Auditoria de Sistemas IS-547

Ingeniera de Sistemas

ESCENARIOS DE RIESGO Y CONTROLES

SEM
6

SEGURIDAD DE REDES
Consideraciones de una red
Los puntos de entrada en la red son generalmente el correo, las pginas web y la entrada de
ficheros desde discos, o de ordenadores ajenos, como porttiles.
Mantener al mximo el nmero de recursos de red slo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos
de los usuarios al mnimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan
trabajar durante el tiempo inactivo de las mquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperacin, cmo se
ha introducido el virus.
SEGURIDAD
Un sistema operativo, ofrece un potente conjunto de mecanismos de seguridad para los
administradores de Red, conscientes de los aspectos de seguridad, contempla una serie de
alternativas de seguridad:
Seguridad a nivel de cuentas.
Seguridad a nivel de claves de acceso.
Seguridad de directorios.
Seguridad de archivos.
Seguridad entre redes.
La seguridad de una red est implementada como una pequea base de datos de propsito
especial denominada Bindery (entorno).
Cada servidor de archivos posee una base de entorno y la utiliza para administrar la seguridad
de sus recursos locales, servicios y cuentas. Este entorno ofrece las bases sobre las que se
basan diversos mecanismos de seguridad, incluyendo :
La seguridad de cuentas
Seguridad de claves de acceso
Seguridad de directorios
Seguridad de archivos y
Seguridad entre redes

Auditoria de Sistemas IS-547

Ingeniera de Sistemas

SEGURIDAD ENTRE REDES

En una red de redes, la arquitectura de sistema de Netware garantiza una distribucin de
servicios segura y fiable. De la seguridad de cada sub-red se encarga el servidor local de la red
que ofrece los servicios requeridos. Es ms, los recursos de la red se amplan con un nivel de
seguridad, superior al del cliente que demanda servicios. Independientemente de la
localizacin del cliente, sern "invisibles" para el cliente, no pudiendo as ser ledos, escritos o
destruidos por ste.
Para el desarrollador que requiere un mayor control, la arquitectura abierta de Netware y las
interfaces de programacin ofrecen la posibilidad de desarrollar aplicaciones de conexin
personalizadas. Se puede hacer que un cliente que utilice un procedimiento de conexin
personalizado, no sea consciente de los servicios y recursos a los que est accediendo su
aplicacin. Los clientes que trabajan a nivel de la red de redes, se pueden separar en grupos
de servidores y recursos enteros gracias a esta capacidad. De hecho, los desarrolladores
pueden incorporar servicios y recursos de cualquier punto de la red en una aplicacin, sin que
el usuario tenga conocimiento de tal proceso, o de la localizacin e identidad de recursos.

CONTROL INTERNO
Definicin del control interno
El control interno es un proceso establecido por el Directorio, la Gerencia y todos los niveles del
personal, para brindar una seguridad razonable de que se lograrn los objetivos de negocios
de la organizacin.
Clasificacin de los controles
Preventivos
Detectivos
Correctivos
Controles Preventivos
Son aquellos que detectan los problemas antes de que surjan. Por ejemplo:
Emplear personal calificado
Segregar tareas (factor disuasivo)
Controlar el acceso a las instalaciones fsicas.
Usar documentos bien diseados
Usar software de control de acceso.
Controles Detectivos
Detectan que ha ocurrido un error, una omisin o un acto malicioso. Por ejemplo:
Puntos de Verificacin
Verificaciones dobles de los clculos.
Reportes de cuentas de acceso vencidas
Funciones de Auditoria Interna
Controles Correctivos
Son aquellos que minimizan el impacto de una amenaza, remedian problemas descubiertos,
identifican la causa del problema, corrigen los errores. Por ejemplo:
Planeacin de la Contingencia
Procedimiento de copias de seguridad
Procedimiento de una nueva ejecucin de un programa
OBJETIVOS DE CONTROL DE LOS SISTEMAS DE INFORMACIN

Auditoria de Sistemas IS-547

Ingeniera de Sistemas

Los objetivos de control, en un ambiente de sistemas de informacin, no cambian respecto a

los de un ambiente manual. Sin embargo, pudieran cambiar los mecanismos de control.
Entonces, los objetivos del control interno se deben enfocar segn los procesos relacionados
con los SI.
CONTROLES
Salvaguardar Activos
Garantizar la integridad de los entornos operativos, administracin de la Red
Garantizar entornos sensitivos:
Autorizacin de ingreso al Centro de Cmputo
Exactitud, integridad, Confiabilidad en la informacin de salida.
Integridad de Base de Datos
Cumplimientos de los requerimientos de los usuarios
Desarrollo de Planes de Continuidad
Objetivos de Control en los Sistemas de Informacin
Incluyen los siguientes controles
COBIT 4.0
Objetivos de control y Normas de buenas prcticas en TI
34 objetivos de control de alto nivel
Procedimientos de control en SI
Los procedimientos de control incluyen polticas y prcticas establecidas por la Gerencia, para
proveer una seguridad razonable de lograr objetivos especficos.
Controles Generales de SI
Llamados tambin controles persuasivos dirigidos al entorno y a los sistemas operativos.
Controles de Aplicativos
Dirigido a los aplicativos empresariales como sistemas de pago de planillas, Sistemas de
administracin de produccin, etc.
Tcnicas de Auditora Asistida por Computadora
CAATs son una importante herramienta para que los auditores de SI recopilen
informacin independientemente
CAATs incluyen:
o Software generalizado de auditora (ACL, IDEA, etc.)
o Software utilitario
o Datos de prueba
o Software de aplicacin para auditora permanente en lnea
o Sistemas expertos en auditora
Tcnicas de auditora asistida por computadora
Necesidad de CAATs
Recopilacin de evidencia
Funcionalidades
Funciones soportadas
reas de inters

Auditoria de Sistemas IS-547

Ingeniera de Sistemas

EJECUCIN DE LA AUDITORA SI
PLANIFICACION DE LA AUDITORIA
Para realizar una planificacin de auditora, el auditor de SI debe:
1. Lograr un entendimiento del propsito, objetivos, procesos y tecnologa del negocio, as
como los requerimientos de procesamiento como disponibilidad, integridad y seguridad y los
requerimientos de la arquitectura de la informacin.
2. Realizar un anlisis de riesgo
3. Llevar a cabo una revisin del Control Interno
4. Establecer el alcance y objetivo de la auditora
5. Desarrollar un enfoque de auditora o estrategia de auditora
6. Asignar recursos para auditar y los requerimientos logsticos.
LEYES Y REGULACIONES
Requerimientos reguladores
Constitucin
Organizacin
Responsabilidades
Correlacin con las funciones de la auditora financiera, operativa y de TI
NORMAS Y DIRECTRICES DE ISACA PARA LA AUDITORA DE SI
Normas de ISACA para la Auditora de SI
Directrices de ISACA para la Auditora de SI
Cdigo de tica Profesional de ISACA
OBJETIVOS DE LAS NORMAS DE AUDITORA DE ISACA PARA SI
Informar a la Gerencia y a las partes interesadas, acerca de las expectativas de la
profesin respecto al desempeo de quienes participan en esta actividad
Informar a los Auditores de Sistemas de Informacin cul es el mnimo nivel de
desempeo aceptable, requerido para cumplir las responsabilidades profesionales
fijadas en el Cdigo de tica Profesional de ISACA.
Estndares
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.

aplicables a la Auditoria de Sistemas

Estatuto de Auditora
Independencia
tica Profesional y Estndares
Competencia
Planificacin
Realizacin del Trabajo de Auditora
Informe
Seguimiento de las Actividades
Irregularidades y Actos Ilegales
Gobierno de TI
Empleo de evaluacin de riesgo en planificacin de auditora

Definicin de auditora
Proceso sistemtico por el cual una persona independiente y competente, de manera objetiva
obtiene y evala evidencia respecto a las aseveraciones sobre una entidad, o un evento de tipo
econmico, con el propsito de formarse una opinin e informar acerca del grado hasta el cual
la aseveracin se aproxima a un determinado conjunto de normas.
Normas, Metodologas , Legislaciones aplicables
Entre los distintos organismos relacionados comercial y/o institucionalmente con los temas de
Seguridad de la Informacin podemos encontrar:

Auditoria de Sistemas IS-547

Ingeniera de Sistemas

Information System an Audit Control Association- ISACA:

British Estndar Institute: BS
International Standards Organization : Normas ISO
Departamento de Defensa de USA: Orange Book /Common Criteria
Sarbanes Oxley Act, HIPAA Act

Clasificacin de las auditoras:

Financieras : Determinar la correccin del estatus o registros financieros
Operativas : Evaluar la estructura de control interno de un proceso o rea determinada
Integradas: Auditoria Financiera + Auditora Operativa(Pruebas de cumplimiento y pruebas
sustantivas :
Administrativas: Eficiencia de la productividad operativa
Sistemas de Informacin: Aquella que salvaguarda adecuadamente los activos para
mantener la integridad de datos, del sistema a fin de proveer informacin relevante
Definicin de la auditora de SI
La auditora de SI es el proceso de recopilar y evaluar evidencia, para determinar si los
sistemas de informacin y los recursos relacionados, adecuadamente protegen los activos,
mantienen la integridad de los datos y de los sistemas, proveen informacin relevante y
confiable logran las metas organizacionales, utilizan eficientemente los recursos, y cuentan con
controles internos vigentes que brindan una seguridad razonable de que se cumplirn los
objetivos operativos y de control, y que se evitar, o detectar y corregir, de manera oportuna,
cualesquier eventos indeseables.
Procedimientos generales de auditora
Conocimiento del rea / tema de la auditora
Evaluacin del riesgo y plan general de la auditora
Planeamiento detallado de la auditora
Revisin preliminar del rea / tema de la auditora
Pruebas de Cumplimiento
Comprobar que los controles funcionen, si estn definidos los resultados de estas pruebas
permiten al auditor extender a pruebas sustantivas, Por ejemplo: Si las versiones fuente y
objeto son las mismas
Pruebas Sustantivas
Evala la integridad de las transacciones individuales de datos. Revisin cuantitativa, por
ejemplo: Pruebas de Caja Blanca
Metodologa / Estrategia de Auditora

Declaracin del alcance

Declaracin de los objetivos de la auditora
Declaracin del programa de trabajo

Fases tpicas de la auditora

Objetivos de control
Objetivos de auditora
Diferencia entre los objetivos de control y los objetivos de auditora
o Saber que controles estn funcionado, a fin de minimizar los riesgos del
negocio, y Asegurar el cumplimiento de requisitos legales
Como es que un control funcionar

Como es que un control debe funcionar para minimizar el riesgo y que las
cosas se hagan segn indique la norma

Riesgo de auditora y materialidad

Se aplica un enfoque de auditora basado en el riesgo, para evaluarlo y ayudar al auditor de SI
a decidir si realiza pruebas de cumplimiento o pruebas sustantivas.

Auditoria de Sistemas IS-547

Ingeniera de Sistemas

Enfoque basado en el riesgo

nfasis en el conocimiento del negocio y de la tecnologa
Centrado en evaluar la eficacia de la combinacin de los controles
Asocia la evaluacin del riesgo con las pruebas orientadas a los objetivos de control
Enfoca la entidad desde una perspectiva gerencial
1. Reunir informacin y Planificar
Conocimiento del negocio
Informacin del ao anterior
Leyes Regulatorias
Riesgos inherentes
2. Lograr entender el control interno
Ambiente de control
Procedimientos de control
Control del riesgo
3. Efectuar Pruebas de Cumplimiento
Comprobar las polticas y procedimientos
Comprobar segregacin de funciones
4. Efectuar Pruebas Sustantivas
Procedimientos analticos
5. Concluir la Auditoria