martes, 10 de junio de 2008

Tipos de Auditoría Informática

INICIO
- AUDITORIA FISICA
- AUDITORIA OFIMATICA
- AUDITORIA DE DIRECCION
- AUDITORIA DE MANTENIMIENTO
- AUDITORIA DE BASE DE DATOS

AUDITORIA FISICA

Activos informáticos, observaciones donde estan y que existan en el inventario, prevención y seguridad. Todos estos activos estan fisicamente seguros y adecuados, posibles fallas fisicas, saber si se tiene un plan específico despues de un desastre, identificar cuales son sus planes de acción para la seguridad en cuanto a un desastre.
comprueba la existencia de los medios fisicos y también su funcionalidad, racionalidad y seguridad.
Ésta garantiza la integridad de los activos humanos, logicos y materiales de centro de computo.

Areas de conocimiento de la auditoria fisica
Organigrama respectivo de la empresa, auditorias internas pasadas, administración de la seguridad (asignar responsabilidades a cada una de las personas), centro deprocesos de datos (identificar cada una de las salas que se debe asegurar), equipos y comunicaciones (de manera especifica), seguridad fisica del personal (información que se debe tener).
Lista donde esta la información
Manual de procedimientos, jefes de departamento, recursos humanos, altos directivos,m reglamentos y cursos de capacitación.

Herramientas
Entrevistras, cuestionarios, encuestas y gráficas.

AUDITORIA OFIMATICA

Estudio de una aplicación a la cual debemos evaluar, saber si realmente sirve para su requerimiento, previo a compra de software se haya hecho un estudio para saber si realmente lo está utilizando de la manera más adecuada.
La Ofimática
Sistema automatizado uqe genera, procesa, almacena, recupera,comunica y presenta datos relacionados con el funcionamiento de la oficina.
Escritorio virtual, trabajo en equipo (Lotus, Nous, grp, etc.), estaciones de trabajo, aplicaciones, medidas de seguridad que tienen los usuarios, controles de la ofimáticaque se deben ocupar (economia, eficacia y eficiencia).
• Determinar si el inventario ofimático de los equipos reflejan con exactitud el número de equipos y aplicaciones reales.
• Determinar y evaluar el procedimiento de adqusición de equipos y aplicaciones.
• Determinar y evaluar la política de mantenimiento definida en la organización.
• Evaluar la calidad de las aplicaciones del entorno ofimático desarrollado por el propio personal de la organización.
• Evaluar la corrección del procedimiento existente para la realización de cambios de versiones y aplicaciones.
• Determinar si los usuarios cuentancon suficiente información y la documentación de apoyo para la realización de sus actividades de un modelo eficaz y eficiente.
• Determinar si el sistema existe y si realmente cumple con las necesidades de la organización.
Anomálias
- Seguridad.- Determinar si existen garantias suficientes para proteger los accesos no autorizados a la información reservada a la empresa y a la integridad de la misma.
1. Acceso por medio de contraseñas.
- Procedimiento para la asignación de contraseñas.
- Procedimiento para cambioperiodico de contraseñas.
2. Información impresa.
- Accesos autorizados.
- Verificar que esta información se encuentra siempre en cajones.
- Maquinas que distribuyen los documentos .
3. Verificar que la información de encuentre clasificada.

Determiar si el procedimiento de generación de copias de respaldo es fiable y garantiza la recuperación de la información
1. Que este especificado.
2. Que la perioricidad sea acorde a las condiciones ofimáticas.
3. Que se cumpla el procedimiento.
4. Que la calidad del respaldo este garantizada (tomar un respaldo y verificar si realmente funciona y el procedimiento sea el adecuado).
5. Que realmente esten resguardados los respaldos en un área segura.

determinar si estan garantizados el funcionamiento ininterrumpido de aplicaciones críticas.
1. Planta de luz alternativa.
2. Asignación e responsabilidades en cadena para lebvantar el sistema.

Determinar el grado de exposición ante la posibilidad de intrusos, de virus (medida del riesgo para poder protegerse por la intrusión de virus por eso es necesario tener antivirus).
1. Tener antivirus.
2. Checar actualizaciones de antivirus y que todas las maquinas lo tengan.

AUDITORIA DE DIRECCION

Siempre en una organización se dice que esta es un reflejo de las carcxteristicas de su dirección, los modos y maneras de actuar de aquella estan influenciadas por la filosofia y personalidad del director.
Acciones de un Director
• Planificar. (este acorde al plan estrategico (conocimiento a evaluar acciones a realizar)).
- Lectura y analisis de actas, acuerdoss, etc.
- Lectura y analisis de informes gerencciales.
- Entrevistas con el mismo director dell departamento y con los directores de otras áreas.
• Organizar.
• Controlar.
• Coordinar.

Las enormes sumas que las empresas dedican a la tecnólogia de la información y de la dependencia de estás con los procesos de la organización hacen necesaria una evaluación independiente de la función que la gestiona (dirige).

AUDITORIA DE LA DIRECCIÓN DE GESTIÓN
- Planificar
- Evaluar
- Plan estrategico.
- Recursos asignados a cada plan de proyecto.
- Organizar y coordinar
Se va a realizar de acuerdo con lo planeado, el director debe establecer los flujos de información para que no haya fallas.
- Organizar
El proceso de organizar consiste en estructurar recursos, los flujos de información y los controles que permiten alcanzar los objetivos marcados por la calificación. Para poder evaluar y dar seguimiento a estas funciones se establece un comité de informática que afectan a toda la empresa y permite a los usuarios como las actividades de la organización no solo de su área, se pueden fijar las prioridades.
El auditor debe asegurarse que exista esté comité y que cumpla su papel adecuadamente.
Las acciones a realizar por el auditor son:
• Verificar que exista una normativa interna donde se especifique las funciones del comite.
• Entrevistar a miembros de este para conocer por parte de ellos funciones que realmente realizan.
Existe comité de informática
- Normativa interna.
- Entrevistas a los representantes de llos usuarios para conocer si entienden y si estan de acuerdo con el comité.
- Entrevista con los miembros.
Criterio para asignar a los miembros del comite.
• Verificar trabajo del comité
- Lectura de actas de comité para comprrobar que el comité cumple efectivamente las funciones y que los acuerdos son tomados correctamente tomando en cuenta la opinión de los miembros del comité.

AUDITORIA DE MANTENIMIENTO

- Evalua la etapa del mantenimiento (4 a 6 meses la durac. delmantenimiento
- Importancia (etapa del mantenimiento (15 dias a 1 mes (mantenimiento con cambios)) "mayor costo".
- Evaluar trabajo.
- Lista de revisiones.
- Existe documentación para el requerimiento de cambios.
- Documentación de los cambios.
- Pruebas de las modificaciones (lista de prueba y su observación).
- La aceptación de pruebas, con la cual se liberan los cambios.
- Logistica (por procedimientos) para realixzar el cambio de modificaciones (vesiones) del servidor de producción.

Valoración del esfuerzo de trabajo.
No. > mayor esfuerzo.
No. < menor esfuerzo.
Se debe utilizar ciertos criterios que son:
- Esfuerzo de la etapa de mantenimientoo.
meshombre (etapa de mantenimiento esfuerzo) = trafico de cambio actual
meshombre de desarrollo.

TCA = numero de lineas nuevas + numero de lineas modificadas
numero de lineas iniciales

meshombredesarrollo = 2.4Ks1.05
= 3.0Ks
= 3.6Ks1.20

Ks = estimación del tamaño del programado en miles de lineas de código.
• Comprensibilidad del siatema
- Identificar que los archivos tengan nnombre adecuado a lo que se esta codificando.
- Facil de entender.
- Nombres adecuados de acuerdo al tipo de datos e información
- Comentarios por lomenos cada 50 lineaas de código.
• Que sea modificable
- Que tan modificable es.<
• Testeable
- Que los pongamos a prueba para verifiicar sirealmente es correcto.
- Se introduzca códigode detección de eerrores.

AUDITORIA DE BASE DE DATOS


1. Confidencialidad.
- Identificar el archivo documento que listen los perfiles de usuarios.
- Verificar que el documentotenga el tiipo de acceso "ad hoc" al grupo de usuarios.
- Realizar encuestas y aplicar cuestionnarios para verificar que los perfiles realmente hayan sido aplicados.
- Revisar los usuarios en el sistema manejador de base de datos y canalizar los perfiles con el documento arriba mencionado.

PUNTOS A LOS QUE SE ENFOCA EL AUDITOR

Control y seguridad de la base de datos (se tenga siempre una lista de los usuarios asi como tambien diferentes perfiles, tipos de usuarios, documentación sobre cambios, accesos limitados, buscar e identificar que cada uno este en su puesto, que administradores tienen acceso, los programadores no deben tener acceso a la base realsino que debe tener acceso a usuarios en la misma, que usuarios tienen acceso a toda la base de datos en caso de que no tenga los perfiles el auditor debe de identificarlos e identificar que cada persona este en su puesto), diseño(identificar que realemente se deje una trayectoria o documentación sobre la base de datos, que tenga diccionario de base de datos y cada uno tenga los datos adecuados, lista de los objetos.
La investigación de la arquitectura (se refiere al sistema operativo y el software para crear una base de datos ademas de que deban ser compatible, checar estudio previo para escojer el sofware adecuado, verificar que los componentes que se compren sean los adecuados para la compatibilidad) el ciclo de vida de una base de datos (cuanto tiempo duraráel sistema o base de datos que se diseño), estudio de la información este realmente de acuerdo con la empresa que esta utilizando en este momento, si se cuenta con la documentación de la reingenieria aplicada, tener almacenados ciertos archivos que se modifican, verificar que exista un oficio para poder hacer la modificación con las autorizaciones necesarias, verificar que exista registro de todo.

Fuente:
http://mx.geocities.com/miguel_apd_77/pagina4.html

lunes, 9 de junio de 2008

AUDITORIA INFORMATICA

1) Auditoría informática
Para verificar si se están aplicando las medidas de control más apropiadas para la salvaguarda e integridad de la información y de los sistemas en prevención de riesgos de fraude, pérdida, manipulación, fallos de servicio, etc., el papel de la auditoría informática es muy importante.
La auditoría informática consiste en una revisión profunda y detallada de todos los elementos de que dispone una empresa en el área de sistemas de información.

Una "Guía de Seguridad Informática"
Ministerio de Administraciones públicas (http://www.csi.map.es/csi/criterios/seguridad/index.html) [19 Ene 2007]

Esta publicación del Ministerio de Administraciones Públicas (MAP), recoge los requisitos fundamentales de la seguridad informática, de cara a garantizar la integridad, la confidencialidad y la disponibilidad de los Sistemas de Información.

En su contenido destacan lo siguientes apartados:
• Gestión global de la seguridad de la información
• Política de seguridad
• Organización y planificación de la seguridad
• Análisis y gestión de riesgos
• Identificación y clasificación de activos a proteger
• Salvaguardas ligadas al personal
• Seguridad física
• Autenticación
• Confidencialidad
• Integridad
• Disponibilidad
• Control de acceso
• Acceso a través de redes
• Firma electrónica
• Protección de soportes de información y copias de respaldo
• Desarrollo y explotación de sistemas
• Gestión y registro de incidencias
• Plan de contingencias

Auditoría y control de seguridad
2) Un "Check list" de Auditoría Informática
Para proyectar el desarrollo de la estrategia es necesario elaborar un plan de trabajo que permita medir el alcance de la auditoría en puntos clave y administrar eficientemente los recursos de tiempo personal que sean asignados. [comentario]
Web recomendada: Un ejemplo de Check List de seguridad referido a las páginas web,

Guía del Gobierno de Chile: (http://www.guiaweb.gob.cl/guia/checklists/seguridad.htm).

Se documentan las áreas de riesgo examinadas en esta auditoría, como por ejemplo:


PLANIFICACIÓN DE LA AUDITORIA
CENTRO DE CÁLCULO___________________________________
OBJETIVO GENERAL DEL TRABAJO A REALIZAR__________
______________________________________________________
______________________________________________________
______________________________________________________
ALCANCE DEL TRABAJO A REALIZAR (Áreas de Revisión)
• Planificación y organización de sistemas.
• Seguridad física y lógica
• Plan de contingencias y documentación
• Origen, captura y validación de datos
• Procesamiento y actualización de datos
• Salidas, utilización y control de resultados
• Integridad y seguridad de los sistemas y de los datos
• Terminales y comunicación de datos

AUDITORES ASIGNADOS.
Supervisor_______________________ Senior ________________
Junior_________________________________________________

DURACION ESTIMADA______ Horas____ Días____ Semanas___
FECHA INICIACION______ FECHA TERMINACION_________

Y para cada punto a analizar se dispone de un listado con los objetivos y procedimientos de auditoría. Por ejemplo, para el "sistema de aire acondicionado" los objetivos y procedimientos de auditoría:

C. SISTEMA DE AIRE ACONDICIONADO (TEMPERATURA, FILTRACION Y HUMEDAD)

Objetivo de Auditoría:

Verificar la suficiencia del sistema de aire acondicionado en cuanto a:
• Temperatura
• Ventilación
• Filtración
• Humedad
• Protección
• Respaldo

Procedimientos de Auditoría:
1. ¿Se usa el sistema exclusivamente para el centro de cálculo?
2. ¿Los revestimientos de los conductos y los filtros están hechos en materiales no combustibles?
3. ¿Se suministran reguladores de corrientes de aire contra incendio?
4. ¿El compresor está alejado del centro de cálculo?
5. ¿La torre de enfriamiento está suficientemente protegida?
6. ¿Existe un sistema de aire acondicionado de respaldo?
7. Las tomas de aire:
a. ¿Están cubiertas con mallas protectoras?
b. ¿Están ubicadas a mayor altura que el nivel de la calle?
c. ¿Están ubicadas para evitar que entren elementos contaminan tes o escombros?
________________________________________
3) Regulación internacional sobre Auditoría de Sistemas de Información
En materia de Auditoría de Sistemas de Información existen varias metodologías desde el enfoque de control a nivel internacional. Algunas de las más importantes para los profesionales de la contabilidad y la auditoría son:
• ISACA (COBIT)
• COSO
• AICPA (SAS)
• IFAC (NIA)
• SAC
• MARGERIT
• EDP

A) ISACA-COBIT
The Information Systems Audit and Control Foundation, ISACA (http://www.isaca.org). Es la asociación lider en Auditoría de Sistemas, con 23.000 miembros en 100 países.
ISACA propone la metodología COBIT ® (Control Objectives for Information and related Technology). Es un documento realizado en el año de 1996 y revisado posteriormente, dirigido a auditores, administradores y usuarios de sistemas de información, que tiene como objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e integridad de la información financiera y el cumplimiento de las leyes y regulaciones.

COBIT [19-ene-2007]
________________________________________
COBIT (http://www.isaca.org/cobit.htm). Objetivos de Control para la Información y Tecnologías Afines. Está disponible en español el Resumen Ejecutivo, Marco de Referencia, Objetivos de Control, Directrices de Auditoría y Conjunto de Herramientas de Implementación.

El COBIT se desarrolla a través de varios capítulos: planificación y organización, adquisición e implementación, desarrollo, soporte y control.

• Planificación y organización
Po1 Definición de un plan estratégico
Po2 Definición de la arquitectura de información
Po3 Determinación de la dirección tecnológica
Po4 Definición de organización y relaciones
Po5 Administración de la inversión
Po6 Comunicación de las políticas
Po7 Administración de los recursos humanos
Po8 Asegurar el cumplimiento con los requerimientos Externos
Po9 Evaluación de riesgos
Po10 Administración de proyectos
Po11 Administración de la calidad

• Adquisición e implementación
A11. Identificación de soluciones automatizadas
A12. Adquisición y mantenimiento del software aplicativo
A13. Adquisición y mantenimiento de la infraestructura tecnológica
A14. Desarrollo y mantenimiento de procedimientos
A15. Instalación y aceptación de los sistemas
A16. Administración de los cambios

• Prestación y soporte
Ds1. Definición de los niveles de servicios
Ds2. Administrar los servicios de terceros
Ds3. Administrar la capacidad y rendimientos
Ds4. Asegurar el servicio continuo
Ds5. Asegurar la seguridad de los sistemas
Ds6. Entrenamiento a los usuarios
Ds7. Identificar y asignar los costos
Ds8. Asistencia y soporte a los clientes
Ds9. Administración de la configuración
Ds10. Administración de los problemas
Ds11. Administración de los datos
Ds12. Administración de las instalaciones
Ds13. Administración de la operación

• Control
M1. Monitoreo del cumplimiento de los objetivos de los procesos de tecnología de la información.
M2. Obtener realización de las evaluaciones independientes

B) COSO
The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO).
Publicado en 1992 hace recomendaciones a los contables de gestión de cómo evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información y comunicación, y el monitoreo.

C) AICPA-SAS
The American Institute of Certified Public Accountants' Consideration of the Internal Control Structure in a Financial Statement Audit (SAS 55), que ha sido modificado por el (SAS 78), 1995.
Da una guía a los auditores externos sobre el impacto del control interno en la planificación y desarrollo de una auditoría de estados financieros de las empresas, presentado como objetivos de control la información financiera, la efectividad y eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en los componentes de ambiente de control, valoración de riesgo, actividades de control, información, comunicación y monitoreo.
Systrust, la respuesta de AICPA y the Canadian Institute of Chartered Accountants CICA)
Systrust (http://infotech.aicpa.org/...) es un producto lanzado por AICPA y CICA para que los CPA (Contables colegiados) asesoren en temas de auditoría informática.
"SysTrustTM Principles and Criteria for Systems Reliability" utiliza los siguientes cuatro principios para evaluar si un sistema de información es fiable:
• Disponibilidad
• Seguridad
• Integridad
Que se puede mantener

D) IFAC - NIA
La Federación Internacional de Contables IFAC (http://www.ifac.org) emitió las Normas Internacionales de Auditoría NIA 15, 16 y 20 en 1991.
IFAC muestra en la NIA 15 (Auditoría en Entornos Informatizados) una referencia de controles para procesamiento electrónico de datos y la necesidad de estos cuando estamos en ambientes donde los instrumentos tradicionales del papel y demás pistas de auditoría no son visibles para los contables en el momento de realizar su trabajo.

La NIA 16 (Técnicas de Auditoría Asistida por Computador) describe técnicas y procedimientos de auditoría que se pueden hacer en entornos informatizados con ayuda de los computadores y otras tecnologías.

La NIA 20 nos presenta los efectos de un entorno informatizado en la evaluación de sistemas de información contables. Junto con las demás normas dan una guía al auditor de los controles en general a tener en cuenta en un ambiente informatizado y en las aplicaciones que procesan la información, así como técnicas de auditoría asistidas por computador y su importancia.

Para aprender más: Descargue en IFAC el documento en pdf "Information Security Governance": (http://www.ifac.org/Members/DownLoads/Info_Security_final.pdf_1.pdf)

E) SAC
The Institute of Internal Auditors Research Foundation's Systems Auditability and Control (SAC).

Realizado en 1991 y revisado posteriormente. Ofrece una guía de estándares y controles para los auditores internos en el área de auditoría de sistemas de información y tecnología. Tiene como objetivos de control la efectividad y eficiencia de las operaciones, la integridad de la información financiera y el cumplimiento de normas y regulaciones que explica en el ambiente de control, sistemas manuales y automatizados y procedimientos de control.

F) MARGERIT

Consejo superior de informática del ministerio de administraciones públicas de España MARGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información). 1997

Es una metodología de análisis y gestión de riesgos de los sistemas de información de las administraciones públicas, emitida en el año 1997 por el consejo superior de informática y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información, esta metodología presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados. Margerit desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

G)EDP
La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de carácter educativo e investigativo en los temas sobre estándares para la auditoría de los sistemas de información.

Esta fundación ha investigado sobre controles en los sistemas de información, generando los diez estándares generales de auditoría de sistemas y el código de ética para los auditores de sistemas que relacionamos a continuación.