Este documento presenta los aspectos generales de la auditoría informática. Explica que la auditoría informática evalúa áreas como la planificación, desarrollo de sistemas, operaciones, infraestructura y seguridad. También describe posibles problemas en cada una de estas áreas y establece que la metodología de auditoría incluye definir objetivos, realizar estudios iniciales, determinar perfiles, elaborar planes y programas, realizar actividades de auditoría e informar los resultados.
Herramientas y Métodos para Auditoria de TI,
Instrumentos de recolección de información auditoria TI.,
Técnicas de Evaluacion aplicables en auditoria TI
Describe algunas pautas y herramientas para trabajar con la metodología de la auditoría informática.
Referencias:
HERNÁNDEZ HERNÁNDEZ, Enrique. Auditoría en Informática. Un enfoque práctico, 2ª Edición, México: Compañía Editorial Continental, 2000
•Gomez Vieites, Alvaro. Enciclopedia de la Seguridad Informática. México: Alfaomega, 2007.
Herramientas y Métodos para Auditoria de TI,
Instrumentos de recolección de información auditoria TI.,
Técnicas de Evaluacion aplicables en auditoria TI
Describe algunas pautas y herramientas para trabajar con la metodología de la auditoría informática.
Referencias:
HERNÁNDEZ HERNÁNDEZ, Enrique. Auditoría en Informática. Un enfoque práctico, 2ª Edición, México: Compañía Editorial Continental, 2000
•Gomez Vieites, Alvaro. Enciclopedia de la Seguridad Informática. México: Alfaomega, 2007.
Documentación de la ponencia sobre "Cumplimiento de la Protección de Datos" impartida por el Dr.Ricard Martínez dentro de la la Jornada "Innovación en la protección de la información empresarial" celebrada el 25 de octubre de 2011, dentro del Programa Feria del Conocimiento. http://www.camarazamora.com/Noticia.asp?Id=145
Para proveer la información que requiere la organización para lograr sus objetivos, los recursos de TI deben ser administrados por un conjunto de procesos, agrupados de forma adecuada y ejecutados acorde a prácticas normalmente aceptadas.
Seguridad de la Información para Pymes ISO/IEC 27001:2013iaraoz
Presentación realizada gracias a ODIB (Observatorio de Delitos Informáticos Bolivia), Seguridad de la Información para PYMES con base en la norma ISO 27001:2013
2. AUDITOR: RUBEN DARIO DIAZ H. 2
1. INTRODUCCION
• Los avances tecnológicos en informática, telemática y
videomática, permean cada vez más las organizaciones.
• El ejercicio del control fiscal tiene su basamento en el análisis,
evaluación y verificación de información producida por las
Entidades Sujetas de Control.
• Ejercer el control fiscal en un mundo convulsionado y
cambiante es un gran reto.
• Auditar la información de este tipo es complejo y no cabe
auditarla con procedimientos convencionales de control.
3. AUDITOR: RUBEN DARIO DIAZ H. 3
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Las tareas del Auditor Informático deben estar asociadas a la
rentabilidad ( optimizar tiempo vrs. calidad ).
• Toda organización posee flujos de información formalizados
(normas, procedimientos, etc.) y flujos de información no
formalizados.
• Un sistema computarizado es un subconjunto del flujo de
información formalizado.
• Los niveles de estructura en una empresa son : Gerencial,
Ejecutivo y Operacional.
4. AUDITOR: RUBEN DARIO DIAZ H. 4
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Se estima que sólo se detectan un 10% de los fraudes.
• Ante los problemas surgidos de informatización en una
organización, el Auditor Informático debe dar soluciones :
• Minimizar riesgos.
• Hacerlos menos probables.
• Disminuir el impacto sobre la empresa.
• La Auditaría Informática es la base de la pirámide informática de
una organización.
5. AUDITOR: RUBEN DARIO DIAZ H. 5
AUDITORIA INFORMATICA
PLAN ESTRATÉGICO
DE SISTEMAS
ESTRATEGIA
INFORMÁTICA
NECESIDA.
INFORMACION
.
EST.
CORP.
6. AUDITOR: RUBEN DARIO DIAZ H. 6
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• El ámbito de actuación de la Auditoría Informática sería a :
• La función de Planificación.
• La construcción o desarrollo de sistemas.
• La organización y la administración.
• El entorno operativo.
• La seguridad.
• La Gestión.
• El procesamiento electrónico de los datos.
7. AUDITOR: RUBEN DARIO DIAZ H. 7
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados a la Planificación :
• Aplicaciones inconexas.
• Información redundante.
• Parque computarizado caótico.
• Rumbo indeterminado del Departamento.
• Desconexión del Departamento con la realidad de la
empresa.
• Objetivos inexistentes.
8. AUDITOR: RUBEN DARIO DIAZ H. 8
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados a la Construcción de Sistemas :
• Construcción de sistemas inadecuados.
• Sistemas ineficaces.
• Sistemas inseguros.
• Sistemas de difícil mantenimiento.
• Sistemas que no satisfacen a los usuarios.
• Sistemas no confiables.
• Sistemas no confidenciales.
9. AUDITOR: RUBEN DARIO DIAZ H. 9
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados a la Organización y Administración :
• Políticas y objetivos.
• Políticas de personal.
• Normas y procedimientos.
• Control de calidad.
• Relaciones con los usuarios y proveedores.
• Estructura organizacional y funcional.
• Dotación de recursos.
10. AUDITOR: RUBEN DARIO DIAZ H. 10
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados al Entorno Operativo :
• Políticas, normas y procedimientos.
• Programación y ejecución.
• Infraestructura locativa.
• Infraestructura eléctrica.
• Infraestructura de Hardware y software.
• Infraestructura de comunicaciones.
• Infraestructura de respaldo de datos.
11. AUDITOR: RUBEN DARIO DIAZ H. 11
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados a la Seguridad :
• Acceso físico.
• Acceso lógico.
• Protección del hardware y el software.
• Mantenimiento del hardware y el software.
• Transmisión de datos.
• Políticas de backup.
• Planes de recuperación.
12. AUDITOR: RUBEN DARIO DIAZ H. 12
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados a la Gestión :
• Costos excesivos y desequilibrados.
• Plazos excesivos.
• Incapacidad de cumplir objetivos.
• Utilización poco eficaz de los recursos.
• Estándares de productividad.
• Concordancia con los objetivos corporativos.
13. AUDITOR: RUBEN DARIO DIAZ H. 13
2. ASPECTOS GENERALES DE AUDITORIA INFORMATICA
• Problemas asociados al Procesamiento Electrónico de los Datos :
• Entrada de datos.
• Salida de datos.
• Procesamiento de datos.
• Aplicativos de sistemas.
• Bases de datos.
• Procesamiento distribuido.
14. AUDITOR: RUBEN DARIO DIAZ H. 14
4. METODOLOGÍA DE LA AUDITORIA INFORMATICA
• Definición de Objetivos y Ambito.
• Realización de un Estudio Inicial.
• Determinación de Perfiles.
• Elaboración de Planes.
• Elaboración de Programas.
• Realización de Actividades.
• Elaboración del Informe Final.
• Formulación de Recomendaciones.
15. AUDITOR: RUBEN DARIO DIAZ H. 15
5. REGLAS BASICAS DE REALIZACION DE UNA AUDITORIA
INFORMATICA
• Fomentar la cooperación de los elementos auditados.
• Contar con el apoyo de la dirección.
• Cuidar aspectos protocolarios.
• Realizar una presentación.
• Solicitar con antelación la información precisa.
• No adelantar resultados parciales.
• Comentar resultados con interesados antes que niveles superiores.
• No emitir juicios que no estén sólidamente basados.
• El auditor observa, juzga y recomienda. Es imparcial.
16. AUDITOR: RUBEN DARIO DIAZ H. 16
6. SOFTWARE PARA AUDITORIA INFORMATICA
• El objetivo fundamental del software para Auditaría Informática
es el de verificar los registros y archivos del computador.
• Las Funciones serían de :
• Interpretar las especificaciones de Auditoría.
• Escoger e imprimir registros que cumplan criterios .
• Resumir datos de archivos.
• Calcular valores.
• Ordenar archivos según requerimientos de análisis.
• Escoger muestras aleatorias.
17. AUDITOR: RUBEN DARIO DIAZ H. 17
COMO IDENTIFICAR
O CONOCER A LA
ENTIDAD SUJETA
DE CONTROL ?
18. AUDITOR: RUBEN DARIO DIAZ H. 18
AMBIENTE
ORGANIZACIONAL
• Estructura Organizacional.
• Políticas Corporativas.
• Plan Estratégico Corporativo.
• Manual de Funciones.
• Manual de Procesos.
• Presupuesto.
• Indicadores de Gestión.
• Descomposición Funcional.
19. AUDITOR: RUBEN DARIO DIAZ H. 19
AMBIENTE DE
CONTROL INTERNO
• Estructura de la Auditaría Interna.
• Funciones de control.
• Plan Anual de Revisión.
• Plan de Contingencias.
• Políticas de Control.
• Valoración de Riesgos.
• Normatividad de Control.
• Evaluaciones anteriores.
20. AUDITOR: RUBEN DARIO DIAZ H. 20
AMBIENTE
INFORMATICO
• Estructura Area de Sistemas.
• Funciones Area de Sistemas.
• Plan Estratégico de Sistemas.
• Plan de Contingencias.
• Inventario de Software y Hardware.
• Políticas de Operación.
• Metodologías de Desarrollo.
• Políticas de Seguridad.
• Políticas de Backup y Recuperación.
21. AUDITOR: RUBEN DARIO DIAZ H. 21
COMO DEFINIR EL
AMBITO Y ALCANCE ?
• Analizar la información.
• Identificar el Ambiente de Control.
• Definir el Escenario de Riesgo.
• Definir las Actividades Sujetas de Control.
22. AUDITOR: RUBEN DARIO DIAZ H. 22
IDENTIFICACIÓN DE
LOS POR QUÉ
OCURREN LOS
PROBLEMAS DE
ORDEN INFORMÁTICO
Y COMPUTACIONAL EN
UNA ORGANIZACIÓN ?
24. AUDITOR: RUBEN DARIO DIAZ H. 24
1. POR QUÉ SISTEMAS
NO HA
AUTOMATIZADO
MI
PROCESO ?
25. AUDITOR: RUBEN DARIO DIAZ H. 25
• La planeación del área de sistemas debe hacerse
de acuerdo con políticas definidas por la
organización.
• La organización debe monitorear la calidad de los
productos y servicios ofrecidos por los recursos
PED.
• Debe existir un Comité de Sistemas que promueva
y apruebe las políticas y planes PED como de
relación con los usuarios.
• El recurso humano del área de sistemas debe ser
idóneo y sus funciones estar sujetas a lo definido en
la estructura organizacional.
• Deben existir criterios que permitan medir el
desempeño de los funcionarios del área de
sistemas.
26. AUDITOR: RUBEN DARIO DIAZ H. 26
• Escenario de Riesgo : ORGANIZACIÓN
Está relacionado con aquellos controles
que implanta la entidad para garantizar
la mejor administración y operación del
área de sistemas e informática, con el
fin de que sus servicios se presten de la
manera que la organización lo requiera,
para efectos de competitividad y óptima
gestión y acorde al plan estratégico
corporativo.
27. AUDITOR: RUBEN DARIO DIAZ H. 27
• Escenario de Riesgo : ORGANIZACIÓN
• Actividades Sujetas de Control
• Políticas/Objetivos
• Planeación Corporativa
• Estructura Organizacional/Funcional
• Recurso Humano
• Relación con Usuarios
• Control de Calidad
28. AUDITOR: RUBEN DARIO DIAZ H. 28
2. POR QUÉ LA INFORMACIÓN
NUNCA ESTA
ACTUALIZADA?
29. AUDITOR: RUBEN DARIO DIAZ H. 29
• Los recursos PED deben ser operados de manera que
proteja la información almacenada y debe proveer control
sobre su acceso y modificación.
• El sistema de información debe proveer información
oportuna.
• Debe incluirse en el plan de trabajo, el mantenimiento
periódico de los equipos.
• El sistema de información debe garantizar la integralidad
con el resto de sistemas de la organización.
• Debe existir un registro exacto del desempeño de todos y
cada uno de los trabajos procesados en el centro de
cómputo.
• La información suministrada por el sistema debe ser
confiable.
• Debe existir una adecuada segregación de funciones.
30. AUDITOR: RUBEN DARIO DIAZ H. 30
• Escenario de Riesgo : OPERACION
Está relacionado con aquellos controles y
procedimientos que garantizan que los equipos,
medios magnéticos y software sean
correctamente utilizados y, proporcionen
efectividad y continuidad en el PED, seguridad a
registros y restricciones en el acceso de
personal no autorizado.
31. AUDITOR: RUBEN DARIO DIAZ H. 31
• Escenario de Riesgo : OPERACION
• Actividades Sujetas de Control
• Políticas, Normas y Procedimientos
• Planeación
• Programación
• Ejecución
32. AUDITOR: RUBEN DARIO DIAZ H. 32
3. POR QUÉ LOS
SISTEMAS
NO SATISFACEN
MIS
NECESIDADES ?
33. AUDITOR: RUBEN DARIO DIAZ H. 33
• Las aplicaciones deben desarrollarse de acuerdo con las
políticas corporativas de la organización.
• Se deben emplear metodologías adecuadas de desarrollo de
sistemas.
• Los usuarios se deben involucrar en los proyectos de
desarrollo con responsabilidades asignadas.
• Se debe utilizar una metodología de control de proyectos.
• Las aplicaciones deben estar documentadas.
• La naturaleza general y el alcance de cada proyecto de
sistemas debe ser claramente establecido y documentado.
• Deben prepararse y documentarse el estudio tecnológico de
factibilidad del proyecto.
• El desarrollo de las aplicaciones debe obedecer a criterios
de priorización, costos, duración y tamaño.
34. AUDITOR: RUBEN DARIO DIAZ H. 34
• Escenario de Riesgo : DESARROLLO
Está relacionado con aquellos controles y
procedimientos que garantizan el desarrollo
efectivo de sistemas o aplicativos de
información, conforme a los tipos de desarrollo
de ciclo de vida, desarrollo por prototipado,
desarrollo mediante software comercial,
desarrollo por outsourcing o desarrollo por
usuario final.
35. AUDITOR: RUBEN DARIO DIAZ H. 35
• Escenario de Riesgo : DESARROLLO
• Actividades Sujetas de Control
• Políticas de Desarrollo
• Estudio de Factibilidad
• Preparación del Proyecto
• Análisis del Sistema
• Diseño del Sistema
• Construcción del Sistema
• Documentación
• Metodología Duración y Tamaño
• Metodología para Priorizar
• Metodología Costo/Beneficio
• Participación Usuarios
• Control Administrativo del Proyecto
• Metodología Definición de Sistemas
• Instalación y Postinstalación
36. AUDITOR: RUBEN DARIO DIAZ H. 36
4. POR QUÉ LAS CONSTANTES
FALLAS EN LOS
EQUIPOS ?
37. AUDITOR: RUBEN DARIO DIAZ H. 37
• Los elementos, equipos e instalaciones deben hacer del sitio
de trabajo un lugar cómodo, agradable, funcional y adecuado
para las tareas inherentes a la gestión informática.
• Las instalaciones del fluido eléctrico deben ofrecer un buen
servicio eléctrico uniforme y permanente.
• Los equipos de cómputo, periféricos y dispositivos
necesarios para el PED deben ser adecuados y necesarios.
• Los dispositivos electrónicos, interfaces, conexiones y
cableados indispensables para transmitir y recibir
información, interna como externa, deben ser de alta
tecnología.
• El conjunto de programas de computador y aplicativos de
usuario final se debe aprovechar al máximo por la
infraestructura de hardware y de comunicaciones como para
el desarrollo de sistemas.
• Se debe contar con software para realizar, almacenar y
recuperar las copias de respaldo de datos.
• Se debe contar con recursos logísticos para brindar apoyo a
38. AUDITOR: RUBEN DARIO DIAZ H. 38
• Escenario de Riesgo : INFRAESTRUCTURA
Está relacionado con aquellos controles y
procedimientos que protegen el conjunto de
instalaciones, equipos, insumos, dispositivos,
redes, periféricos, programas y recursos en
general de tecnología informática, con que
cuenta el ente auditado para desarrollar,
implementar y operar sus sistemas de
información.
39. AUDITOR: RUBEN DARIO DIAZ H. 39
• Escenario de Riesgo : INFRAESTRUCTURA
• Actividades Sujetas de Control
• Infraestructura Locativa
• Infraestructura Eléctrica
• Infraestructura de Hardware
• Infraestructura de Software
• Infraestructura de Comunicaciones
• Infraestructura para Respaldo de Datos
• Infraestructura de Soporte
41. AUDITOR: RUBEN DARIO DIAZ H. 41
• Deben asignarse responsabilidades sobre el control de acceso y
seguridad física en el área PED.
• El acceso a bases de datos y terminales debe ser controlado, a
partir de políticas de Password.
• Deben existir protecciones contra eventos como incendios e
inundaciones de acuerdo con estándares de seguridad aceptados.
• Los archivos de cómputo deben protegerse contra accidentes,
destrucción y utilización por personal no autorizado o de intrusos.
• Deben existir planes de recuperación en caso de presentarse una
contingencia.
• Se deben definir políticas unificadas de backup y los
responsables de ejecutarlas diariamente.
• Debe existir un programa periódico de mantenimiento preventivo
del hardware y el software.
• Se debe proteger la información de la empresa del acceso desde
Internet.
• Deben existir procedimientos establecidos para verificar la
integridad de la información transmitida.
42. AUDITOR: RUBEN DARIO DIAZ H. 42
• Escenario de Riesgo : SEGURIDAD
Está relacionado con aquellos controles,
procedimientos y medidas efectivas que
protegen al personal, a los equipos, a los
programas y a los datos de las amenazas que
rodean el ambiente informático de una
organización.
43. AUDITOR: RUBEN DARIO DIAZ H. 43
• Escenario de Riesgo : SEGURIDAD
• Actividades Sujetas de Control
• Acceso Físico
• Acceso Lógico
• Protección de Equipos
• Protección de Software
• Mantenimiento de Hardware y Software
• Seguridad en la Transmisión de Datos
• Planes de Recuperación
• Políticas de Backup
• Pólizas de Seguro
• Seguridad en las Bases de Datos
44. AUDITOR: RUBEN DARIO DIAZ H. 44
SISTEMAS DE
INFORMACIÓN
OPERACIÓN ORGANIZACIÓN
SEGURIDAD
INFRAESTRUCTURA DESARROLLO
AMBIENTE DE
CONTROL
GENERAL
45. AUDITOR: RUBEN DARIO DIAZ H. 45
6. POR QUÉ PERSONAL
NO AUTORIZADO
TIENE ACCESO A
LOS SISTEMAS DE
INFORMACIÓN ?
46. AUDITOR: RUBEN DARIO DIAZ H. 46
• El usuario debe tener procedimientos establecidos para preparar los
datos e ingresarlos.
• La información sometida a procesamiento debe ser autorizada,
preparada e integrada y transmitida adecuadamente.
• Los documentos fuente y formas en blanco, deben custodiarse por
personas no involucradas en su generación.
• Los documentos fuente deben retenerse por un tiempo determinado,
para poder en algún caso, reconstruir la información.
• Los datos de entrada a procesar deben ser validados.
• Los procedimientos para el manejo de errores deben facilitar la
reentrada y operación precisa de los datos corregidos.
• Los documentos fuente deben ser diseñados de forma tal que
minimicen los errores y omisiones.
• Debe existir un control de los documentos negociables.
• Deben existir procedimientos que faciliten la privacidad al ingreso de
datos.
47. AUDITOR: RUBEN DARIO DIAZ H. 47
• Escenario de Riesgo : ENTRADA
Está relacionado con aquellos procedimientos
implantados por la entidad y que validan de
alguna forma los datos de entrada a los
diferentes sistemas o aplicativos, buscando con
ello un alto grado de depuración que evite
grandes cargas de trabajo posteriores
relacionadas con la corrección de datos
erróneos y su reentrada.
48. AUDITOR: RUBEN DARIO DIAZ H. 48
• Escenario de Riesgo : ENTRADA
• Actividades Sujetas de Control
• Autorización
• Origen del Documento Fuente
• Manejo del Error en el Documento Fuente
• Retención del Documento Fuente
• Entrada de Datos
• Validación de Datos de Transacciones
• Manejo del Error en la Entrada de Transacciones
• Control de Documentos Negociables
• Privacidad
49. AUDITOR: RUBEN DARIO DIAZ H. 49
9. ES LA
INFORMACIÓN
UNA TRAMPA
PARA LA
ORGANIZACIÓN ?
50. AUDITOR: RUBEN DARIO DIAZ H. 50
• Se debe normalizar el control de acceso a las bases de datos.
• La información relacionada con la base de datos se debe controlar
en su flujo y al uso que se le pueda dar.
• Se deben salvaguardar de un fraude o desfalco los activos de la
base de datos del uso no autorizado o del retiro por personal tanto
de confianza como de extraños a la organización.
• Se debe garantizar la privacidad de los datos de la base de datos.
• Se debe normalizar procedimientos de recuperación ante la
destrucción accidental o intencional de la base de datos.
• Se deben implementar controles para el manejo de errores
después de que han ingresado a la base de datos.
• Los datos deben ser rastreados a través de todas las funciones de
la base de datos.
• Se debe garantizar programas que faciliten la interfaz con la base
de datos, sistema operativo, programas de telecomunicaciones y de
aplicaciones.
51. AUDITOR: RUBEN DARIO DIAZ H. 51
• Escenario de Riesgo : BASES DE DATOS
Está relacionado con aquellos controles
implantados por la entidad para su
administración, manejo de errores, acceso,
programas interfaz, etc., debido a que éstas son
colecciones estructuradas de datos
relacionados entre sí y que son compartidas por
un buen número de usuarios.
52. AUDITOR: RUBEN DARIO DIAZ H. 52
• Escenario de Riesgo : BASES DE DATOS
• Actividades Sujetas de Control
• Control de Acceso
• Políticas de la Información
• Fraude y Desfalco
• Privacidad
• Interrupciones y Desastres
• Manejo de Errores en Transacciones
• Pistas de Auditoría
• Balanceo y Conciliación de Salidas
• Interfaz de programas
53. AUDITOR: RUBEN DARIO DIAZ H. 53
3. CONCEPTOS FUNDAMENTALES
• Cuáles son las amenazas más comunes en el entorno
informático de una organización :
• Contingencias naturales
• Intrusos
• Aplicaciones mal diseñadas
• Accidentes
• Contravenciones a la Ley
• Fallas en el hardware y software
• Errores de usuarios
• Problemas de telecomunicaciones
54. AUDITOR: RUBEN DARIO DIAZ H. 54
• Antes de la automatización de los datos, éstos se mantenían
y aseguraban como registros en papel, dispersos en
negocios o unidades organizacionales por separado.
• Hoy en día, los sistemas de información concentran los
datos en archivos de computadora que pueden ser
accesados más fácilmente por mucha gente y grupos fuera
de la institución.
• Por lo tanto, los datos automatizados pueden ser más
susceptibles de destrucción, fraude, error y mal uso.
4. VULNERABILIDAD
55. AUDITOR: RUBEN DARIO DIAZ H. 55
• En 1992 un estudio encargado por Stratus Computer Inc. y
realizado por la empresa de investigaciones de Nueva York
Find/SVP, encuestó a 450 ejecutivos de SI seleccionados de las 1000
empresas de la revista FORTUNE, encontró algunos de los
siguientes resultados :
• Las caídas no planeadas del sistema ocurren nueve veces por año
en promedio.
• Los sistemas permanecen caídos un promedio de cuatro horas.
• Los efectos más negativos son la insatisfacción del cliente y
pérdidas de productividad.
4. VULNERABILIDAD
56. AUDITOR: RUBEN DARIO DIAZ H. 56
• Las distorsiones en los sistemas de cómputo cuestan a las
empresas 4.000 millones de dólares al año.
• La pérdida de productividad en los trabajadores es del orden
de 37 millones de horas.
• Mientras más tiempo permanezcan los sistemas de cómputo
“caídos”, más serias serán las consecuencias para la empresa.
• Sólo unos cuantos días de pérdida de capacidad de cómputo
originan un quebranto total de la funcionalidad del negocio.
4. VULNERABILIDAD
57. AUDITOR: RUBEN DARIO DIAZ H. 57
Los sistemas computarizados son vulnerables por las siguientes
razones:
• Un sistema de información complejo no puede ser duplicado a
mano.
• Los procedimientos computarizados parecen ser invisibles y no son
bien entendidos o auditados.
• En general no quedan huellas visibles de cambios en los sistemas
computarizados y, también son complejos.
• Se tiene menor inspección manual.
• La información es más fácil de recopilar, pero más difícil de
controlar.
4. VULNERABILIDAD
58. AUDITOR: RUBEN DARIO DIAZ H. 58
• El desarrollo y operación de los sistemas automatizados
requiere de conocimiento experto, que no puede ser
comunicado fácilmente a los usuarios finales.
• Los sistemas están abiertos al abuso de miembros del
personal altamente capacitados técnicamente que no estén
bien integrados a la institución.
• Los empleados pueden hacer copias no autorizadas de
archivos de datos con fines ilegales.
• El efecto de un desastre en un sistema computarizado puede
ser mayor que en uno manual.
4. VULNERABILIDAD
59. AUDITOR: RUBEN DARIO DIAZ H. 59
• Los datos en los sistemas de cómputo pasan por más pasos
de procesamiento que en los sistemas manuales.
• En cada uno de las funciones de origen de los datos, registro,
transmisión, procesamiento, almacenamiento, recuperación y
distribución, requiere de un conjunto independiente de
controles físicos, administrativos y técnicos.
• Los sistemas de información en línea son aún más difíciles de
controlar.
4. VULNERABILIDAD
60. AUDITOR: RUBEN DARIO DIAZ H. 60
4. VULNERABILIDAD
Radiación
Radiación
Intercepción
Distorsión
interferencia
Radiación Radiación
Radiación
Intercepción
Distorsión
interferencia
Consolas
remotas
Usuario :
modificar
Acceso :
Errores de programación
Hardware :
Conexiones inadecuadas
Centro de
intercambio Procesador
Canal de
comunicación
Programador :
Incapacitar medidas
Revelar medidas
Mantenimiento :
Incapacitar dispositivos
Uso programas indep.
Operador :
Reemplaza supervisor
Revela medidas
Hardware :
Falla circuitos protección
Contribuye fallas software
Archivos :
Robo, copiado,
Acceso no
autorizado
Software :
Falla disposit. protección
Control acceso
61. AUDITOR: RUBEN DARIO DIAZ H. 61
4. VULNERABILIDAD
• La vulnerabilidad creciente de los datos automatizados ha
creado preocupaciones especiales para los desarrolladores y
usuarios de los sistemas de información.
• Entre las preocupaciones se incluyen :
• Desastres
• Seguridad
• Error administrativo
62. AUDITOR: RUBEN DARIO DIAZ H. 62
4. VULNERABILIDAD
Preparación datos
Transmisión
Conversión
Entrada datos línea
Completar formas
Otro tipo acceso
Validación
Procesamiento
Salida
Transmisión
Distribución