AUDITORIA INFORMATICA

Conceptos de Auditoria Informtica

Existe pues, un cuerpo de conocimientos, normas, tcnicas y buenas prcticas de
dicadas a la evaluacin y aseguramiento de la calidad, seguridad, razonabilidad, y
disponibilidad de la INFORMACION tratada y almacenada a travs del computador
y equipos a fines, as como de la eficiencia, eficacia y economa con que la
administracin de un entre estn manejando dicha INFORMACION y todos los
recursos fsicos y humanos asociados para su adquisicin, captura,
procesamiento, transmisin, distribucin, uso y almacenamiento. Todo lo anterior
con el objetivo de emitir una opinin o juicio, para lo cual se aplican tcnicas de
auditoria de general aceptacin y conocimiento tcnico especfico.
Objetivos de la auditoria informtica
La Auditora Informtica deber comprender no slo la evaluacin de los equipos
de cmputo, de un sistema o procedimiento especfico, sino que adems habr de
evaluarlos sistemas de informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de informacin.
La Auditora Informtica deber comprender no slo la evaluacin de los equipos
de cmputo, de un sistema o procedimiento especfico, sino que adems habr de
evaluar los sistemas de informacin en general desde sus entradas,
procedimientos, controles, archivos, seguridad y obtencin de informacin.
Esta es de vital importancia para el buen desempeo de los sistemas de
informacin, ya que proporciona los controles necesarios para que los sistemas
sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo:
informtica, organizacin de centros de informacin, hardware y software.
Alcance de la Auditora Informtica
El alcance ha de definir con precisin el entorno y los lmites en que va a
desarrollarse la auditoria informtica, se complementa con los objetivos de sta.
El alcance ha de figurar expresamente en el Informe Final, de modo que quede
perfectamente determinado no solamente hasta que puntos se ha llegado, sino
cuales materias fronterizas han sido omitidas.
Ejemplo: Se sometern los registros grabados a un control de integridad
exhaustivo*?
Se comprobar que los controles de validacin de errores son adecuados y
suficientes*?
La definicin de los alcances de la auditoria compromete el xito de la misma.

La informacin de la empresa y para la empresa, siempre importante, se ha

convertido en un Activo Real de la misma, como sus Stocks o materias primas si
las hay. Por ende, han de realizarse inversiones informticas, materia de la que se
ocupa la Auditoria de Inversin Informtica.
Del mismo modo, los Sistemas Informticos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditora de Seguridad Informtica en
general, o a la auditora de Seguridad de alguna de sus reas, como pudieran ser
Desarrollo o Tcnica de Sistemas.
Caractersticas de la Auditora Informtica
Cuando se producen cambios estructurales en la Informtica, se reorganiza de
alguna forma su funcin: se est en el campo de la Auditora de Organizacin
Informtica.
Este tipo de auditora engloba a las actividades auditoras que se realizan en una
auditora parcial. De otra manera: cuando se realiza una auditoria del rea de
Desarrollo de Proyectos de la Informtica de una empresa, es porque en ese
Desarrollo existen, adems de ineficiencias, debilidades de organizacin, o de
inversiones, o de seguridad, o alguna mezcla de ellas.
Recopilacin de informacin bsica
Una semana antes del comienzo de la auditoria se enva un cuestionario a los
gerentes o responsables de las distintas reas de la empresa. El objetivo de este
cuestionario es saber los equipos que usan y los procesos que realizan en ellos.
Los gerentes se encargaran de distribuir este cuestionario a los distintos
empleados con acceso a los computadores, para que tambin lo completen. De
esta manera, se obtendr una visin ms global del sistema.
Es importante tambin reconocer y entrevistarse con los responsables del rea de
sistemas de la empresa para conocer con mayor profundidad el hardware y el
software utilizado.
En las entrevistas incluirn:
Director / Gerente de Informtica

Subgerentes de informtica

Asistentes de informtica

Tcnicos de soporte externo

Identificacin de riesgos potenciales

Se evaluara la forma de adquisicin de nuevos equipos o aplicativos de software.
Los procedimientos para adquirirlos deben estar regulados y aprobados en base a
los estndares de la empresa y los requerimientos mnimos para ejecutar los
programas base.
Dentro de los riesgos posibles, tambin se contemplaran huecos de seguridad del
propio software y la correcta configuracin y/o actualizacin de los equipos crticos
como los cortafuegos.
Los riesgos potenciales se pueden presentar de la ms diversa variedad de
formas.
Objetivos de control
Se evaluaran la existencia y la aplicacin correcta de las polticas de seguridad,
emergencia y desastre recovero de la empresa.
Se har una revisin de los manuales de poltica de la empresa, que los
procedimientos de los mismos se encuentren actualizados y que sean claros y que
el personal los comprenda.
Debe existir en la Empresa un programa de seguridad, para la evaluacin de los
riesgos que puedan existir, respecto a la seguridad del mantenimiento de los
equipos, programas y datos.

Determinacin de los procedimientos de control

Se determinaran los procedimientos adecuados para aplicar a cada uno de los
objetivos definidos en el paso anterior.
Objetivo N 1: Existencia de normativa de hardware.
El hardware debe
documentado.

estar

correctamente

identificado

Se debe contar con todas las rdenes de compra y facturas

con el fin de contar con el respaldo de las garantas ofrecidas
por los fabricantes.
El acceso a los componentes del hardware est restringido a
la directo a las personas que lo utilizan.
Se debe contar con un plan de mantenimiento y registro de
fechas, problemas, soluciones y prximo mantenimiento
propuesto.

Objetivo N 2: Poltica de acceso a equipos.

Cada usuario deber contar con su nombre de usuario y
contrasea para acceder a los equipos.
Las claves debern ser seguras (mnimo 8 caracteres,
alfanumricos y alternando maysculas y minsculas).
Los usuarios se desbloquearan despus de 5 minutos sin
actividad.
Los nuevos usuarios debern ser autorizados mediante
contratos de confidencialidad y deben mantenerse luego de
finalizada la relacin laboral.
Uso restringido de medios removibles (USB, CD-ROM, discos
externos etc.).
Pruebas a realizar.
Son los procedimientos que se llevaran a cabo a fin de verificar el cumplimiento de
los objetivos establecidos. Entre ellas podemos mencionar las siguientes tcnicas:
Tomar 10 mquinas al azar y evaluar la dificultad de acceso a
las mismas.
Intentar sacar datos con un dispositivo externo.
Facilidad para desarmar una pc.
Facilidad de accesos a informacin de confidencialidad
(usuarios y claves).
Verificacin de contratos.
Comprobar que luego de 5 minutos de inactividad los usuarios
se desliguen.
Obtencin de los resultados.
En esta etapa se obtendrn los resultados que surjan de la aplicacin de los
procedimientos de control y las pruebas realizadas a fin de poder determinar si se
cumple o no con los objetivos de control antes definidos. Los datos obtenidos se
registrarn en planillas realizadas a medida para cada procedimiento a fin de tener
catalogado perfectamente los resultados con el objetivo de facilitar la
interpretacin de los mismos y evitar interpretaciones errneas.

PLAN DE CONTINGENCIA ANTE UNA EMERGENCIA

Esta fase de refiere al desarrollo e implantacin de los procedimientos en las
diferentes reas del plan dentro de la compaa y asimismo la organizacin de los
equipos que intervienen en cada momento, de tal manera que nos permita la
recuperacin en el umbral de tiempo marcado como objetivo.
Hasta el momento y a estas alturas dentro del desarrollo de un plan tenemos los
siguientes elementos:
Por un lado conocemos todos los procesos sabiendo cules son los crticos.
Sabemos qu riesgos nos pueden afectar y que su materializacin puede hacer
activar el plan. Y conocemos cual es la estrategia que hemos adoptado en funcin
de nuestros objetivos, estableciendo nuestro centro de operaciones de
emergencia que ser nuestro centro de control durante una contingencia.
Previamente a la manifestacin del propio desastre en esta fase se debe
determinar la formacin de equipos operativos que atacarn la emergencia. En
cada unidad operativa de la institucin, que almacene informacin y sirva para la
operatividad de la entidad, se deber designar un responsable de seguridad de la
informacin de su unidad, pudiendo ser el jefe de dicha rea operativa; sus
labores, previas al desastre, sern:
1. Ponerse en contacto con los propietarios de las aplicaciones y trabajar con
ellos.
2. Proporcionar soporte tcnico para las copias de respaldo de las
aplicaciones.
3. Planificar y establecer los requerimientos de los sistemas operativos en
cuanto a archivos, bibliotecas, utilitarios, etc., para los principales sistemas
y subsistemas.
4. Supervisar procesos de respaldo y supervisin.
5. Supervisar la carga de archivos de datos de las aplicaciones, y la creacin
de respaldos incrementales.
6. Coordinar redes, lneas, terminales, mdems y otras comunicaciones.
7. Establecer procedimientos de seguridad en los sitios de recuperacin.
8. Organizar la prueba de hardware y software.
9. Ejecutar trabajos de recuperacin.

10. Cargar y probar archivos del sistema operativo y otros sistemas

almacenados en el lugar alternativo.
11. Realizar procedimientos de control de inventario y de seguridad del
almacenamiento en el lugar alternativo.
12. Establecer y llevar a cabo procedimientos para restaurar el lugar de
recuperacin.

Conocemos
estrategia
y
Fase de desarrollo procesos crticos., y hemos
de
establecido los centros de
control y replicacin

DESARROLLO DE ACTIVIDADES
PLANIFICADAS

Los que afectan a la seguridad del edificio:

Los que afectan a la seguridad de datos: