UNIVERSIDAD TCNICA ESTATAL DE QUEVEDO

FACULTAD DE CIENCIAS DE LA INGENIERA

ESCUELA DE INFORMTICA

AUDITORIA INFORMTICA

TEMA:

Metodologas, de control interno,

seguridad y auditoria informtica
INTEGRANTES:

> Alay Enrique

> Lema Cesar
> Oa Franklin

Recursos del sistema

Los recursos son los activos a proteger del sistema
informtico de la organizacin.
Existen diferentes tipos de recursos:
Hardware (HW) : Servidores, estaciones de trabajo,
equipos, etc. Software (SW): Sistemas operativos,
herramientas ofimticas, herramientas de gestin, etc.
Elementos de comunicaciones: Dispositivos de
conectividad, switches, routers, etc.
Informacin que se almacena, procesa y distribuye.
Locales y oficinas donde se ubican los recursos fsicos y
desdelos que acceden los usuarios finales.
Personas que utilizan los equipos.
Imagen y reputacin de la organizacin

Mtodo y
metodologas
Termino
Significado
Mtodo

Modo ordenado y
sistemtico de
proceder para llegar
a un resultado.

Metodologa

Conjunto de
mtodos que se
siguen en una
disciplina cientfica o
en un estudio que
permite abordarlo
de forma

Que es la seguridad de los

sistemas de informacin

Relacin de seguridad de SI
con la auditoria

Relacin de seguridad de SI
con la auditoria

HERRAMIENTAS
TECNOLOGIA DE LA SEGURIDAD
PROCEDIMIENTOS DE CONTROL
OBJETIVOS DE CONTROL
METODOLOGIAS
LA ORGANIZACION
NORMATIVIDAD

TODOS LOS FACTORES DE LA PIRAMIDE

INTERVIENEN EN LA COMPOSICION DE UNA
CONTRAMEDIDA

LA NORMATIVA
Debe

definir de forma clara y precisa

todo lo que debe existir y ser cumplido ,
tanto desde el punto de vista conceptual,
como prctico, desde lo general a lo
particular.

Debe inspirarse en :
Polticas
Marco jurdico
Polticas y normas de la empresa
Experiencia
Prcticas profesionales

LA ORGANIZACION
La

integran las personas con funciones

especificas y con actuaciones concretas,
procedimientos
definidos
metodolgicamente y aprobados por la
direccin de la empresa. Sin el nada es
posible.

Funciones
Procedimientos
Planes

(seguridad, contingencia,
auditoras, etc.)

LAS METODOLOGIAS
Son

necesarias
para
desarrollar cualquier proyeto
que
nos
propongamos
de
manera ordenada y eficaz.

LOS OBJETIVOS DE CONTROL

Son

los objetivos a cumplir en el

control de procesos y solamente de
un planteamiento correcto de los
mismos
saldrn
unos
procedimientos eficaces y realistas.

LOS PROCEDIMIENTOS DE
CONTROL
Son

los procedimientos operativos

de las distintas reas de la
empresa,
obtenidos
con
una
metodologa apropiada, para la
consecucin de uno o varios
objetivos de control, y por lo tanto
deben
estar
documentados
y
aprobados por la Direccin.

TECNOLOGIA DE
Dentro
de
la
tecnologa
SEGURIDAD

de
seguridad estn los elementos, ya
sean hardware o software, que
ayudaran a controlar un riesgo
informtico.
(cifradores,
autentificadores,
equipos
tolerantes al fallo etc.)

LAS HERRAMIENTAS DE
CONTROL
Son

elementos
software
que
permiten definir uno o varios
procedimientos de control para
cumplir una normativa y un objeto
de control.

Organizacin interna de la
Seguridad Informtica
Comit de Seguridad de la Informacin
Seguridad corporativa.
Control Interno.
Dpto. de Informtica.
Dpto. de Usuarios.
Direccin del Plan de Seguridad
Control Informtico
Responsable de Ficheros
Controles generales Informticos

Auditora Informtica
Plan Auditor
Dictamenes de Auditoria

METODOLOGIAS DE
EVALUACION DE SISTEMAS
DOS

METODOLOGIAS A EVALUAR:
Auditora Informtica solo
identifica el nivel de exposicin
por falta de controles.
Anlisis de Riesgos facilita la
evaluacin de los riesgos y
recomienda acciones en base al
costo-beneficio de las mismas.

Definiciones para
profundizar en estas
metodologas

Amenaza una persona o cosa vista

como posible fuente de peligro o
catstrofe (inundacin, incendio,
robo de datos, sabotaje, agujeros
publicados, etc.)
Vulnerabilidad la situacin creada,
por la falta de uno o varios
controles, con los que la amenaza
pudiera acceder y as afectar al
entorno
informtico
(falta
de
control de acceso lgico, de
versiones,
inexistencia
de
un

Riesgo la probabilidad de que una

amenaza llegue a acceder por una
vulnerabilidad
(los
datos
estadsticos de cada evento de una
base de datos de incidentes).
Exposicin o Impacto la evaluacin
del efecto del riesgo. (es frecuente
evaluar el impacto en trminos
econmicos, aunque no siempre lo
es, como vidas humanas, imgenes
de la empresa, honor, etc.).

Todos los riesgos que se

presenta podemos:
Evitarlo
Transferirlo
Reducirlo
asumirlo

Tipos de
metodologa
Cuantitativas basadas en

un
modelo matemtico numrico que
ayuda a la realizacin del trabajo.
Cualitativas basadas en un
criterio y raciocinio humano capaz
de definir un proceso de trabajo,
para seleccionar en base a
experiencia acumulada.

METODOLOGIAS MAS COMUNES

Las

metodologas
ms
comunes de evaluacin de
sistemas
que
podemos
encontrar son de anlisis de
riesgos y de diagnsticos de
seguridad, las de plan de
contingencias,
y
las
de
auditora
de
controles
generales.

PLAN DE CONTINGENCIAS
Una estrategia planificada constituida
por:
Recursos de respaldo
Organizacin de emergencia
Procedimientos de actuacin

restauracin progresiva y gil de los

servicios de negocio por una paralizacin total

o parcial de la capacidad operativa de la
empresa.

FASES DE UN PLAN
Fase 1: Anlisis y diseo
Fase 2: Desarrollo del plan
Fase 3: Pruebas y mantenimiento

CONTROL INTERNO INFORMATICO.

SUS MTODOS Y PROCEDIMIENTOS.
LAS HERRAMIENTAS DE CONTROL.
La Funcin de Control
La tendencia generalizada es contemplar al lado de la figura del auditor informtico,
la de control interno informtico.

El rea Informtica monta los procesos informticos seguros.

El Control Interno monta los controles.

La Auditoria Informtica evala el grado de control.

El control informtico es el componente de la actuacin segura entre los usuarios, la

informtica y control interno.

DIFERENCIAS ENTRE AUDITORIA Y CONTROL

INTERNO INFORMTICO

LA AUDITORA INFORMTICA
* Tiene la funcin de vigilancia y evaluacin mediante dictmenes y todas las metodologas van
encaminadas a esta funcin.
* Evalan eficiencia, costo y seguridad en su ms amplia visin.
* Operan segn el plan auditor.
* Establecen planes con tiempos definidos y ciclos completos.

CONTROL INTERNO INFORMTICO

CONTROL INTERNO INFORMTICO

* Funciones de control dual con otros departamentos.
* Tiene funciones propias ( Administracin de la Seguridad lgica , etc ...)
* Responsable del desarrollo y actualizacin del plan de contingencias, manuales de
procedimientos y plan de seguridad.
* Control de calidad del servicio informtico.

CLASIFICACIN DE LA
INFORMACION
ENTIDAD DE INFORMACIN: Objetivo a proteger en el entorno informtico, y
que la clasificacin de la informacin nos ayudar a proteger especializando las
contramedidas segn el nivel de confidencialidad o importancia que tengan.
Entre las entidades de informacin se encuentra la jerarquas que a su vez se
clasifican de la siguiente manera:
-

Altamente Confidencial.

Confidencial

Restringida

METODOLOGA
LOS PASOS DE LA METODOLOGA SON LOS SIGUIENTES:
1.

Identificacin de la informacin.

2.
Inventario de entidades de informacin residentes y operativas ( Programas, Ficheros de
Datos, Estructuras
de Datos, Soportes de Informacin, etc...
3.
Identificacin de Propietarios ( Los que necesitan para su trabajo, usan o custodian la
informacin )
4.

Definicin de jerarquas de Informacin. ( Antes mencionadas )

5.

Definicin de la matriz de Clasificacin.

6.

Confeccin de la matriz de Clasificacin.

7.

Realizacin del plan de Acciones.

8.

Implantacin y Mantenimiento.

METODOLOGA
METODOLOGA
Fase 1.- Definicin de Objetivos de Control. ( Tres Tareas )
Tarea 1. Anlisis de la Empresa.- Estudio de los procesos, organigramas y funciones
Tarea 2. Recopilacin de Estndares.- Todas las fuentes de informacin necesarias
para conseguir definir los objetivos de control a cumplir.
Tarea 3. Definicin de los Objetivos de Control.

METODOLOGA
Fase II.- Definicin de los Controles
Tarea 1. Definicin de los Controles.- Con los Objetivos de Control Definidos,
analizamos los procesos y vamos definiendo los distintos controles que se necesiten.
Tarea 2. Definicin de Necesidades Tecnolgicas ( HW y Herramientas de control )
Tarea 3. Definicin de los Procedimientos de Control.- Se desarrollan los distintos
procedimientos que se generan en las reas usuarias, informtica, control informtico
y control no informtico.
Tarea 4.- Definicin de las Necesidades de Recursos Humanos

METODOLOGA
Fase III.- Implantacin de los Controles

Ya definidos los controles, las herramientas de control y los

recursos humanos necesarios, no resta mas que implantarlos en
forma de acciones especficas.

Una vez terminada la implantacin habr que documentar los

procedimientos nuevos y revisar los afectados de cambio. Los
procedimientos resultantes sern:

- Procedimientos propios de Control

Informtica
- Procedimiento de distintas reas
informtica, mejorados.

de

la

Actividad

usuarias

de

la

LAS HERRAMIENTAS DE CONTROL

Las herramientas de control son elementos software que por sus caractersticas funcionales
permiten vertebrar un control de una manera ms actual y ms automatizada.
Las herramientas de control mas comunes son :
-

Seguridad lgica del sistema.

Seguridad lgica complementaria al sistema ( Desarrollado a medida )

Seguridad lgica para entornos distribuidos.

Control de acceso fsico. Control de Presencia.

Control de copias

Gestin de soportes magnticos.

Control de proyectos.

Control de versiones.
Control de cambios.

ANLISIS DE PLATAFORMAS
Consiste en inventariar las mltiples plataformas actuales y futuras ( Windows ,Unix,
etc...) que mas tarde nos servirn para saber que productos del mercado nos pueden ser
vlidos, tanto los productos actuales como los futuros planes que tengan los fabricantes.

CATALOGO DE REQUERIMIENTOS PREVIOS DE IMPLANTACIN

Esta herramienta inventara las limitaciones, as como lo necesario para la implantacin,
inventariado como acciones y proyectos, calendarizados, y su duracin para seguimiento y
desarrollo.

ANLISIS DE APLICACIONES
Se trata de inventariar las necesidades de desarrollar INTERFASES con los distintos
software de seguridad de las aplicaciones y bases de datos. Estos desarrollos deberan
entrar como proyectos a desarrollar en el plan. En este punto conviene ver si el producto /
interfaces soporta el tiempo real, o el proceso batch, o sus posibilidades de registros de
actividad.

INVENTARIO DE FUNCIONALIDADES Y PROPIETARIOS

Es importante tomar en cuenta el punto de la situacin de la administracin de la

seguridad lgica en los distintos entornos y las caractersticas de las contraseas, as
como la operativa tanto de los usuarios como de los distintos sistemas como de las
distintas administraciones de seguridad y el control de entrada y reportes.
Todo esto para hacer un anlisis de mejoras y prdidas o limitaciones en los
nuevos escenarios con los software de control de los entornos distribuidos, segn
convenga para elegir el mejor en costo/beneficio.

SEGURIDAD
ADMINISTRACIN DE LA SEGURIDAD
Tenemos que considerar si los sistemas nos permiten realizar todas las actividades
normales con los criterios de seguridad fsica y lgica requerida por la organizacin.
Definir los perfiles y las comunicaciones con cada rea de la empresa para llevar un
completo control sobre los miembros de la organizacin.

SEGURIDAD
SEGURIDADES:
Aqu se usa lo clsico en cada producto, que cada persona tenga su contrasea
con lmites de longitud para el acceso a dicho producto.
ADQUISICION, INSTALACIN E IMPLANTACION, MANUALES DE
PROCEDIMIENTOS DE CONTROL.
Con todos los pasos anteriores, lo nico que queda por hacer es comprar el
producto, instalarlo e implantar su nuevo esquema de seguridad y desarrollar los
procesos de control.

TIPOS DE CONTROLES
TIPOS DE CONTROLES PARA UNA METODOLOGIA DE AUDITORIA EN UNA
APLICACIN:
Antes que nada se debe programar una revisin y estos son los pasos para elaborarla:
1)

Identificar el rea a revisar

2)

Identificar las informaciones necesarias para la auditoria y para las pruebas

3) Obtener informacin sobre el sistema, aqu se definen los objetivos y el alcance de la

auditoria
4)

Obtener un conocimiento detallado de la aplicacin del sistema

5)

Identificar los puntos de control crticos en el sistema

6)

Diseo y elaboracin de los procedimientos de la auditoria

Ejecucin de pruebas en los puntos crticos de control.

TIPOS DE CONTROLES
CONTROLES DE PREPARACION DE DATOS:
Aqu se revisan los procedimientos escritos para iniciar, autorizar, recoger,
preparar y aprobar los datos de entrada en la forma de un manual de usuario,
as como revisar los documentos fuente.
Comprobar la existencia y seguimiento de calendarios de entrada de datos
y de distribucin de informes.
Revisar los procedimientos de correccin de errores.

TIPOS DE CONTROLES
CONTROLES DE ENTRADA DE DATOS:

Establecer los procedimientos de entrada y control de datos que explican

las revisiones necesarias de entradas y salidas, con fecha lmite.

Verificar el uso de mtodos preventivos para evitar la entrada incorrecta de

datos funciones de ayuda a la pantalla

Determinar que los datos se verifican en el momento de su entrada al

sistema
Revisar los procedimientos de correccin de errores.

TIPOS DE CONTROLES
CONTROLES DE ENTRADA DE DATOS:

Establecer los procedimientos de entrada y control de datos que explican

las revisiones necesarias de entradas y salidas, con fecha lmite.

Verificar el uso de mtodos preventivos para evitar la entrada incorrecta de

datos funciones de ayuda a la pantalla

Determinar que los datos se verifican en el momento de su entrada al

sistema
Revisar los procedimientos de correccin de errores.

CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:

CONTROLES DE SALIDA DE DATOS:

v Ver si hay establecidos controles internos automatizados de proceso de
validacin.
v

Restriccin de la posibilidad de pasar por encima de procesos de validacin

v Aceptacin por los usuarios finales de todas las transacciones y clculos de

la aplicacin
Ver los controles sobre la entrada de datos.

CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:

CONTROLES DE DOCUMENTACION:

Comprobar que los jefes de rea se informen de faltas de documentacin

adecuada para sus empleados.

Destruccin de toda la documentacin de antiguos sistemas.

La existencia de documentacin de sistemas, programas, de operacin y de

usuario para cada aplicacin ya implantada.

CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:

CONTROLES DE BACKUP Y REARRANQUE

Existencia de un plan de contingencia
Identificacin de aplicaciones y ficheros de datos crticos para el plan de
contingencia
Revisar los contratos del plan de contingencia y backup para determinar su
adecuacin y actualizacin.
Existencia de procesos manuales para sistemas crticos en el caso de fallo de
contingencia
Actualizacin del plan de contingencia cuando es necesario; pruebas anuales.

CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:

CONTROLES SOBRE PROGRAMAS DE AUDITORIA:

Uso de software de auditoria nicamente por personas autorizadas.
Participacin del auditor en la adquisicin o modificacin de paquetes de
software de auditora.
Revisin de tablas de contraseas para asegurar que no se guardan
identificaciones y contraseas de personas que han causado baja.

CONTROLES DE TRATAMIENTO Y
ACTUALIZACION DE DATOS:

CONTROLES DE LA SATISFACCION DE LOS USUARIOS:

Disponibilidad de polticas y procedimientos sobre el acceso y uso de la
informacin.
Resultados fiables, completos, puntuales y exactos de las aplicaciones.
Satisfaccin de los usuarios con la informacin que produce la aplicacin.
Se elaboran las conclusiones basadas sobre la evidencia; lo que deber ser
suficiente, relevante, fiable, disponible, comprobable y til.