UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS
Unidad 2: Seguridad de la Informacin y Auditora
Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 1/54
CAPTULO 2
AUDITORA
El Objetivo de este captulo es introducir al alumno en los conocimientos sobre auditora en general y auditora informtica en particular que definen sus entornos de aplicacin y los tipos de controles, herramientas y metodologas de trabajo para su planificacin, desarrollo y emisin de resultados sobre los aspectos auditados.
Bibliografa utilizada: Adems de la bibliografa mencionada en esta unidad se han tenido en cuenta para la confeccin de este apunte: Piattini Velthius, Mario. Auditora Informtica. Un Enfoque Prctico. 2da. Edicin Ed. Alfaomega 2001 Arens Alvin , Elder Randal , Beasley Mark. Auditora: Un Enfoque Integral Ed. Pearson Educacin 2007 Echenique Garcia, Jose. Auditora en Informtica Ed. MCGraw-Hill 1995 Federacin de Consejos de Profesionales de C.Econmicas. Manual de Auditora Informes 5 y 6 Fco. Javier Nava Garcia Apuntes de Auditora Informtica http://www.gavab.es/wiki/download/ai/Temario/AudInf-Apuntes-1...10.pdf
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 2/54
NDICE
INTRODUCCIN ..........................................................................................................3 CONCEPTO DE AUDITORA .............................................................................................4 TIPOS DE AUDITORAS .................................................................................................5 AUDITORA INTERNA ............................................................................................................. 6 AUDITORA EXTERNA ............................................................................................................. 7 AUDITORA DE TECNOLOGAS DE INFORMACIN ...................................................................8 TIPOS DE AUDITORAS DE TI ................................................................................................... 9 ESTNDARES DE LA AUDITORA DE TI ....................................................................................... 10 METODOLOGA DE TRABAJO EN LA AUDITORA DE TI ........................................................... 12 ELEMENTOS DE LA AUDITORA ................................................................................................ 12 DEFINICIN DE OBJETIVOS Y ALCANCE ...................................................................................... 13 EL ESTUDIO INICIAL RELEVAMIENTO ORGANIZACIONAL ................................................................ 17 INFORME DE DIAGNSTICO INICIAL ......................................................................................... 18 DETERMINACIN DE LOS RECURSOS DE LA AUDITORA ................................................................... 18 ELABORACIN DEL PLAN DE AUDITORA ..................................................................................... 19 Tipos de Controles a realizar ......................................................................................... 20 Tcnicas de Evaluacin y Fiabilidad de los Controles ...................................................... 22 Tcnicas y Herramientas de Trabajo para Auditoria TI ...................................................... 24 Tcnicas y Herramientas para el anlisis de datos ........................................................... 27 Tcnicas y Herramientas para el anlisis de Logs ............................................................. 28 ENTORNO DE APLICACIN ..................................................................................................... 28 PRESENTACIN DE CONCLUSIONES - INFORME FINAL DE AUDITORA .................................................. 37 Presentacin de Conclusiones de Auditora...................................................................... 37 Estructura del Informe Final de Auditora y Plan de Accin ................................................ 37 ANEXO I ......................................................................................................................... 38 HERRAMIENTAS DE EVALUACIONES .......................................................................................... 38 MODELOS DE ENCUESTAS Y CUESTIONARIOS ............................................................................... 38 AUDITORA DE TI ............................................................................................................... 38 EVALUACIN DEL DESARROLLO DE SISTEMAS .............................................................................. 39 CONTROLES EN LA ADMINISTRACIN DE PROYECTOS ...................................................................... 39 EVALUACIN DEL DISEO Y PRUEBA DE LOS SISTEMAS ................................................................... 40 ENCUESTAS DE SATISFACCIN DE USUARIOS TI .......................................................................... 41 CONTROLES DE APLICACIONES ENTRADA DE DATOS .................................................................... 42 CONTROLES DE APLICACIONES OPERACIN .............................................................................. 44 CONTROLES DE LOS MEDIOS DE ALMACENAMIENTO....................................................................... 46 ANEXO II ........................................................................................................................ 49 MODELO DE CONTRATO. AUDITORA DE TI ................................................................................. 49
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 3/54 INTRODUCCIN
La Administracin de los Recursos tiene en las Organizaciones un objetivo comn que es el manejo adecuado de las variables que regulan el crecimiento, adaptacin al cambio para mantener competitividad en la dinmica de los mercados, el control y uso eficiente de los recursos y fundamentalmente de la eficacia en el logro de las metas y objetivos establecidos en su Plan de Negocios. La administracin efectiva de la informacin y de la tecnologa de la Informacin (TI) asociada se ha constituido en la herramienta fundamental para la gestin integral de las Organizaciones y en el elemento crtico para el xito y supervivencia de las organizaciones. Esta criticidad emerge de: la creciente dependencia en informacin y en los sistemas que proporcionan dicha informacin para la toma de decisiones y logro de la eficacia empresarial. Todo Sistema de Informacin de Gestin tiene como objetivo proporcionar la informacin adecuada, en el momento adecuado, a la persona adecuada y con el menor costo la creciente vulnerabilidad y un amplio espectro de amenazas, tales como las ciber amenazas y la guerra de informacin la escala y el costo de las inversiones actuales y futuras en informacin y en tecnologa de informacin el potencial que tienen las tecnologas para cambiar radicalmente las organizaciones y las prcticas de negocio, crear nuevas oportunidades, lograr ventajas competitivas y reducir costos La gestin de riesgos, seguridad y auditora de una Organizacin, en general, y de las tecnologas de la informacin en particular, buscan establecer las pautas para lograr el ambiente requerido analizando, detectando, verificando, exponiendo y determinando alternativas de solucin sobre la administracin de los recursos de TI, integrados en el contexto organizacional. Las Organizaciones requieren disponer de los medios que generen un mbito con buen nivel de seguridad interna y un marco de proteccin adecuado a las necesidades e influencias del entorno, a fines de lograr el desarrollo de sus estrategias de negocios. Como consecuencia de esto ser muy importante la utilizacin de polticas claras y buenas prcticas para la seguridad y el control de las TI cuyos objetivos estn alineados con los objetivos de la organizacin y que los mismos se desarrollen a partir de la perspectiva de la auditora. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 4/54 CONCEPTO DE AUDITORA
El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. El concepto de auditora es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, un activo, etc. La palabra auditora proviene del latn auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de or. En una auditora se realiza la revisin y comprobacin de los procesos, exponiendo las debilidades y disfunciones observadas, estableciendo en consecuencia las recomendaciones, sugerencias y planes de accin para su eliminacin. En el diccionario de la Real Academia Espaola, Auditora es la revisin sistemtica de una actividad o de una situacin para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse En la legislacin espaola el Decreto que reglamenta la Ley de Auditora de Cuentas define: Se entender por auditora de cuentas al anlisis realizado por personas idneas e independientes, mediante tcnicas de revisin y verificacin, sobre la informacin econmico-financiera deducida de los documentos contables examinados y que tiene por objetivo emitir informe de opinin responsable sobre la fiabilidad de la misma a fin de conocer y valorar dicha informacin por terceros En resumen, la auditora es un examen metdico que se realiza para evaluar un producto, proceso u organizacin, a fines de verificar la concordancia de su situacin real con el objetivo definido, exponiendo sus diferencias, disfunciones, debilidades y errores para mejorar su eficacia y eficiencia a travs de un plan de adecuacin sugerido para su logro. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 5/54 TIPOS DE AUDITORAS
En funcin a la posicin del auditor frente a la empresa, la auditora puede ser: Interna (a cargo del departamento de la propia empresa que depende directamente de la Direccin o Gerencia General) Externa (a cargo de profesionales independientes y externos a la empresa)
En funcin a su amplitud la auditora puede ser: Total (cuando afecta a todos los elementos de la Organizacin) Parcial (se enfoca en determinadas reas, sectores o elementos de la Organizacin)
En funcin a su frecuencia la auditora puede ser: Permanente (se realiza peridicamente a lo largo del ejercicio econmico) Ocasional (se realiza en forma espordica o destinada a una situacin puntual)
En funcin a las reas o procesos a los que se refiera, podemos definir los siguientes tipos de Auditoras: Auditoras de Organizacin Auditoras de Gestin Auditoras Operacionales Auditoras Financieras Auditoras Contables Auditoras de Tecnologas de Informacin
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 6/54
AUDITORA INTERNA
Es una funcin independiente de evaluacin establecida dentro de la propia Organizacin para examinar y evaluar sus actividades como un servicio a la misma. Su finalidad es apoyar a sus miembros en el desempeo de sus responsabilidades y toma de decisiones. Para ello la Auditora Interna les proporciona anlisis, evaluaciones, recomendaciones, asesoras e informacin sobre las actividades verificadas. Objetivos de la Auditora Interna: Revisin y evaluacin de los controles administrativos, contables, financieros y operativos. Divulgacin y control de las polticas, planificacin y procedimientos establecidos en la Organizacin. Anlisis y determinacin de sus niveles de cumplimientos. Custodia y contabilizacin de los activos de toda la organizacin Examen de la fiabilidad de los datos e informacin exacta para las gerencias La eficacia del Departamento de Auditora Interna est basada en los siguientes factores: Adecuada planificacin: elaboracin de un plan de auditora interna. Adecuada y efectiva supervisin: participacin en la planificacin, revisin de los papeles de trabajo y de los informes preparados. Formacin continua de los auditores: adecuada formacin tcnica inicial y actualizacin mediante la participacin en cursos y seminarios. Se recomienda la inscripcin en asociaciones profesionales de auditora. Evidencia documental: preparacin de papeles de trabajo necesarios para soporte del trabajo realizado y de las conclusiones alcanzadas. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 7/54 AUDITORA EXTERNA
Es un examen o evaluacin de la situacin de una Organizacin, sector o proceso, realizado por profesionales externos o consultores independientes, con el propsito de emitir un dictamen con una opinin tcnica sobre la razonabilidad o viabilidad de la situacin, los niveles de cumplimientos de las normas y requerimientos tcnicos que involucran a la Organizacin, sector o proceso en cuestin. El dictamen del Auditor Externo, adems, hace referencia a aspectos sobre valuacin y exposicin de la informacin y los focos de riesgo. Objetivos de la Auditora Externa: Identificacin de los elementos de juicio fundamentados en la naturaleza de los hechos examinados Deteccin de la existencia o ausencia de errores, disfunciones o anomalas en los hechos examinados. Medicin de la magnitud de los mismos. Control de actividades de investigacin y desarrollo de la Organizacin. Control de las Polticas externas y estrategias definidas en el Plan de Negocio. Redaccin de Informe o Dictamen con el diagnstico de la situacin actual, sugerencias y recomendaciones con alternativas de solucin sobre los inconvenientes detectados.
Diferencias entre Auditora Interna y Externa: El auditor interno es un empleado de la Organizacin, su independencia est limitada de acuerdo a la estructura y su responsabilidad se encuadra en el mbito laboral. En cambio el auditor externo es un profesional totalmente independiente y su relacin es de tipo profesional (contratacin de servicios). El objetivo de la auditora interna es el examen de la gestin, mientras que el de la auditora externa es el examen de los estados encomendados (financieros, contables, operacionales, etc.) para determinar si reflejan la situacin real de la entidad auditada. En la auditora interna, se emite un informe con recomendaciones para la gerencia y restringido al mbito de la propia Organizacin; mientras que en la auditora externa, est dirigido tambin a terceros y trasciende el mbito de la Organizacin.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 8/54 AUDITORA DE TECNOLOGAS DE INFORMACIN
De acuerdo a las definiciones citadas podemos decir que toda Auditora contiene procesos de anlisis, verificacin y exposicin de las debilidades, errores o disfunciones detectadas en la operatoria de la Organizacin, con las cuales se redacta el Informe sobre diagnstico de situacin y recomendaciones en base al plan de sugerencias con las alternativas de solucin ms adecuadas. As como los procesos y recursos de gestin, financieros y operativos son auditados en funcin de las polticas, normas y criterios de la organizacin, tambin lo deben ser los procesos y recursos (activos de informacin, de software, fsicos, servicios, recursos humanos, etc.) relacionados con las TI. Podemos definir la Auditora de Tecnologas de Informacin como un examen metdico (utilizando herramientas, procedimientos y tcnicas) que se realiza para evaluar o controlar, total o parcialmente, la aplicacin de las Tecnologas de Informacin con el fin de verificar si sus actividades se desarrollan en forma eficiente y de acuerdo a la normativa o polticas generales y especficas de la Organizacin, para garantizar la confiabilidad, confidencialidad y seguridad de la informacin, la eficacia en el logro de los objetivos establecidos y la calidad del servicio brindado. Por lo expuesto, para la realizacin de una auditora de TI eficaz, se debe entender a la organizacin en su ms amplio sentido, diferenciando sus caractersticas y los objetivos a los que apuntan, ya sean empresas privadas o pblicas, instituciones, universidades, ministerios, hospitales, etc. Todas utilizan las TI para gestionar sus negocios de forma rpida y eficiente con el fin de obtener beneficios econmicos o lograr sus objetivos como empresa o institucin. La importancia de llevar un control efectivo se puede deducir de varios aspectos como los citados en la introduccin. He aqu algunos: Los sistemas de procesamiento de datos se convirtieron en los blancos ms apreciados no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso se deber garantizar la seguridad de los sistemas denominada generalmente como Auditora de Seguridad de la Informacin. Las computadoras creadas para procesar datos pueden producir resultados o informacin errnea si dichos datos son, a su vez, errneos. Este concepto es a veces olvidado o descuidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos, con la posibilidad de que se provoque un efecto cascada y afecte a las restantes aplicaciones y los resultados generales del negocio por tomas de decisiones inadecuadas. En este caso se deber administrar eficientemente los datos e interviene la denominada Auditora de Datos. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 9/54 Un Sistema Informtico mal diseado puede convertirse en una herramienta peligrosa para la empresa: modelizaciones, simulaciones o sistemas de gestin gerencial utilizados para la toma de decisiones no puede depender de un Software y Hardware mal diseados por cuanto afecta en forma directa al desarrollo y sustentabilidad de la organizacin. Esto refiere a los procesos de entrega y soporte y por tanto interviene la Auditora de Sistemas y Soportes de Aplicaciones.
TIPOS DE AUDITORAS DE TI
Dentro de la auditora de TI se mencionan los siguientes tipos (entre otros), sin llegar a ser independientes unos de otros: Auditora de la gestin: Referido a la contratacin de bienes y servicios, procesos y procedimientos para la liberacin de software, etc. Auditora de Datos: referido a la auditora de los activos de informacin: Clasificacin de los datos, trazabilidad del flujo de informacin, auditora de integridad de la informacin almacenada en bases de datos, archivos, etc., conformidad con los requisitos de informacin de la organizacin. Auditora de Sistemas y Soporte de Aplicaciones: Auditora de las aplicaciones o activos de software: del software desarrollado por la organizacin o tercerizado Auditora de los procesos de desarrollo: documentacin de: planes de trabajo, requisitos, diseo, pruebas, gestin de cambios, etc. Auditora de Seguridad de la Informacin Auditora legal de Proteccin de Datos: Cumplimiento legal de las medidas de seguridad exigidas por la legislacin vigente correspondiente a la proteccin de datos. Auditora de la seguridad de la Informacin: Referidos a datos e informacin verificando disponibilidad, integridad y confidencialidad de la informacin. Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de sta. Tambin est referida a las protecciones externas (arcos de seguridad, campos magnticos, CCTV, vigilantes, etc.) y protecciones del entorno. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 10/54 Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas de informacin, transmisin y almacenamiento seguro de la informacin, seguridad perimetral, configuraciones de la tecnologa de base. Auditora de las comunicaciones: Se refiere a la auditoria de los procesos de autenticacin en los sistemas de comunicacin. Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes. Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y calidad de los datos.
ESTNDARES DE LA AUDITORA DE TI
ISACA (Information Systems Audit and Control Association) es una organizacin que emite estndares de auditora y control de SI (cdigo tico, normas, objetivos y procedimientos de control, guas de auditora, etc.) que son aceptados por la comunidad internacional de auditora de SI. Esta asociacin expide, a quin cumpla sus requisitos, el certificado CISA (Certified Information Systems Auditor) de reconocido prestigio internacional. Las Normas Generales 1 para la auditora de la informacin de ISACA explicitan los objetivos de ISACA que son entre otros el desarrollo y difusin de los estndares de auditora de sistemas de informacin y el uso de COBIT como fuente de asesoramiento con respecto a las mejores prcticas. Estas Normas hacen referencia a: S1. Estatuto: o carta de compromiso para comunicar el propsito, la responsabilidad y las limitaciones de la funcin o de la auditora asignada. El estatuto debe ser aceptado y aprobado en el nivel apropiado dentro de la organizacin S2. Independencia: (tanto en actitud como apariencia) del profesional y organizacional para permitir una conclusin objetiva de la tarea que se audita S3. tica y Normas profesionales: que el profesional auditor debe respetar y que son revisadas peridicamente S4. Competencia profesional: que el auditor debe poseer para desempear la tarea o conducir al grupo que la realice, cumpliendo con los requisitos de educacin o desarrollo profesional continuos de CISA y otras designaciones profesionales relacionadas con las auditoras
1 Las normas completas pueden descargarse de: http://www.isaca.org/Knowledge-Center/Standards/Pages/Standards-for-IS- Auditing-Spanish-.aspx UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 11/54 S5. Planeacin: El auditor de SI debe establecer un plan que detalle la naturaleza, objetivos, plazos, alcance y recursos requeridos para completar la auditora, desarrollar y documentar un enfoque basado en riesgos. S6. Realizacin de Labores de Auditora: supervisin, obtencin de evidencia y documentacin. S7. Reporte: caractersticas del informe de auditora en cuanto a formato y contenido S8. Actividades de seguimiento: evaluacin de las acciones tomadas por la gerencia en funcin del reporte presentado S9. Irregularidades y acciones ilegales: cuestiones relevantes a tener en cuenta en la evaluacin de riesgos de irregularidades y acciones ilegales. S10. Gobernabilidad de TI: alineacin de los SI con la misin, visin, valores, objetivos y estrategias de la organizacin. Revisin en cuanto al desempeo esperado (eficacia y eficiencia) por la empresa, recursos, procesos administrativos, requisitos legales, ambientales, de calidad de la informacin, fudiciarios y de seguridad y evaluar su cumplimiento. S11. Uso de la evaluacin de riesgos en la planeacin de la auditora: utilizacin de tcnica o enfoque apropiado de evaluacin de riesgos al desarrollar el plan general de auditora de SI y al determinar prioridades para la asignacin eficaz de los recursos de auditora de SI. Identificar y evaluar los riesgos relevantes al rea bajo revisin. S12. Materialidad de auditora: considerar la existencia de debilidades materiales o ausencias de controles que puedan ocasionar una deficiencia importante o debilidad material en el sistema de informacin. S13. Uso del trabajo de otros expertos: siempre y cuando sus credenciales profesionales, competencias, experiencia relevante, recursos, independencia y procesos de control de calidad resulten apropiados antes de su contratacin. S14. Evidencia de auditora: Consideraciones acerca de cundo una evidencia es apropiada, fiable, suficiente y cmo debe ser protegida y retenida la misma. S15. Controles de TI: El auditor de SI debe evaluar y supervisar los controles de TI que son parte integral del entorno de control interno de la organizacin y asistir a la gerencia proporcionando consejos con respecto al diseo, la implementacin, la operacin y la mejora de controles de TI.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 12/54 METODOLOGA DE TRABAJO EN LA AUDITORA DE TI
Una vez definido el concepto de Auditora de TI e identificados los tipos, fines y utilidades de cada uno, se procede a describir la metodologa de trabajo que el equipo auditor desarrollar en base a la contratacin con el cliente (auditora externa) o al requerimiento planificado por la Direccin (auditora interna), cumpliendo con las actividades que componen el proceso de Auditora hasta su conclusin con la entrega del Informe o Dictamen Final y Plan de acciones sugeridas.
ELEMENTOS DE LA AUDITORA
Artefactos de Entrada: Marco de Referencia Anlisis Verificacin Exposicin de las debilidades, errores y disfunciones
Artefactos de Desarrollo (Entregables intermedios): Definicin de objetivos y alcances de la Auditora Relevamiento Inicial Informe de Diagnstico Inicial de Situacin Definicin del tipo controles (metodologa) Baseline de Tiempos y Costos (Elaboracin del Plan de trabajo) Conformacin de recursos ( equipo RR.HH, Oficinas y tecnologas) Desarrollo de las actividades (Anlisis, entrevistas, verificaciones, etc.) Borrador de Recomendaciones Artefactos de Salida: (Entregables finales) Presentacin de Conclusiones y redaccin de Informe o Dictamen Final Plan de accin (alternativas de solucin)
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 13/54 DEFINICIN DE OBJETIVOS Y ALCANCE
Para la definicin de los objetivos y alcance debe haber un acuerdo muy preciso entre el equipo auditor y el cliente (interno o externo) sobre los activos (funciones, procesos, estructuras, recursos, etc.) que se auditarn en la Organizacin. Para ello se realiza el Estudio Inicial y Relevamiento Organizacional que permitir tener un conocimiento global de estructura y complejidad de los procesos y redactar el Diagnstico Inicial sobre la situacin relevada. Por ejemplo en la auditora de un sistema en produccin deber acordarse previamente si se incluye o no la funcin de soporte tcnico. Igualmente se debera acordar de antemano si se audita la percepcin de los usuarios o solo la eficiencia interna del sistema, etc. Al margen de los objetivos generales y comunes de toda Auditora de TI, se agregan entonces los objetivos especficos que se definan con el cliente o Direccin de la Organizacin. Para definir dichos objetivos especficos se debe tener una clara interpretacin de las necesidades o pretensiones del cliente o la Direccin a fines de dar respuestas concretas sobre las mismas. Para tener una adecuada definicin del alcance, se debern expresar las excepciones o lmites para especificar, documentando en este punto, cules son los activos que no entrarn en el proceso de auditora. Se deben fijar los interlocutores, es decir las personas designadas por el cliente o Direccin responsables con poder de decisin y de validacin dentro de la empresa para que interacte con el equipo auditor. Asimismo se debe fijar el/los destinatario/s de los Informes. Para la definicin de Objetivos y Alcance se podr utilizar un marco de trabajo para las Auditoras de TI como lo es el de las normas COBIT (Objetivos de Control para la Informacin y Tecnologas afines) que adems considera el informe de COSO 2 (Comitee of Sponsoring of the Treadway Comission) que es una organizacin dedicada a mejorar la calidad de los reportes financieros contemplando la tica del negocio, controles internos efectivos y gobierno corporativo. En este marco se tienen en cuenta las siguientes pautas: Para satisfacer los objetivos del negocio, la informacin necesita concordar con ciertos objetivos de control de alto nivel o requerimientos de negocio para la informacin. Estos son: requerimientos de calidad: calidad, costo y entrega del servicio requerimientos de seguridad: integridad, disponibilidad, confidencialidad
2 http://www.coso.org/ UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 14/54 requerimientos fiduciarios: eficiencia y eficacia de operaciones, confiabilidad de la informacin (reportes financieros), cumplimiento de leyes, normas y acuerdos contractuales. Considera los requerimientos de COSO, necesidades de calidad y seguridad de la empresas, a travs de la definicin de los siguientes criterios: Efectividad: Se refiere a que la informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable Eficiencia: Se refiere a la provisin de informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos. Confidencialidad: Se refiere a la proteccin de informacin sensible contra divulgacin no autorizada. Integridad: Se refiere a la precisin y suficiencia de la informacin, as como a su validez de acuerdo con los valores y expectativas del negocio. Disponibilidad: Se refiere a que la informacin est accesible cuando sta es requerida por el proceso de negocio ahora y en el futuro. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Cumplimiento: Se refiere al cumplimiento de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocios est sujeto, por ejemplo, criterios de negocio impuestos externamente. Confiabilidad: Se refiere a la provisin de informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y de cumplimiento. Se promueve el foco en procesos o actividades de tecnologas de la informacin que deben existir en la organizacin para cumplir con los objetivos de control de alto nivel y criterios, divididos en los siguientes dominios: Planeamiento y organizacin: Este dominio cubre las estrategias y las tcticas, y tiene que ver con identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. Adems, la realizacin de la visin estratgica requiere ser planeada, comunicada y administrada desde diferentes perspectivas. Finalmente, se debe implementar una estructura organizacional y una estructura tecnolgica apropiadas. Adquisicin e Implementacin: Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan ser identificadas, desarrolladas o adquiridas as como la implementacin e integracin en los procesos del negocio. Adems, el cambio y el mantenimiento de los sistemas existentes est cubierto por este dominio para garantizar que las soluciones sigan satisfaciendo los objetivos del negocio. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 15/54 Entrega de Servicios y Soporte: Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operacionales. Monitoreo y Evaluacin: Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin de las polticas y normas.
Se apoya el control de las actividades de TI incluidas en estos dominios con objetivos de control detallados que se seleccionarn en funcin de las metas de TI que la organizacin haya definido.
Cada objetivo de control detallado implica prcticas de control que aplicarn sobre alguno de los siguientes recursos de TI: Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan informacin. Informacin: son los datos en todas sus formas de entrada, procesados y generados por los sistemas de informacin, en cualquier forma en que son utilizados por el negocio. Infraestructura: es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Personas: personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.
El resumen de COBIT puede verse en el siguiente cuadro:
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 16/54 UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 17/54 EL ESTUDIO INICIAL RELEVAMIENTO ORGANIZACIONAL
Organigrama: para tener un conocimiento integral de la estructura jerrquica de la Organizacin e identificar entre otras las funciones de mando, diseo y ejecucin, se analiza su Organigrama oficial (especfico del rea de Sistemas y en relacin al resto de la Organizacin), dejando observada la existencia o no de un organigrama fctico diferente que se haya detectado a travs de los flujos de informacin y relaciones funcionales o jerrquicas relevadas. Estructura del rea de Sistemas y funciones: el equipo auditor har una breve descripcin la estructura del rea identificando las funciones ms relevantes de cada dependencia (desarrollo, comunicaciones, soporte tcnico, etc.) Relaciones funcionales y Jerrquicas: se identifican si existen canales de informacin paralelos o alternativos (extraoficiales), necesarios para ejercer las funciones con eficacia y que aparecieron por ciertas fallas en la estructura oficial o bien solo por afinidades personales o simples comodidades. Recursos: se controlarn los puestos de trabajos, cantidad de personas y funciones asignadas para detectar si existen duplicaciones de puestos, o distribucin ineficiente (deficiencias o sobredimensionamientos de funciones/personal) Entorno Operacional: en los casos que la Organizacin dispone de varios departamentos de sistemas, se relevar su distribucin geogrfica, estructuras adecuadas y uso de los mismos estndares de trabajo. Arquitectura y configuraciones de HW y SW: se verificar adems de la flexibilidad de las configuraciones y compatibilidades de los sistemas, el cumplimiento de las polticas de Seguridad Lgica de la compaa, la existencia de Planes de Contingencia, etc. Inventario de HW y SW: se comprobar la existencia del equipamiento inventariado por la Organizacin (PCs, instalaciones, redes, etc.) y software disponible (adquiridos o desarrollados internamente). Aplicaciones: se relevar antigedad y complejidad de las aplicaciones y bases de datos, metodologa de diseo y desarrollos complementarios de las mismas, manuales y documentacin para mantenimiento/actualizaciones.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 18/54 INFORME DE DIAGNSTICO INICIAL En base al Estudio Inicial realizado y experiencia del equipo auditor, se confecciona el Informe de Diagnstico Inicial cuyos resultados permitirn identificar los puntos dbiles y fuertes, los riesgos eventuales y posibles alternativas de solucin. Asimismo permitir determinar los recursos necesarios (humanos y tecnolgicos) para realizar la Auditora.
DETERMINACIN DE LOS RECURSOS DE LA AUDITORA
Equipamiento y tecnologa (HW y SW): los recursos de HW necesarios para el equipo de auditora son proporcionados por el cliente ya que los controles deberan ser realizados sobre el equipamiento auditado. Las herramientas de SW son propias del equipo auditor y se aaden a las ejecuciones de los sistemas auditados. Esto demanda un preciso detalle en las pautas de contratacin sobre fechas, horas y duracin de los procesos de control, equipamiento y soporte necesario compartidos o con dedicacin exclusiva. Conformacin del equipo de Auditora: los perfiles y cantidad de personal necesarios para realizar la auditora dependern de la complejidad y volumen del rea o proceso auditable. El auditor lder o responsable del equipo, disear una combinacin adecuada de los perfiles necesarios ya sean expertos informticos o en organizacin y contables, generalmente de formacin universitaria y probada experiencia multidisciplinaria.
PERFILES PROFESIONALES DE LOS AUDITORES INFORMATICOS
Especialidad
Experiencia y Conocimientos deseables Lder o Responsable Informtico Amplia experiencia en desarrollo de Proyectos IT, normas de diseo y operacin de sistemas, manejo y organizacin de equipos multidisciplinarios Experto en Desarrollo de Proyectos Amplia experiencia como Lder de Proyectos, experto analista y experiencia en metodologas de desarrollo Experto en Administracin de Bases de Datos Amplia experiencia en diseo y mantenimiento de BD. Conocimientos de productos compatibles.
Tcnico de Sistemas Experto en Sistemas Operativos y SW de base. Conocimiento de productos en el mercado. Experiencia en explotacin Experto en Software de Especialista en tecnologa de sistemas, redes y amplia UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 19/54 Comunicaciones experiencia en subsistemas de teleprocesos. Experto en Explotacin y Gestin de Centros de Procesamiento de Datos Responsable de Centro de procesamiento de datos, amplia experiencia en automatizacin de procesos y conocimientos de sistemas Analista en Organizacin Experto en organizacin, anlisis de procedimientos y flujos de informacin Analista de Costos Experiencia en Gestin de Costos y conocimientos en informtica.
ELABORACIN DEL PLAN DE AUDITORA
De acuerdo al Informe de Diagnstico Inicial y a la definicin de los objetivos y alcance de la Auditora, luego de la asignacin de los recursos se define el Plan de Auditora que, como todo Proyecto, se elabora teniendo en cuenta los siguientes criterios: Se establecen la prioridades de activos auditables de acuerdo a los que defina el Cliente, asesorado con los conocimientos y experiencia aportadas por el equipo auditor. Se definen los Dominios, Objetivos del Control y prcticas de control a realizar en funcin a las necesidades evaluadas Se establecen las tcnicas de evaluacin y fiabilidad de los controles a utilizar (Anlisis de informacin, monitoreos, simulaciones, muestreos, etc.) Se establecen las herramientas de trabajo (entrevistas, cuestionarios, checklists, matrices de riesgos, SW. de auditoras, etc.) Se establece el Programa de Trabajo: Baseline de Tiempos con el calendario de las actividades y definicin de los hitos para control de los resultados. Se define el Presupuesto de Auditora (Baseline de Costos) en base al Programa de Trabajo establecido y al costo de los recursos asignados al proyecto. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 20/54
TIPOS DE CONTROLES A REALIZAR
Controles Preventivos: reducen las probabilidades o eliminan las causas de los riesgos (P.Ej. las instrucciones en un documento fuente reducen la probabilidad de que la persona que ingrese datos al documento lo haga en forma errnea) Controles Detectivos: detectan el riesgo una vez ocurrido, reducen impacto ante la presencia de un error (P.Ej. en el ingreso de datos a un SI, un control de validacin de entrada puede detectar el error y evitar su procesamiento) Controles Correctivos: identifican y corrigen las causas del riesgo ocurrido (mediante programas que analizan e identifican la naturaleza de los errores, aplicando correcciones automticas o ayudando con antecedentes y alternativas para su solucin)
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 21/54 A partir de estos tipos de controles genricos, se podrn definir prcticas de control especficas, tanto lgicas como fsicas, como por ejemplo:
Controles automticos de periodicidad de cambios de clave de acceso: (control correctivo). Este control apunta al Objetivo de Control de Alto Nivel: Requerimientos de Seguridad, Criterios: Confidencialidad - Dominio: Monitoreo y Evaluacin, Actividad de TI: Monitorizar los procesos, Recursos: Infraestructura Aplicaciones Personas
Controles de copias de respaldo: existencia de copias de seguridad y recuperacin (control preventivo). Este control apunta a los Objetivos de Control de Alto Nivel: Requerimientos de Seguridad Requerimientos Fiduciarios, Criterios: Disponibilidad - Efectividad - Dominio: Entrega y Soporte, Actividad de TI: Asegurar el Servicio Continuo, Recursos: Infraestructura Aplicaciones Informacin
Testeo funcional de aplicaciones: se realizan previamente a la puesta en produccin de software, ya sea desarrollado internamente como tercerizado (control preventivo). Este control apunta a los Objetivos de Control de Alto Nivel: Requerimientos de Calidad Requerimientos Fiduciarios, Criterios: Eficiencia - Efectividad - Dominio: Adquisicin e Implementacin, Actividad de TI: Adquisicin y mantenimiento de aplicaciones, Recursos: Infraestructura Aplicaciones Informacin Personas
Controles de segregacin de funciones, roles y responsabilidades: verificacin de que las estructuras y asignacin de funciones correspondan al nivel de entrega de servicio requerido (controles correctivos). Este control apunta a los Objetivos de Control de Alto Nivel: Requerimientos de Calidad (entrega del servicio), Criterios: Efectividad - Eficiencia Dominio: Planificacin y Organizacin, Actividad de TI: Definir la organizacin y relaciones de las TI, Recursos: Personas
Controles de adecuacin y evolucin de la capacidad de la infraestructura actual: para la justificacin que la solucin de TI actual es la opcin ms adecuada para la empresa (control correctivo - preventivo), debe existir un plan de infraestructura tecnolgica. Este control apunta a los Objetivos de Control de Alto Nivel: Requerimientos Fiduciarios, Criterios: Efectividad - Eficiencia, Dominio: Planificacin y Organizacin, Actividad de TI: Determinar la direccin tecnolgica, Recursos: Infraestructura
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 22/54
TCNICAS DE EVALUACIN Y FIABILIDAD DE LOS CONTROLES
Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, segn las circunstancias. Las tcnicas y los procedimientos estn estrechamente relacionados, si las tcnicas no son elegidas adecuadamente, la auditora no alcanzar las normas aceptadas de ejecucin, por lo cual las tcnicas as como los procedimientos de auditora tienen una gran importancia para el auditor.
Administracin de las Complejidades de los SI Para la auditora de sistemas complejos y en funcin al objetivo definido de la misma, se analizan y determinan las estrategias de factorizacin o descomposicin en subsistemas para permitir evaluar sus fiabilidades y las implicancias sobre el nivel de fiabilidad global del sistema que componen. Estas evaluaciones dependern de la correcta identificacin de cada subsistema, sus funciones que contribuyen al objetivo global del sistema, sus cohesiones internas para cumplirlas y las autonomas e interrelaciones entre dichos subsistemas. Las estrategias de factorizacin hacen foco en: Las funciones gerenciales para la planificacin y controles que aseguran el desarrollo, implementacin, operacin y mantenimiento de los SI, administracin de los datos, aseguramiento de calidad y seguridad de la informacin.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 23/54 Las aplicaciones utilizadas en las diferentes reas y niveles de la Organizacin, las que a su vez se analizan de acuerdo a las funciones de accesos, comunicaciones, procesamientos, bases de datos, entradas y salidas, etc.
Fiabilidad de los SI Identificacin de los eventos Una vez identificados los subsistemas y niveles de jerarquas de complejidad, se realiza la evaluacin de fiabilidad de los controles para lo cual de deben identificar los eventos: En relacin a las funciones gerenciales, se analizan los objetivos definidos para cada funcin y su cumplimiento (P.Ej. la funcin de Planificacin estratgica de los sistemas asignada al responsable del area de TI que cubra las necesidades de informacin para las decisiones empresariales de mediano y corto plazo y que est integrada a la estrategia global del negocio). Se identificarn los eventos relacionados con dichas funciones para determinar el grado de cumplimiento de sus objetivos, para lo cual los auditores debern contar con amplios conocimientos y habilidades sobre las visiones, estrategias y polticas definidas para cada tipo de organizacin. En relacin a los subsistemas de aplicaciones, se analizan las transacciones identificando los eventos resultantes de las mismas para lo cual el auditor debe comprender sus formas de procesamiento. A dicho fin se utilizan tcnicas de seguimientos o recorridos (walk- through) para analizar cada paso del proceso, determinando su grado de cumplimiento, eficiencia y eficacia en los resultados. Por razones de costos y tiempos los auditores seleccionan grupos de transacciones con procesos similares y solo aquellas que consideren relevantes desde el punto de vista de los objetivos de la auditora.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 24/54 Evaluacin de la Fiabilidad de los Controles Una vez identificados los eventos resultantes, los auditores debern evaluar la existencia y el adecuado funcionamiento de los controles para cubrir las situaciones ilcitas (ingresos no autorizados, datos errneos, incompletos, redundantes, ineficaces, etc). A dicho efecto debern obtener evidencias que determinen la fiabilidad de los controles y analizar si se encuentran dentro de los niveles de aceptacin definidos para la auditora. Existen listas publicadas de fallas tpicas de las funciones gerenciales y tablas de errores e irregularidades tpicas de las transacciones en las aplicaciones, que ayudan a determinar la fiabilidad de los controles.
TCNICAS Y HERRAMIENTAS DE TRABAJO PARA AUDITORIA TI
Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se clasifican generalmente con base en la accin que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisin del contenido de documentos y por examen fsico. Siguiendo esta clasificacin las tcnicas y herramientas de trabajo para la auditora TI se agrupan especficamente de la siguiente manera:
Cuestionarios: Las auditoras informticas se materializan recabando informacin y documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos demostrables (evidencias). Para esto, suele ser lo habitual comenzar solicitando el cumplimiento de cuestionarios preimpresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la auditora. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos preimpresos hubieran proporcionado.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 25/54 Entrevistas: El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas: Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad. Mediante entrevistas en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales ms importante del auditor. En ella recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. El auditor de TI entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste a una serie de preguntas variadas y con una preparacin muy elaborada para que resulte sencilla y entendible para cada caso particular.
Checklist: El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior. Algunas de las preguntas de las listas de chequeo utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a distintas personas en las mismas fechas, o a las mismas en fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos contradictorios, reelaborando en este caso preguntas complementarias hasta lograr la homogeneidad de las respuestas.
Trazas y/o Huellas: Con frecuencia, el auditor de TI debe verificar que los programas, tanto de los Sistemas como de usuario, realizan las funciones previstas con los niveles de confiabilidad y calidad requeridos de acuerdo a las normas de la empresa. Para ello se apoya en productos de Software que, entre otras funciones, rastrean los caminos que siguen los datos a travs del software. Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecucin de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las fechas y horas ms adecuadas para su empleo.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 26/54 Software de Interrogacin: Hasta hace ya algunos aos se han utilizado productos software llamados genricamente paquetes de auditora, capaces de generar programas para auditores escasamente cualificados desde el punto de vista informtico. Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos estadsticos que permitieran la obtencin de una hiptesis de la situacin real de una instalacin. En la actualidad, estos productos se orientan principalmente hacia lenguajes que permiten la interrogacin de archivos y bases de datos de la empresa auditada. Son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalacin.
Tcnica de Muestreo: se utiliza cuando, por razones de tiempo y costo, resulta prcticamente imposible verificar la totalidad de las transacciones y eventos del universo de tems definidos para auditar. Esta tcnica se utiliza para inferir las caractersticas de dicho universo a partir de los resultados del anlisis de las caractersticas sobre la muestra seleccionada. Hay dos enfoque generales para el muestreo de auditoras: El muestreo estadstico: mtodo objetivo que se utiliza para determinar el tamao de la muestra y los criterios de seleccin de los tems auditables. Esta evaluacin expresada en % determina el grado de precisin de la muestra sobre el universo que representa. El muestreo no estadstico o por juicio: mtodo subjetivo basado en la experiencia del auditor que determina el tamao y seleccin de la muestra (cantidad y tipos de tems auditables) Ambos mtodos exigen que el auditor utilice su propio juicio para definir las caractersticas del muestreo, aunque el estadstico permite determinar el nivel de riesgo a travs del coeficiente de representacin. Los pasos utilizados para la aplicacin de la tcnica de muestreo son: Determinacin del objetivo de la prueba Definicin del universo que se someter a muestreo Seleccin de la tcnica a utilizar: Muestreo de atributos (tcnica usadas en pruebas de cumplimiento sobre la ocurrencia de un cierto control o conjunto de controles relacionados, que determina la presencia o ausencia de estos atributos) o Muestreo de Variables (tcnica usada en pruebas sustantivas sobre caractersticas del universo para determinar los desvos del estndar) Determinacin del tamao y seleccin de la muestra Evaluacin de la muestra de acuerdo a los objetivos definidos para la auditora.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 27/54 TCNICAS Y HERRAMIENTAS PARA EL ANLISIS DE DATOS
Comparacin de programas: Esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o comandos de proceso) entre la versin de un programa en ejecucin y la versin de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias.
Mapeo y rastreo de programas: Esta tcnica emplea un software especializado que permite analizar los programas en ejecucin, indicando el nmero de veces que cada lnea de cdigo es procesada y las de las variables de memoria que estuvieron presentes.
Anlisis de cdigo de programas: Se emplea para analizar los programas de una aplicacin. El anlisis puede efectuarse en forma manual (en cuyo caso slo se podra analizar el cdigo ejecutable).
Datos de prueba: Se emplea para verificar que los procedimientos de control incluidos los programas de una aplicacin funcionen correctamente. Los datos de prueba consisten en la preparacin de una serie de transacciones que contienen tanto datos correctos como datos errneos predeterminados.
Datos de prueba integrados: Tcnica muy similar a la anterior, con la diferencia de que en sta se debe crear una entidad, falsa dentro de los sistemas de informacin.
Simulacin paralela: Tcnica muy utilizada que consiste en desarrollar programas o mdulos que simulen a los programas del sistema auditado. El objetivo es procesar los dos programas o mdulos de forma paralela e identificar diferencias entre los resultados de ambos.
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 28/54 TCNICAS Y HERRAMIENTAS PARA EL ANLISIS DE LOGS Hoy en da los sistemas se encuentran expuestos a distintas amenazas que aumentan sus vulnerabilidades y al mismo tiempo que se hacen ms complejos, el nmero de ataques tambin aumenta. Por este motivo las organizaciones deben reconocer la importancia y utilidad de la informacin contenida en los logs de los sistemas as como mostrar algunas herramientas que ayuden a automatizar el proceso de anlisis de las mismas. El crecimiento de Internet y redes sociales enfatizan esta problemtica, los sistemas generan una gran cantidad de informacin, conocidas como bitcoras o archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad, as como para los controles del auditor. Un archivo de log puede registrar mucha informacin acerca de eventos relacionados con el sistema que la genera los cuales pueden ser: Fecha y hora, direcciones IP origen y destino, direccin IP que genera la bitcora, usuarios, errores. La importancia de los logs es la de Las Herramientas de anlisis de bitcoras mas conocidas son las siguientes: Para UNIX, Logcheck, SWATCH. Para Windows, LogAgent Los logs contienen informacin crtica, es por ello la importancia de ser analizada, ya que posibilita la deteccin de comportamientos inusuales, la recuperacin de informacin ante incidentes de seguridad, las secuencias para resolver problemas, las evidencias en aspectos legales y fundamental ayuda en las tareas de cmputo forense. El uso de herramientas automatizadas es de mucha utilidad para el anlisis de logs, es importante registrar todos los logs necesarios de la totalidad de los sistemas disponibles para mantener un control integral de la informacin.
ENTORNO DE APLICACIN
La aplicacin de prcticas de control de auditora, en funcin de los dominios, objetivos y controles definidos puede centrarse en las siguientes reas de aplicacin: Planeamiento y Organizacin
Organizacin general del rea de Sistemas y reas asociadas: Verificacin de la estructura de Sistemas, dependencias y su integracin con el resto de la Organizacin Verificacin de relaciones informales y evaluacin de impactos UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 29/54 Revisin de las polticas del personal, niveles de cumplimientos, incorporaciones, perfiles, planes de desarrollo, estructura de compensaciones, rotacin de tareas, licencias, procedimientos para desvinculaciones, etc. Comprobacin de la existencia de Normas y procedimientos de trabajos especficos del rea. Verificacin de los niveles de cumplimiento Revisin de todo tipo de contratacin o locacin de servicios relacionada con el rea Evaluacin del rendimiento e incidencia de los consultores externos Determinacin del impacto y grado de dependencia de los servicios de procesamientos externos de datos (si existen)
Gestin de Proyectos: Revisin del grado de alineamiento o relacin entre los Planes de Sistemas y los Planes Estratgicos de la Organizacin. Control de las mediciones de avances. Verificacin de la validez de los procesos de Estimacin de Proyectos Verificacin de la fiabilidad y precisin aplicados en el Estudio de Viabilidad de Proyectos Verificacin de los niveles de responsabilidad de un Proyecto y grado de participacin de los usuarios Evaluacin de la Gestin de riesgos y niveles de cumplimiento Evaluacin de los estndares de calidad
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 30/54
Administracin de la Documentacin: Verificacin de los estndares de documentacin y niveles de cumplimiento Verificacin del acceso a los diferentes tipos de documentacin autorizada para Usuarios y personal de programacin Revisin de la documentacin de Usuarios, control de su correcta interpretacin y uso, formas de accesos y disponibilidad. Revisin de los procedimientos utilizados para la generacin, comunicacin, cambios y actualizacin de la documentacin relacionada con el rea de TI
Adquisicin e Implementacin Ingeniera de Requerimientos: Evaluacin de la metodologa utilizada para la Gestin de Requerimientos Evaluacin de la metodologa utilizada en los procesos de diseo y construccin Evaluacin de los tipos de pruebas que se aplican al desarrollo e implementacin de soluciones informticas
Gestin de Adquisiciones de Hw y SW: Verificacin de los estudios de necesidades de HW y SW asociados con los proyectos definidos para el Plan de Sistemas Revisin de la metodologa utilizada en las compras y contrataciones de diferentes montos si se alinean con las normas establecidas para toda la organizacin UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 31/54 Revisin de contrataciones de servicios externos (comunicaciones, mantenimientos de redes y versiones de SW), alquileres o leasing de equipamientos, anlisis de documentacin y justificacin de los contratos
Puesta en Produccin de las Soluciones Informticas: Verificar la integridad de los procesos de puesta en Produccin y aprobacin de las soluciones de SW Comprobacin de los medios de seguridad con los que contar la solucin de SW implementada Gestin de Mantenimientos y Cambios: Verificacin de los procesos de la Gestin de Mantenimiento y Cambios Revisin de inventario o registros de mantenimientos realizados en los sistemas, analizando la prioridad y razonabilidad de los cambios aplicados
Entrega de Servicios y Soporte Gestin de Configuraciones: Verificacin de las versiones de programas y configuraciones de tablas de las bases en produccin si son las vigentes Revisin de la existencia de procedimientos que impidan correr versiones de programas no activos Verificacin de los procesos de incorporacin de nuevos programas a las libreras productivas Verificacin de los espacios o depsitos si son adecuados para el almacenamiento de cintas y discos. Comprobacin de la perfecta y visible identificacin de estos medios para los casos que se requieran volver a versiones anteriores Investigacin del diario de produccin y archivos de logs Procesos de Soporte - Seguridad General: Revisin del presupuesto especfico dentro del rea de sistema Verificacin del cumplimiento y control de seguimiento de las funciones de soporte Control de idoneidad de las personas asignadas, planes de capacitaciones especficas Comprobacin de los procedimientos sobre prevencin, deteccin y correccin o recuperacin frente a ocurrencias de desastre naturales (terremotos, inundaciones, tornados, etc.) Verificacin de procedimientos preventivos y correctivos sobre los riesgos de incendios externos, cortes de suministro de energa, picos de tensin elctrica, manifestaciones o huelgas, accidentes de trnsitos (terrestres o aereos), campos magnticos, amenazas de bombas, etc. Verificacin de los Planes de Contingencias y comprobacin de simulacros UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 32/54 Revisin de la contratacin de servicios alternativos para los planes de recuperacin, plizas de Seguros, etc.
Procesos de Soporte - Seguridad Fsica: Comprobacin de las condiciones ambientales si son adecuadas para el equipamiento e instalaciones (iluminacin, climatizacin, distribucin de equipos, comunicaciones, etc.) Verificacin de instalaciones contra incendios (uso de materiales infugos, extinguidores adecuados, sistemas de deteccin de humo, sensores de temperatura, etc.) Verificacin de instalaciones para vigilancia y seguridad del rea (personal de custodia, cmaras de video, blindajes adecuados, sistemas de alarmas, etc.) Revisin de controles para accesos no autorizados: resguardo de llaves, sistemas electrnicos de tarjetas o introduccin de claves, sistemas biomtricos y otros (para evitar daos, vandalismo, robo o copiado de informacin confidencial, sabotajes o cualquier alteracin sobre equipos o instalaciones para causar destruccin, etc.) Verificacin del HW inventariado Almacenamientos y suministros de repuestos e insumos Biblioteca de soportes magnticos Evaluacin de la eficiencia de uso del HW (revisin de la documentacin y perfiles del personal autorizado para su utilizacin)
Procesos de Soporte - Seguridad Lgica: Verificacin de licencias del SW inventariado Revisin de los procedimientos de planificacin y mantenimiento de las aplicaciones Comprobacin de la existencia de normas documentadas sobre la administracin de copias de seguridad (acceso, disposicin y manejo, destruccin, etc) Verificacin de los procedimientos para la administracin de accesos lgicos (de acuerdo a los roles de los usuarios y servicios habilitados) para determinar sus modalidades de accesos (lectura, escritura, modificaciones y ejecuciones), limitaciones en la ubicacin de los datos y disponibilidad de horarios a los recursos determinados del sistema, actualizaciones por cambios de roles o funciones en los servicios, etc. Verificacin de los procesos de control peridico sobre las vigencias de accesos, contraseas inactivas, nmina de usuarios activos, etc. Verificacin de los procesos de identificacin y autenticacin para el acceso y control de actividades de los usuarios (combinacin de contraseas con los controles de accesos fsicos, sistemas de bloqueos por reiteracin de accesos errneos, etc.) Verificacin de la confidencialidad e integridad de las bases de datos Comprobar la existencia de procedimientos para situaciones de desvinculacin de usuarios y bajas en las contrataciones de servicios externos. UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 33/54
Monitoreo y evaluacin Eficiencia y Eficacia de las operaciones
Monitoreo y evaluacin del desempeo de TI: Evaluacin del rendimiento de un sistema en funcionamiento Evaluacin de las mediciones realizadas por el rea de Sistemas Comparacin de los estndares en tiempo de ejecucin de la instalacin con las observaciones realizadas Recomendacin de las modificaciones necesarias para la optimizacin del sistema en funcionamiento
Monitoreo y control de las aplicaciones Controles en las autorizaciones de entradas de datos (firma en formularios de lotes, accesos en lnea, contraseas exclusivas, ID de terminales, documentacin fuente) Controles y validaciones de entradas por lotes en procesos interactivos (identificacin de lotes, verificacin de totales, balances, integridad de datos, administracin de errores) Controles de validacin y edicin de datos (controles de secuencia, lmite, rango, validacin, integridad, tablas relacionadas, duplicaciones, relaciones lgicas, etc.) Controles de procesamientos de datos (reclculos paralelos, edicin del proceso, verificacin de totales y razonabilidad de los clculos, informe de excepciones, etc.) Controles sobre archivos de datos (autorizaciones de actualizacin y mantenimiento de archivo, uso de versin correcta, histrico de transacciones, etiquetas, etc.) Controles de salida (verificacin de registro y almacenamiento de formularios crticos o confidenciales, documentos negociables como los cheques, autorizaciones de distribucin, verificaciones de recepcin, administracin de errores de salida, etc.) UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 34/54
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 35/54
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 36/54 Monitoreo y evaluacin del control interno Evaluacin de satisfaccin de los usuarios Evaluacin de los niveles de servicios acordados (disponibilidad de sistemas, tiempos de respuestas)
Estndares industriales Benchmarking Investigacin de los estndares del mercado Proveedores y Competencias Publicaciones sobre actividades especficas, Asociaciones profesionales Evaluacin de los niveles de rendimientos para los entornos de TI
Garantizar el cumplimiento del marco regulatorio Proporcionar gobierno de TI UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 37/54 PRESENTACIN DE CONCLUSIONES - INFORME FINAL DE AUDITORA Previo a la Redaccin del Informe Final de Auditora, se confeccionan los borradores de las conclusiones sobre los controles, anlisis y evaluaciones realizadas por el equipo auditor. En base a dichas conclusiones, se elaboran las recomendaciones, para evaluar conjuntamente con el cliente las diferencias o errores de apreciacin. Esto permitir la correccin o confirmacin de los borradores y recomendaciones mencionadas.
PRESENTACIN DE CONCLUSIONES DE AUDITORA
Se argumentan y documentan en forma objetiva las conclusiones arribadas por el equipo auditor para evitar que sean refutadas o llevadas a niveles personales durante la discusin de lo expuesto A travs de la evaluacin conjunta previa con el cliente de los borradores de las conclusiones, se busca el mayor acercamiento y minimizacin de diferencias de apreciacin a fines de lograr un adecuado consenso y evitar en lo posible el rechazo que puede causar la Auditora al cliente o personal auditado
ESTRUCTURA DEL INFORME FINAL DE AUDITORA Y PLAN DE ACCIN
Se confecciona la Carta de Introduccin o Presentacin del Informe Final: Consta no ms de 3 o 4 folios y solo es dirigida al responsable de la empresa a cargo de la contratacin de la Auditora y acompaando al Informe dirigido al mismo. Los restantes destinos del cliente solo contarn con la copia del Informe. Incluye los objetivos, naturaleza y alcance del Proyecto, cuantificacin de la importancia de las reas analizadas, priorizacin y cuantificacin de las debilidades mas significativas
Cuerpo del Informe Final: Definicin de los objetivos, naturaleza y alcance del Proyecto Identificacin de los entornos de aplicacin de la Auditora, detallando por cada uno de ellos: Descripcin de la situacin actual (identificacin concreta de los hechos con necesidades de cambios o mejoras) Conclusiones y Tendencias (estimacin en base a los parmetros relacionados) Puntos dbiles y amenazas (detalle de consecuencias deducibles de los hechos, repercusiones o influencias sobre otros aspectos de la Organizacin) Recomendaciones y Plan de de Accin (especficas a cada hecho y cuantificable en el tiempo para su seguimiento y control de implementacin) UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 38/54
ANEXO I
HERRAMIENTAS DE EVALUACIONES
MODELOS DE ENCUESTAS Y CUESTIONARIOS
AUDITORA DE TI
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 39/54 EVALUACIN DEL DESARROLLO DE SISTEMAS
En esta etapa del sistema se debern auditar las aplicaciones, su diseo, el leguaje utilizado, interconexin entre los programas y caractersticas del hardware empleado (total o parcial) para el desarrollo del sistema. Las caractersticas que deben evaluarse en los sistemas son: Dinmicos (susceptibles de modificarse). Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un todo) Integrados (un solo objetivo). En l habr sistemas que puedan ser interrelacionados y no programas aislados. Accesibles (que estn disponibles). Necesarios (que se pruebe su utilizacin). Comprensibles (que contengan todos los atributos). Oportunos (que est la informacin en el momento que se requiere). Funcionales (que proporcionen la informacin adecuada a cada nivel). Estndar (que la informacin tenga la misma interpretacin en los distintos niveles). Modulares (facilidad para ser expandidos o reducidos). Jerrquicos (por niveles funcionales). Seguros (que slo las personas autorizadas tengan acceso). nicos (que no duplique informacin).
CONTROLES EN LA ADMINISTRACIN DE PROYECTOS
Existe una lista de proyectos de sistema de procedimiento de informacin y fechas programadas de implantacin que puedan ser considerados como plan maestro? Est relacionado el plan maestro con un plan general de desarrollo de la dependencia? Ofrece el plan maestro la atencin de solicitudes urgentes de los usuarios? Asigna el plan maestro un porcentaje del tiempo total de produccin al reproceso o fallas de equipo? Escribir la lista de proyectos a corto plazo y largo plazo. Escribir una lista de sistemas en proceso periodicidad y usuarios. Quin autoriza los proyectos? Cmo se asignan los recursos? Cmo se estiman los tiempos de duracin? Quin interviene en la planeacin de los proyectos? Cmo se calcula el presupuesto del proyecto? Qu tcnicas se usan en el control de los proyectos? Quin asigna las prioridades? Cmo se asignan las prioridades? Cmo se controla el avance del proyecto? Con qu periodicidad se revisa el reporte de avance del proyecto? Cmo se estima el rendimiento del personal? UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 40/54 Con que frecuencia se estiman los costos del proyecto para compararlo con lo presupuestado? Qu acciones correctivas se toman en caso de desviaciones? Qu pasos y tcnicas siguen en la planeacin y control de los proyectos? Enumerarlos secuencialmente. ( ) Determinacin de los objetivos. ( ) Sealamiento de las polticas. ( ) Designacin del funcionario responsable del proyecto. ( ) Integracin del grupo de trabajo. ( ) Integracin de un comit de decisiones. ( ) Desarrollo de la investigacin. ( ) Documentacin de la investigacin. ( ) Factibilidad de los sistemas. ( ) Anlisis y valuacin de propuestas. ( ) Seleccin de equipos. Se llevan a cabo revisiones peridicas de los sistemas para determinar si an cumplen con los objetivos para los cuales fueron diseados? Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que el departamento de informtica podra satisfacer las necesidades de la dependencia, segn la situacin actual.
EVALUACIN DEL DISEO Y PRUEBA DE LOS SISTEMAS
Quines intervienen al disear un sistema? Usuario. Analista. Programadores. Operadores. Gerente de departamento. Auditores internos. Asesores. Otros. Los analistas son tambin programadores? S ( ) NO ( ) Qu lenguaje o lenguajes conocen los analistas? Cuntos analistas hay y qu experiencia tienen? Qu lenguaje conocen los programadores? Cmo se controla el trabajo de los analistas? Cmo se controla el trabajo de los programadores? Indique qu pasos siguen los programadores en el desarrollo de un programa: Estudio de la definicin ( ) Discusin con el analista ( ) Diagrama de bloques ( ) Tabla de decisiones ( ) Prueba de escritorio ( ) Codificacin ( ) Es enviado a captura o los programadores capturan? ( ) Quin los captura ( ) Compilacin ( ) Elaborar datos de prueba ( ) UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 41/54 Solicitar datos al analista ( ) Correr programas con datos ( ) Revisin de resultados ( ) Correccin del programa ( ) Documentar el programa ( ) Someter resultados de prueba ( ) Entrega del programa ( ) Qu documentacin acompaa al programa cuando se entrega?
ENCUESTAS DE SATISFACCIN DE USUARIOS TI
A fines de verificar si los servicios del Area de TI cubren las necesidades de los usuarios, se disean guas de cuestionarios: Considera que el Area de TI cumple con los resultados esperados?.- Si ( ) No ( ) Por que? Cmo considera usted, en general, el servicio proporcionado por el Area de TI? Deficiente ( ) Aceptable ( ) Satisfactorio ( ) Excelente ( ) Por que? Cubre sus necesidades los servicios proporcionados por el Area de TI? No las cubre ( ) Parcialmente ( ) La mayor parte ( ) Todas ( ) Por que? Hay predisposicin del Area de TI para sus requerimientos? Generalmente no existe ( ) Hay ocasionalmente ( ) Regularmente ( ) Siempre ( ) Por que? Son cumplidos con puntualidad los trabajos y requerimientos solicitados? Nunca ( ) Rara vez ( ) Ocasionalmente ( ) Generalmente ( ) Siempre ( ) Por que? Que piensa del servicio y atencin de los integrantes del Area de TI? Deficiente ( ) Aceptable ( ) Satisfactorio ( ) Excelente ( ) Por que? Que piensa de la asesora y orientacin que se imparte sobre informtica? No se proporciona ( ) Es insuficiente ( ) Satisfactoria ( ) Excelente ( ) Por que? Que piensa de la seguridad en el manejo de la informacin proporcionada por el sistema que utiliza? Nula ( ) UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 42/54 Riesgosa ( ) Satisfactoria ( ) Excelente ( ) Lo desconoce ( ) Por que? Existen fallas de exactitud en los procesos de informacin? Cules? Cmo utiliza los reportes que se le proporcionan? Cules no Utiliza? De aquellos que no utiliza por que razn los recibe? Que sugerencias presenta en cuanto a la eliminacin de reportes, modificacin, fusin, divisin de reporte? Se cuenta con un manual de usuario por Sistema? SI ( ) NO ( ) Es claro y objetivo el manual del usuario? SI ( ) NO ( ) Que opinin tiene el manual? NOTA: Pida el manual del usuario para evaluarlo. Quin interviene de su departamento en el diseo de sistemas? Que sistemas deseara que se incluyeran? Observaciones
CONTROLES DE APLICACIONES ENTRADA DE DATOS
Indique el porcentaje de datos que se reciben en el rea de captacin Indique el contenido de la orden de trabajo que se recibe en el rea de captacin de datos: Nmero de folio ( ) Nmero(s) de formato(s) ( ) Fecha y hora de Nombre, Depto. ( ) Recepcin ( ) Usuario ( ) Nombre del documento ( ) Nombre responsable ( ) Volumen aproximado Clave de cargo de registro ( ) (Nmero de cuenta) ( ) Nmero de registros ( ) Fecha y hora de entrega de Clave del capturista ( ) documentos y registros captados ( ) Fecha estimada de entrega ( ) Indique cul(es) control(es) interno(s) existe(n) en el rea de captacin de datos: Firmas de autorizacin ( ) Recepcin de trabajos ( ) Control de trabajos atrasados ( ) Revisin del documento ( ) Avance de trabajos ( ) Fuente (legibilidad, verificacin de datos completos, etc.) ( ) Prioridades de captacin ( ) Errores por trabajo ( ) Produccin de trabajo ( ) Correccin de errores ( ) Produccin de cada operador ( ) Entrega de trabajos ( ) Verificacin de cifras Costo Mensual por trabajo ( ) Verificacin de cifras de control de entrada con las de salida. ( ) Existe un programa de trabajo de captacin de datos? Se elabora ese programa para cada turno? Diariamente ( ) Semanalmente ( ) Mensualmente ( ) UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 43/54 La elaboracin del programa de trabajos se hace: Internamente ( ) Se les sealan a los usuarios las prioridades ( ) Que accin(es) se toma(n) si el trabajo programado no se recibe a tiempo? Quin controla las entradas de documentos fuentes? En que forma las controla? Que cifras de control se obtienen? Que documentos de entrada se tienen? Se anota que persona recibe la informacin y su volumen? Se anota a que capturista se entrega la informacin, el volumen y la hora? Se verifica la cantidad de la informacin recibida para su captura? Se revisan las cifras de control antes de enviarlas a captura? Para aquellos procesos que no traigan cifras de control se ha establecido criterios a fin de asegurar que la informacin es completa y valida? Existe un procedimiento escrito que indique como tratar la informacin invlida (sin firma ilegible, no corresponden las cifras de control)? En caso de resguardo de informacin de entrada en sistemas, Se custodian en un lugar seguro? Si se queda en el departamento de sistemas, Por cuanto tiempo se guarda? Existe un registro de anomalas en la informacin debido a mala codificacin? Existe un registro de los documentos que entran a capturar? Se hace un reporte diario, semanal o mensual de captura? Se hace un reporte diario, semanal o mensual de anomalas en la informacin de entrada? Se lleva un control de la produccin por persona? Quin revisa este control? Existen instrucciones escritas para capturar cada aplicacin o, en su defecto existe una relacin de programas? Se tienen copias de los archivos en otros locales? Dnde se encuentran esos locales? Que seguridad fsica y confidencialidad se tiene en esos locales? Quin entrega los documentos de salida? En que forma se entregan? Que documentos y que controles se tienen? Se tiene un responsable (usuario) de la informacin de cada sistema? Cmo se atienden solicitudes de informacin a otros usuarios del mismo sistema?
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 44/54 CONTROLES DE APLICACIONES OPERACIN
El objetivo del presente ejemplo de cuestionario es sealar los procedimientos e instructivos formales de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos. Existen procedimientos formales para la operacin del Area de Sistemas? SI ( ) NO ( ) Estn actualizados los procedimientos? SI ( ) NO ( ) Indique la periodicidad de la actualizacin de los procedimientos: Semestral ( ) Anual ( ) Cada vez que haya cambio de equipo ( ) Indique el contenido de los instructivos de operacin para cada aplicacin: Identificacin del sistema ( ) Identificacin del programa ( ) Periodicidad y duracin de la corrida ( ) Especificacin de formas especiales ( ) Especificacin de salidas de impresoras ( ) Etiquetas de archivos de salida, nombre, archivo lgico, fechas de creacin y expiracin ( ) Instructivo sobre materiales de entrada y salida ( ) Altos programados y la acciones requeridas ( ) Instructivos especficos a los operadores en caso de falla del equipo ( ) Instructivos de reinicio ( ) Procedimientos de recuperacin para proceso de gran duracin o criterios ( ) Identificacin de todos los dispositivos a ser usados ( ) Especificaciones de resultados (cifras de control, registros de salida por archivo, etc. ) ( ) Existen rdenes de proceso para cada corrida en la computadora (incluyendo pruebas, compilaciones y produccin)? SI ( ) NO ( ) Son suficientemente claras para los operadores estas rdenes? SI ( ) NO ( ) Existe una estandarizacin de las ordenes de proceso? SI ( ) NO ( ) Existe un control que asegure la justificacin de los procesos en el computador? (Que los procesos que se estn autorizados y tengan una razn de ser procesados. SI ( ) NO ( ) Cmo programan los operadores los trabajos dentro del departamento de cmputo? Primero que entra, primero que sale ( ) se respetan las prioridades, ( ) Otra (especifique) ( ) Los retrasos o incumplimiento con el programa de operacin diaria, se revisa y analiza? SI ( ) NO ( ) Quin revisa este reporte en su caso? Analice la eficiencia con que se ejecutan los trabajos dentro del departamento de cmputo, tomando en cuenta equipo y operador, a travs de inspeccin visual, y describa sus observaciones. Existen procedimientos escritos para la recuperacin del sistema en caso de falla? Cmo se acta en caso de errores? Existen instrucciones especificas para cada proceso, con las indicaciones pertinentes? UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 45/54 Se tienen procedimientos especficos que indiquen al operador que hacer cuando un programa interrumpe su ejecucin u otras dificultades en proceso? Puede el operador modificar los datos de entrada? Se prohibe a analistas y programadores la operacin del sistema que programo o analizo? Se prohibe al operador modificar informacin de archivos o bibliotecas de programas? El operador realiza funciones de mantenimiento diario en dispositivos que as lo requieran? Las intervenciones de los operadores: Son muy numerosas? SI ( ) NO ( ) Se limitan los mensajes esenciales? SI ( ) NO ( ) Otras (especifique) Se tiene un control adecuado sobre los sistemas y programas que estn en operacin? SI ( ) NO ( ) Se rota al personal de control de informacin con los operadores procurando un entrenamien- to cruzado y evitando la manipulacin fraudulenta de datos? SI ( ) NO ( ) Cuentan los operadores con una bitcora para mantener registros de cualquier evento y accin tomada por ellos? Si ( ) por mquina ( ) escrita manualmente ( ) NO ( ) Verificar que exista un registro de funcionamiento que muestre el tiempo de paros y mantenimiento o instalaciones de software. Existen procedimientos para evitar las corridas de programas no autorizados? SI ( ) NO ( ) Existe un plan definido para el cambio de turno de operaciones que evite el descontrol y discontinuidad de la operacin. Verificar que sea razonable el plan para coordinar el cambio de turno. Se hacen inspecciones peridicas de muestreo? SI ( ) NO ( ) - Describir metodologa utilizada. Se permite a los operadores el acceso a los diagramas de flujo, programas fuente, etc. fuera del Area de Sistemas? SI ( ) NO ( ) Se controla estrictamente el acceso a la documentacin de programas o de aplicaciones rutinarias? SI ( ) NO ( ) Cmo? Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la clasificacin de seguridad de operador. Existen procedimientos formales que se deban observar antes de que sean aceptados en operacin, sistemas nuevos o modificaciones a los mismos? SI ( ) NO ( ) Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anteriores? SI ( ) NO ( ) Durante cuanto tiempo? Que precauciones se toman durante el periodo de implementacin? Quin da la aprobacin formal cuando las corridas de prueba de un sistema modificado o nuevo estn acordes con los instructivos de operacin. Se catalogan los programas liberados para produccin rutinaria? SI ( ) NO ( ) UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 46/54 Mencione que instructivos se proporcionan a las personas que intervienen en la operacin rutinaria de un sistema. Indique que tipo de controles tiene sobre los archivos magnticos de los archivos de datos, que aseguren la utilizacin de los datos precisos en los procesos correspondientes. Existe un lugar para archivar las bitcoras del sistema del equipo de cmputo? SI ( ) NO ( ) Indique como est organizado este archivo de bitcora. Por fecha ( ) por fecha y hora ( ) por turno de operacin ( ) Otros ( ) Cul es la utilizacin sistemtica de las bitcoras? Adems de las mencionadas anteriormente, que otras funciones o reas se encuentran en el departamento de cmputo actualmente? Verifique que se lleve un registro de utilizacin del equipo diario, sistemas en lnea y batch, de tal manera que se pueda medir la eficiencia del uso de equipo. Se tiene inventario actualizado de los equipos y terminales con su localizacin? SI ( ) NO ( ) Cmo se controlan los procesos en lnea? Se tienen seguros sobre todos los equipos? SI ( ) NO ( ) Con que compaa? Solicitar plizas de seguros y verificar tipo de seguro y montos. Cmo se controlan las llaves de acceso (Password)?.
CONTROLES DE LOS MEDIOS DE ALMACENAMIENTO
El objetivo de este cuestionario es evaluar la metodologa para administrar los dispositivos de almacenamientos de la informacin. Los locales asignados a la cintoteca y discoteca tienen: Aire acondicionado ( ) Proteccin contra el fuego ( ) (sealar que tipo de proteccin) Cerradura especial ( ) Otra Tienen los soportes magnticos con proteccin automtica contra el fuego? SI ( ) NO ( ) Que informacin mnima contiene el inventario de los soportes magnticos? Nmero de serie ( ) Nmero o clave del usuario ( ) Nmero del archivo lgico ( ) Nombre del sistema que lo genera ( ) Fecha de expiracin del archivo ( ) Nmero de volumen ( )
Se verifican con frecuencia la validez de los inventarios de los archivos magnticos? SI ( ) NO ( ) En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican satisfactoriamente las discrepancias? SI ( ) NO ( ) UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 47/54 Que tan frecuentes son estas discrepancias? Se tienen procedimientos que permitan la reconstruccin de un archivo, el cual fue inadvertidamente destruido? SI ( ) NO ( ) Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de acceso? SI ( ) NO ( ) Cmo? Existe un control estricto de las copias de estos archivos? SI ( ) NO ( ) Que medio se utiliza para almacenarlos? Mueble con cerradura ( ) Bveda ( ) Otros (especifique) Este almacn esta situado: En el mismo edificio del departamento ( ) En otro lugar ( ) Cul? Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos? SI ( ) NO ( ) Se certifica la destruccin o baja de los archivos defectuosos? SI ( ) NO ( ) Se registran como parte del inventario las nuevas cintas que recibe la biblioteca? SI ( ) NO ( ) Se tiene un responsable, por turno, de los almacenamientos de archivos? SI ( ) NO ( ) Se realizan controles peridicos a los medios de almacenamiento? SI ( ) NO ( ) Que medidas se toman en el caso de extravo de algn dispositivo de almacenamiento? Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado? SI ( ) NO ( ) Se tiene relacin del personal autorizado para firmar la salida de archivos confidenciales? SI ( ) NO ( ) Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolvern? SI ( ) NO ( ) Se lleva control sobre los archivos prestados por cada aplicacin? SI ( ) NO ( ) En caso de prstamo Conque informacin se documentan? Nombre del destinatario autorizado a quin se hace el prstamo. fecha de recepcin ( ) fecha en que se debe devolver ( ) archivos que contiene ( ) formatos ( ) cifras de control ( ) cdigo de grabacin ( ) nombre del responsable que los presto ( ) otros Indique qu procedimiento se sigue en el reemplazo de las cintas que contienen los archivos maestros Que poltica de conservacin de archivos se utiliza? UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 48/54 En los procesos que manejan archivos en lnea, Existen procedimientos para recuperar los archivos? SI ( ) NO ( ) Estos procedimientos los conocen los operadores? SI ( ) NO ( ) Con que periodicidad se revisan estos procedimientos? MENSUAL ( ) ANUAL ( ) SEMESTRAL ( ) OTRA ( ) Existe un responsable en caso de falla? SI ( ) NO ( ) Explique que polticas se siguen para la obtencin de archivos de respaldo? Existe un procedimiento para el manejo de informacin de los medios de almacenamientos? SI ( ) NO ( ) Est en conocimiento y es cumplimentado por los responsables asignados? SI ( ) NO ( ) Se distribuyen en forma peridica entre los jefes de sistemas y programacin informes de archivos para que liberen los dispositivos de almacenamiento? SI ( ) NO ( ) Con qu frecuencia?
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 49/54
ANEXO II
MODELO DE CONTRATO. AUDITORA DE TI
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 50/54
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 51/54
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 52/54
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 53/54
UNIVERSIDAD TECNOLOGICA NACIONAL - FACULTAD REGIONAL ROSARIO SISTEMAS DE INFORMACION
Asignatura: ADMINISTRACION DE RECURSOS Unidad 2: Seguridad de la Informacin y Auditora - Captulo 2: Auditora Autor: Lic. Sergio Gasparroni Agosto de 2011 Revisora: Lic. Fabiana Mara Riva. Pgina 54/54