2. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
CONCEPTO._
La parte física en la informática ha tenido una
importancia relativa y, además, esta ocupando un
lugar en la mesa. En informática lo físico no solo se
refiriere al hardware, es un soporte tangible del
software, es decir, es todo cuanto rodea o incluye al
ordenador.
La auditoria es el medio que proporciona la seguridad
física en el ámbito en el que se va ha realizar la labor.
SEXTO “SISTEMAS”
3. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
SEGURIDAD._
La seguridad física no es mas que aquella que garantiza la integridad de
los activos humanos, materiales lógicos y materiales de un CPD. Se debe
tener en cuenta en la seguridad física lo siguiente:
Obtener y mantener un nivel adecuado de seguridad física sobre los
activos; como la ubicación del edificio, potencia eléctrica, seguridad de
los medios de información.
Ejecutar un Plan de contingencia adecuado. Analizando los riesgos del
sistema, de las aplicaciones, estableciendo los objetivos de nuestra
seguridad, determinando las prioridades del proceso, y, además, asignar
las capacidades de comunicaciones y de servicios.
Se debe adquirir un contrato de seguros, que cubren las perdidas de los
bienes por daños, robos entre otros. La gama existente de seguros son
muchos algunos son:
*Para centros de proceso y equipamiento, reconstrucción de medios
software, gastos extras entre otros.
SEXTO “SISTEMAS”
4. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
AREAS DE LA SEGURIDAD FISICA
Todas las áreas son importantes, pero en cuestión de
seguridad las áreas más vulnerables son:
ORGANIGRAMA: Con el se conocen cada una de las
dependencias.
AUDITORIA INTERNA: Esta es la encargada de guardar las
normas, los procedimientos y planes de la seguridad física.
ADMINISTRACION DE LA SEGURIDAD: Deben existir
algunas dependencias, cargos y responsabilidades como son;
un director de seguridad integral e informático, un
administrador de redes y base de datos, y un responsable de la
seguridad pasiva y activa en el entorno físico.
CENTRO DE PROCESO DE DATOS: Son las instalaciones.
EQUIPOS Y COMUNICACIONES: Son los elementos
principales de computación como son;
servidores, host, terminales, impresoras etc.
SEGURIDAD FISICA DEL PERSONAL: Entradas y salidas del
personal seguras.
SEXTO “SISTEMAS”
5. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
FUENTES
Algunas de las fuentes que se deben tener
en todas las empresas son:
Políticas, normas y planes de
seguridad; Auditorias anteriores;
contratos de seguros, proveedores y de
mantenimiento; entrevistas con el
personal de seguridad; actas de
informes; políticas de personal e
inventarios con soportes.
SEXTO “SISTEMAS”
6. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
OBJETIVOS
Se dice que proteger los datos es el objetivo
primordial de la seguridad, Como sabemos, la
seguridad física es más amplia y alcanza otros
conceptos entre los que puede haber alguno que
supere en importancia los datos. Entonces los
objetivos basados en una lógica "de fuera de
adentro" quedan indicados así:
Edificio, Instalaciones, equipamiento y
telecomunicaciones, datos y personas.
SEXTO “SISTEMAS”
7. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
TECNICAS Y HERRAMIENTAS
Las técnicas y las herramientas básicas de la auditoria no
se diferencian, y, además, sabemos que su fin es obtener
evidencias física.
TECNICAS
Observación de las instalaciones, sistemas,
cumplimientos de normas.
Revisión analítica de: Documentos de
construcciones, seguridad física; políticas y normas;
procedimientos de seguridad física; contratos de
seguro y mantenimiento.
Entrevistas con directivos y personal. Consultas con
técnicos y auditores.
HERRAMIENTAS
Cuaderno de campo/ grabadora de audio.
Maquina fotográfica/ cámara de vídeo.
Su uso debe ser discreto y siempre con el consentimiento
del personal.
SEXTO “SISTEMAS”
8. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
RESPONSABILIDADES
AUDITOR INFORMATICO INTERNO
Revisar los controles de seguridad física, el cumplimiento de
los procedimientos, normas y políticas de la seguridad;
participar en la selección, adquisición e implantación de
nuevos equipos, en los planes de seguridad sin perder la
independencia; efectuar auditorias y emitir informes
además de efectuar el seguimiento de las recomendaciones.
AUDITOR INFORMATICO EXTERNO
Revisar las funciones de los auditores internos, los planes de
seguridad; tiene las mismas responsabilidades que los
auditores internos; además, emitir informes y
recomendaciones.
SEXTO “SISTEMAS”
9. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
FASES Y DESARROLLO
LAS FASES: Siguiendo la metodología EDPAA, Su ciclo quedaría:
Alcance de la auditoria, Adquisición de información
general, administración y planificación, plan de
auditoria, resultados de las pruebas, conclusiones y
comentarios, borrador del informe y discusión con los responsables
del área.
DESARROLLO DE LAS FASES DE LA AUDITORIA
INFORMATICA: Como sabemos son 8 las fases. En esta pagina
expondremos una, la fase dos: ADQUISICION DE
INFORMACION. Para llevar a cabo esta fase debemos seguir el plan
de contingencia:
Debe existir un acuerdo en la empresa para realizar el plan de
contingencia(se tiene una estrategia, todos los departamentos están de
acuerdo). Acuerdo de un proceso alternativo(Proporciona el centro
alternativo suficiente capacidad). Protección de datos. Manual de plan
de contingencia.
SEXTO “SISTEMAS”
11. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
INTRODUCCION
Partiendo de la definición realizada por SCHILL acerca de la
ofimática, que dice que, como el sistema informatizado que
genera, procesa, almacena, recupera, comunica y presenta datos
relacionados con el funcionamiento de la oficina.
Las primeras aplicaciones de la ofimática se realizan o se desarrollaron
sobre los ordenadores centrales de las organizaciones.
La evolución sufrida en el entorno microinformático ha condicionado el
desarrollo de los sistemas ofimáticos actuales. El aumento de la potencia
de calculo, la alta calidad de los productos y la reducción de costos de los
ordenadores personales y las estaciones de trabajo; ha desplazado el
desarrollo de aplicaciones ofimáticas a plataformas microinformáticas y
redes de área local.
SEXTO “SISTEMAS”
12. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
CONTROLES DE AUDITORIA
En los problemas que se presentan diariamente en las oficinas de las
organizaciones existen dos características:
La distribución de las aplicaciones por los diferentes departamentos de la
organización en lugar de encontrarse en una única ubicación
centralizada; y el traslado de responsabilidad sobre ciertos controles de
los sistemas de información a usuarios finales no dedicados
profesionalmente a la informática, que pueden no comprender de un
modo adecuado la importancia de los mismos y la forma de realizarlos.
Como consecuencia de los dos factores enunciados, se ha generado una
problemática propia en este tipo de entornos: adquisiciones poco
planificadas; desarrollos eficaces e ineficientes, incluso en procesos
críticos para el correcto funcionamiento de la organización; falta de
conciencia de los usuarios acerca de la seguridad de la información;
utilización de copias ilegales de aplicaciones; procedimientos de copias
de seguridad deficientes; escasa formación del personal; ausencia de
documentación suficientes; etc.
SEXTO “SISTEMAS”
13. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Economía, eficacia y eficiencia
Determinar sí el intervalo ofimático refleja con exactitud los
equipos y aplicaciones existentes en la organización.
Esta se refleja en todas las compras que realizan las empresas u
organizaciones respecto al material de procesamiento de la
información. Para evitar esto se deben registrar inventarios.
Determinar y evaluar el procedimiento de adquisiciones de
equipos y aplicaciones.
Dentro de las políticas de adquisiciones descentralizadas en la que
cada departamento se encarga de realizar sus compras, ofrece
ventajas en cuanto a flexibilidad y capacidad de reacción de los
mismos, pero podría acarrear significativas pérdidas económicas
para el conjunto de la organización.
SEXTO “SISTEMAS”
14. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Determinar y evaluar la política de mantenimiento definida en la
organización
Los procedimientos descentralizados han propiciado que, en ocasiones, los
equipos adquiridos no sean incluidos ni en los inventarios ni en los contratos
de mantenimiento, incluso podría llegar a suceder que el persona de la
organización encargado del mantenimiento no dispusiera de los
conocimientos necesarios para llevarlo a cabo.
Evaluar la calidad de las aplicaciones del entorno ofimático
desarrollada por personal de la propia organización.
La utilización de herramientas ofimáticas por los usuarios finales ha
propiciado el desarrollo de aplicaciones, en muchos casos sin las debidas
garantías de fiabilidad, cuyo mal funcionamiento puede repercutir
significativamente en la actividad de la organización cuando se trate de
aplicaciones que gestionen procesos críticos.
Por otra parte, tambien es común que los desarrollos en estos entornos no
hayan seguido los controles de calidad y seguridad suficientes, posibilitando
que algún programador haya introducido “puertas traseras”, bombas lógicas o
cualquier otro mecanismo que pudiera perturbar el buen funcionamiento de la
aplicación desarrollada.
SEXTO “SISTEMAS”
15. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Evaluar la corrección del procedimiento existente para la realización de
los cambios de versiones y aplicaciones.
Los cambios de aplicaciones o de versiones pueden producir situaciones de
falta de integración y de compatibilidad entre los nuevos productos instalados
y los existentes con anterioridad. Prácticamente la totalidad de las nuevas
versiones son capaces de manejar los formatos utilizados por versiones
anteriores, pero no siempre ocurre en sentido contrario.
Determinar si los usuarios cuentan con la suficiente formación y la
documentación de apoyo necesaria para desarrollar sus tareas de un
modo eficaz y eficiente.
Un conocimiento deficiente de las funcionalidades de las aplicaciones por
parte de los usuarios finales o de los encargados del mantenimiento, puede
ocasionar pérdida de eficacia y eficiencia en la utilización de las mismas. No
debemos olvidar que carecer de los conocimientos necesarios puede ser debido
tanto a que los usuarios no han sido formados como a que no han aprovechado
debidamente los recursos de formación recibidos.
SEXTO “SISTEMAS”
16. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Determinar si el sistema existente se ajusta a las necesidades reales de
la organización.
La existencia de equipos obsoletos o infrautilizados puede ocasionar
situaciones que por mala distribución de los equipos a las necesidades de la
organización, repercuten en el correcto funcionamiento de la misma.
SEXTO “SISTEMAS”
17. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
SEGURIDAD
Determinar si existen garantías suficientes para proteger los accesos no
autorizados a la información reservada de la empresa y la integridad de la
misma.
Las aplicaciones ofimáticas gestionan información reservada como agendas de
contactos, informes sobre temas confidenciales, estadísticas obtenidas con
información extraída de la base de datos corporativa, etc. Los accesos no
autorizados a las inconsistencias en este tipo de información puede comprometer
el buen funcionamiento de la organización.
La organización debe establecer las políticas y procedimientos de la seguridad
necesarios para garantizar la confidencialidad, integridad y disponibilidad de la
información almacenada.
Determinar si el procedimiento de generación de las copias de respaldo es
fiable y garantiza la recuperación de la información en caso de necesidad.
La información generada por el sistema debe estar disponible en todo momento.
La no disponibilidad de datos, especialmente de aquellos procedimientos críticos
para la organización, además de las consabidas pérdidas económicas, podría
llevar, en el extremo, a la polarización del departamento.
SEXTO “SISTEMAS”
18. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Determinar si está garantizado el funcionamiento interrumpido de
aquellas aplicaciones cuya caída podría suponer perdidas de integridad
de la información y aplicaciones.
En las organizaciones se desarrollan procesos en las que una caída de tensión
podría ocasionar pérdidas de integridad de la información y aplicaciones
manejadas, en ocasiones irrecuperables.
Determinar el grado de exposición ante la posibilidad de intrusión de
virus.
Los costos derivados de la intrusión de virus informáticos se han multiplicado
en los últimos años: perdida de la información y empleo de recursos y tiempo
para restablecer el sistema, llegando en algunos casos a la polarización
temporal del departamento.
SEXTO “SISTEMAS”
19. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
NORMATIVA VIGENTE
Determinar si en el entorno ofimático se producen situaciones que puedan
suponer infracciones a lo dispuesto en la ley orgánica 5/1992, de regulación
del tratamiento autorizado de datos de carácter personal (LORTAD).
La LORTAD establece una serie de principios y derechos de los ciudadanos en
relación a sus datos de carácter personal incluidos en ficheros autorizados. Así
mismo establece un catálogo de infracciones cuya comisión por parte de los
responsables de los ficheros de titularidad privada puede dar lugar a sanciones por
un importante entre 100.000.ptas y 100.000.000. de ptas.
Determinar si en el entorno ofimático se produce situaciones que puedan
suponer infracciones a lo dispuesto en el real decreto legislativo 1/1996, del
12 de abril, sobre la propiedad intelectual.
La mayoría de las copias ilegales utilizadas en las organizaciones corresponden a
aplicaciones microinformáticas, en especial a aplicaciones ofimáticas. Este hecho
puede provocar que aquellos afectados que sufran algún tipo de daño o perjuicio
como consecuencia del incumplimiento de lo dispuesto en el real decreto
legislativo sobre la propiedad intelectual, presente reclamaciones ante los
tribunales de justicia que puedan derivar incluso causas criminales.
SEXTO “SISTEMAS”
21. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Los conocimientos sobre Auditoría de la Dirección desarrollados
anteriormente fueron llevados a la práctica mediante la realización de una
auditoría al Departamento de Sistemas de Información de la Empresa Patio
Olmos.
Nacida hace más de diez años, esta empresa se encuentra ubicada en Av.
Vélez Sársfield al 400 de la Ciudad de Córdoba, y se dedica al alquiler de
locales comerciales y salones de eventos en su edificio.
SEXTO “SISTEMAS”
22. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
A cada uno de los locales les brinda variados servicios, entre los que a
nosotros nos interesan podemos nombrar:
Sistema de Facturación.
Telefonía.
Correo Electrónico.
Internet.
SEXTO “SISTEMAS”
23. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
El cobro de los alquileres se divide en dos categorías, por monto fijo o por
porcentaje de lo facturado mensualmente. Hacen uso de un sistema de
“Customer Relationship Management” (“Manejo de Relación con el Cliente”)
implementado por la compañía desarrolladora de software administrativos
NCR.
Cada local comercial debe realizar la facturación mediante el sistema
brindado por la empresa, para poder controlar los montos registrados por
cada uno de ellos. De no desear utilizar este medio los locales deberán
disponer de una herramienta que exporte los datos de sus propias aplicaciones
de facturación al sistema de información.
SEXTO “SISTEMAS”
24. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
También se lleva un control por cada local sobre el consumo telefónico, el cual es
cobrado junto con la renta de cada local.
SEXTO “SISTEMAS”
26. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Concepto de Explotación
El nivel de competencia que existe entre las empresas les obliga a tomar
decisiones rápidas y acertadas, por lo que el funcionamiento adecuado
y la continua actualización de los SI son muy necesarios. Los recursos
de los SI se han de utilizar de forma que permitan la eficacia y eficiencia
de la empresa, además de que deben asegurar la confidencialidad de
sus datos.
Para hacer el seguimiento y comprobar que el SI está actuando como
debe, éste habrá de disponer de un control interno que prevenga los
eventos no deseados, o en su defecto que los detecte y los corrija.
Para esta área de la auditoría es posible seguir la guía de clasificación de
los controles que hace el proyecto CobiT (es un marco reconocido
internacionalmente, que permite la estandarización de criterio
relacionado con controles sobre TI).
SEXTO “SISTEMAS”
27. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Proceso de Auditoría en Explotación
Para realizar la Explotación Informática se dispone de una materia
prima, los Datos, que es necesario transformar, y que se someten
previamente a controles de integridad y calidad.
La transformación se realiza por medio del Proceso informático, el cual
está gobernado por programas. Obtenido el producto final, los
resultados son sometidos a varios controles de calidad
y, finalmente, son distribuidos al cliente, al usuario.
SEXTO “SISTEMAS”
29. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
División de la Auditoría
Evaluación de Controles generales:
Controles operativos y de organización
Desarrollo de programas
Sobre programas y equipo
Controles de acceso
Sobre procedimiento de datos
SEXTO “SISTEMAS”
30. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
División de la Auditoría
Evaluación de las Aplicaciones
Sobre la captura de datos
De proceso
Salida y distribución
SEXTO “SISTEMAS”
31. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Clasificación según COBIT
Actividades y Tareas
Procesos
Dominios
Planificación y organización
Adquisición e implementación
Suministro y mantenimiento
monitorización
SEXTO “SISTEMAS”
33. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Auditoría Informática de Desarrollo de
Proyectos o Aplicaciones:
La función de Desarrollo es una EVOLUSION del llamado ANALISIS y
PROGAMACION de Sistemas y Aplicaciones.
A su vez, engloba muchas áreas, tantas como sectores informatizarles
tiene la empresa. Muy escuetamente, una Aplicación recorre las
siguientes fases:
Prerrequisitos del Usuario (único o plural) y del entorno
Análisis funcional
Diseño
Análisis orgánico (Pre programación y Programación)
Pruebas
Entrega a Explotación y alta para el Proceso.
SEXTO “SISTEMAS”
34. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Estas fases deben estar sometidas a un exigente CONTROL
INTERNO, caso contrario, además del disparo de los costes, podrá
producirse la insatisfacción del usuario.
Finalmente, la auditoría deberá comprobar la seguridad de los
PROGRAMAS en el sentido de garantizar que los ejecutados por la
maquina sean exactamente los previstos y no otros.
Una auditoría de Aplicaciones pasa indefectiblemente por la
OBSERVACION y el ANALISIS de cuatro consideraciones:
Revisión de las metodologías utilizadas: Se analizaran éstas, de modo
que se asegure la modularidad de las posibles futuras ampliaciones de
la Aplicación y el fácil mantenimiento de las mismas.
SEXTO “SISTEMAS”
35. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Control Interno de las Aplicaciones: se deberán revisar las mismas fases que
presuntamente han debido seguir el área correspondiente de Desarrollo:
Estudio de Vialidad de la Aplicación. [importante para Aplicaciones
largas, complejas y caras]
Definición lLOGICA de la Aplicación. [se analizará que se han
observado los postulados lógicos de actuación, en función de la
METODOLOGIA elegida y la finalidad que persigue el proyecto]
Desarrollo Técnico de la Aplicación. [Se verificará que éste es ordenado y
correcto. Las herrramientas técnicas utilizadas en los diversos
programas deberán ser compatibles]
Diseño de Programas. [deberán poseer la máxima
sencillez, modularidad y economia de recursos]
Métodos de Pruebas. [ Se realizarán de acuerdo a las Normas de la
Instalación. Se utilizarán juegos de ensayo de datos, sin que sea
permisible el uso de datos reales]
Documentación. [cumplirá la Normativa establecida en la
Instalación, tanto la de Desarrollo como la de entrega de Aplicaciones a
Explotación]
Equipo de Programacion. [Deben fijarse las tareas de análisis puro, de
programacion y las intermedias. En Aplicaciones complejas se
producirían variaciones en la composición del grupo, pero estos
deberán estar previstos]
SEXTO “SISTEMAS”
36. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien
desarrollada, deberá considerarse fracasada si no sirve a los intereses del
usuario que la solicitó. La aquiescencia del usuario proporciona grandes
ventajas posteriores, ya que evitará reprogramaciones y disminuirá el
mantenimiento de la Aplicación.
Control de procesos y Ejecuciones de programas Críticos: El auditor no
debe descartar la posibilidad de que se esté ejecutando un módulo que
no se corresponde con el programa fuente que desarrolló, codificó y
probó el área de Desarrollo de Aplicaciones. Se ha de comprobar la
correspondencia biunívoca y exclusiva entre el programa codificado y su
compilación. Si los programas fuente y los programa módulo no
coincidieran podríase provocar, desde errores de bulto que producirían
graves y altos costes de mantenimiento, hasta fraudes, pasando por
accionres de sabotaje, espionaje industrial-informativo, etc. Por
ende, hay normas muy rígidas en cuanto a las Librerías de programas;
aquellos programas fuente que hayan sido dados por bueno por
Desarrollo, son entregados a Explotación con el fin de que éste:
Copie el Programa fuente en la Librería de fuentes de Explotación, a la
que nadie más tiene acceso
Compile y monte ese programa, depositándolo en la Librería de Módulos
de Explo-tación, a la que nadie más tiene acceso.
Copie los programas fuente que les sean solicitados para
modificarlos, arreglarlos, etc. en el lugar que se le indique. Cualquier
cambio exigirá pasar nuevamente por el punto 1.
SEXTO “SISTEMAS”
37. INSTITUTO TECNOLOGICO SUPERIOR “LUIS A.
MARTINEZ”
Como este sistema para auditar y dar el alta a una nueva Aplicación es
bastante ardua y compleja, hoy (algunas empresas lo usarán, otras no) se
utiliza un sistema llamado U.A.T (User Acceptance test).
Este consiste en que el futuro usuario de esta Aplicación use la Aplicación
como si la estuviera usando en produccion para que detecte o se denoten
por sí solos los errores de la misma. Estos defectos que se encuentran se
van corrigiendo a medida que se va haciendo el U.A.T. Una vez que se
consigue el U.A.T., el usuario tiene que dar el Sign Off ("Esto está bien").
Todo este testeo, auditoría lo tiene que controlar, tiene que evaluar que el
testeo sea correcto, que exista un plan de testeo, que esté involucrado
tanto el cliente como el desarrollador y que estos defectos se corrijan.
Auditoría tiene que corroborar que el U.A.T. prueba todo y que el Sign Off
del usuario sea un Sign Off por todo.
SEXTO “SISTEMAS”