Presentado por: Ing.

Durwin Ruiz
Agenda
Hoy
Qu es Auditora de
Sistemas
Objetivos
Importancia
Tipos de auditora
Procedimientos y
tcnicas de Auditora
Metodologa
Presentacin de
Informes
Una auditora de seguridad informtica
comprende el anlisis y gestin de
sistemas para identificar y posteriormente
corregir las diversas vulnerabilidades que
pudieran presentarse en una revisin
exhaustiva de las estaciones de trabajo,
redes de comunicaciones o servidores.
La palabra auditora proviene del latn auditorius, y de ella se
deriva la palabra auditor, que se refiere a todo aquel que tiene
la virtud de or.
Qu es Auditora de Sistemas ?
Emitir una opinin responsable y profesional
respaldada en evidencias comprobadas
Mantener una disciplina profesional
Guardar el secreto profesional
Capacitacin y adiestramiento permanentes
Realizar una planeacin de la auditora y de los
programas de evaluacin
Acatar las normas y obligaciones de carcter legal
Evitar y prevenir sobornos, componendas y ddivas
Ser imparcial en los juicios que emite como auditor
Normas profesionales del auditor
El auditor de sistemas debe:
Falta de consistencia
Juicios de valor
Nombres propios
Abreviaturas
Qu evitar en una Auditora?
Evaluar el uso de los recursos financieros en las reas de
informacin, as como del aprovechamiento del sistema
computacional, sus equipos e infraestructura.
Evaluar el cumplimiento de planes, programas, estndares,
polticas, normas y lineamientos que regulan las funciones
y actividades de las reas y de los sistemas de
procesamiento de informacin, as como de su personal y
de los usuarios.
OBJETIVOS
- Se puede difundir y utilizar resultados o informacin errnea si los datos
son inexactos o los mismos son manipulados, lo cual abre la posibilidad de
que afecte seriamente las operaciones, tomas de decisiones o la imagen de
la empresa.
- Las computadoras, servidores y centros de base de datos se han
convertido en blanco para fraudes, espionaje, delincuencia y terrorismo
informtico.
- La continuidad de las operacin, administracin y organizacin de la
empresa no debe permanecer en un sistema mal diseado, ya que podra
convenirse en un serio peligro para la empresa.
- Existen grandes posibilidades de robo de secretos comerciales,
informacin financiera, administrativa, la transferencia ilcita de tecnologa
y dems delitos informticos.
Importancia de una Auditora de Sistemas ?
- Mala imagen e insatisfaccin de los usuarios porque no reciben el
soporte tcnico adecuado o no se reparan los daos de hardware ni se
resuelven los problemas en un lapso razonable, es decir, el usuario
percibir que est abandonado y desatendido permanentemente, esto
dar una mala imagen de la organizacin.
- En el Departamento de Sistemas se observa un incremento de costos,
inversiones injustificadas o desviaciones presupuestarias significativas.
-Evaluacin de nivel de riesgos en lo que respecta a seguridad lgica,
seguridad fsica y confidencialidad.
- Mantener la continuidad del servicio, la elaboracin y la actualizacin de
los planes de contingencia para lograr este objetivo.
Importancia de una Auditora de Sistemas ?
- El inadecuado uso de la computadora para usos
ajenos a la organizacin que puede llegar a producir
problemas de infiltracin, borrado de informacin y un
mal rendimiento.
- Las comunicaciones es el principal medio de negocio
de las organizaciones, una dbil administracin y
seguridad podra lograr una mala imagen, retraso de
negocios, falta de confianza para los clientes y una
mala expectativa para la produccin.
Importancia de una Auditora de Sistemas ?
El permetro de la
red local o corporativa
es estudiado y se
analiza el grado de
seguridad que ofrece
en las entradas
exteriores . Seuridad
fsica, lgica, BD,
personal de
informtica,
telecomunicaciones,
aplicaciones web
(comprobar
vulneabilidades como:
Backdoors)
Establecer como
prioridad la seguridad
y proteccin de la
informacin (evitar
anlisis forense,
postmorten), prevenir
manipulacin
fraudulenta de
informacin, errores
de operacin, verificar
veracidad y exactitud
del procesamiento de
datos, efectuar
pruebas (caja negra,
blanca)
Se desea una
revisin de los
sistemas actuales,
estandarizar las
metodologas de
desarrollo, elaborar
estudios de
factibilidad de
proyectos, garantizar
la eficiencia y eficacia
del anlisis y diseo
de los sistemas, lograr
participacin activa de
los usuarios,
implementacin de
manuales e
instructivos de usuario
Determinar los
niveles de autoridad y
responsabilidad que
se necesita en la
estructura
organizativa del rea
de sistemas.
-Asignacin de
actividades.
-Distribucin de
recursos
-Establecimiento de
estndares y mtodos.
-Perfiles de puestos
SOBRE EL ANALISIS
DESARROLLO E IMPL. DE SIST.
SOBRE LA SEGURIDAD DEL
AREA DE SISTEMAS
SOBRE OPERACION, PROCED.
DE ENTRADA, SALIDA Y
EMISION DE RESULTADOS
SOBRE LA ORGANIZACION
DEL AREA DE INFORMATICA
El uso de una metodologa
facilitar el desarrollo del plan de
auditora, dentro de las etapas a
realizar se encuentran las
siguientes:
Metodologa para la realizacin
- Planeacin de la Auditora de sistemas
- Ejecucin de la Auditora de Sistemas
- Dictamen de la Auditora de Sistemas
Una planeacin adecuada es el primer paso
necesario para realizar auditoras de sistema
eficaces. El auditor de sistemas debe comprender el
ambiente del negocio en el que se ha de realizar la
auditora as como los riesgos del negocio y control
asociado.
Planeacin de la auditora de sistemas
Dentro de los pasos ms importantes a
considerar en una AS se encuentran los
siguientes:
Planeacin de la auditora
a. Identificar el origen de la auditora
Por solicitud expresa de procedencia interna
Por solicitud expresa de procedencia externa
Como consecuencia de emergencias y condiciones especiales
Por riesgos y contingencia informticas
b. Realizar una visita preliminar al rea que ser evaluada
Visita preliminar de arranque
Contacto inicial con funcionarios y empleados del rea
Identificacin preliminar de la problemtica del rea de sistemas
Calcular los recursos y personas necesarias para la auditora
Planeacin de la auditora
c. Establecer los objetivos de la auditora
Objetivo general
Objetivos especficos
d. Determinar los puntos que sern evaluados en la auditora
Evaluacin de las funciones y actividades del personal del AS
Evaluacin de hardware, software, base de datos, otros rec. Inf.
Evaluacin de recursos humanos
Personal, apoyos materiales y administrativos, recursos
econmicos
Planeacin de la auditora
e. Elaborar planes, programas y presupuestos
Elaborar el documento formal de los planes de trabajo
(Cartula, ndice, definicin de objetivos, delimitacin de
estrategias, plan, definicin de normas polticas y lineamientos para
el desarrollo)
Elaborar los planes de actividades (cronogramas)
Elaborar presupuestos (Asignacin de costos)
Planeacin de la auditora
PLAN DE AUDITORA DE SISTEMAS
Lugar y fecha:
SEMANAS
No. Actividad Responsable 1 2 3 4 5 6 7 8
1 Elaboracin del plan de auditora Grupo de auditora
2 Aprobacin del plan de auditora Gerente
3 Preparacin de instrumentos Responsable de auditora
4 Inicio de actividades Asistente de responsable
5 Asignacin de vaticos y otros gastos Auditores asignados
6 Inicio de auditora Auditores asignados
7 Auditar gestin informtica Auditores asignados
8 Auditar Base de Datos Auditores asignados
9 Auditar Sistemas de Cmputo Auditores asignados
10 Auditar Personal informtico Auditores asignados
11 Auditar la Seguridad de los Sistemas Auditores asignados
12 Presentar borrador de informe Responsable de auditora
Planeacin de la auditora
f. Identificar y seleccionar los mtodos, herramientas y proced.
Establecer una gua de ponderacin de puntos a evaluar
Elaborar los documentos para recopilacin de informacin
Aplicar y obtener los resultados de las pruebas, programas y
sistemas para realizar las evaluaciones necesarias
Planeacin de la auditora
FACTORES PRIMARIOS QUE SERAN PONDERADOS
No. Factor Peso Especfico
1 Objetivos del centro de informtica 10%
2 Estructura de organizacin 10%
3 Funciones 15%
4 Sistemas de informacin 20%
5 Personal y usuarios 15%
6 Documentacin de los sistemas 2%
7 Actividades y operacin del sistemas 14%
8 Configuracin del sistema 4%
9 Instalaciones del centro de informtica 10%
Peso total de la ponderacin 100%
Una vez realizados los planes es necesario
ejecutarlos, esta etapa estar determinada por las
caractersticas concretas, puntos y requerimientos de
la etapa de planeacin.
Ejecucin de la Auditora de Sistemas
Ejecucin de la Auditora de Sistemas
a. Utilizar los programas de auditora, segn los
tiempos y recursos designados
b. Aplicar los instrumentos y herramientas para la
auditora
c. Identificar y elaborar los documentos de
desviaciones encontradas
d. Elaboracin del dictamen preliminar y presentarlo
a discusin
e. Integrar la documentacin y papeles de trabajo de
la auditora
Es el resultado final de la auditora de sistemas. Sus
fases son las siguientes:
Elaboracin del dictamen de la Auditora
a. Analizar la informacin elaborar un informe de situaciones detectadas
Analizar los papeles de trabajo
Sealar las situaciones encontradas
Comentar las situaciones encontradas
Realizar las modificaciones necesarias
Elaborar un documento de situaciones relevantes
Elaboracin del dictamen de la Auditora
b. Elaborar el dictamen final
Analizar la informacin y elaborar un documento de desviaciones
detectadas
Elaborar el informe y el dictamen formal
Comentar el informe y dictamen con los directivos del rea
Realizar las modificaciones necesarias
c. Presentar el informe de auditora
Elaboracin del dictamen formal
Integracin del informe de auditora
Presentacin del informe de auditora
Integracin de los papeles de trabajo
RIESGOS DE UNA AUDITORIA
A. Riesgo y materialidad de auditora.
Los riesgos en auditora pueden clasificarse de la siguiente manera:
Riesgo inherente: Cuando un error material no se puede evitar que suceda
por que no existen controles compensatorios relacionados que se puedan
establecer.
Riesgo de Control: Cuando un error material no puede ser evitado o
detectado en forma oportuna por el sistema de control interno.
Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas exitosas a
partir de un procedimiento inadecuado.
El auditor puede llegar a la conclusin de que no existen errores materiales
cuando en realidad los hay.
La palabra "material se refiere a un error que debe considerarse
significativo cuando se lleva a cabo una auditora.
B. Tcnicas de evaluacin de Riesgos.
Existen cuatro motivos por los que se utiliza la evaluacin de riesgos, estos
son:
Permitir que la gerencia asigne recursos necesarios para la auditora.
Garantizar que se ha obtenido la informacin pertinente de todos los niveles
gerenciales, y garantiza que las actividades de la funcin de auditora se
dirigen correctamente a las reas de alto riesgo y constituyen un valor
agregado para la gerencia.
Constituir la base para la organizacin de la auditora a fin de administrar
eficazmente el departamento.
Proveer un resumen que describa como el tema individual de auditora se
relaciona con la organizacin global de la empresa as como los planes del
negocio.
RIESGOS DE UNA AUDITORIA
Seguimiento de las observaciones de auditora.
El nivel de revisin de
seguimiento del auditor de
sistemas depender de diversos
factores, en algunos casos el
auditor de sistemas tal vez solo
necesite asumir sobre la
situacin actual, en otros casos
tendr que hacer una revisin
ms tcnica del sistema.
RECOMENDACIONES
1) Capacitar a los gerentes y
directivos enfatizando el
tema de seguridad para
que sea incluido en la visin
de la empresa.
2) Definir los procesos de flujo de la informacin y sus
riesgos (es indispensable realizar estimaciones
econmicas).
3) Identificar
claramente las
reas de mayor
riesgo corporativo
y trabajar con
ellas planteando
soluciones de alto
nivel (relativo a la
envergadura de la
institucin).
Presentado por Ing. Durwin Ruiz
-4) Capacitar a
todos los
trabajadores en los
elementos de
seguridad bsica:
Uso de password,
instalacin de
programas, manejo
de correo
electrnico, etc.
"Cuando soplan fuertes vientos de cambio, algunas personas
construyen refugios, otras hacen molinos...! Mervyn Evan
Mencione algunas opciones para brindar
un mejor control de acceso a una Base
de Datos?
1. Bitcora (log) de todos los accesos a la informacin
personal
2. Contrasea separada para las transacciones
3. Que el software restrinja las reglas de acceso al
personal autorizado
4. Acceso al sistema, restringido a horas hbiles
Control efectivo para un antivirus es:
1. Escanear los archivos adjuntos de correo electrnico
en el servidor de correo
2. Restaurar sistemas a partir de copias limpias
3. Deshabilitar las unidades de diskettes
4. Un escaneo en lnea con definiciones actualizadas de
virus
5. Uso de Firewalls
Qu polticas se deben implementar a usuarios
para acceso a servicios en internet?