Post on 25-Jan-2016
Taller de Auditoria Computacional
El entorno informático
La Auditoría en informática y su entorno
Las actividades de una organización afectan sectores específicos de la sociedad; asimismo, los hechos y actividades externas al negocio tienen un grado de impacto en el mismo. Tales hechos ó factores externos pueden ser:Económicos PolíticosCulturalesTecnológicosSocialesOtros.
Los negocios definen estrategias de planeación con las que afrontar los factores externos, para minimizar su impacto negativo o sacar ventaja estratégica de los mismos.
La Auditoría en informática siendo un proceso
básico de evaluación y control en el uso de los recursos tecnológicos para el logro de las estrategias; debe contemplar el entendimiento del entorno del negocio como parte de sus actividades primarias.
Tabla 1: EntornoFactor Externo Acciones de la
empresaResponsabilidad del auditor informática
Comentarios
Adecuación al uso de nuevos mercados (e-commerce)
Es política de la empresa la expansión y adaptación de los procedimientos y recursos al uso de nuevos mercados
Verificar que los sistemas de información contemplen esta disposición de manera formal y oportuna
Emana como una necesidad, dentro de la globalización
Auge en el uso de la tecnología de comunicaciones vía satélite
Se define como estratégico que exista una red satelital entre empresas y entidades de la organización por este medio
Constatar que exista un proyecto de costo-beneficio para adquirir permisos de gobierno, así como la tecnología que se requiera para su implantación
Con esta acción se obtiene una ventaja competitiva. Permite una integración más eficiente entre las entidades del negocio.
El entorno en la informática (I)
La función de informática debe estructurar sus servicios y proyectos con base en los requerimientos específicos del negocio (estrategias del negocio) , apoyándose en el uso de tecnología de vanguardia y sus nuevas tendencias (TICs).
El entorno en la informática (II)
El auditor en informática deberá verificar la existencia de un análisis costo-beneficio en cada proyecto de inversión orientado a la adquisición de nueva tecnología o estándares para su uso.
Mantendrá un proceso de seguimiento de los recursos de tecnología, metodologías, técnicas, procedimientos y políticas de informática que aseguren calidad y productividad en esta área.
El entorno en la informática (III)
Las TICs están en cambio continuo, desarrollando soluciones más eficientes; por lo que cualquier área que tenga como objetivo operar o evaluar, estará dispuesta a ejecutar las acciones pertinentes que aseguren su entendimiento y aprovechamiento para brindar a la organización resultados de alta calidad y la confianza de que la información seguirá cumpliendo los requisitos de control esperados: exactitud, totalidad, autorización, actualización, etc.
En el entorno de la informática se han desarrollado:
Mejores equipos de cómputo. Lenguajes de programación y paquetes de
Sw más flexibles y dinámicos. Innovaciones tecnológicas en
telecomunicaciones. Metodologías, técnicas y herramientas para
la administración de la función informática y la planeación y desarrollo de sistemas.
Integración de especialidades profesionales en asociaciones reconocidas formalmente.
Concepto Características Impacto en el proceso de auditoria en informática
Hardware
• Mainframes•Minicomputadoras•Microcomputadoras portátiles•Impresoras•Dispositivos de almacenamiento•Telecomunicaciones - datos - voz -
•Permiten alimentar procesar, generar, transmitir y almacenar los datos de los SI (estratégicos, tácticos y operativos del negocio)•El Hw sufre cambios de manera dinámica; sus características de desempeño y perfomance han mejorado :-Almacenamiento-Procesamiento-Portabilidad-Escalabilidad-Conectividad-Otros
•Utilización de los equipos de computo para consulta, captura, proceso y genera-ción de reportes a fin de evaluar y diagnosticar la situación de los sistemas.
•Evaluación de SI y otros aspectos a través de accesos remotos y en línea.• Auditar cada tarea en el lugar de los hechos,• Registrar y monitorear gran cantidad de actividades inherentes al uso de computadoras y equipo de comunicaciones.
Concepto Características Impacto en el proceso de auditoria en informática
Software• Ofimática (Procesadores de palabras, Hojas de cálculo, Graficado-res,Diagramadores•Especializado Auditoría Seguridad Desempeño•CASE Método Técnicas Herramientas
•Son los elementos lógicos•Por este medio se ha logrado la sistematización computacional de los procesos de negocio.•En un nivel más especializado, se ha logrado la sistematización de actividades de desarrollo de sistemas a través de las computadoras y en gran medida la planeación de sistemas.
•El apoyo que brindo al auditor el personal de informática, fue programar rutinas de control y evaluación de procesos en los sistemas computacionales o para generar reprocesos y respaldos de la información por auditar.•El auditor en informática se perfila como el individuo que domina ambos campos, es el enlace ideal para la evaluación de SI, y el uso eficiente de todos los recursos, servicios y productos de informática en el negocio.
Hay que considerar elementos formales para aplicar oportunamente el cambio organizacional, cultural y tecnológico, que conlleve facilitar el reposicionamiento y la competitividad del negocio:
• Planeación estratégica
• Evaluación permanente de los procesos y flujos de datos.
• Investigación de mercado.
• Estudio y asimilación del aspecto social, cultural, político, económico y tecnológico del entorno.
• Compromiso de todos los niveles de la empresa con la calidad y satisfacción del cliente.
• Orientar los recursos a los procesos fundamentales del negocio.
• Ver el recurso humano como la pieza clave de la organización.
Taller de Auditoria Computacional
“Control Interno en Ambiente informático”
Control
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos.
Acciones del Control
Se considera que el control produce dos tipos de acciones según sea el ámbito donde se aplique:
Influencia directiva, intenta que las actividades del sistema se realicen de modo tal que produzcan determinados resultados o alcancen objetivos específicos predefinidos.Influencia restrictiva, la acción se ejerce de modo tal que evite que las actividades de un sistema produzcan resultados no deseados.
Elementos de Control Elemento, característica o condición a
controlar. Sensor: artefacto o método para medir las
características o condiciones controladas, es decir instrumento para medir el rendimiento.
Grupo de control: unidad o equipo de control para comparar los datos medidos con el rendimiento planeado. Determina la necesidad de corrección y envía la información a los mecanismos que deben normalizar o corregir la producción del sistema
Grupo activante: mecanismo activador que es capaz de producir un cambio en el sistema operante, es decir, realizar la acción correctiva correspondiente.
De acuerdo a su objetivo
Correctivos
Miden las desviaciones e informan sobre ellas
No correctivos
Prescinden de la medición e informacion de los desvíos que se pueden producir
Tipos de control
De acuerdo a su marco temporal
Retroalimentados
Comparan los resultados obtenidos con los esperados
Prealimentados
Previenen la ocurrencia de resultados indeseados
Tipos de control
Agente Amenazante
HackerCracker
Espionaje IndustrialCriminales Profesionales
Usuarios (Daños intencionales o no)
Objetivos: Desafío, ganancia financiera/política,
daño
Causa Física (Natural o no)
Concreción de la
Amenaza
¿Bajo Nivel de Vulnerabilidad?
Daño a los equipos, datos o información
ConfidencialidadIntegridad Disponibilidad
Pérdida de• Dinero• Clientes• Imagen de la Empresa
1.-Establecimiento de estándares: es la acción de determinar el/los parámetro/s sobre los cuales se ejercerá el control y, posteriormente, el estado o valor de esos parámetros considerado deseable.
2.-Comparación o diagnóstico: implica el cotejo entre los resultados reales con los deseables.
Etapas de control
La determinación de acciones correctivas. Lleva implícita una decisión: corregir o dejar como está.
La ejecución de las acciones correctivas Sin éste, el control será estéril, inútil e incompleto. Más aún, infinitamente caro como respuesta al problema que intentó solucionar. Por ello, se considera que sin esta etapa simplemente no ha existido una acción de control.
Etapas de control
Etapas de control
Se define como cualquier actividad o acción realizada para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos
Control Interno Informático
• Tratar de evitar o prevenir una acción• Ejemplo: Software de seguridad evita los accesos
no autorizados
Controles Preventivos / Disuasivos
• Cuando fallan los preventivos para tratar de conocer cuanto antes el evento
• Ejemplo: Registro de intentos de acceso no autorizados
Controles Detectivos
• Facilitan la vuelta a la normalidad cuando se han producido fallas
• Ejemplo: Recuperación de un archivo dañado a partir de las copias de seguridad
Controles Correctivos
Clasificación del control interno informático
Correctivo
Disuasivos Preventivos
Detectivo
Tmin
Plataforma Informática Plataforma Informática Operatividad
Amenaza o Riesgo
Tratar de evitar el hecho
Tratar de evitar el hecho
Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento
Cuando fallan los preventivos para tratar de conocer cuanto antes el
evento
Vuelta a la normalidad cuando se han producido
incidencias
Vuelta a la normalidad cuando se han producido
incidencias
Controles internos sobre la organización: Dirección División del trabajo Asignación de responsabilidad y autoridad Establecimiento de estándares y métodos Perfiles de puestos
Control Interno en el área de informática
Controles internos sobre el análisis, desarrollo e implementación de sistemas:
Estándarización de metodologías para el desarrollo de proyectos
Asegurar que el beneficiario de los sistemas sea el óptimo
Elaborar estudios de factibilidad del sistema
Garantizar la eficiencia y la eficacia en el análisis y diseño de sistemas
Vigilar la efectividad y eficiencia de la implementación y mantenimiento del sistema
Optimizar el uso del sistema por medio de su documentación
Control Interno en el área de informática
Controles internos sobre la operación del sistema: Prevenir y corregir
errores de operación Prevenir y evitar la
manipulación fraudulenta de la información
Implementar y mantener la seguridad de la operación
Mantener la confiabilidad, oportunidad, veracidad y suficiencia en el procesamiento de la información de la institución
Control Interno en el área de informática
Controles internos sobre los procedimientos de entrada de datos, el procesamiento de información y la emisión de resultados Verificar la existencia y funcionamiento
de los procedimientos de captura de datos
Comprobar que todos los datos sean debidamente procesados
Verificar la confiabilidad, veracidad y exactitud del procesamiento de datos
Comprobar la oportunidad, confiabilidad y veracidad de la emisión de los resultados del procesamiento de información
Control Interno en el área de informática
Controles internos sobre la seguridad del área de sistemas: Prevenir y evitar las amenazas,
riesgos y contingencias que inciden en el área de sistematización
Seguridad física del área de sistemas Seguridad lógica de los sistemas Seguridad de las bases de datos Operación de los sistemas
computacionales Seguridad del personal de informática Seguridad de la telecomunicación de
datos Seguridad de redes y sistemas
multiusuarios
Control Interno en el área de informática
Autenticidad◦ Permiten verificar la identidad1. Passwords2. Firmas digitales
Exactitud◦ Aseguran la coherencia de los datos1. Validación de campos2. Validación de excesos
Totalidad◦ Evitan la omisión de registros así como garantizan la
conclusión de un proceso de envio1. Conteo de registros2. Cifras de control
Principales Controles físicos y lógicos
Redundancia◦ Evitan la duplicidad de datos1. Cancelación de lotes2. Verificación de secuencias
Privacidad◦ Aseguran la protección de los datos1. Compactación2. Encriptación
Principales Controles físicos y lógicos
Existencia◦ Aseguran la disponibilidad de los datos1. Bitácora de estados2. Mantenimiento de activos
Protección de Activos◦ Destrucción o corrupción de información o del hardware1. Extintores2. Passwords
Efectividad◦ Aseguran el logro de los objetivos1. Encuestas de satisfacción2. Medición de niveles de servicio
Eficiencia◦ Aseguran el uso óptimo de los recursos1. Programas monitores2. Análisis costo-beneficio
Principales Controles físicos y lógicos
Periodicidad de cambio de claves de acceso◦Los cambios de las claves de acceso a los
programas se deben realizar periódicamente.
◦El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.
◦Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.
Controles automáticos o lógicos
Combinación de alfanuméricos en claves de acceso◦ No es conveniente que la clave este compuesta por
códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave.
◦ Para redefinir claves es necesario considerar los tipos de claves que existen: Individuales Pertenecen a un solo usuario, por tanto
es individual y personal. Esta clave permite al momento de efectuar las transacciones
registrar a los responsables de cualquier cambio. Confidenciales De forma confidencial los usuarios
deberán ser instruidos formalmente respecto al uso de las claves.
No significativas Las claves no deben corresponder a números secuenciales ni a nombres o fechas.
Controles automáticos o lógicos
Verificación de datos de entrada◦ Incluir rutinas que verifiquen la compatibilidad
de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.
Conteo de registros◦ Consiste en crear campos de memoria para ir
acumulando cada registro que se ingresa y verificar con los totales ya registrados.
Controles automáticos o lógicos
Totales de Control ◦ Se realiza mediante la creación de totales de
linea, columnas, cantidad de formularios, cifras de control, etc. , y automáticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias.
Verficación de limites◦ Consiste en la verificación automática de tablas,
códigos, limites mínimos y máximos o bajo determinadas condiciones dadas previamente.
Controles automáticos o lógicos
Verificación de secuencias◦ En ciertos procesos los registros deben observar
cierta secuencia numérica o alfabética, ascendente o descendente, esta verificación debe hacerse mediante rutinas independientes del programa en si.
Dígito auto verificador◦ Consiste en incluir un dígito adicional a una
codificación, el mismo que es resultado de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la corrección o no del código. Tal es el caso de la cédula de identidad.
Controles automáticos o lógicos
Utilizar software de seguridad en PC, Laptop y servidores
El software de seguridad permite restringir el acceso al computador, de tal modo que solo el personal autorizado pueda utilizarlo.◦ Adicionalmente, este software permite reforzar
la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan accesar solo a los programas y datos para los que están autorizados.
Controles automáticos o lógicos