Presentado por: Ximena Anette Williams

El Planeamiento de la Auditoria garantiza el diseo de una estrategia adaptada las condiciones de cada entidad tomando como base la informacin recopilada en la etapa de Exploracin Previa.
En este proceso se organiza todo el trabajo de Auditoria, las personas implicadas, las tareas a realizar por cada uno de los ejecutantes, los recursos necesarios, los objetivos, programas a aplicar entre otros, es el momento de planear para garantizar xito en la ejecucin de la misma. En el siguiente artculo se plantean los elementos ms importantes de esta etapa con el fin de lograr el cumplimiento de los objetivos y la mejor ejecucin de la Auditoria.

Auditora de sistemas computacionales (Auditora informtica) Motivados por la importancia de continuar con la exposicin de las definiciones de cada uno de los tipos de auditoras, y debido a que la esencia de este libro es enfatizar la tras cendencia, utilidad y especialidad de la auditora de sistemas computacionales (ASC), a continuacin presentamos cada una de las definiciones de auditoras especializadas de los sistemas computacionales, las cuales se aplican para las diferentes reas y disciplinas de este ambiente informtico. Estas definiciones contendrn nicamente la exposicin de los principales conceptos de esta auditora y, si es el caso, un breve comentario, ya que en los siguientes captulos profundizaremos en su estudio y aplicaciones. Las definiciones propuestas para la auditora de sistemas computacionales son las siguientes:

Auditoria informtica Auditoria con la computadora Auditoria sin la computadora Auditoria a la gestin informtica Auditoria al sistema de computo Auditoria en el entorno de la computadora Auditoria sobre la seguridad de los sistemas computaciones Auditoria a los sistemas de redes Auditoria integral a los centros de computo Auditoria ISO-9000 al os sistemas computacionales Auditoria Outsorcing Auditoria ergonmica de sistemas computacionales

Finalidad y utilidad. Estos dos conceptos sern el referente para diferenciar los distintos tipos de auditoria que se pueden plantear en una red telemtica.

Su objetivo es evaluar la seguridad de la red interna de una empresa ante la posibilidad de recibir ataques por parte de un hacker que haya conseguido alcanzar la intranet o ataques provenientes de personal interno a la empresa. La Auditora de la Red Interna se centra en evaluar la seguridad de los sistemas de proteccin perimetral situados en la red interna de una empresa (routers y firewalls que separan subredes, etc) as como los diferentes sistemas que estn localizados en dicha red (sistemas host, servidores de ficheros, de impresin, de web, de correo, de noticias, etc). Se parte de dos posibles situaciones: 1. Un hacker ha conseguido superar el router/firewall externo e interno y se ha conectado a la red interna. 2. Un empleado de la empresa con uno de los siguientes perfiles: Usuario normal no privilegiado, programador con ciertos niveles de privilegio, administrador de sistemas con alto nivel de privilegio

Revisar los conceptos del router y su configuracin por defecto para analizar que aseguramiento tiene en sta configuracin. Revisar las partes fsicas y lgicas de la red

Revisar las caractersticas del switch y su configuracin por defecto. Verificar que el control de acceso de los usuarios. Proteger la informacin de la empresa, y los recursos fsicos. Establecer normas y polticas.

Fsicas Lgicas redes inalmbricas

Se debe garantizar que exista: reas de equipo de comunicacin con control de acceso. Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperacin del sistema. Control de las lneas telefnicas. Comprobando que: El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad fsica del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas telefnicas. Las lneas de comunicacin estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma.

Haya procedimiento de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red. Existan revisiones peridicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retro llamada, cdigo de conexin o interruptores.

En sta, debe evitarse un dao interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para ste tipo de situaciones: Se deben dar contraseas de acceso. Controlar los errores. Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informacin a la red.

Registrar las actividades de los usuarios en la red. Encriptar la informacin pertinente. Evitar la importacin y exportacin de datos. Que se comprueban si: El sistema pidi el nombre de usuario y la contrasea para cada sesin: En cada sesin de usuario, se debe revisar que no acceda a ningn sistema sin autorizacin, ha de inhabilitarse al usuario que tras un nmero establecido de veces erra en dar correctamente su propia contrasea, se debe obligar a los usuarios a cambiar su contrasea regularmente, las contraseas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar informacin sobre su ltima conexin a fin de evitar suplantaciones.

Inhabilitar el software o hardware con acceso libre. Generar estadstica de las tasas de errores y transmisin. Crear protocolos con deteccin de errores. Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor. El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados. Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. Se debe hacer un anlisis del riesgo de aplicaciones en los procesos. Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizacin.

Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red. Deben existir polticas que prohban la instalacin de programas o equipos personales en la red. Los accesos a servidores remotos han de estar inhabilitados. La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: Servidores = Desde dentro del servidor y de la red interna. Servidores web. Intranet = Desde dentro. Firewall = Desde dentro. Accesos del exterior y/o Internet.

El control es una de las fases del proceso administrativo y se encarga de evaluar que los resultados obtenidos durante el ejercicio se hayan cumplido de acuerdo con los planes y programas previamente determinados, a fin de retroalimentar sobre el cumplimiento adecuado de las funciones y actividades que se reportan como las desviaciones encontradas; todo ellos para incrementar la eficiencia y eficacia de una institucin.

El control interno es la adopcin de una serie de medidas que se establecen en las empresas, con el propsito de contar con instrumento tendientes a salvaguardar la integridad de los bienes institucin y as ayudar a la administracin y cumplimiento correcto de las actividades y operaciones de las empresas . Con la implantacin de tales medidas se pueden conseguir los siguiente beneficios: Proteger y salvaguardar los bienes de la empresa y a su personal Prevenir y en su caso, descubrir la presencia de fraudes, robos y acciones dolosas. Obtener la informacin contable, financiera y administrativa de manera confiable y oportuna. Promover el desarrollo correcto de las funciones, operaciones y actividades de la empresa.

El sistema de control interno comprende el plan de la organizacin y todos los mtodos coordinados y medidas adoptadas dentro de una empresa con el fin de salvaguardar sus activos y verificara la confiabilidad de los datos contables.

Definiciones El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados. (Auditora Informtica - Aplicaciones en Produccin - Jos Dagoberto Pinilla) El Informe COSO define el Control Interno como "Las normas, los procedimientos, las prcticas y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y se corregirn. Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (Auditora Informtica - Un Enfoque Prctico - Mario G. Plattini)

Debido a que cada da es mas frecuente el uso de redes en las instituciones, las cuales que van desde simples redes internas y redes locales (LANs), hasta las redes metropolitanas (MANs) o las redes instaladas a escala mundial (WANs). El establecimientos para estos controles para la seguridad en sistemas de redes y sistemas multiusuario de una empresa es de vital importancia. Razn por la cual se debe tomar medidas muy especificas para la proteccin, resguardo y uso de programas, archivos e informacin compartida de la empresa.

Respecto a la seguridad en redes, existe un sinnmero de medidas preventivas y correctivas, las cuales constantemente se incrementan en el mundo de los sistemas. Debido a la caractersticas de los propios sistemas computacionales , a las formas de sus instalaciones , el numero de terminales y a sus tipos de conexin , es necesario adaptarse a los constantes cambios tecnolgicos que buscan garantizar la seguridad en el funcionamiento de las propias redes, de sus programas de uso colectivo, de su archivos de informacin y de su dems caractersticas.

La seguridad en las redes es muy eficiente y con una profundidad digna de sealarse debido a que constantemente se establecen y actualizan sus controles, los cuales van desde restriccin de las accesos para usuarios, hasta el uso de palabras claves para el ingreso a los programas y archivos de la empresa , as como el monitoreo de actividades, rutinas de auditoria para identificar comportamientos, con el propsito de salvaguardar la informacin y los programas de estos sistemas.

Lo mismo ocurre respecto a los planes y programas de contingencias diseados para la salvaguarda de la informacin, de los programas y de los mismos sistemas de red establecidos en la empresa.

CONTROL CIRCUNDANTE EN EL PROCESAMIENTO ELECTRNICO DE DATOS

El funcionamiento de los controles generales dependa la eficacia del funcionamiento de los controles especficos. El mismo procedimiento debe ser aplicado a la empresa con procesamiento computarizado. Los controles generales en el procesamiento electrnico de datos ( PED ) tiene que ver con los siguientes aspectos.

ORGANIZACIN El personal de PED (sistemas) no realice las siguientes tareas : iniciar y autorizar intercambios que no sean para suministros y servicios propios del departamento. Registro de los intercambios Custodia de activos que no sean los del propio departamento Correccin de errores que no provengan de los originados por el propio dpto. En cuanto a la organizacin dentro del mismo departamento , las siguiente funciones deben estar segregadas: programacin del sistema operativo anlisis , programacin y mantenimiento operacin ingreso de datos control de datos de entrada / salida archivos de programas y datos.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS Las tecnicas de mantenimiento y programacin operativos del sistema deben estar normalizados y documentados. OPERACIN Y PROCEDIMIENTOS Deben existir controles que aseguren el procesamiento exacto y oportuno de la informacin contable. instrucciones por escrito sobre procedimiento para para preparar datos para su ingreso y procesamiento La funcin de control debe ser efectuada por un grupo especfico e independiente. Instrucciones por escrito sobre la operacin de los equipos. Solamente operadores de computador deben procesar los SIST OP.

CONTROLES DE EQUIPOS Y PROGRAMAS DEL SISTEMA Debe efectuarse un control de los equipos : programacin del mantenimiento preventivo y peridico registro de fallas de equipos Los cambios del sist. Op. Y la programacin. CONTROLES DE ACCESO El acceso al PED debe estar restringido en todo momento. Tambin debe controlarse : el acceso los equipos debe estar restringido a aquellos autorizados el acceso de documentacin solo aquellos autorizados el acceso a los archivos de datos y programas solo limitado a operadores

Anlisis

del acceso a los siguientes aspectos de la red: A la informacin institucional por reas, privilegios, niveles de operacin de los datos. A los sistemas y software
Anlisis

de cambio peridico de niveles, privilegios y contraseas de acceso al sistema. Anlisis de los reportes de incidencias, contingencias y circunstancias que afecten el funcionamiento de la red, a su informacin o software. Anlisis de la atencin y rapidez de respuestas para satisfacer las necesidades informticas de los usuarios de sistemas. Anlisis de la existencias, acatamiento y actualizacin de las polticas y reglamentos de los usos de usos de los sistemas computacionales de a red. Anlisis del cumplimiento de la actividad de los servidores, terminales, sistemas, y programas de computo utilizados para satisfacer las necesidades de os usuarios del sistema. Anlisis de la atencin y solucin de algunas diferencias en la operacin entre redes.

El

funcionamiento adecuado de los protocolos de red El funcionamiento corrector de direcciones ya sean por un nivel o jerrquicas. El manejo de los tamaos de paquetes que se manejan en la red, segn su mximo. El control de errores para la entrega confiable y en orden o sin orden de la informacin que se trasmite en la red. Control de flujo y de velocidad de trasmisin de los datos de la red. Control de congestin del manejo de la informacin, trasmisin y protocolo de la red. Administracin y control de la problemtica de seguridad de la red, la informacin, los usuarios, los sistemas computacionales y de las instalaciones fsicas. Contabilidad de los tiempos de uso del sistema, ya sea por conexin de las terminales, por paquetes, por byte, por proceso o por cualquier otra actividad que se realiza en los sistemas de la red.

Anlisis

del funcionamiento de los mecanismos de control de acceso a las instalaciones, informacin y software institucional. Anlisis de prevencin de accesos mltiples, sin permisos, dolosos y de todas aquellas acciones para ingresar al sistema sin la autorizacin correspondiente. Anlisis del procesamiento de informacin en los sistemas de red. Anlisis de la administracin y el control de la asignacin de los niveles de acceso, privilegios y contrasea para los usuarios para ingresar al sistema de la informacin. Anlisis del monitoreo de las actividades de los usuarios. Anlisis de las medidas correctivas y preventivas para evitar la piratera de informacin, software, activos informticos y consumibles del rea de sistemas.

Anlisis

de la realizacin, actualizacin y custodia de los respaldos de sistemas e informacin que se procesan en la red. Anlisis de la auditoria peridicas del funcionamiento de la red. Anlisis de las medidas preventivas y correctivas para erradicar de la red los virus informativos. Anlisis del establecimiento de las barreras fsicas y lgicas para proteger los accesos a intrusos, piratas, hackers y creckers informticos y cualquier otra intromisin, accidental o dolosa.

Anlisis

de los reportes y servicios de mantenimiento correctivo y preventivo de la red. Anlisis de las bitcoras y estadsticas de incidencias de la red. Anlisis de la estadsticas de incidencias, descomposturas, cadas del sistema, colisiones, perdida de informacin y dems detalles que repercuten en la operacin de la red.

I etapa: Plantacin de la auditoria de sistemas computacionales II etapa: ejecucin de la auditoria de sistemas computacionales III etapa: Dictamen de la auditoria de sistemas computacionales.

P.1 Identificar origen de la auditoria P.2 Realizar una visita preliminar al rea que ser evaluada P.3 Establecer los objetivos de la auditoria P.4 Determinar los puntos que sern evaluados en la auditoria P.5 Elaborara planes, programas y presupuestos para realizar la auditoria P.6 Identificar y seleccionar los mtodos. Herramientas, instrumentos y procedimientos necesarios para la auditoria P.7 Asignar los recursos y sistemas computacionales para la auditoria

E.1 Realizar las acciones programadas para la auditoria E.2 Aplicar los instrumentos y herramientas para la auditoria E.3 Identificar y elaborar los documentos de desviaciones encontradas E.4 Elaborar el dictamen preliminar y presentarlo a discusin E.5 Integrar el legajo de papeles de trabajo de la auditoria

D.1 Analizar la informacin y elaborar un informe de situaciones detectadas D.2 Elaborar el dictamen final D.3 Presentar el informe de auditoria

Entrevistas Cuestionarios Encuestas El

levantamiento de inventario Las tcnicas de observacin Las tcnicas de revisin documental La matriz de evaluacin o la matriz FODA El uso de listas de chequeo El uso de las tcnicas de muestreo La ponderacin Los modelos de simulacin

a fin de hacer un recuento de los bienes informticos destinados al funcionamiento de la red y del rea de sistemas, que conforman la red. Para llevar a cabo esto, es recomendable realizar los siguientes inventarios: Inventario de los componentes de la redes de computo de la empresa Inventario de los sistemas operativos Inventario de la seguridad y proteccin de la informacin y de los datos del sistema de red. Inventario de los bienes muebles, inmuebles, materiales y consumibles del rea de sistema, a fin de valorar su proteccin y uso. Inventario del acceso a las redes Inventario de configuraciones y protocolo, tarjetas y dems caractersticas Inventario de las normas polticas reglamento y medidas preventivas y correctivas del rea de sistemas

para revisar los proyectos de instalacin de la red, planos de configuracin de cableado, configuraciones, distribucin de los componentes de la red, los planes contra contingencias, manuales e instructivos de seguridad,, licencias y resguardos de sistemas, bitcoras de reportes de incidencias que afectan a la red y al desarrollo de proyecto de redes y de nuevos sistemas, bitcora de mantenimiento y evaluacin, as como planes, programas y presupuestos para satisfacer los requerimientos de operacin y funcionalidad de la red de computo. Siempre y cuando esta revisin se realice para evaluar lo que se refiere a la administracin y control de las funciones de la red de los activos informticos que la integran, as como el manejo de la informacin y su sistema.

Segn

las preferencias y necesidades del revisin del auditor; con esta herramientas puede auditar las fortalezas y debilidades del funcionamiento de la red de computo, tales como; La administracin del servidor Las terminales El software La informacin El aprovechamiento de los recursos informticos de la empresa Y las respuestas a las necesidades informticas Tambin puede analizar las reas de oportunidad para fortalecer la comunicacin entre los sistemas de la empresa, la actualizacin de tecnologa de proteccin y las barreras para proteger los accesos del exterior. Tambin puede analizar las posibles amenazas del avance de la tecnologa de redes y de comunicacin para evitar la fragilidad en la actualizacin en los sistemas de red.

ya que con estas herramientas puede verificar que quien realice la auditoria cubra todos los puntos descritos en su plantacin de auditoria. Inclusive, de acuerdo con el diseo de esta lista tambin puede auditar todos los aspectos que repercuten en la red de la empresa.

debido a que al evaluar el cumplimiento de las funciones, tareas y operaciones relativas a la administracin y funcionamiento de una red de computo, seria casi imposible que inoperante, revisar todas las actividades que se realizan en la red, , mas aun cuando esta es WAN o Internet. Por esta razn debe usar muestras representativas del cumplimiento de las operaciones de la red adoptada en la organizacin, as como en la trasmisin de datos de la red.

Es una herramienta muy til, ya que le permite evaluar el funcionamiento adecuado de cada una de las partes de la red de computo, al asignarle a cada parte el peso que, segn su criterio, le corresponda, para hacer mas equitativa la evaluacin , en este caso a cada una de las partes consideradas como divisin fundamental del funcionamiento de una red; por ejemplo; la evaluacin del diseo de la red, del funcionamiento de los protocolos, de la parte tcnica de su funcionamiento o cualquier otra divisin establecida por el auditor.

ya que con ellos es posible hacer simulacros del funcionamiento de la red, de los accesos a las reas fsicas y de los accesos a los sistemas y a la informacin de la red; tambin se puede realizar el desarrollo de pruebas simuladas, planeadas previamente, con las que el auditor realiza actividades concretas para utilizar la red de una manera inadecuada y ver su comportamiento. Tambin puede hacer todo tipo de simulaciones, de acuerdo con las necesidades de evaluacin y con su experiencia.

El cual tambin puede ser una herramienta valiosa para el auditor, ya que le permite hacer el seguimiento de cualquier actividad de captura, procesamiento y emisin de resultados de los sistemas de red, de los flujos que se siguen en la trasmisin de la informacin entre las partes que la integran, adems del seguimiento de la rutinas de los programas de esta o de las actividades y funciones que se realizan en ella.

Auditoria de sistemas computacional de Carlos Muos Razo www.monografia.com www.emagister.com