METODOLOGIAS DE AUDITORIA DE SISTEMAS
METODOLOGIAS DE AUDITORIA DE SISTEMAS
Las metodologías son
necesarias para desarrollar cualquier proyecto que nos propongamos de manera
ordenada y eficaz.
La auditoría de sistemas
solo identifica el nivel de “exposición” por la falta de controles mientras el
análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones
en base al costo-beneficio de la misma.
Todas las metodologías existentes en seguridad de sistemas van
encaminadas a establecer y mejorar un entramado de contramedidas que garanticen
que la productividad de que las amenazas se materialicen en hechos sea lo
mas baja posible o al menos quede
reducida de una forma razonable en costo-beneficio.
Todas las
metodologías existentes desarrolladas y utilizadas en la auditoria y el control
informático, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en
un modelo matemático numérico que ayuda a la realización del trabajo, están
diseñadas par producir una lista de riesgos que pueden compararse entre sí con
facilidad por tener asignados unos valores numérico. Están diseñadas para
producir una lista de riesgos que pueden compararse entre si con facilidad por
tener asignados unos valores numéricos. Estos valores son datos de probabilidad
de ocurrencia de un evento que se debe extraer de un riesgo de incidencias
donde el número de incidencias tiende al infinito.
Cualitativas: Basadas en
el criterio y raciocinio humano capaz de definir un proceso de trabajo, para
seleccionar en base al experiencia acumulada. Puede excluir riesgos
significantes desconocidos (depende de la capacidad del profesional para usar
el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que
requiere menos recursos humanos / tiempo que las metodologías cuantitativas.
Ventajas:
Enfoque lo amplio que
se desee.
Plan de trabajo
flexible y reactivo.
Se concentra en la
identificación de eventos.
Desventajas
Depende fuertemente
de la habilidad y calidad del personal involucrado.
Identificación de
eventos reales más claros al no tener que aplicarles probabilidades complejas
de calcular.
Dependencia
profesional.
Estudio preliminar.- Incluye definir el grupo de
trabajo, el programa de auditoría, efectuar visitas a la unidad informática
para conocer detalles de la misma, elaborar un cuestionario para la obtención
de información para evaluar preliminarmente el control interno, solicitud de
plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los
principales funcionarios del PAD.
Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo de procesos, realización
de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las
áreas críticas, Revisión de procesos históricos (backups), Revisión de
documentación y archivos, entre otras actividades.
Examen detallado de áreas críticas.-Con las
fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un
estudio y análisis profundo en los que definirá concretamente su grupo de
trabajo y la distribución de carga del mismo, establecerá los motivos,
objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la
duración de la auditoría, Presentará el plan de trabajo y analizará
detalladamente cada problema encontrado con todo
lo anteriormente analizado.
Comunicación de resultados.- Se elaborará el
borrador del informe a ser discutido con los ejecutivos de la empresa hasta
llegar al informe definitivo, el cual se presentará esquemáticamente en forma
de matriz, cuadros o redacción simple y concisa que destaque los problemas
encontrados, los efectos y las recomendaciones de la Auditoría.
El informe debe contener lo
siguiente:
• Motivos de la Auditoría
• Objetivos
• Alcance
• Estructura Orgánico-Funcional del área Informática
• Configuración del Hardware y Software instalado
• Control Interno
• Resultados de la Auditoría
PROCEDIMIENTOS Y TECNICAS DE AUDITORIA.
Se requieren varios pasos para realizar una auditoría. El auditor de
sistemas debe evaluar los riesgos globales y luego desarrollar un programa de
auditoría que consta de objetivos de control y procedimientos de auditoría que
deben satisfacer esos objetivos. El proceso de auditoría exige que el auditor de
sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles
existentes basado en la evidencia recopilada, y que prepare un informe de
auditoría que
presente esos temas en forma objetiva a la gerencia. Asimismo, la
gerencia de auditoría debe garantizar una disponibilidad y asignación adecuada
de recursos para realizar el trabajo de auditoría además de las revisiones de
seguimiento sobre las acciones correctivas emprendidas por la gerencia.
Técnicas de recopilación de evidencias.
La recopilación de material de evidencia es un paso clave en el proceso
de la auditoría, el auditor de sistemas debe tener conocimiento de cómo puede
recopilar la evidencia examinada. Algunas formas son las siguientes:
-
Revisión de las estructuras organizacionales de
sistemas de información.
-
Revisión de documentos que inician el desarrollo
del sistema, especificaciones de diseño funcional, historia de cambios a
programas, manuales de usuario, especificaciones de bases de datos,
arquitectura de archivos de datos, listados de programas, etc.; estos no
necesariamente se encontrarán en documentos, sino en medios magnéticos para lo
cual el auditor deberá conocer las formas de recopilarlos mediante el uso del computador.
-
Entrevistas con el personal apropiado, las cuales
deben tener una naturaleza de descubrimiento no de acusatoria.
Observación de operaciones y actuación de empleados, esta es una técnica
importante para varios tipos de revisiones, para esto se debe documentar con el
suficiente grado de detalle como para presentarlo como evidencia de auditoría.
Auto documentación, es decir el auditor puede preparar narrativas en
base a su observación, flujo gramas, cuestionarios de entrevistas realizados.
Aplicación de técnicas de muestreo para saber cuándo aplicar un tipo adecuado
de pruebas (de cumplimiento o sustantivas) por muestras.
Evaluación de fortalezas y debilidades de auditoría.
Luego de desarrollar el programa de auditoría y recopilar evidencia de
auditoría, el siguiente paso es evaluar la información recopilada con la
finalidad de desarrollar una opinión. Para esto generalmente se utiliza una
matriz de control con la que se evaluará el nivel de los controles identificados,
esta matriz tiene sobre el eje vertical los tipos de errores que pueden
presentarse en el área y un eje horizontal los controles conocidos para
detectar o corregir los errores, luego se establece un puntaje (puede ser de 1
a 10 ó 0 a 20, la idea es que cuantifique calidad) para cada correspondencia,
una vez completada, la matriz muestra las áreas en que los controles no existen
o son débiles, obviamente el auditor debe tener el suficiente criterio para
juzgar cuando no lo hay si es necesario el control.
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA
Para hacer una adecuada planeación de la auditoría en informática, hay
que seguir una serie de pasos previos que permitirán dimensionar el tamaño y
características de área dentro del organismo a auditar, sus sistemas,
organización
y equipo.
En el caso de la auditoría en informática, la planeación es fundamental,
pues habrá que hacerla desde el punto de vista de los dos objetivos:
-
Evaluación de los sistemas y procedimientos.
-
Evaluación de los equipos de cómputo.
-
Para hacer una planeación eficaz, lo primero que se requiere es obtener
información general sobre la organización y sobre la función de informática a
evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas
previas, con base en esto planear el programa de trabajo, el cual deberá incluir
tiempo, costo, personal necesario y documentos auxiliares a solicitar o
formular durante el desarrollo de la misma.
INVESTIGACIÓN PRELIMINAR
Se deberá observar el estado general del área, su situación dentro de la
organización, si existe la información solicitada, si es o no necesaria y la
fecha de su última actualización.
Verificación de datos de entrada
Incluir
rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o
precisión; tal es el caso de la validación del tipo de datos que contienen los
campos o verificar si se encuentran dentro de un rango.
Conteo de registros
Consiste en
crear campos de memoria para ir acumulando cada registro que se ingresa y
verificar con los totales ya registrados.
Totales de Control
Se realiza
mediante la creación de totales de línea, columnas, cantidad de formularios,
cifras de control, etc. , y automáticamente verificar con un campo en el cual
se van acumulando los registros, separando solo aquellos formularios o
registros con diferencias.
Verificación de límites
Consiste en
la verificación automática de tablas, códigos, limites mínimos y máximos o bajo
determinadas condiciones dadas previamente.
Verificación de secuencias
En ciertos
procesos los registros deben observar cierta secuencia numérica o alfabética,
ascendente o descendente, esta verificación debe hacerse mediante rutinas
independientes del programa en si.
Dígito auto verificador
Consiste en
incluir un dígito adicional a una codificación, el mismo que es resultado de la
aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la
corrección o no del código. Tal es el caso por ejemplo del décimo dígito de la
cédula de identidad, calculado con el modulo 10 o el ultimo dígito del RUC
calculado con el módulo 11.
Utilizar software de seguridad en los microcomputadores
El software
de seguridad permite restringir el acceso al microcomputador, de tal modo que
solo el personal autorizado pueda utilizarlo.
Adicionalmente,
este software permite reforzar la segregación de funciones y la confidencialidad
de la información mediante controles para que los usuarios puedan acceder solo
a los programas y datos para los que están autorizados.
Controles administrativos en un ambiente de
Procesamiento de Datos
La máxima
autoridad del Área de Informática de una empresa o institución debe implantar
los siguientes controles que se agruparan de la siguiente forma:
PLANES DE CONTINGENCIA:
Por ejemplo, la empresa sufre un corte total de energía o explota, ¿Cómo
sigo operando en otro lugar? Lo que generalmente se pide es que se hagan
Backups de la información diariamente y que aparte, sea doble, para tener un Backup
en la empresa y otro afuera de ésta. Una empresa puede tener unas oficinas
paralelas que posean servicios básicos (luz, teléfono, agua) distintos de los
de la empresa principal, es decir, si a la empresa principal le proveía teléfono
Telecom, a las oficinas paralelas, Telefónica. En este caso, si se produce la
inoperancia de Sistemas en la
empresa principal, se utilizaría el Backup para seguir operando en las
oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el
tiempo que estipule la empresa, y después se van reciclando.
Dentro de las áreas generales, se establecen las siguientes divisiones
de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de
Desarrollo de Proyectos.
Cada Área Específica puede ser auditada desde los siguientes criterios
generales:
• Desde su propio funcionamiento interno.
• Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del
grado de cumplimiento de las directrices de ésta.
• Desde la perspectiva de los usuarios, destinatarios reales de la
informática.
• Desde el punto de vista de la seguridad que ofrece la Informática en
general o la rama auditada.
Auditoría de la Seguridad
informática:
La computadora es un instrumento que estructura gran cantidad de
información, la cual puede ser confidencial para individuos, empresas o
instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal
uso de esta.
También pueden ocurrir robos, fraudes o sabotajes que provoquen la
destrucción total o parcial de la actividad computacional. Esta información
puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar
retrasos sumamente costosos. En la actualidad y principalmente en las
computadoras personales, se ha dado otro factor que hay que considerar: el llamado
"virus" de las computadoras, el cual, aunque tiene diferentes
intenciones, se encuentra principalmente para paquetes que son copiados sin autorización
("piratas") y borra toda la información que se tiene en un disco. Al auditar
los sistemas se debe tener cuidado que no se tengan copias "piratas"
o bien que, al conectarnos en red con otras computadoras, no exista la
posibilidad de transmisión del virus. El uso inadecuado de la computadora
comienza
desde la utilización de tiempo de máquina para usos ajenos de la
organización, la copia de programas para fines de comercialización sin reportar
los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin
de modificar la información con propósitos fraudulentos.
La seguridad en la informática abarca los conceptos de seguridad física
y seguridad lógica. La seguridad física se refiere a la protección del Hardware
y de los soportes de datos, así como a la de los edificios e instalaciones que
los albergan. Contempla las situaciones de incendios, sabotajes, robos,
catástrofes naturales, etc.
La seguridad lógica se refiere a la seguridad de uso del software, a la
protección de los datos, procesos y programas, así como la del ordenado y
autorizado acceso de los usuarios a la información. Un método eficaz para
proteger sistemas de computación es el software de control de acceso. Dicho
simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado,
pues piden del usuario una contraseña antes de permitirle el acceso a
información confidencial. Dichos paquetes han sido populares desde hace muchos
años en el mundo de las computadoras grandes, y los principales proveedores
ponen a disposición de clientes algunos de estos paquetes.
Ejemplo:
Existe una Aplicación de Seguridad que se llama SEOS, para Unix, que lo que
hace es auditar el nivel de Seguridad en todos los servidores, como ser:
accesos a archivos, accesos a directorios, que usuario lo hizo, si tenía o no
tenía permiso, si no tenía permiso porque falló, entrada de usuarios a cada uno
de los servidores, fecha y hora,
accesos con password equivocada, cambios de password, etc. La Aplicación
lo puede graficar, tirar en números, puede hacer reportes, etc.
La seguridad informática se la puede dividir como Área General y como
Área Específica (seguridad de Explotación, seguridad de las Aplicaciones,
etc.). Así, se podrán efectuar auditorías de la Seguridad Global de una
Instalación Informática –Seguridad General- y auditorías de la Seguridad de un
área informática determinada – Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informáticas en los
últimos años, se han ido originando acciones para mejorar la Seguridad
Informática a nivel físico. Los accesos y conexiones indebidos a través de las
Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad
lógica y la utilización de sofisticados medios criptográficos.
El sistema integral de
seguridad debe comprender:
• Elementos administrativos
• Definición de una política de seguridad
• Organización y división de responsabilidades
• Seguridad física y contra catástrofes (incendio, terremotos, etc.)
• Prácticas de seguridad del personal
• Elementos técnicos y procedimientos
• Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.
• Aplicación de los sistemas de seguridad, incluyendo datos y archivos
• El papel de los auditores, tanto internos como externos
• Planeación de programas de desastre y su prueba.
Comentarios
Publicar un comentario