C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA

$: C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA$
Presentado por: Ximena Anette Williams

El Planeamiento de la Auditoria garantiza el diseño de una estrategia adaptada las condiciones de cada entidad tomando como base la información recopilada en la etapa de Exploración Previa.

En este proceso se organiza todo el trabajo de Auditoria, las personas implicadas, las tareas a realizar por cada uno de los ejecutantes, los recursos necesarios, los objetivos, programas a aplicar entre otros, es el momento de planear para garantizar éxito en la ejecución de la misma. En el siguiente artículo se plantean los elementos más importantes de esta etapa con el fin de lograr el cumplimiento de los objetivos y la mejor ejecución de la Auditoria.

Auditoría de sistemas computacionales (Auditoría informática)Motivados por la importancia de continuar con la exposición de las definiciones de cada uno de los tipos de auditorías, y debido a que la esencia de este libro es enfatizar la tras cendencia, utilidad y especialidad de la auditoría de sistemas computacionales (ASC), acontinuación presentamos cada una de las definiciones de auditorías especializadas de los sistemas computacionales, las cuales se aplican para las diferentes áreas y disciplinas de este ambiente informático. Estas definiciones contendrán únicamente la exposición de los principales conceptos de esta auditoría y, si es el caso, un breve comentario, ya que en los siguientes capítulos profundizaremos en su estudio y aplicaciones.Las definiciones propuestas para la auditoría de sistemas computacionales son las siguientes:

Auditoria informáticaAuditoria con la computadoraAuditoria sin la computadoraAuditoria a la gestión informáticaAuditoria al sistema de computoAuditoria en el entorno de la computadoraAuditoria sobre la seguridad de los sistemas computacionesAuditoria a los sistemas de redesAuditoria integral a los centros de computoAuditoria ISO-9000 al os sistemas computacionalesAuditoria OutsorcingAuditoria ergonómica de sistemas computacionales

Finalidad y utilidad. Estos dos conceptos serán el referente para diferenciar los distintos tipos de

auditoria que se pueden plantear en una red telemática.

Su objetivo es evaluar la seguridad de la red interna de una empresa ante la posibilidad de recibir ataques por parte de un hacker que haya conseguido alcanzar la intranet o ataques provenientes de personal interno a la empresa. La Auditoría de la Red Interna se centra en evaluar la seguridad de los sistemas de protección perimetral situados en la red interna de una empresa (routers y firewalls que separan subredes, etc) así como los diferentes sistemas que están localizados en dicha red (sistemas host, servidores de ficheros, de impresión, de web, de correo, de noticias, etc). Se parte de dos posibles situaciones: 1. Un hacker ha conseguido superar el router/firewall externo e interno y se ha conectado a la red interna. 2. Un empleado de la empresa con uno de los siguientes perfiles: Usuario normal no privilegiado, programador con ciertos niveles de privilegio, administrador de sistemas con alto nivel de privilegio

§ Revisar los conceptos del router y su configuración por defecto para analizar que aseguramiento tiene en ésta configuración.

§ Revisar las partes físicas y lógicas de la red

§ Revisar las características del switch y su configuración por defecto.

Verificar que el control de acceso de los usuarios. Proteger la información de la empresa, y los

recursos físicos. Establecer normas y políticas.

FísicasLógicas redes inalámbricas

Se debe garantizar que exista:Áreas de equipo de comunicación con control de acceso. Protección y tendido adecuado de cables y líneas de comunicación para evitar accesos físicos. Control de utilización de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperación del sistema. Control de las líneas telefónicas.Comprobando que:El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad física del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de líneas telefónicas. Las líneas de comunicación estén fuera de la vista. Se dé un código a cada línea, en vez de una descripción física de la misma.

Haya procedimiento de protección de los cables y las bocas de conexión para evitar pinchazos a la red. Existan revisiones periódicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propósitos y funciones específicas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las líneas telefónicas: No debe darse el número como público y tenerlas configuradas con retro llamada, código de conexión o interruptores.

En ésta, debe evitarse un daño interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red.Para éste tipo de situaciones:Se deben dar contraseñas de acceso. Controlar los errores. Garantizar que en una transmisión, ésta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la información a la red.

Registrar las actividades de los usuarios en la red. Encriptar la información pertinente. Evitar la importación y exportación de datos.Que se comprueban si:El sistema pidió el nombre de usuario y la contraseña para cada sesión:En cada sesión de usuario, se debe revisar que no acceda a ningún sistema sin autorización, ha de inhabilitarse al usuario que tras un número establecido de veces erra en dar correctamente su propia contraseña, se debe obligar a los usuarios a cambiar su contraseña regularmente, las contraseñas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar información sobre su última conexión a fin de evitar suplantaciones.

Inhabilitar el software o hardware con acceso libre. Generar estadística de las tasas de errores y transmisión. Crear protocolos con detección de errores. Los mensajes lógicos de transmisión han de llevar origen, fecha, hora y receptor. El software de comunicación, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados. Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. Se debe hacer un análisis del riesgo de aplicaciones en los procesos. Se debe hacer un análisis de la conveniencia de cifrar los canales de transmisión entre diferentes organizaciòn.

Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos foráneos a la red. Deben existir políticas que prohíban la instalación de programas o equipos personales en la red. Los accesos a servidores remotos han de estar inhabilitados. La propia empresa generará propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas:

Servidores = Desde dentro del servidor y de la red interna. Servidores web. Intranet = Desde dentro. Firewall = Desde dentro. Accesos del exterior y/o Internet.

El control es una de las fases del proceso administrativo y se encarga de evaluar que los resultados obtenidos durante el ejercicio se hayan cumplido de acuerdo con los planes y programas previamente determinados, a fin de retroalimentar sobre el cumplimiento adecuado de las funciones y actividades que se reportan como las desviaciones encontradas; todo ellos para incrementar la eficiencia y eficacia de una institución.

El control interno es la adopción de una serie de medidas que se establecen en las empresas, con el propósito de contar con instrumento tendientes a salvaguardar la integridad de los bienes institución y así ayudar a la administración y cumplimiento correcto de las actividades y operaciones de las empresas . Con la implantación de tales medidas se pueden conseguir los siguiente beneficios:•Proteger y salvaguardar los bienes de la empresa y a su personal•Prevenir y en su caso, descubrir la presencia de fraudes, robos y acciones dolosas.•Obtener la información contable, financiera y administrativa de manera confiable y oportuna.•Promover el desarrollo correcto de las funciones, operaciones y actividades de la empresa.

El sistema de control interno comprende el plan de la organización y todos los métodos coordinados y medidas adoptadas dentro de una empresa con el fin de salvaguardar sus activos y verificara la confiabilidad de los datos contables.

Definiciones El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. (Auditoría Informática - Aplicaciones en Producción - José Dagoberto Pinilla) El Informe COSO define el Control Interno como "Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán. También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (Auditoría Informática - Un Enfoque Práctico - Mario G. Plattini)

Debido a que cada día es mas frecuente el uso de redes en las instituciones, las cuales que van desde simples redes internas y redes locales (LANs), hasta las redes metropolitanas (MANs) o las redes instaladas a escala mundial (WANs). El establecimientos para estos controles para la seguridad en sistemas de redes y sistemas multiusuario de una empresa es de vital importancia. Razón por la cual se debe tomar medidas muy especificas para la protección, resguardo y uso de programas, archivos e información compartida de la empresa.

Respecto a la seguridad en redes, existe un sinnúmero de medidas preventivas y correctivas, las cuales constantemente se incrementan en el mundo de los sistemas.Debido a la características de los propios sistemas computacionales , a las formas de sus instalaciones , el numero de terminales y a sus tipos de conexión , es necesario adaptarse a los constantes cambios tecnológicos que buscan garantizar la seguridad en el funcionamiento de las propias redes, de sus programas de uso colectivo, de su archivos de información y de su demás características.

La seguridad en las redes es muy eficiente y con una profundidad digna de señalarse debido a que constantemente se establecen y actualizan sus controles, los cuales van desde restricción de las accesos para usuarios, hasta el uso de palabras claves para el ingreso a los programas y archivos de la empresa , así como el monitoreo de actividades, rutinas de auditoria para identificar comportamientos, con el propósito de salvaguardar la información y los programas de estos sistemas.

Lo mismo ocurre respecto a los planes y programas de contingencias diseñados para la salvaguarda de la información, de los programas y de los mismos sistemas de red establecidos en la empresa.

CONTROL CIRCUNDANTE EN EL PROCESAMIENTO ELECTRÓNICO DE DATOSEl funcionamiento de los controles generales dependía la eficacia del funcionamiento de los controles específicos. El mismo procedimiento debe ser aplicado a la empresa con procesamiento computarizado. Los controles generales en el procesamiento electrónico de datos ( PED ) tiene que ver con los siguientes aspectos.

ORGANIZACIÓN El personal de PED (sistemas) no realice las siguientes tareas : iniciar y autorizar intercambios que no sean para suministros y

servicios propios del departamento. Registro de los intercambios Custodia de activos que no sean los del propio departamento Corrección de errores que no provengan de los originados por el

propio dpto. En cuanto a la organización dentro del mismo departamento ,

las siguiente funciones deben estar segregadas: programación del sistema operativo análisis , programación y mantenimiento operación ingreso de datos control de datos de entrada / salida archivos de programas y datos.

DESARROLLO Y MANTENIMIENTO DE SISTEMAS Las tecnicas de mantenimiento y programación

operativos del sistema deben estar normalizados y documentados.

OPERACIÓN Y PROCEDIMIENTOS Deben existir controles que aseguren el

procesamiento exacto y oportuno de la información contable.

instrucciones por escrito sobre procedimiento para para preparar datos para su ingreso y procesamiento

La función de control debe ser efectuada por un grupo específico e independiente.

Instrucciones por escrito sobre la operación de los equipos.

Solamente operadores de computador deben procesar los SIST OP.

CONTROLES DE EQUIPOS Y PROGRAMAS DEL SISTEMA Debe efectuarse un control de los equipos : programación del mantenimiento preventivo y

periódico registro de fallas de equipos Los cambios del sist. Op. Y la programación. CONTROLES DE ACCESO El acceso al PED debe estar restringido en todo

momento. También debe controlarse : el acceso los equipos debe estar restringido a aquellos

autorizados el acceso de documentación solo aquellos autorizados el acceso a los archivos de datos y programas solo

limitado a operadores

•Análisis del acceso a los siguientes aspectos de la red:A la información institucional por áreas, privilegios, niveles de operación de los datos.A los sistemas y software

•Análisis de cambio periódico de niveles, privilegios y contraseñas de acceso al sistema.•Análisis de los reportes de incidencias, contingencias y circunstancias que afecten el funcionamiento de la red, a su información o software.•Análisis de la atención y rapidez de respuestas para satisfacer las necesidades informáticas de los usuarios de sistemas.•Análisis de la existencias, acatamiento y actualización de las políticas y reglamentos de los usos de usos de los sistemas computacionales de a red.•Análisis del cumplimiento de la actividad de los servidores, terminales, sistemas, y programas de computo utilizados para satisfacer las necesidades de os usuarios del sistema.•Análisis de la atención y solución de algunas diferencias en la operación entre redes.

•El funcionamiento adecuado de los protocolos de red•El funcionamiento corrector de direcciones ya sean por un nivel o jerárquicas.•El manejo de los tamaños de paquetes que se manejan en la red, según su máximo.•El control de errores para la entrega confiable y en orden o sin orden de la información que se trasmite en la red.•Control de flujo y de velocidad de trasmisión de los datos de la red.•Control de congestión del manejo de la información, trasmisión y protocolo de la red.Administración y control de la problemática de seguridad de la red, la información, los usuarios, los sistemas computacionales y de las instalaciones físicas.Contabilidad de los tiempos de uso del sistema, ya sea por conexión de las terminales, por paquetes, por byte, por proceso o por cualquier otra actividad que se realiza en los sistemas de la red.

•Análisis del funcionamiento de los mecanismos de control de acceso a las instalaciones, información y software institucional.•Análisis de prevención de accesos múltiples, sin permisos, dolosos y de todas aquellas acciones para ingresar al sistema sin la autorización correspondiente.•Análisis del procesamiento de información en los sistemas de red.•Análisis de la administración y el control de la asignación de los niveles de acceso, privilegios y contraseña para los usuarios para ingresar al sistema de la información.•Análisis del monitoreo de las actividades de los usuarios.•Análisis de las medidas correctivas y preventivas para evitar la piratería de información, software, activos informáticos y consumibles del área de sistemas.

•Análisis de la realización, actualización y custodia de los respaldos de sistemas e información que se procesan en la red.•Análisis de la auditoria periódicas del funcionamiento de la red.•Análisis de las medidas preventivas y correctivas para erradicar de la red los virus informativos.•Análisis del establecimiento de las barreras físicas y lógicas para proteger los accesos a intrusos, piratas, hackers y creckers informáticos y cualquier otra intromisión, accidental o dolosa.

•Análisis de los reportes y servicios de mantenimiento correctivo y preventivo de la red.•Análisis de las bitácoras y estadísticas de incidencias de la red.•Análisis de la estadísticas de incidencias, descomposturas, caídas del sistema, colisiones, perdida de información y demás detalles que repercuten en la operación de la red.

I etapa: Plantación de la auditoria de sistemas computacionalesII etapa: ejecución de la auditoria de sistemas computacionalesIII etapa: Dictamen de la auditoria de sistemas computacionales.


P.1 Identificar origen de la auditoriaP.2 Realizar una visita preliminar al área que será evaluadaP.3 Establecer los objetivos de la auditoriaP.4 Determinar los puntos que serán evaluados en la auditoriaP.5 Elaborara planes, programas y presupuestos para realizar la auditoriaP.6 Identificar y seleccionar los métodos. Herramientas, instrumentos y procedimientos necesarios para la auditoriaP.7 Asignar los recursos y sistemas computacionales para la auditoria

E.1 Realizar las acciones programadas para la auditoriaE.2 Aplicar los instrumentos y herramientas para la auditoriaE.3 Identificar y elaborar los documentos de desviaciones encontradasE.4 Elaborar el dictamen preliminar y presentarlo a discusiónE.5 Integrar el legajo de papeles de trabajo de la auditoria

D.1 Analizar la información y elaborar un informe de situaciones detectadasD.2 Elaborar el dictamen finalD.3 Presentar el informe de auditoria

EntrevistasCuestionariosEncuestasEl levantamiento de inventarioLas técnicas de observaciónLas técnicas de revisión documentalLa matriz de evaluación o la matriz FODAEl uso de listas de chequeoEl uso de las técnicas de muestreoLa ponderaciónLos modelos de simulación

a fin de hacer un recuento de los bienes informáticos destinados al funcionamiento de la red y del área de sistemas, que conforman la red. Para llevar a cabo esto, es recomendable realizar los siguientes inventarios:Inventario de los componentes de la redes de computo de la empresaInventario de los sistemas operativosInventario de la seguridad y protección de la información y de los datos del sistema de red.Inventario de los bienes muebles, inmuebles, materiales y consumibles del área de sistema, a fin de valorar su protección y uso.Inventario del acceso a las redesInventario de configuraciones y protocolo, tarjetas y demás característicasInventario de las normas políticas reglamento y medidas preventivas y correctivas del área de sistemas

para revisar los proyectos de instalación de la red, planos de configuración de cableado, configuraciones, distribución de los componentes de la red, los planes contra contingencias, manuales e instructivos de seguridad,, licencias y resguardos de sistemas, bitácoras de reportes de incidencias que afectan a la red y al desarrollo de proyecto de redes y de nuevos sistemas, bitácora de mantenimiento y evaluación, así como planes, programas y presupuestos para satisfacer los requerimientos de operación y funcionalidad de la red de computo. Siempre y cuando esta revisión se realice para evaluar lo que se refiere a la administración y control de las funciones de la red de los activos informáticos que la integran, así como el manejo de la información y su sistema.

•Según las preferencias y necesidades del revisión del auditor; con esta herramientas puede auditar las fortalezas y debilidades del funcionamiento de la red de computo, tales como;•La administración del servidor•Las terminales•El software•La información•El aprovechamiento de los recursos informáticos de la empresa•Y las respuestas a las necesidades informáticas•También puede analizar las áreas de oportunidad para fortalecer la comunicación entre los sistemas de la empresa, la actualización de tecnología de protección y las barreras para proteger los accesos del exterior. También puede analizar las posibles amenazas del avance de la tecnología de redes y de comunicación para evitar la fragilidad en la actualización en los sistemas de red.

ya que con estas herramientas puede verificar que quien realice la auditoria cubra todos los puntos descritos en su plantación de auditoria. Inclusive, de acuerdo con el

diseño de esta lista también puede auditar todos los aspectos que repercuten en la red

de la empresa.

debido a que al evaluar el cumplimiento de las funciones, tareas y operaciones relativas a la administración y funcionamiento de una red de computo, seria casi imposible que inoperante, revisar todas las actividades que se realizan en la red, , mas aun cuando esta es WAN o Internet. Por esta razón debe usar muestras representativas del cumplimiento de las operaciones de la red adoptada en la organización, así como en la trasmisión de datos de la red.

Es una herramienta muy útil, ya que le permite evaluar el funcionamiento adecuado de cada una de las partes de la red de computo, al asignarle a cada parte el peso que, según su criterio, le corresponda, para hacer mas equitativa la evaluación , en este caso a cada una de las partes consideradas como división fundamental del funcionamiento de una red; por ejemplo; la evaluación del diseño de la red, del funcionamiento de los protocolos, de la parte técnica de su funcionamiento o cualquier otra división establecida por el auditor.

ya que con ellos es posible hacer simulacros del funcionamiento de la red, de los accesos a las áreas físicas y de los accesos a los sistemas y a la información de la red; también se puede realizar el desarrollo de pruebas simuladas, planeadas previamente, con las que el auditor realiza actividades concretas para utilizar la red de una manera inadecuada y ver su comportamiento. También puede hacer todo tipo de simulaciones, de acuerdo con las necesidades de evaluación y con su experiencia.

El cual también puede ser una herramienta valiosa para el auditor, ya que le permite hacer el seguimiento de cualquier actividad de captura, procesamiento y emisión de resultados de los sistemas de red, de los flujos que se siguen en la trasmisión de la información entre las partes que la integran, además del seguimiento de la rutinas de los programas de esta o de las actividades y funciones que se realizan en ella.

Auditoria de sistemas computacional de Carlos Muños Razowww.monografia.comwww.emagister.com

http://www.monografia.com/

http://www.emagister.com/

C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA

Education

Transcript of C:\Fakepath\Conceptos BáSicos Sobre La AuditoríA