en el desarrollo de su actividad.Sin embargo, ni la tenacidad en la creacin de la aplicacin ni la profesionalidad en el usode la misma pueden ser garantizados. La profesionalidad no libra el cansancio y el estrs,as que es de humanos cometer errores involuntariamente. Tampoco es imposible que en unmomento determinado un empleado descontento cometa errores intencionalmente o queotro intente un fraude sin pruebas para ser descubierto S upuestas amenazas al normal cumplimiento de la finalidad de una aplicacin: -

La posibilidad de fallo en cualquiera de los elementos que intervienen en el procesoinformtico: software mltiple perteneciente a deferentes firmas, computador centraly dispositivos perifricos transmisin de datos (servidores, mdems, lneas decomunicacin, etc.) constituye otra fuente de posibles riesgos.-

La conexin cada vez ms generalizada de las empresas a entornos abiertos comointernet multiplica los riesgos que amenazan las confidencialidad e integridad de lainformacin de los

sistemas. Y en este caso el nmero de interesados en descubrirdebilidades que le abran las puertas para enredar y manipular la informacin a laque sean capaces de acceder no tiene lmites.Todas esas amenazas y cualquier otra que pueda ser identificada contra el correctofuncionamiento de la aplicacin y la consecucin de sus objetivos, han debido ser objeto deun anlisis minucioso ya desde la fase de concepcin. Para cada una de ellas se habrndebido estudiar las posibles medidas tendentes a eliminar los riesgos que entraan oreducen la probabilidad de su materializacin hasta niveles razonablemente asumibles,siempre teniendo en cuenta el costo de tales medidas.Dichas medidas son fundamentales medidas de control interno que consisten en losprocedimientos para verificar, evaluar y tratar de garantizar que todo funciona como seespera: de acuerdo a las polticas, normas y procedimientos establecidos en los diferentesmbitos de responsabilidad. E n una aplicacin informtica el control interno se materializa en dos tipos: 1.

C ontroles comunes: a realizar normalmente por parte de personal del rea usuaria,aseguran que las actuaciones del usuario se preparan y procesan todas lasoperaciones, se corrigen todos los errores adecuadamente, siendo coherentes con losresultados y las bases de datos que dan soporte a la aplicacin, mantienen medicinde su integridad y totalidad.2.

C ontroles automticos incorporados a los programas de la aplicacin que sirvan deayuda para tratar de asegurar que la informacin se registre y mantenga completa yexacta, los procesos de todo tipo sobre la misma sean correctos y su utilizacin porparte de los usuarios respete los mbitos de confidencialidad establecidos y permitaponer en prctica principios generales de control interno como el referente a lasegregacin de funciones. C ontroles segn su finalidad: 1-

ontroles preventivos: tratan de ayudar a evitar la produccin de errores a base deexigir el ajuste de los datos ingresados a patrones de formato y estructura (datonumrico, fecha vlida, etc.) perteneca a una lista de incorporaciones de dgitos decontrol en datos clave (cdigos de identificacin, referencias de documentos,nomenclaturas, etc.) y cualquier criterio que ayude a asegurar la correccin formal yverosimilitud de los datos. tiles para las comprobaciones de conjuntos de datos,buscando su compatibilidad, adecuacin y coherencia.

2-

C ontroles detectivos: descubren a posteriores errores que haya sido posible evitar.3-

C ontroles correctivos: aseguran q se subsanen todos los errores identificadosmediante controles detectivos.Se utilizan en:-

Las transacciones de recogida o toma de datos-

Todos los procesos de informacin que la aplicacin realiza-

La generacin de informes y resultados de salidaLos controles considerados para cada situacin planteada en los diferentes pasos defuncionamiento de la aplicacin, se deben hacer en el diseo de la aplicacin con un estudioa conciencia para seleccionar los posibles riesgos que se trata de contrarrestar.Estudio que debe ser propuesto por los responsables del rea de informtica, revisado porpersonal de auditora interna, y aprobado en ltimo lugar por la direccin de la organizacinusuaria.La conveniencia de la participacin de Auditora interna es importante en la revisin de loscontroles diseados durante el desarrollo de la aplicacin. Sus recomendaciones deben serconsideradas aunque sera muy costoso tener que incluir cualquier control una vez finalizadoel desarrollo, siendo una necesidad como resultado de una auditora posterior a laimplementacin.La auditora interna en el desarrollo de un sistema informtico debe tener un alcance msamplio que el referente al sistema, ya que debe contemplar no slo los riesgos

relacionadoscon la aplicacin, sino todos los que puedan afectar al proceso completo al que la mismasirve de herramienta, haciendo que la aplicacin registre informacin especfica, parafacilitar la futura auditabilidad del proceso respecto a tales riesgos.La problemtica de la auditora de una aplicacin se trata de una revisin de la eficacia delfuncionamiento de los controles diseados para cada uno de los pasos de la misma frente alos riesgos que tratan de eliminar o minimizar, como medios para asegurar la fiabilidad,seguridad, disponibilidad y confidencialidad de la informacin gestionada por la aplicacin.