GUÍA METODOLÓGICA PARA DESARROLLAR AUDITORÍA DE …
209
ISC-2003-1-11 1 GUÍA METODOLÓGICA PARA DESARROLLAR AUDITORÍA DE SISTEMAS EN EL ÁREA DE REDES INTRANET CASO DE ESTUDIO: SERVICIO DE CORREO ELECTRÓNICO DE UNA INSTITUCIÓN DE EDUCACIÓN SUPERIOR JANETH BIBIANA DÍAZ GUEVARA UNIVERSIDAD DE LOS ANDES FACULTAD DE INGENIERÍA DEPARTAMENTO DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN BOGOTÁ D.C 2003
Transcript of GUÍA METODOLÓGICA PARA DESARROLLAR AUDITORÍA DE …
ISC-2003-1-11
1
GUÍA METODOLÓGICA PARA DESARROLLAR AUDITORÍA DE SISTEMAS EN EL ÁREA DE REDES INTRANET
CASO DE ESTUDIO: SERVICIO DE CORREO ELECTRÓNICO DE UNA INSTITUCIÓN DE EDUCACIÓN SUPERIOR
JANETH BIBIANA DÍAZ GUEVARA
UNIVERSIDAD DE LOS ANDES
FACULTAD DE INGENIERÍA DEPARTAMENTO DE INGENIERÍA DE SISTEMAS Y
COMPUTACIÓN BOGOTÁ D.C
2003
ISC-2003-1-11
2
GUÍA METODOLÓGICA PARA DESARROLLAR AUDITORÍA DE SISTEMAS EN EL ÁREA DE REDES INTRANET
CASO DE ESTUDIO: SERVICIO DE CORREO ELECTRÓNICO DE UNA INSTITUCIÓN DE EDUCACIÓN SUPERIOR
JANETH BIBIANA DÍAZ GUEVARA
Monografía presentada como requisito para optar al título de Ingeniera de Sistemas y Computación
Asesores:
Ing. Ángela Carrillo Ing. Olga Lucía Giraldo
UNIVERSIDAD DE LOS ANDES FACULTAD DE INGENIERÍA
DEPARTAMENTO DE INGENIERÍA DE SISTEMAS Y COMPUTACIÓN
BOGOTÁ D.C 2003
ISC-2003-1-11
3
A mis Padres y a mi Abuelito Carlos con todo mi amor.
.
ISC-2003-1-11
4
AGRADECIMIENTOS
Agradezco a todas las personas que de una u otra forma me ayudaron a culminar una de las metas más importantes de mi vida, en especial: A mis padres por todo su amor, su entrega total e incondicional, por todo su esfuerzo, paciencia y constancia. Por todas sus enseñanzas y por acompañarme y apoyarme en este largo caminar. A mis hermanas por apoyarme y acompañarme en todos los momentos de mi vida. A toda mi familia quienes me apoyaron y me incentivaron para seguir adelante aún en los momentos más difíciles. A mis abuelitos, por sus enseñanzas, sus cons ejos, su apoyo en todos los momentos y su ejemplo de vida. A Luis Ángel por su amor, compañía y apoyo. A mis asesoras de tesis Ángela y Olga Lucía por su estupenda labor, por su apoyo y su interés en este trabajo y en mi desarrollo como profesional. A todas las personas del DTI por su colaboración e interés en el desarrollo de este trabajo. A mis amigos, ya que gracias a ellos disfrute momentos inolvidables en la Universidad.
ISC-2003-1-11
5
TABLA DE CONTENIDO
pág
INTRODUCCIÓN......................................................................................................... 11 OBJETIVO .................................................................................................................... 12 OBJETIVOS ESPECÍFICOS ..................................................................................... 12 ALCANCE..................................................................................................................... 12 1. DESCRIPCIÓN DEL PROBLEMA ...................................................................... 13 2. CONTROL INTERNO............................................................................................ 15
2.1 CONTROL INTERNO INFORMÁTICO......................................................... 16 3. AUDITORÍA............................................................................................................. 21
3.1 TIPOS DE AUDITORÍA ................................................................................... 22 3.2 UBICACIÓN DE LOS TIPOS DE AUDITORÍA EN LA ORGANIZACIÓN 23 3.3 AUDITORÍA INFORMÁTICA .......................................................................... 24
4. PROCESO PARA LA REALIZACIÓN DE UNA AUDITORÍA DE SISTEMAS........................................................................................................................................ 27
4.1 PLANEACIÓN................................................................................................... 27 4.2 ORGANIZACIÓN E INTEGRACIÓN............................................................. 30 4.3 DIRECCIÓN ...................................................................................................... 31 4.4 CONTROL......................................................................................................... 31
5. CONCEPTOS IMPORTANTES PARA APLICAR EN LA AUDITORÍA DE SISTEMAS.................................................................................................................... 33
5.1 RIESGO ............................................................................................................. 34 6. TERMINOLOGÍA DE REDES............................................................................... 53
6.1 HARDWARE DE RED ...................................................................................... 53 6.2 SOFTWARE DE RED...................................................................................... 57 6.3 FIREWALL......................................................................................................... 64
7. METODOLOGÍAS EXISTENTES PARA EL DESARROLLO DE UNA AUDITORÍA INFORMÁTICA ..................................................................................... 67
7.1 METODOLOGÍA PARA LA AUDITORÍA DE SISTEMAS SEGÚN COBIT..................................................................................................................................... 67 7.2 METODOLOGÍA PARA LA AUDITORÍA DE SISTEMAS SEGÚN PINILLA..................................................................................................................................... 85
8. METODOLOGÍA PROPUESTA............................................................................ 88 8.1 VULNERABILIDADES EN REDES................................................................. 88 8.2 METODOLOGÍA PROPUESTA ...................................................................... 89
9. APLICACIÓN DE LA METODOLOGÍA PROPUESTA A UN CASO REAL .108 9.1 CONOCER GLOBALMENTE LA ENTIDAD ................................................108 9.2 MOTIVACIÓN DE LA AUDITORÍA ...............................................................109 9.3 DEFINIR EL OBJETIVO Y ALCANCE DE LA AUDITORIA......................110 9.4 CONOCER EL AREA AUDITABLE..............................................................112 9.5 IDENTIFICAR VULNERABILIDADES Y RIESGOS...................................129 9.6 EVALUACIÓN DE CONTROLES EXISTENTES ....................................134
ISC-2003-1-11
6
9.7 DISEÑAR Y EJECUTAR LAS PRUEBAS ...................................................137 9.8 EVALUAR LOS RESULTADOS....................................................................139 9.9 CONCLUIR Y RECOMENDAR .....................................................................143 9.10 PRESENTAR EL INFORME DE AUDITORÍA ..........................................143 9.11 REALIZAR UN SEGUIMIENTO A LAS RECOMENDACIONES ...........155
10. CONCLUSIONES GENERALES DEL TRABAJO .........................................156 11. TRABAJO FUTURO...........................................................................................158 12. BIBLIOGRAFÍA ...................................................................................................159 13. REFERENCIAS...................................................................................................160
ISC-2003-1-11
7
LISTA DE FIGURAS
pág. Figura 1. Proceso de Implantación de Control Interno Informático..............19 Figura 2. Ubicación de la Auditoría interna y externa en la organización....23 Figura 3. Ubicación de la Auditoría Informática interna y externa en la organización.................................................................................................26 Figura 4. Fases del proceso administrativo en la Auditoría.........................27 Figura 5. Formato para estimación de la vulnerabilidad al riesgo...............44 Figura 6. Proceso de la administración de riesgos......................................45 Figura 7. Matriz Delphi.................................................................................50 Figura 8. Celda R, matriz Delphi................................................................. 51 Figura 9. Representación Modelo OSI.........................................................60 Figura 10. Modelo TCP/IP............................................................................61 Figura 11. Celda ATM..................................................................................62 Figura 12. Modelo ATM................................................................................63 Figura 13. Aplicación con enrutador.............................................................64 Figura 14. Aplicación sin enrutador, usando Proxy......................................65 Figura 15. Aplicación con Proxy...................................................................65 Figura 16. Aplicación con dos filtradores de red y Proxy.............................66 Figura 17. Principios del marco de referencia para COBIT..........................68 Figura 18. Resultados de la clasificación inicial de riesgos.........................147 Figura 19. Porcentajes de la c lasificación inicial de riesgo..........................147 Figura 20. Porcentajes de la clasificación final de riesgos..........................148 Figura 21. Porcentajes de riesgos de exposición........................................149 Figura 22. Porcentajes finales de análisis de riesgos ................................150
ISC-2003-1-11
8
LISTA DE TABLAS
pág.
Tabla 1. Principales protocolos de alto nivel en redes.................................59 Tabla 2. Patrón de niveles de riesgos.........................................................132 Tabla 3. Resultado de evaluación de riesgos..............................................132 Tabla 4. Descripción de riesgos críticos......................................................134 Tabla 5. Análisis de controles existentes.....................................................136 Tabla 6. Riesgos Residuales del Sistema actual de Correo........................136 Tabla 7. Clasificación de pruebas de cumplimiento.....................................138 Tabla 8. Descripción de procedimiento para ejecución de pruebas de cumplimiento................................................................................................139
ISC-2003-1-11
9
LISTA DE ANEXOS
Anexo 1. Formato de registro de riesgos, causas e impactos. Anexo 2. Formato de registro de valoración de riesgos, impacto vs. Probabilidad. Anexo 3. Formato de registro de Controles. Anexo 4. Formato de registro de Pruebas. Anexo 5. Formato de registro de recomendaciones y plan de acción. Anexo 6. Esquema de creación y asignación de cuentas de correo para estudiantes Anexo 7. Esquema de creación y asignación de cuentas de correo para empleados. Anexo 8. Esquema de creación y asignación de cuentas de correo para terceros. Anexo 9. Normas de conducta para el uso de los servicios de red. Anexo 1.1 Resultado de registro de riesgos, causas e impactos. Anexo 1.2 Resultado de registro de riesgos, causas e impactos. Anexo 1.3 Resultado de registro de riesgos, causas e impactos Anexo 1.4 Resultado de registro de riesgos, causas e impactos. Anexo 1.5 Resultado de registro de riesgos, causas e impactos. Anexo 1.6 Resultado de registro de riesgos, causas e impactos. Anexo 1.7 Resultado de registro de riesgos, causas e impactos. Anexo 1.8 Resultado de registro de riesgos, causas e impactos. Anexo 1.9 Resultado de registro de riesgos, causas e impactos. Anexo 1.10 Resultado de registro de riesgos, causas e impactos Anexo 1.11 Resultado de registro de riesgos, causas e impactos. Anexo 1.12 Resultado de registro de riesgos, causas e impactos. Anexo 1.13 Resultado de registro de riesgos, causas e impactos. Anexo 1.14 Resultado de registro de riesgos, causas e impactos. Anexo 1.15 Resultado de registro de riesgos, causas e impactos. Anexo 1.16 Resultado de registro de riesgos, causas e impactos. Anexo 1.17 Resultado de registro de riesgos, causas e impactos. Anexo 1.18 Resultado de registro de riesgos, causas e impactos. Anexo 1.19 Resultado de registro de riesgos, causas e impactos. Anexo 1.20 Resultado de registro de riesgos, causas e impactos. Anexo 1.21 Resultado de registro de riesgos, causas e impactos. Anexo 1.22 Resultado de registro de riesgos, causas e impactos. Anexo 1.23 Resultado de registro de riesgos, causas e impactos. Anexo 1.24 Resultado de registro de riesgos, causas e impactos. Anexo 1.25 Resultado de registro de riesgos, causas e impactos. Anexo 1.26 Resultado de registro de riesgos, causas e impactos. Anexo 2.1 Resultado de valoración de riesgos, impacto vs. Probabilidad. Anexo 2.2 Resultado de valoración de riesgos, impacto vs. Probabilidad. Anexo 2.3 Resultado de valoración de riesgos, impacto vs. Probabilidad. Anexo 2.4 Resultado de valoración de riesgos, impacto vs. Probabilidad.
ISC-2003-1-11
10
Anexo 2.5 Resultado de valoración de riesgos, impacto vs. Probabilidad. Anexo 3.1 Resultado de Registro de Controles. Anexo 3.2 Resultado de Registro de Controles. Anexo 3.3 Resultado de Registro de Controles. Anexo 3.4 Resultado de Registro de Controles. Anexo 3.5 Resultado de Registro de Controles. Anexo 4.1 Resultado de Pruebas de Cumplimiento a Controles. Anexo 10. Recomendaciones para manejo de claves de cuentas de correo.
ISC-2003-1-11
11
INTRODUCCIÓN La evolución del concepto de empresa y de gestión, ha generado nuevas filosofías y metodologías, en materia de control empresarial macro y microeconómico. Como consecuencia de esto, se ha elevado la función de la Auditoría dirigido a distintos objetos dentro de las organizaciones; lo que implica que su función debe ser ejercida por grupos interdisciplinarios, dependiendo del objeto social de la entidad auditada. Es así como la Auditoría se desarrolla no solamente en la evaluación de los sistemas de control interno contables y su análisis respecto a los estados financieros, sino también en la evaluación de las otras áreas funcionales de las organizaciones, entre las que se encuentra el área de Informática. Durante la última década (1992-2002) el interés en las organizaciones por implantar controles en los sistemas de información se ha incrementado, generando hoy día en las autoridades y organismos de control una relevante atención respecto al tema. Se ha hecho inminente el crecimiento de violaciones en los sistemas de información tales como: daño y/o pérdida de la integridad, disponibilidad y confidencialidad de los datos; fraude al ingresar en los sistemas de seguridad; uso ilegal de software o de información; robo entre otros. Provocando grandes pérdidas tanto en las personas como en las empresas. Evidentemente, las personas responsables del trabajo de Auditoría Informática, necesitan tener suficiente claridad y dominio profesional, en relación con la filosofía, conceptos, técnicas y metodologías para abordar con propiedad el proceso de examen y evaluación del área informática de las organizaciones que permiten a los auditores emitir una opinión independiente sobre le grado de confiabilidad del sistema de control informático y el resultado de sus operaciones, y formulando a su vez, recomendaciones pertinentes, con el objeto de tomar las medidas oportunas para mejorar los sistemas de control en las áreas débiles. Es así, como la Auditoría de Sistemas juega un papel importante en la evaluación de riesgos y la comprobación de controles existentes que eviten fallas significativas que pongan en riesgo el futuro de las organizaciones.
ISC-2003-1-11
12
OBJETIVO Desarrollar una metodología para Auditoría de Sistemas en redes, enfocado en el campo de Intranets en una organización.
OBJETIVOS ESPECÍFICOS
i. Estudiar metodologías para la identificación y evaluación de riesgos, especialmente aquellas que se aplican al área de redes.
ii. Estudiar metodologías para la identificación y evaluación de controles, especialmente aquellas que se aplican al área de redes.
iii. Estudiar metodologías para la definición de pruebas, que recojan evidencia del comportamiento y funcionamiento de los controles, en especial aquellas que se aplican al área de redes.
iv. Estudiar metodologías de Auditoría de Sistemas, en especial aquellas con énfasis en el área de redes.
v. Plantear una guía de trabajo aplicable a la Auditoría de Sistemas en el área de redes.
vi. Aplicar la guía de trabajo a un caso real para su evaluación y validación.
ALCANCE El modelo de estudio se centrará específicamente en el ambiente de redes y no se extenderá a otras áreas de informática. Además, con el estudio y análisis del estado del arte de la Auditoría de Sistemas en el área de redes, se obtendrá como resultado una guía de trabajo que se aplicará al menos a un caso real para su evaluación y validación. Dicho caso será el Sistema de correo electrónico de la Universidad de Los Andes.
ISC-2003-1-11
13
1. DESCRIPCIÓN DEL PROBLEMA A continuación se presenta la descripción del problema que origina el siguiente trabajo: El vertiginoso crecimiento tecnológico en todos los sectores de la industria y en general en cualquier actividad que se realice hoy día, trae consigo grandes ventajas para el mejoramiento del desarrollo de procesos, pero al mismo tiempo, ocasiona grandes problemas debido al mal manejo que se haga de los sistemas de información. El mundo está cambiando cada vez mas rápidamente, provocando en las organizaciones una generalizada toma de conciencia que busca evitar fallos significativos en los sistemas de control internos, los cuales deben ser reevaluados y reestructurados garantizando la tranquilidad de la propia organización y de sus clientes. Los auditores informáticos evalúan y comprueban en determinados momentos del tiempo, los controles y procedimientos informáticos mas complejos, desarrollando y aplicando técnicas mecanizadas de Auditoría, incluyendo el uso del software . De este modo, la Auditoría de Sistemas sustenta y confirma la consecución de los objetivos de la organización que abarca no solamente la protección de activos e integridad de la información, sino, llevar eficazmente esos objetivos y utilizar eficientemente los recursos disponibles. Los controles internos en teoría son diseñados, desarrollados e implantados de manera completa, fiable, revisable, adecuada y rentable; pero a medida que el entorno informático evoluciona, los sistemas de información se vuelven mas complejos y puede resultar difícil controlar y prever problemas como: daño y/o pérdida de la integridad, confidencialidad y disponibilidad de los datos; robo de dispositivos; vulnerabilidades de los sistemas de seguridad; uso no licenciado de software ; irregularidades en la adquisición y utilización de hardware y de software; acceso físico no autorizado a los recursos informáticos, datos y aplicaciones; procedimientos incorrectos de instalación, mantenimiento y/o modificación de software ; introducción de virus informáticos en los sistemas; inexistencia de procedimientos de recuperación y reinicio; mal manejo de versiones y ausencia de manuales y documentación de programas o paquetes de software, entre otros. La necesidad de establecer organismos o departamentos que controlen y vigilen las distintas actividades en las empresas, hace que hoy día, las
ISC-2003-1-11
14
organizaciones incluyan en su estructura organizacional, las áreas de Control Interno y Auditoría; especialmente las áreas de Control y Auditoría Informático. Finalmente, la consecución de la Auditoría de Sistemas como un mecanismo que evalúa y vigila el cumplimiento de los controles y su aplicación correcta y satisfactoria dentro de las empresas, permite desarrollar un mejor desempeño en las mismas y alcanzar sus metas eficaz y efectivamente. A continuación, se explicará el área de Control Interno y el área de Auditoría, siendo la rama de la Auditoría de Sistemas la de mayor importancia para el desarrollo de este trabajo. Con el propósito de entender correctamente el funcionamiento del Control Interno, es importante tener en cuenta las siguientes definiciones: • Principios: Base o fundamento de las conductas morales de las personas.
Expresan la base de la conducta ética y proporcionan el marco para las reglas. En las empresas los principios se adoptan como regalas de conducta que van alineados con la misión, visión y valores de la empresa.
• Políticas: En las empresas expresan la dirección a la que la empresa se
dirige y están de acuerdo con lo establecido en los objetivos de la empresa. Algunas políticas son manducatorias y otras simplemente son lineamientos. Sirven de base para la planificación del control y evaluación por la Dirección de las actividades del Departamento de Informática.
• Normas: Conjunto de reglas que expresan lineamientos de comportamiento.
Ayudan a sobrevivir en una sociedad o cultura. Establecen estándares mínimos de conducta aceptable y son consistentes con la misión, visión de al empresa.
• Estándares: Regulan la adquisición de recursos, el diseño, desarrollo,
modificación y explotación de sistemas. • Procedimientos : Describen la forma y las responsabilidades de ejecución de
las aplicaciones o programas.
ISC-2003-1-11
15
2. CONTROL INTERNO El Control Interno se implanta en las organizaciones a través de todas las medidas, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación, que le sirven a la empresa para controlar que todas las actividades, operaciones y actuaciones, así como la administración de información y de recursos, sean realizadas de acuerdo a las normas legales vigentes y generalmente aceptadas dentro de las políticas y objetivos que deben ser cumplidos y entendidos por todas las personas de la organización. Un correcto funcionamiento del Control Interno, incluye una correcta relación costo-beneficio y debe consultar los principios de igualdad, moralidad, eficiencia, economía, celeridad, imparcialidad, publicidad y valoración de costos ambientales. De acuerdo con lo estipulado por el Congreso de La República de Colombia1, los objetivos del Control Interno son:
a) Promover y facilitar la correcta ejecución de las funciones y actividades definidas para el logro de la misión de la organización.
b) Velar porque todas las actividades y recursos de la organización estén dirigidos al cumplimiento de los objetivos de la entidad.
c) Garantizar la correcta evaluación y seguimiento de la gestión organizacional.
d) Proteger los recursos de la organización. e) Garantizar la eficacia y eficiencia de todas las operaciones de la
organización. f) Asegurar la oportunidad y confiabilidad de la información y de sus
riesgos. g) Definir y aplicar medidas para prevenir los riesgos, detectar y corregir
desviaciones que se presenten en la organización. h) Garantizar que el Sistema de Control Interno disponga de sus propios
mecanismos de verificación y evaluación. i) Velar porque la entidad disponga de procesos de planeación y
mecanismos adecuados para el diseño y desarrollo organizacional.
1 Colombia, Congreso de La República de Colombia, Ley No. 87 del 29 de Noviembre de 1993, Artículo 1, Definición de Control interno.
ISC-2003-1-11
16
El Sistema de Control Interno contribuye eficaz y eficientemente a mejorar el desempeño de las demás funciones de la organización, buscando que todas las áreas operen correctamente. Una subdivisión del control interno es la del Control interno Informático. 2.1 CONTROL INTERNO INFORMÁTICO Ante la rapidez de los cambios tecnológicos que se presentan en las organizaciones y su implementación en la mayoría de los sectores empresariales, los directivos han tomado conciencia de la importancia que pueden tener los servicios informáticos en la empresa, ya que este soporta sistemas de información cruciales para el negocio y maneja grandes volúmenes de recursos y presupuestos, entre otros. Por lo tanto, al aumentar la complejidad en la satisfacción de las necesidades de control, surgió en las organizaciones la figura de Control Interno Informático. El Control Interno Informático se encarga de controlar las actividades de los sistemas de información, para que éstas sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la organización y/o por la Dirección Informática. Su función principal es la de prevenir, detectar y corregir las posibles fallas o deficiencias de los sistemas. Es importante aclarar que el Control Interno Informático además de heredar todos los objetivos básicos del Control Interno nombrados anteriormente, debe adoptar ciertos criterios de evaluación indispensables tanto para revisar como para mejorar su consecución. Estos son:
a) Segregar tareas y deberes; separando las tareas que no agreguen valor al colocarlas juntas pero que si representan un riesgo al colocarlas separadas.
b) Delegar correctamente la responsabilidad y la autoridad ya que, las aplicaciones no sólo dependen del almacenamiento de la información sino que también de la persona que las maneja.
c) Reclutar y entrenar personal altamente calificado y confiable para el manejo de todas las aplicaciones.
ISC-2003-1-11
17
d) Adecuar correctamente los documentos y activos faciliten el mantenimiento, reutilización de las aplicaciones, documentación, manejo de inventarios, etc.
e) Controlar físicamente el almacenamiento de la información, manejo de copias (backup), control de versiones, duplicación de información, etc.
Por otra parte, se ha hecho necesario el manejo de la integridad de la información y su control debido a los errores de costo e irregularidades que surgen en los sistemas y que pueden ser grandes y costosos para la organización. Algunos de los factores que influyen en el control de los computadores son: pérdida de la información; incorrecta toma de decisiones; costos por abuso del computador; altos costos en errores computacionales y mantenimiento de la privacidad entre otros. • Pérdida de la información:
La información es un recurso crítico para que la organización continúe con su operación. La pérdida de la información puede causarse por: errores de programación, desastres naturales, ausencia de backups y sabotaje entre otros. Si se pierde la información la empresa puede perder su habilidad para adaptarse y sobrevivir en un ambiente cambiante. La información provee una imagen para la empresa, contiene su historia, su futuro y el medio que la rodea.
• Costos del abuso del computador:
Abusar del computador se refiere a cualquier incidente asociado con la tecnología del computador en el cual la víctima (empresa o persona natural), puede sufrir pérdida parcial o total de la información a causa de la intención de alguien. Algunos daños son: virus; acceso ilegal; abuso de privilegios; accesos no autorizados y modificaciones, copias y eliminación indebida de la información. Tales abusos implican grandes costos para las empresas o para las personas, ya que la privacidad puede verse comprometida y afectada.
ISC-2003-1-11
18
• Pérdida de valores recursos importantes para la empresa:
Además de la información, algunos de los recursos importantes para la empresa son: los empleados, hardware y software. Se debe tener cuidado con aquellos activos que no estén asegurados; adquirir o distribuir software ilegal y perder personal vital para la empresa entre otros.
Muchos de los controles en la organización se incorporan en programas (software) o se realizan por parte de un órgano staff de la Dirección del Departamento de Informática llamado Control Interno Informático, el cual asegura que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y validas. Los controles cuando se diseñan han de ser completos, simples, fiables, revisables, adecuados y rentables. Los controles que se utilizan en el entorno informático continúan evolucionando a medida que los sistemas informáticos se vuelven complejos. Para asegurar la integridad, disponibilidad y eficacia de los sistemas se requieren complejos mecanismo de control. Dentro de este contexto se pueden categorizar los siguientes tipos de controles internos: 2.1.1 Control preventivo: Debe ser aplicado para tratar de evitar el hecho. Por ejemplo, definir un correcto procedimiento para el control y manejo de versiones. 2.1.2 Control detectivo: Debe ser aplicado cuando falla el control preventivo y se trata de conocer el evento que produce el error. Por ejemplo, inspeccionar el sistema para determinar la última versión realizada y compararla con la actual para determinar en cuál de las dos se encuentra el error o cuál produjo fallas en el sistema. 2.1.3 Control correctivo: Facilita la vuelta a la normalidad cuando se han producidos incidentes. Por ejemplo, el proceso que recupera la versión correcta y la coloca de nuevo en funcionamiento. Los controles informáticos se pueden aplicar en varios niveles, lo que obliga al personal de control interno a tener un conocimiento detallado del sistema con el
ISC-2003-1-11
19
fin de determinar los elementos, productos y herramientas que existen para identificar los posibles riegos implantando controles efectivos en recursos o aplicaciones criticas del sistema. Según Piattini2, en el proceso de implantación del Control Interno Informático (Fig. 1), diferentes órganos juegan papeles importantes.
Figura 1. Proceso de Implantación de Control Interno Informático3.
Dichos órganos son:
2 Piattini M.G., Del peso E., Auditoría Informática: un enfoque práctico, RA-MA Editorial, 1998, Capítulo 2, p. 33 3 Ibid. p.34.
Política
DIRECCIÓN Exigencias internas
y externas
Políticas y Directrices
Estándares, procedimientos,
normas y metodologías
Comprobación y seguimiento de
controles
Implantar procedimientos de
control
Cultura
ISC-2003-1-11
20
• Dirección de Negocio o Dirección de Sistemas de Información (S.I):
Han de definir las políticas y/o directrices para los sistemas de información con base en las exigencias del negocio, que podrán ser internas o externas4.
• Dirección de Informática:
Ha de definir las normas de funcionamiento del entorno informático y de cada una de las funciones de Informática mediante la creación y publicaciones de procedimientos, estándares, metodológicas y normas, aplicables a todas las áreas de informática así como a los usuarios, que establezcan el marco de funcionamiento 5.
• Control Interno Informático:
Ha de definir los diferentes los diferentes controles periódicos a realizar en cada una de las funciones informáticas, de acuerdo al nivel de riesgo de cada una de ellas, y de ser diseñados conforme a los objetivos del negocio y dentro del marco legal aplicable6.
4 Ibid, p. 33. 5 Idem. 6 Idem.
ISC-2003-1-11
21
3. AUDITORÍA La Auditoría vigila que el Control Interno incluya el cumplimiento de las normas, refleje las políticas de la empresa y que éstas sean aplicadas correcta y uniformemente. Recolecta y evalúa evidencia para determinar si un sistema de control es seguro, mantiene la integridad de la información y permite a la organización alcanzar sus metas efectivamente usando los recursos eficientemente. Según Kell7, la auditoría se basa fundamentalmente en los principios de:
a) Responsabilidad: el auditor debe ejercer un criterio profesional sostenible, aplicando juicio moral en todas las actividades; asumiendo las consecuencias de lo realizado y manteniendo la confianza del público en la profesión.
b) Interés público: el auditor acepta su compromiso con una actitud profesional que honre la confianza del público y lucha por demostrar su continua dedicación a la excelencia profesional, manteniendo y mejorando el nivel de la carrera.
c) Integridad: constituye la norma con la que el auditor debe juzgar todas las decisiones tomadas en un trabajo; la integridad se compromete cuando alguna norma profesional es violada. Se debe ser honesto y cuidadoso.
d) Objetividad e independencia: el auditor debe estar libre de conflictos de intereses; mantener la objetividad; ser independiente e imparcial y actuar sin prejuicios al realizar su responsabilidad profesional.
e) Debido cuidado: el auditor debe luchar continuamente por mejorar la calidad de sus servicios, actuando con diligencia y capacidad. El auditor deberá dar lo mejor de si y proporcionar la calidad suficiente al servicio requerido.
f) Alcance y naturaleza de los servicios: el auditor a la hora de aceptar un trabajo, debe evaluar que todos los principios anteriores se cumplan, verificando la existencia de todas las normas legales del negocio y su correcta aplicación y consistencia.
7 Kell W.G., Boynton W.C. y Ziegler R.E., Auditoría Moderna, CECSA, 1999, Capítulo 19, pgs. 682-683.
ISC-2003-1-11
22
3.1 TIPOS DE AUDITORÍA La función de la Auditoría, en las organizaciones puede expresarse en el ámbito interno o externo. 3.1.1 Auditoría Externa: Presenta un aval para la sociedad. Su objetivo fundamental es el de examinar y evaluar una determinada realidad, para garantizar la continuidad de la misma y veracidad de los informes. Es realizada por personas externas al ente auditado. La Auditoría externa es continua en el tiempo y mira sustantivamente un aspecto o proceso de la organizac ión. Generalmente se contratan los servicios de auditores externos para certificar información financiera. Así mismo, es contratada para apoyar áreas en las que la organización es deficiente. 3.1.2 Auditoría Interna: Presenta un aval para la dirección de la organización. Su objetivo principal es verificar que el control interno cumpla con las políticas de la empresa y que los objetivos estén de acuerdo a lo planeado por la dirección. La Auditoría interna es continua en el tiempo y es realizada por personas que pertenecen a la empresa. La Auditoría interna debe inclinarse por mostrar la continuidad de la empresa y la adecuada salvaguarda de los activos. Recolecta evidencia hasta que lo considere suficiente para sustentar sus informes. Corrobora la información y garantiza razonablemente que el control es adecuado y se aplica correctamente.
ISC-2003-1-11
23
3.2 UBICACIÓN DE LOS TIPOS DE AUDITORÍA EN LA ORGANIZACIÓN A continuación se presenta la ubicación de la Auditoría externa e interna dentro de la organización (Fig. 2).
Figura 2. Ubicación de la Auditoría interna y externa en la organización8.
8 Pinilla, José Dagoberto, Auditoría informática: un enfoque práctico , Ecoe ediciones, Bogotá, Colombia, 1992.
Asamblea General
Auditoría Externa
Junta Directiva
Auditoría Interna
Gerencia General
Producción Finanzas Informática Recursos Humanos
Mercadeo
ISC-2003-1-11
24
3.3 AUDITORÍA INFORMÁTICA Al igual que el Control Interno Informático, la rapidez de los cambios tecnológicos que se presentan en las organizaciones y su implementación en la mayoría de los sectores empresariales; han producido en los directivos el reconocimiento de la importancia que puede tener un centro informático en la empresa, ya que este soporta sistemas de información cruciales para el negocio y maneja grandes volúmenes de recursos y presupuestos, entre otros. Por lo tanto, al aumentar la complejidad en la satisfacción de las necesidades de auditoría, surgió en las organizaciones la figura de Auditoría Informática. La Auditoría de Sistemas ha sido establecida para garantizar la seguridad y mantener la integridad de los sistemas de información, alcanzando su efectividad y eficiencia. Busca salvaguardar los recursos o activos informáticos como: programas, software , documentación, manuales, conocimiento de los empleados y de los clientes de la empresa. Entre sus principales objetivos están:
a) Mejorar el sistema de control de la organización. b) Mejorar la integridad de la información. c) Mejorar la eficiencia y eficacia del sistema. d) Mejorar el sistema de seguridad de la empresa. e) Verificar el cumplimiento de los controles internos, normativa y
procedimientos establecidos por la Dirección de informática y por la dirección General.
f) Comprobar que el plan estratégico de la empresa se cumpla de acuerdo a los objetivos establecidos y dentro de los plazos trazados.
g) Detectar deficiencias o ausencias en los controles h) Realizar recomendaciones que minimicen el impacto de los riesgos
presentados. i) Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los
equipos de información. j) Evaluar que los sistemas informáticos se realicen bajo los requisitos
legales, protejan la confidencialidad y tengan cobertura ante errores y fraudes.
k) Analizar el grado de cumplimiento de las actividades del Departamento de Informática en relación con las políticas, estándares y procedimientos existentes de sus funciones organizacionales en el Departamento de Sistemas a nivel general y específico.
l) Evaluar que las actividades de la empresa, se realicen dentro de la normativa legal aplicable.
ISC-2003-1-11
25
m) Comprobar que exista una comunicación adecuada entre las diferentes partes de la empresa.
n) Revisar que las necesidades de los diferentes departamentos de la empresa sean tratadas equitativamente.
o) Evaluar la calidad de los servicios prestados. p) Asegurar la segregación de tareas. q) Revisar que los métodos de enseñanza y capacitación, sean
consistentes con los conocimientos, experiencia y responsabilidades del personal.
r) Analizar los distintos componentes de la empresa para entender su funcionamiento y su ubicación dentro del esquema organizacional de la empresa.
La Auditoría de Sistemas puede ser externa o interna. 3.2.1 Auditor interno/externo informático:
El papel del auditor interno/externo informático, ha de revisar los diferentes controles internos definidos en cada una de las funciones informáticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a los objetivos definidos por la Dirección de Negocios y la Dirección de Informática. Informará a la alta Dirección de los hechos observados y al detectarse deficiencias o ausencias de controles recomendarán acciones que minimicen los riesgos que puedan originarse 9.
3.2.2 Ubicación de la Auditoría Informática en la organización A continuación se presenta la ubicación de la Auditoría Informática externa e interna dentro de la organización (Fig. 3). 9 Piattini, Op. cit., p. 34.
ISC-2003-1-11
26
Figura 3. Ubicación de la Auditoría Informática interna y externa en la organización.
Asamblea General
Auditoría Externa
Junta Directiva
Auditoría Interna
Gerencia General
Producción Finanzas Informática Recursos Humanos
Mercadeo
Auditoría Informática
externa
Auditoría Informática
interna
ISC-2003-1-11
27
4. PROCESO PARA LA REALIZACIÓN DE UNA AUDITORÍA DE SISTEMAS La Auditoría de Sistemas como rama de la Auditoría General se efectúa sobre la base de un proceso administrativo (Fig. 4), que está conformado por cuatro etapas importantes que son:
Figura 4. Fases del proceso administrativo en la Auditoría
4.1 PLANEACIÓN Asegura el alineamiento de los objetivos de la organización y crea estrategias para llevarlos a cabo. Para definir los objetivos, es conveniente tener en cuenta la misión y visión de la empresa. Una de las formas para definir tales objetivos, es por medio de un análisis DOFA (Debilidades, Oportunidades, Fortalezas, Amenazas) de la organización. De esta manera se analiza si los objetivos están acordes con las necesidades de la empresa. Este análisis ayuda al conocimiento de la organización y del negocio. Es importante tener en cuenta que las debilidades y fortalezas, se evalúan internamente en la organización; en tanto las oportunidades y amenazas se evalúan analizando el entorno de la empresa, es decir; externamente. Otra de las formas que apoyan el proceso de definir los objetivos de la empresa es mediante un análisis TASCOI, donde se tiene en cuenta: proveedores, clientes, dueños, interventores y transformaciones de los procesos realizados en la empresa.
Planeación
Organización e Integración
Dirección
Control
ISC-2003-1-11
28
La planeación se puede clasificar en: reactiva y proactiva. 4.1.1 Planeación Reactiva: Definida de acuerdo a las necesidades que se presentan, es decir; se planea para reaccionar ante las necesidades no satisfechas de la empresa o de aquellas que se vayan presentando. Generalmente se crea un portafolio entre las necesidades de la organización y el estado actual de satisfacción de las mismas. 4.1.2 Planeación Proactiva: Se adelanta al suceso de los eventos y con anterioridad se identifican oportunidades y amenazas del entorno, con el fin de atender las necesidades antes de que éstas se presenten y brindar apoyo al usuario antes que se soliciten. Generalmente, en la fase de Planeación, primero se define el plan a seguir y segundo, se definen las estrategias para poner en marcha dicho plan, en pocas palabras se define un plan estratégico para llevar a cabo en la organización. 4.1.3 Plan Estratégico: En el momento de definir un plan estratégico, hay que tener en cuenta no sólo las necesidades de la empresa, sino también el entorno en el que ella se mueve; el sector de actividad; la cultura propia de la empresa; la competencia, los recursos con que se cuenta, el análisis DOFA, análisis TASCOI entre otros. En el plan informativo, se fijan los objetivos de sistemas que se van a seguir, los cuales deben estar acordes con los objetivos generales de la organización. Este plan no en todos los casos tiene que seguirse forzosamente, ya que en el transcurso de la ejecución de los objetivos estos pueden cambiar y el plan podrá ser redireccionado cuantas veces sea necesario. Al definir la estrategia, se plantea el procedimiento necesario para llevar a cabo el plan, cómo se va a realizar, qué se va a hacer y quién lo va a hacer. En ese momento, se define el portafolio que incluye las necesidades de la empresa. En el caso de la Auditoría Informática, se analiza la arquitectura actual, la arquitectura requerida y la arquitectura deseable y necesaria para poner en marcha las estrategias. El auditor informático, debe evaluar las metodologías de realización del plan y la vigencia del mismo. Se evalúa si el proceso de planificación se adecua a los
ISC-2003-1-11
29
objetivos de la empresa; si se utilizan los recursos informáticos necesarios y aptos para la ejecución de los proyectos de sistemas asociados; si se consideran y analizan nuevas tecnologías para la contribución de los fines de la organización; si se tienen medidas para actuar ante desastres o siniestros; se evalúa el grado de atención a las necesidades de los usuarios; si la vigencia de los plazos descritos es realista; se evalúa la asignación de tareas y responsabilidades durante la consecución del plan y si se tienen en cuenta los posibles cambios en la empresa, entorno, normas etc. El auditor puede ampliar el panorama de opciones para la organización, brindando recomendaciones, pautas y alternativas que mejoren el funcionamiento de la empresa. Evalúa que la respuesta que se está dando a los posibles cambios sea adecuada y propone condiciones que mejoren el proceso de manera constante. Vigila que todos los cambios se implanten en todos los sectores de la empresa para que no haya desorden y falta de comunicación. El auditor informático identifica oportunidades de mejoramiento en las operaciones sistematizadas; establece planes o proyectos que coincidan con la planeación global de la empresa y que estén apoyados en la capacidad potencial de la tecnología informática moderna. Según Piattini10, los planes que pueden llevarse acabo en la fase de planeación son: • Plan Estratégico de Información: Realizado por los órganos de la Alta Dirección
de la empresa, donde se definen los procesos corporativos y se considera el uso de las diversas tecnologías de información, así como las amenazas y oportunidades de su uso o de su ausencia.
• Plan Informático: Realizado por el Departamento de Informática. Determina los
caminos precisos para cubrir las necesidades de al empresa, plasmándolas en proyectos informáticos.
• Plan General de Seguridad (física y lógica): Garantiza la confidencialidad,
integridad y disponibilidad de la información. • Plan de emergencia ante desastres : Garantiza la disponibilidad de los sistemas
ante eventos.
10 Piattini, Op. cit., p. 35.
ISC-2003-1-11
30
Más adelante se hablará con detalle de los planes importantes para realizar una auditoría de sistemas, esto se hará en la fase de ejecución del plan de Auditoría. 4.2 ORGANIZACIÓN E INTEGRACIÓN En la fase de Organización se facilita la disposición y distribución racional del trabajo y el personal que lo llevará a cabo, de acuerdo a las capacidades de los miembros de la organización y de los objetivos, planes y necesidades de la empresa definidos en la etapa de Planeación. En esta etapa, el auditor de sistemas evalúa el papel de la informática en la empresa, es decir, la ubicación del Departamento de Sistemas en la estructura organizacional. Identifica sus relaciones, los niveles jerárquicos y las líneas de autoridad y de responsabilidad que influyen en las principales funciones de la empresa y que afectan al Departamento de Informática. Las líneas entre departamentos implican el enlace para poder concretar la coordinación de la comunicación y el auditor debe evaluar que la existencia de la comunicación sea efectiva y eficiente. El auditor revisa la ubicac ión del departamento de sistemas dentro de la estructura organizacional y su independencia frente a otros departamentos usuarios y verifica que el organigrama esté de acuerdo con la realidad de la organización. El organigrama se establece de acuerdo a los intereses de la organización y su estructura varía de una empresa a otra, dependiendo de las necesidades que cada una tenga. En la etapa de integración, se definen los recursos necesarios para desarrollar el plan estratégico y cuáles de ellos actualmente están disponibles; es decir, se obtienen y articulan los recursos humanos, financieros, materiales, técnicos y de otra naturaleza, que en las fases de planeación y de organización son indicando como necesarios para el buen funcionamiento de la organizac ión. El auditor en esta etapa se dedica a: evaluar el proceso de selección del personal definido por la entidad y que dicho proceso esté de acuerdo con los requerimientos laborales, en cumplimiento del objeto social; analizar las condiciones sobre las cuales el personal es evaluado y estimulado en el cumplimiento de sus labores; verificar la adecuada capacitación y motivación del personal; evaluar la existencia de
ISC-2003-1-11
31
una correcta distribución física de los activos dentro de la organización y revisar que la asignación de salarios o remuneraciones esté de acuerdo con el análisis de presupuesto, valoración de tareas y/o actividades y clasificación de tareas de cada labor dentro de la empresa. 4.3 DIRECCIÓN En esta etapa, se hace posible la realización efec tiva de las actividades planeadas, mediante la acción del Gerente o Administrador dentro de la empresa, ejercida en la toma de decisiones, unas ejecutadas directamente y otras, por medio de la delegación de autoridad y vigilando el cumplimiento detallado de las órdenes impartidas. El auditor tiene como labor: evaluar que el proceso de comunicación facilite la iniciación e intercambio de planes, información, ideas y opiniones; revisar que exista una correcta delegación de la autoridad y que se confieran atribuciones adecuadas a las personas en todos los niveles de la organización; verificar la adecuada ejecución respecto al plan estratégico en busca de alcanzar los objetivos de la empresa; vigilar el cumplimiento detallado de las ordenes impartidas por la jerarquía de la entidad; evaluar la adecuada sincronización de las diferentes actividades y que los procesos tengan cronogramas con plazos reales definidos en cada etapa, con objetivos y documentos entregables y con estándares de calidad; verificar el adecuado y total conocimiento de la consecución de los planes; medir que tanta desviación existe en las etapas de ejecución de manera que todas las fases sean medibles para así poderlas controlar; evaluar la estructuración, combinación y ordenamiento de los medios con que cuenta la entidad para alcanzar los objetivos y revisar que la empresa se enfrente a los problemas de manera proactiva, con actitud dinámica y mentalidad innovadora y optimista. 4.4 CONTROL La consecución del plan administrativo para el auditor, no estaría completa sin la ejecución de esta etapa. En ella se controla y se efectúa un seguimiento permanente de las distintas actividades del Departamento de Informática y se vigila el desarrollo del plan estratégico y su evolución. Es necesario crear entes que vigilen y controlen todos los procedimientos con el fin de alcanzar los objetivos marcados durante la fase de planeación. El Comité de Informática es el responsable de controlar y vigilar los procedimientos informáticos de la organizac ión. Por medio de él se comunica la empresa y los usuarios y en él se discuten asuntos de sistemas importantes para toda la empresa.
ISC-2003-1-11
32
El auditor de sistemas, debe asegurarse que el Comité de Informática existe y cumple con su papel adecuadamente y para esto primero debe conocer las funciones y responsabilidades de dicho ente controlador. Entre las acciones que realiza el auditor están: evaluar la fijación de prioridades entre los grandes proyectos informáticos; revisar la aprobación de inversiones en tecnología de información. Velar porque las normas de control de calidad están siendo evaluadas y aplicadas por el comité; constatar la existencia de un presupuesto económico, que esté aprobado por la dirección de la empresa; revisar que los procedimientos incluyan las consideraciones o requerimientos del cliente. Asegurar que se mida correctamente la utilización de recursos humanos e informáticos. Vigilar que se tenga una adecuada cobertura de seguros para los sistemas y aplicaciones; constatar la existenc ia y aplicación de un plan de contingencia; estudiar la capacidad de las personas a cargo de los diferentes planes; verificar la existencia de manuales y documentación de todos los procesos, aplicaciones y proyectos; comprobar un adecuado manejo de versiones; evaluar la efectividad de comunicación entre el comité, empresa y usuarios. Controlar que los miembros del comité conozcan y entiendan las funciones y responsabilidades que tienen dentro del mismo y evaluar la eficacia y eficiencia de sus miembros y de las reuniones que llevan a cabo. El auditor de sistemas, debe conocer y analizar los procesos existentes en el Departamento de Informática para evaluar el seguimiento y control del mismo; revisar los planes, proyectos y presupuestos dentro del departamento; evaluar el grado de satisfacción de las necesidades de los usuarios; realizar simulaciones de las aplicaciones o proyectos para verificar su efectividad; constatar la correcta utilización de los recursos, medir los resultados comprendidos en las evaluaciones y corregir inconsistencias; y en general evaluar la eficiencia y eficacia de todos los procedimientos, aplicaciones y proyectos llevados a cabo por el departamento.
ISC-2003-1-11
33
5. CONCEPTOS IMPORTANTES PARA APLICAR EN LA AUDITORÍA DE SISTEMAS
La ejecución de una Auditoría de Sistemas se realiza mediante la implementación de metodologías, pero antes de exponer aquellas que se aplican al caso de estudio de este documento, se describirán algunos conceptos importantes que según Piattini11 son: • Amenaza: Una(s) persona(s) o cosa(s) vista(s) como posible fuente de
peligro o catástrofe. Por ejemplo, desastres naturales; implicaciones legales debido a procedimientos o aplicaciones mal diseñadas; robo de datos o de activos, exceso de gastos, etc.
• Vulnerabilidad: Situación creada por falta de uno o varios controles, con los
que la amenaza pudiera acceder y así afectar el entorno informático. Por ejemplo, falta de control de versiones; ausencia de control de backups; falta de manual de procedimientos y tareas; ausencia de segregación de funciones, etc.
• Riesgo: Probabilidad de que una amenaza llegue a suceder a causa de una
vulnerabilidad. Por ejemplo, riesgo de pérdida de información vital para la empresa por falta de un control de seguridad sobre los datos.
• Exposición o impacto: Evaluación del efecto del riesgo. Por ejemplo,
evaluar el impacto de los riesgos presentados en términos económicos. De las anteriores definiciones la más relevante es el concepto de riesgo; ya que si se conoce y se evalúa adecuadamente, se llegará a diseñar un sistema de control adecuado que minimice su impacto.
11 Piattini, Op. cit., p. 50
ISC-2003-1-11
34
5.1 RIESGO Además de la definición anterior, el riesgo se define también como “la incertidumbre que se tiene acerca de los acontecimientos futuros”12 Según Ebert13 los negocios enfrentan dos tipos de riesgos: riesgo especulativo y riesgo puro. 5.1.1 Riesgo Especulativo: "Incluyen la posibilidad de pérdida o ganancia"14. Por ejemplo, el diseño, lanzamiento y distribución de un nuevo producto de software al mercado; el cual le puede representar a la empresa que lo vende, altas utilidades, si este tiene buena aceptación del público, o pérdida de lo contrario. Es decir, el producto puede fracasar o tener éxito. 5.1.2 Riesgo Puro: "Incluyen solo la posibilidad de perder o no perder"15. Por ejemplo, la posibilidad de que ocurra un incendio en un almacén; en donde el dueño puede perderlo todo o no. Para la evaluación de la vulnerabilidad de los riesgos y del sistema de control interno existente, se utilizará el siguiente modelo, el cual es usado por AUDISIS 16:
5.1.3 Modelo de riesgos típicos: El modelo incluye los siguientes riesgos:
i. Daño y destrucción de activos. ii. Desventaja competitiva. iii. Sanciones legales. iv. Fraude/Hurto.
12 Ebert, Ronald y Griffin, Ricky, Negocios, Cuarta Edición, Prentice Hall, México, 1997, Capítulo 23, p.752 13 Ibid., p. 753 14 Idem 15 Idem 16 Asociación de Auditores de Sistemas de Colombia. Mayo de 2003.
ISC-2003-1-11
35
v. Pérdida de negocios y credibilidad pública. vi. Pérdidas por exceso de egresos. vii. Decisiones erróneas. viii. Pérdida de ingresos.
5.1.3.1 Daño y destrucción de activos: Pérdidas de dinero derivadas de desastres naturales o provocados por el hombre, que producen daños o la destrucción de los recursos que soportan la prestación del servicio, a causa de: Ø Desastres ocasionados por actos de la naturaleza, no controlables por el
hombre, tales como: terremotos, vientos e inundaciones. Ø Desastres provocados por errores y omisiones (sin premeditación) de los
empleados. Ø Desastres que se presentan a consecuencia de actos terroristas y
disturbios civiles. Este riesgo se produce como consecuencia de causas accidentales y mal intencionadas. 5.1.3.2 Desventaja competitiva: Pérdidas de dinero que resultan de: Ø Divulgar datos secretos comerciales e investigaciones de mercados
efectuadas por la Empresa, que constituyen ventaja a los competidores. Ø Ofrecer servicios de inferior calidad que los competidores.
Este riesgo puede ocurrir por causas accidentales y mal intencionadas. 5.1.3.3 Sanciones legales: Pérdidas de dinero que resultan de las multas que debe pagar la empresa cuando: Ø Se ejecutan las operaciones por fuera del marco legal establecido. Ø Se violan los derechos a la intimidad o privacidad de la información de
los clientes o de los empleados. Ø No se produce a tiempo la información exigida por normas legales.
Este riesgo se puede presentar en forma accidental o mal intencionada.
ISC-2003-1-11
36
5.1.3.4 Fraude/Hurto: El fraude o hurto es la apropiación indebida por parte de un individuo, de activos de la empresa o de terceros confiados el acuidado de la empresa. Este riesgo se produce como consecuencia de causas mal intencionadas. Este riesgo conduce a pérdidas de dinero o activos de la empresa. El actor del fraude para engañar y disimular la apropiación indebida, puede: Ø Oculta, destruye, altera o modifica los registros físicos de las
operaciones, para que los faltantes no se reflejen en los informes o reportes.
Ø Genera registros físicos de operaciones ficticias (nunca efectuadas) para justificar los registros contables.
Ø A través de instrucciones malintencionadas en los programas del computador, oculta, destruye, altera o modifica los registros del computador.
Ø Falsifica documentos de operaciones para desviar recursos a cuentas propias o de terceros que retiran el dinero.
5.1.3.5 Pérdida de negocios y credibilidad pública: Pérdidas de dinero causadas por loe negocios que no se hacen, cuando por actos accidentales o mal intencionados, de los empleados o terceros, se ofrece mal servicio a los clientes. Este riesgo puede ocurrir por causas accidentales o mal intencionadas. 5.1.3.6 Pérdida por exceso de pagos y egresos: Pérdidas de dinero causadas por exceso en los desembolsos, ocasionados por errores y omisiones de los empleados, en la ejecución de sus actividades y tareas. Este riesgo se genera por causas accidentales. 5.1.3.7 Decisiones erróneas: Pérdidas por errores de información que soportan las decisiones o errores de juicio o de aplicación erróneo de criterios o instrucciones para la realización de negocios que producen pérdidas a la empresa. Este riego se produce como consecuencia de causas accidentales.
ISC-2003-1-11
37
5.1.3.8 Pérdida de ingresos: Pérdidas de dinero causadas por cobrar (recaudar) o registrar cantidades inferiores, originadas por errores y omisiones de los empleados, en la ejecución de sus actividades y tareas. Este riesgo se genera por causas accidentales. A continuación se presentan las causas asociadas a los riesgos críticos: 5.1.4 Categorías de causas del riesgo: Las causas del riesgo, también denominadas amenazas, se refieren a los medios, circunstancias y agentes que generan los riesgos. La identificación de las causas del riesgo es la parte más importante del proceso de la evaluación del riesgo ya que en teoría los controles se deberían establecer para actuar sobre las causas del riesgo con el propósito de reducirlas o eliminarlas. Las causas del riesgo según Cubillos 17 se pueden clasificar en cuatro categorías:
i. Errores Humanos: Por lo general tienen frecuencia de ocurrencia alta, pero pueden tener un efecto financiero bajo.
ii. Mal funcionamiento de los equipos y elementos de trabajo que soportan la prestación del servicio: Por lo general tienen frecuencia de ocurrencia alta, pero el efec to de las pérdidas en cada ocurrencia puede ser bajo.
iii. Actos malintencionados, de los empleados y de terceros: Por lo general tienen frecuencia de ocurrencia baja, pero el efecto de las pérdidas en cada ocurrencia puede ser alto. Algunos ejemplos de este tipo de causas de riesgo son: Engaños, sabotaje, robo, terrorismo, piratería de software, daños o destrucción y virus de computador entre otros.
iv. Desastres o catástrofes naturales: Por lo general tienen frecuencia de ocurrencia muy baja (remota), pero el efec to de las pérdidas en cada ocurrencia puede ser altísimo (son las causas que mayores pérdidas generan). Algunos ejemplos de este tipo de causas de riesgo son: Terremoto, maremoto, vientos y erupciones volcánicas entre otros.
De acuerdo con el modelo de riesgos críticos las causas de riego típicas son:
17 Cubillos, Euclides, Auditoría a sistemas de información computarizados, 1a Edición, AUDISIS, Bogotá, Colombia, Noviembre de 1999, Capítulo 5, p.71.
ISC-2003-1-11
38
i. Causas del riesgo “daño y destrucción de activos” ii. Causas del riesgo “Desventaja competitiva” iii. Causas del riesgo “Sanciones legales” iv. Causas del riesgo “Fraude/Hurto” v. Causas del riesgo “Pérdida de negocios y credibilidad pública” vi. Causas del riesgo “Exceso de egresos (pagos)” vii. Causas del riesgo “Decisiones erróneas” viii. Causas del riesgo “Pérdida de ingresos”
5.1.4.1 Causas del riesgo “daño y destrucción de activos”: Por desastres naturales: Ø Terremoto / Maremoto. Ø Inundación. Ø Erupciones volcánicas. Ø Vientos. Ø Rayos.
Por actos malintencionados de terceros: Ø Actos terroristas. Ø Asaltos. Ø Vandalismo. Ø Disturbios civiles. Ø Virus de computador. Ø Sabotaje de terceros que intervienen en la prestación de servicios de la
empresa. Por actos malintencionados de los empleados: Ø Sabotaje de empleados que intervienen en la prestación de servicios de
la empresa. Ø Paros laborales (cese de actividades). Ø Daños y desastres a propósito causados por los empleados.
ISC-2003-1-11
39
Por actos accidentales (casos fortuitos): Ø Inapropiadas instalaciones eléctricas. Ø Inapropiadas instalaciones físicas. Ø Desastres por fuego, agua y otros elementos. Ø Mal funcionamiento de los equipos de oficina.
5.1.4.2 Causas del riesgo “Desventaja competitiva”: Por actos accidentales (casos fortuitos): Ø Divulgación accidental de información que constituye ventaja
competitiva. Ø Interrupciones accidentales del servicio por daños en los sistemas de
computador. Ø Obsolescencia tecnológica. Ø Mala atención a los clientes por parte de los empleados. Ø Mala calidad de los servicios ofrecidos a los clientes. Ø Divulgar accidentalmente información sobre el estado de la empresa. Ø Divulgar accidentalmente la mala situación financiera de la empresa.
Por actos intencionales: Ø Divulgación malintencionada de información que constituye ventaja
competitiva. Ø Interrupciones malintencionada del servicio por daños en los sistemas
de computador. Ø Sabotaje de los empleados que atienden a los clientes. Ø Cese de actividades de los empleados que prestan servicios a los
clientes. Ø Emitir versiones inexactas de la situación financiera de la empresa, por
parte de terceros. Ø Divulgar, con mala intención, la situación de la empresa por parte de los
empleados. 5.1.4.3 Causas del riesgo “Sanciones legales”: Por actos malintencionados de los empleados:
ISC-2003-1-11
40
Ø Retención indebida de aportes fiscales recaudos por la empresa. Ø Retención indebida de aportes parafiscales recaudados por la empresa. Ø Omisión deliberada del recaudo de aportes fiscales o parafiscales.
Por actos malintenc ionados de la empresa: Ø Omitir recaudos obligados por la ley. Ø Recaudar cantidades inferiores a las establecidas por la ley. Ø Retener impuestos recaudados. Ø Retener aportes parafiscales recaudados. Ø No disponibilidad de los sistemas de computador para producir reportes
exigidos por la ley. Por errores de la empresa y de los empleados (casos fortuitos o accidentales: Ø No enviar reportes a las entidades del gobierno en las fechas
establecidas Ø Omitir el recaudo de impuestos y de aportes parafiscales que obliga la
ley. Ø Errores en el calculo de impuestos y aportes parafiscales que obliga la
ley. Ø Omitir el pago de impuestos o aportes parafiscales que obliga la ley.
5.1.4.4 Causas del riesgo “Fraude/Hurto”:
Siempre por causas intencionales: Ø Concentración de funciones sensitivas en una misma persona. Ø Falsificación o alteración de documentos negociables que contiene datos
de entrada al sistema. Ø Falsificación o alteración de documentos no negociables que contiene
datos de entrada al sistema. Ø Alteración de los datos registrados en los archivos de computador. Ø Rutinas mal intencionadas en los programas de computador. Ø Suplantación electrónica de empelados con derechos de acceso al
sistema de computador.
ISC-2003-1-11
41
Ø Suplantación electrónica o física de clientes (usuarios externos) con derechos de acceso al sistema de computador.
Ø Suplantación de terminales con derecho de acceso al computador. Ø Baja moral de los empleados y/o de los clientes de la empresa. Ø Complicidad entre empleados y clientes.
Por actos malintencionados de terceros: Ø Saqueo. Ø Vandalismo. Ø Disturbios civiles. Ø Baja moral de los clientes. Ø Complicidad entre empleados y clientes.
Por actos malintencionados de los empleados: Ø Concentración de funciones sensitivas en una misma persona. Ø Baja moral de los clientes. Ø Complicidad entre empleados y clientes.
5.1.4.5 Causas del riesgo “Pérdida de negocios y credibilidad pública”:
Por actos malintencionados de los empleados: Ø Paros laborales (cese de actividades). Ø Sabotaje de los empleados. Ø Prestar, deliberadamente, servicios de mala calidad a los clientes. Ø Servicio inoportuno y demorado a los clientes. Ø Dar versiones inexactas de la situación de la empresa. Ø Incumplimiento (engaño) a los clientes. Ø Deliberadamente, violar privacidad y buen nombre de los clientes. Ø Realizar negocios no autorizados por la ley.
Por actos fortuitos (accidentales): Ø Inexactitud de la información entregada a los clientes. Ø Servicio inoportuno y demorado.
ISC-2003-1-11
42
Ø Interrupciones en las líneas de comunicación de datos. Ø Interrupciones en los servicios del computador.
5.1.4.6 Causas del riesgo “Exceso de egresos (pagos)”: Por actos accidentales únicamente (casos fortuitos): Ø Errores en los cálculos de egresos efectuados manualmente, con la
ayuda de equipos mecánicos o por computador. Ø Errores en las tasas de rentabilidad utilizadas para calcular los egresos. Ø Utilizar versiones de archivos de computador que no corresponden. Ø Concentración de funciones sensitivas de egresos en una misma
persona. 5.1.4.7 Causas del riesgo “Decisiones erróneas”: Por actos accidentales (casos fortuitos): Ø Inexactitud de las cifras de reportes utilizados parta tomar decisiones. Ø Omisión de utilización de reportes producidos para la toma de
decisiones. Ø Omisión de utilización de que sirven para soportar para la toma de
decisiones. Ø Imposibilidad de utilizar el sistema de computador para producir los
reportes para la toma de decisiones. Por actos malintencionados: Ø Baja moral de los empleados que toman las decisiones. Ø Abuso de confianza de los empleados que toman las decisiones. Ø Concentración de funciones sensitivas en una sola persona.
5.1.4.8 Causas del riesgo “Pérdida de ingresos”: Por actos accidentales únicamente (casos fortuitos):
ISC-2003-1-11
43
Ø Errores en los cálculos de ingresos efectuados manualmente, con ayuda
de quipos mecánicos o por computador. Ø Errores en las tasas de rentabilidad utilizadas para calcular los egresos. Ø Utilizar versiones de archivos de computador que no corresponden. Ø Concentración de funciones sensitivas de egresos en una misma
persona. Para determinar los riesgos críticos se utilizará el Principio Pareto o Regla 80/20 que estudia la relación causa-efecto. Este principio estableció que el 20% de las causas originan el 80% de los efectos. “El 20% de tales causas de denominan criticas. De manera análoga, al identificar los riesgos que corresponden al 20% critico y concentrarse en ellos, la auditoria cubre el 805 de los efectos y aplica el denominado enfoque de Auditoría Orientada al Riesgo” 18. Esta etapa del proceso de auditoría consta de los siguientes pasos:
i. Ordenar los riesgos potenciales evaluados, de mayor a menor porcentaje de vulnerabilidad (Fig. 5).
ii. Interpretar los porcentajes de vulnerabilidad de la siguiente manera:
Ø Los riesgos con porcentajes superiores al 80% del puntaje máximo posible, se califican con vulnerabilidad alta.
Ø Los riesgos con porcentajes entre el 60% y el 80% del puntaje máximo
posible, se califican con vulnerabilidad media alta.
Ø Los riesgos con porcentajes entre el 40% y el 60% del puntaje máximo
posible, se califican con vulnerabilidad media baja. Ø Los riesgos con porcentajes inferiores al 20% del puntaje máximo
posible, se califican con vulnerabilidad baja.
18 Íbid, p.65.
ISC-2003-1-11
44
Figura 5. Formato para estimación de la vulnerabilidad al riesgo.
Por otra parte, para que una compañía sobreviva y prospere, debe administrar los dos tipos de riesgos, de una manera efectiva en cuanto a costos. Esta labor se realiza mediante la administración de riesgos. 5.1.4 Administración de riesgos: "Proceso en el cual se conserva el poder de ingresos de la empresa y sus activos, mediante la reducción de la amenaza de pérdidas debidas a acontecimientos incontrolables" 19. El proceso propuesto por Ebert20, incluye 5 pasos importantes (Fig. 6).
19 Ebert, Ronald y Griffin, Ricky, Negocios, Cuarta Edición, Prentice Hall, México, 1997, Capítulo 23, p.753 20 Íbid., p. 754
Estimación de la vulnerabilidad al riesgo Aplicación: ________________________ Entidad Auditada: ________________ Riesgos Puntaje % Calificación
1. Daño y Destrucción de activos 2. Desventaja competitiva 3. Sanciones legales 4. Fraude / Hurto 5. Pérdida de negocios y credibilidad pública 6. Pérdida por exceso de Egresos 7. Decisiones erróneas 8. Pérdida por exceso de Ingresos
ISC-2003-1-11
45
Figura 6. Proceso de la administración de riesgos.
1) Identificar riesgos
Riesgo Puro
Riesgo Especulativo
Evitar un riesgo
Controlar un riesgo
Retener un riesgo
Transferir un riesgo
2) Medir el impacto en la
empresa
3) Elegir opciones de administración de
riesgos
5) Monitorear resultados
4) Implantación
ISC-2003-1-11
46
Los pasos del proceso anterior son:
i. Identificar riesgos y pérdidas potenciales: Se analizan los riesgos de una empresa para identificar las pérdidas potenciales.
ii. Medir la frecuencia y severidad de las pérdidas y su impacto: Se deben considerar las condiciones sobre las cuales se puede presentar el riesgo y las condiciones reales de la empresa. ¿Con qué frecuencia puede esperar la empresa que ocurra una pérdida? ¿Cuál es el monto posible de la pérdida en pesos?
iii. Evaluar alternativas y elegir las técnicas que administren mejor las pérdidas: Una vez se identifican y se miden las pérdidas potenciales, se decide la mejor posición de cómo manejarlas. En esta etapa, un riesgo se puede: evitar, controlar, retener o transferir.
• Evitar: Una empresa se niega a entrar o a dejar de participar en una actividad de riesgo. El evitar el riesgo siempre tiene éxito, sin embargo, no siempre es práctico.
• Controlar: Una empresa usa técnicas de prevención de pérdidas para minimizar la frecuencia o tamaño de las mismas. Las técnicas de prevención de pérdidas no pueden garantizar que éstas no ocurran. En cambio, conceden que las pérdidas puedan ocurrir mientras tratan de minimizar su severidad. Todas las técnicas de control de riesgos incluyen costos, por eso se deben encontrar técnicas cuyos beneficios excedan los costos.
• Retener: Se hace frente a las consecuencias. Cuando tales pérdidas son admisibles y previsibles, se puede decidir cubrirlas con fondos de la empresa. Así, se dice que se está asumiendo o reteniendo las consecuencias financieras de la pérdida.
• Transferir: Cuando el potencial del riesgo es tan grande que no puede ser evitado ni controlado entonces se transfiere el negocio a otra empresa; es decir, a una compañía de seguros.
iv. Poner en práctica el programa de administración de riesgos: Se ponen en práctica las decisiones de administración de riesgos, las cuales dependen tanto de la técnica elegida, como de la actividad que se administra.
ISC-2003-1-11
47
v. Vigilar los resultados: Como la administración de riesgos es una actividad constante, su seguimiento es esencial. Así mismo, se deben vigilar constantemente los riesgos de la empresa, revaluar los métodos utilizados para manejarlos y revisarlos cuando sea necesario.
A continuación se nombrará uno de los estándares más importantes para el manejo y la administración de riesgos. 5.1.4.1 Estándar Australiano/Neozelandés AS/NZS 4360:1999: Este estándar fue preparado por el Comité OB/7 de la junta de estándares de Australia y Nueva Zelanda sobre administración de riesgos como una revisión de AS/NZS 4360:1995 Administración de riesgos. De acuerdo a este se conserva el objetivo de proveer un marco conceptual genérico para el establecimiento del contexto, identificación, análisis, evaluación, tratamiento, monitoreo y comunicación del riesgo. Los principales puntos de este estándar son:
a) Establecer el contexto. Establecer el contexto estratégico, organizacional y de administración del riesgo en el cual el resto del proceso tomará lugar. Se deben en primer término, establecer los criterios contra los cuales se evaluarán los riesgos y definir la estructura del análisis.
b) Identificación de riesgos. Identificar qué, por qué y cómo las cosas pueden suceder como la base para mayores análisis.
c) Análisis de riesgos. Determinar los controles existentes y los riesgos analizados en términos de consecuencia y probabilidad en el contexto de esos controles. El análisis debe considerar el rango de consecuencias potenciales y como probablemente esas consecuencias pueden ocurrir. La consecuencia y la probabilidad son combinadas para producir un nivel de riesgo estimado.
d) Evaluación de riesgos. Comparar los niveles de riesgo estimados contra el criterio pre-establecido. Es to permite priorizar los riesgos así como identificar las prioridades de la administración. Si los niveles de
ISC-2003-1-11
48
riesgo establecido son bajos, entonces los riesgos podrían caer en una categoría aceptable y podría no necesitarse un tratamiento.
e) Tratamiento de riesgos. Aceptar y monitorear los riesgos de prioridad
baja. Para otros riesgos, desarrollar e implementar un plan de manejo específico dentro del cual se incluyen consideraciones de fundamento.
f) Monitorear y revisar. Monitorear y revisar el desempeño del sistema de administración y los cambios que podrían afectarlo.
g) Comunicación y consulta. Comunicación y consulta apropiada con accionistas internos y externos no solo en cada estado del proceso de administración del riesgo sino en lo concerniente a la totalidad del proceso.
5.1.5 Metodologías de Análisis de Riesgos: Desarrolladas para identificar la falta de controles, facilitar la evaluación de los riesgos y establecer un plan alterno de solución al problema. La mayoría de los riesgos que se presentan se pueden: evitar (por ejemplo, no construir un edifico donde hay peligro de deslizamiento); transferir (por ejemplo, contratar un seguro); reducir (por ejemplo, instalar un sistema de detección de incendios) o asumir. Según Piattini21, el esquema básico utilizado por las metodologías de análisis de riesgos es:
i. Se identifican los riesgos, deficiencias y vulnerabilidades del objeto auditable.
ii. Se evalúa el impacto de las fallas. iii. Se determinan planes alternos de solución y su costo. iv. Se aplican las distintas medidas alternas dentro de unos escenarios
de simulación (Qué pasa si?...) que permitan elegir el plan que mejor asegure la minimización del impacto producido por los posibles riesgos.
v. Se elaboran los informes finales.
21 Piattini, Op. cit., Capítulo 3, p.52.
ISC-2003-1-11
49
5.1.5.1 Método Delphi: "Es una metodología para el análisis de riesgos que permite comparar dos objetos por un mismo criterio"22. Es un método rápido utilizado genéricamente para asignar prioridades o categorizar un grupo de elementos. El método Delphi se basa en un modelo matemático que ayuda a la realización del trabajo. Utiliza una lista de riesgos que pueden comprarse entre si. Durante el proceso de evaluación cada unos de los participantes vota para determinar la vulnerabilidad del servicio o negocio a los riesgos. Según Cubillos23, la técnica consiste en reunir un grupo de expertos conformado por un número impar de personas para que mediante votación definan la importancia de un riesgo con respecto a los demás y clasificarlos en orden de importancia o criticidad. "Se recomienda que el número de participantes sea impar para evitar que se presenten empates en el momento de realizar la votación para cada uno de los riesgos"24. Según Cubillos 25, el método se aplica de la siguiente manera: I. Se reúne un grupo de personas conocedoras del sistema, y del negocio
o servicio, para el que se pretende identificar y categorizar los riesgos. Este grupo de personas de denomina "expertos". Es necesario tener un modelo de riesgos establecido previamente, con la lista y definición de los riesgos cuya vulnerabilidad será estimada en el sistema a estudiar. Cabe notar, que puede existir el caso que no apliquen todos los riesgos al sistema en particular que se está evaluando.
II. Se inicia una sesión de introducción con un intercambio de ideas entre los participantes, con el fin de aclarar e ilustrar dos aspectos:
• Si es factible o no que se presente el riesgo. • Las formas como podría presentarse cada uno de los riesgos
factibles para el sistema en estudio.
22 Fitzgerald J., Fitzgerald A.F, Designing controls into computarizad systems, JFA & Associates, 2 Edición, 1990, Capítulo 5. 23 Cubillos, Op.cit. Capítulo 5, p.71. 24 Íbid., p.71. 25 Ídem.
ISC-2003-1-11
50
Lo anterior, evita las diferencias de conceptos sobre los riesgos que podrían afectar los resultados de aplicar este método.
III. Una vez terminada la sesión de introducción, se procede a hacer la comparación de la magnitud del impacto negativo (económico, cultural, social, o cualquier otro aspecto que afecte la misión de la empresa) que tendrá la ocurrencia de un riesgo con respecto a la ocurrencia de cada uno de los demás riesgos.
IV. Se compara cada uno de los riesgos que conforman el modelo contra los demás, mediante una votación entre los participantes.
V. A cada uno de los riesgos seleccionados de le asigna un número que lo identifica. el número representa el peso que se le da al riesgo; este puede ser (0, 0.5, 1). Cada uno de los anteriores representa: (0) ningún o poco impacto del riesgo con respecto al riesgo que se está comparando, (0.5) igual magnitud de impacto del riesgo con respecto al que se está comparando y (1) mayor impacto del riesgo con respecto al que se está comparando.
VI. El resultado de la votación se va registrando en un gráfico como el siguiente (Fig. 7).
1 2 2 3 3 4 4 5 5 6 6 7 7 8 8 9 9
10 10 11 11 R
Figura 7. Matriz Delphi. Cada celda del gráfico se divide en dos secciones ("a" y "b"). En al sección "b" se debe registrar la votación para el número asignado del riesgo localizado en la fila respectiva, y en la sección "a" se anota la votación dada por el riesgo identificado con el número que encabeza la columna.
ISC-2003-1-11
51
Para una correcta categorización de los riesgos, es necesario que todos los participantes decidan su voto por alguno de los riesgos que están comparando, ya que no se admiten abstinencias, ni votos en blanco. Por esta razón la suma de los votos de las dos secciones de una misma celda nunca puede ser diferente al total de expertos que integran el grupo Delphi. VII. Una vez terminada la votación se totalizan los resultados en la fila
identificada con la letra "R" (Resultados) de la siguiente manera (Fig. 8):
Figura 8. Celda R, matriz Delphi.
• En la sección "a" de la celda "R" se anota la sumatoria de los puntajes registrados en las secciones superiores ("a") de todos los cuadros pertenecientes a esa columna.
• En la sección "b" de la celda "R" se anota la sumatoria de los puntajes registrados en las secciones inferiores ("b") de todos los cuadros pertenecientes a la fila identificada con el número que encabeza la respectiva columna.
• En el subcuadro "c" que se encuentra en la parte inferior derecha de cada uno de los cuadros de la fila de resultados, se contabiliza la sumatoria de las dos secciones que lo conforman ("a" + "b").
VIII. En la parte inferior del gráfico se numera cada uno de los riesgos, en
orden ascendente, luego de comparar todos sus totales entre sí. Ésta es la categorización de los riesgos.
a
c b
Celda R:
ISC-2003-1-11
52
5.1.5.1.1 Ventajas: Aplicar la técnica Delphi tiene los siguientes beneficios:
• La mayoría de las veces es fácil decidir cuál de los riesgos tiene mayor peso o tiene mayor impacto sobre los demás riesgos, esto se debe al grupo de expertos que realiza las calificaciones, ya que ellos tienen conocimiento del tema y así pueden juzgar con mayor facilidad.
• Permite al equipo de expertos dividir sus votos cuando dos de los riesgos son percibidos de igual peso o valor (0.5 y 0.5).
• Garantiza que cada riesgo sea comparado con al menos otro riesgo por lo menos una vez.
• Permite que solo dos riesgos sean comparados al mismo tiempo, facilitando y simplificando el proceso de toma de decisiones.
• Provee una herramienta altamente productiva que permite trabajar y progresar rápidamente.
• Requiere que el grupo de expertos emita sus opiniones consecuentemente con los puntajes asignados a los riesgos.
• Facilita la documentación final y su análisis. 5.1.5.1.2 Desventajas: Una posible desventaja es el hecho de que el grupo de personas que evalúa los riesgos y les da puntajes deben ser conocedores del tema y así puedan juzgar lógica y consecuentemente los valores asignados.
Antes de entrar en detalle con las metodologías para auditar redes, lo primero y fundamental es introducir algunos conceptos básicos e importantes en el vocabulario de redes.
ISC-2003-1-11
53
6. TERMINOLOGÍA DE REDES Con el uso de la redes se pretende lograr: alta confidencialidad, compartir los recursos. escalabilidad, acceso a información remota, entretenimiento interactivo, comunicación de persona a persona y ahorrar dinero. Las especificaciones para el diseño e implementación de redes, se pueden separar en dos grandes partes: Hardware y Software de red. 6.1 HARDWARE DE RED Dentro de este componente se encuentran las especificaciones técnicas para diseño de redes. Se dividen en tecnología de transmisión y tecnología según escala de la red. 6.1.1 Tecnología de transmisión: Dentro de esta clasificación se encuentran las redes de difusión y las redes punto a punto. 6.1.1.1 Redes de Difusión (Broadcasting): Tienen un solo canal de comunicación compartido por todas las máquinas de la red. Los mensajes (paquetes) cortos son recibidos por los demás. Cada paquete tiene un campo de dirección, que especifica a quién se dirige. Al recibir el paquete, la máquina verifica el campo de dirección y así sabe si debe procesarlo o ignorarlo. Por tanto, cada máquina recibe el paquete correspondiente y lo procesa. Cuando la transmisión se hace a todo un subconjunto de máquinas, se actúa con cierto código que si coincide con el del paquete enviado la máquina es capaz de recibirlo. A este procedimiento se le llama: Multidifusión. 6.1.1.2 Redes Punto a Punto: Consisten en muchas conexiones entre pares, independientes de las máquinas. Se utilizan múltiples rutas para ir del origen al destino por medio de algoritmos de enrutamiento.
ISC-2003-1-11
54
Comúnmente las redes más grandes utilizan tecnología de transmisión punto a punto, en tanto, las redes más pequeñas geográficamente localizadas utilizan tecnología de transmisión de difusión o Broadcasting. 6.1.2 Tecnología según escala de la red: Clasificación de acuerdo a su tamaño físico: 6.1.2.1 Máquinas con alto flujo de datos: Computadores con alto grado de paralelismo y muchas unidades funcionales, todas trabajando en el mismo programa. Por ejemplo, una tarjeta de circuitos. 6.1.2.2 Multicomputadoras: Sistemas que se comunican enviando mensajes por buses muy cortos y rápidos. 6.1.2.3 Redes de área local LAN (Local Área Networks): Son redes de propiedad privada, se usan en áreas pequeñas con el objeto de compartir recursos. Se distinguen por su tamaño, tecnología de transmisión y su topología. En general, las redes LAN tienen bajo retardo, experimentan pocos errores y operan a velocidades altas. • Tamaño: Tienen restricción de tamaño, debido a que el tiempo de
transmisión es limitado y se conoce. • Tecnología de transmisión: Cable sencillo, al cual están conectadas todas
las máquinas. Velocidad de 10 a 100 Mbps. • Topología : Red de bus, red de anillo, red de difusión y red punto a punto. 6.1.2.3.1 Red de Bus (Token Bus): Consiste en cable lineal en donde en cualquier instante cualquier computador funciona como máquina maestra y puede trasmitir los paquetes, mientras los otros computadores espera. Se necesita un controlador. Por ejemplo, la red LAN más extendida es la Ethernet, que está basada en que cada emisor envía, cuando desea, un paquete al medio físico, sabiendo que todos los destinatarios están permanentemente en
ISC-2003-1-11
55
escucha. Justo antes de enviar, el emisor se pone a la escucha y si no hay tráfico, procede directamente al envío. Aquí es necesario el control de colisiones al haber mucho tráfico en la red. Las tecnologías de Ethernet (10 Megabits por segundo -Mbps-), Fast Ethernet (100 Mbps) y Giga Ethernet (1,000 Mbps), se basan en el mismo principio, incrementando sucesivamente la velocidad de transmisión. La Ethernet fue normalizada por el Institute of Electric and Electronic Engineers con el nombre de IEEE 802.3. El cable que físicamente conecta a equipos Ethernet se denomina segmento. En vez de tender un único cable que recorra todos los equipos del segmento, se suele tender un cable por equipo y juntar todos los cables en un concentrador pasivo (lau) o activo (hub). Cada segmento admite un número máximo de equipos, por lo que los segmentos han de ser conectados entre sí mediante dispositivos que hagan que la información pase del segmento origen al segmento de destino.
6.1.2.3.2 Red de Anillo (Token Ring): Red en la que cada bit se propaga por si mismo sin esperar al resto del paquete al cual pertenece. Cada bit recorre el anillo entero en el tiempo que toma transmitir unos pocos bits. Se necesita controlador para arbitrar acceso simultáneo. Por ejemplo, la LAN Token-Ring desarrollada por IBM, que está normalizada como IEEE 802.5, tiene velocidades de 4 a 16 Mbps y una mejor utilización del canal cuando se incrementa el tráfico. LA FDDI es otra LAN, basada en transmisión a través de fibras ópticas a velocidades de centenas de Mbps, que se suele utilizar para interconectar segmentos de LAN 6.1.2.3.3 Red de Difusión: Estas puedes ser Estáticas o Dinámicas. Las redes Estáticas dividen el tiempo en intervalos discretos y ejecutan un algoritmo de asignación cíclica que permite a cada máquina transmitir únicamente cuando su turno llega. Las redes Dinámicas pueden ser centralizadas o descentralizadas. Las centralizadas son redes que se caracterizan por tener una sola unidad de arbitraje. Las Descentralizadas son redes en donde no hay una entidad central, es decir, cada máquina decide por sí misma si transmite o no. 6.1.2.3.4 Redes Punto a Punto : Como se había mencionado antes, son redes independientes que se conectan de una máquina a otra. 6.1.2.3.5 Redes de área metropolitana MAN (Metropolitan Area Network): Este tipo de redes pueden manejar datos y voz. Solo tienen uno o dos cables y no contienen elementos de conmutación, los cuales desvían los paquetes por
ISC-2003-1-11
56
una de las varias líneas de salida potenciales. Dentro de esta tecnología se utiliza el estándar DBDQ (Distributed Queue Dual Bus), que consiste en dos cables (buses) unidireccionales a los cuales están conectadas todas las máquinas. Cada bus tiene una terminal (head-end) que actúa como un dispositivo que inicia la actividad de transmisión. Por ejemplo, IEEE 802.6. 6.1.2.3.6 Redes de área amplia WAN (Wide Area Network): Estas redes pueden ser públicas o privadas. En este tipo de redes se utilizan los hosts. • Hosts: Colección de máquinas dedicadas a ejecutar programas de usuario
(aplicaciones). Los host están conectados por una sub red de comunicación. Conducir mensajes de un host a otro tienen diferentes componentes: las líneas de transmisión y elementos de conmutación.
• Líneas de transmisión: Mueven bits de una maquina a otra. Por ejemplo,
circuitos, canales o troncales. • Elementos de Conmutación (Enrutadores ): Computadores especializados
que conectan dos o más líneas de transmisión. Cuando los datos llegan por una línea de entrada, el elemento de transmisión debe escoger la línea de salida para reenviarlos.
Cada host generalmente está conectado a una LAN, en la cual está presente un enrutador. Todas las WAN la red contienen numerosos cables o líneas telefónicas cada una conectada aun par de enrutadores. Para redes WAN, está muy extendido el X.25. Se basa en fragmentar la información en paquetes, habitualmente de 128 caracteres. Estos paquetes se entregan a un transportista habitualmente público que se encarga de ir enviándolos saltando entre diversos nodos intermedios hasta el destino. En cada nodo se lleva una cuenta con el nodo intermedio (colateral), para saber que cada paquete se ha recibido correctamente, o si hubo fallo, proceder a su retransmisión. Para su transmisión, cada paquete recibe una cabecera y una cola, y así queda convertida en una trama de control de tráfico y de errores entre cada pareja colateral de nodos. Mediante este salto de nodo a nodo se puede establecer tráfico a cualquier distancia a velocidades típicas de decenas de Kbps.
ISC-2003-1-11
57
• Frame-Relay: Es básicamente lo mismo que el X.25 pero, aprovechando que la fiabilidad entre nodos es muy alta, sólo se comprueba que los paquetes han sido transportados sin errores cuando son recibidos en el destinatario; esto ahorra multitud de comprobaciones en los nodos intermedios, incrementando la velocidad hasta el orden de los cientos de Kbps.
El ATM (Asynchronus Transfer Model/ Modo de transferencia asíncrono) utiliza un concepto de alguna manera similar al Frame-Relay, con tramas de 53 caracteres (cinco de cabecera y 48 de información a transportar), que se conmutan en nodos especialmente diseñados, con lógica prácticamente cableada, a muy alta velocidad desde los cien Mbps. 6.1.2.3.7 Redes Inalámbricas: Redes que no están conectadas físicamente. No toda red móvil es inalámbrica. Utilizadas en oficinas, trasporte, sitios remotos, edificios sin cableado y situaciones criticas entre otros. por ejemplo, computadores portátiles, notebooks, PDAs (Personal Digital Assistants) y CPPD (Celular Digital Packet Data). 6.1.2.3.8 Interredes: Debido a que existen redes con hardware y software diferentes, se utilizan pasarelas para hacer conexiones y traducciones entre ellas. Tales pasarelas son llamadas interredes. 6.2 SOFTWARE DE RED Por la misma variedad de actividades que cumple una red, se necesita que el software este altamente estructurado. Para esto, se crearon las jerarquías de protocolos. 6.2.1 Jerarquías de Protocolos: Las redes están organizadas por una serie de capas o niveles. El número de capas, el nombre, el contenido y la función de cada una difiere de red a red. El propósito es ofrecer ciertos servicios a las capas superiores de modo que no haya que ocuparse de ellas detalladamente en la implementación.
ISC-2003-1-11
58
• Pares: Entidades que comprenden las capas correspondientes en las diferentes máquinas. Además son aquellos componentes que se comunican usando protocolos.
• Protocolos: Reglas y convenciones que se siguen entre la conversación
entre una capa y otra. Debe haber un acuerdo entre las partes que se comunican, es decir, deben saber cómo se va a proceder en la comunicación (Tabla 1).
SNA Se encuentra en ordenadores centrales IBM y comunicando con
terminales no inteligentes de tipo 3270 Netbios Este protocolo fue el que se propuso fundamentalmente por
Microsoft, para comunicar entre sí ordenadores personales en redes locales (de "net" -red- y bios del "basíc input/output system"). Está muy orientado a la utilización en LAN, siendo bastante ágil y efectivo.
IPX Protocolo propietario de novell que, al alcanzar en su momento una posición de predominio en el sistema operativo en red, ha gozado de gran difusión.
TCP/IP Transfer control Protocol/ Internet Protocol. Diseñado con base a la interconexión de redes que forma la Internet.
IP Internet Protocol. Define el formato de los paquetes enviados. TELNET Terminal Virtual. Emulación de terminal que permite que un
usuario en una máquina ingrese a una máquina distante y trabaje allí. Utiliza el puerto 23.
FTP File Transfer Protocol. Realiza transferencias de archivos por medio de mecanismos para mover datos de una máquina a otra en forma eficiente. Utiliza el puerto 21.
SMTP Simple Mail Transfer Protocol. Se utiliza para la configuración, recepción y envío de correo electrónico. Utiliza el puerto 25.
DNS Domine Net Server. Protocolo de nivel de aplicación, es decir, a nivel de cliente. Consulta a partir de una dirección IP el cliente o viceversa. En términos generales el protocolo DNS relaciona los nombres de los nodos con sus direcciones en la red. Utiliza el puerto 53.
NNTP Network News Transfer Protocol. Protocolo para transferir artículos noticiosos.
FINGER Mira los datos de un usuario dentro de su cuenta. La máquina pude saber quién está conectado en un momento determinado.
PING Se utiliza para determinar si un servidor está conectado o no. HTTP Hyper Text Transfer Protocol. Protocolo estándar de la WEB. Cada
interacción consiste en una solicitud ASCII seguida de una respuesta tipo MIME RFC 822. Reconoce dos tipos de elementos: el grupo de solicitudes de los visualizadores de los servidores y el
ISC-2003-1-11
59
grupo de respuestas en el otro sentido. Utiliza el puerto 80. PH Phone. Servicio de direcciones en donde se almacenan datos de
los usuarios. GOPHER Antecesor del protocolo HTTP. Es un navegador pero solo de
texto. WAP Wireless Application Protocol. Se utiliza como aplicación para
comunicaciones inalámbricas. IMAP Maneja direcciones y correos en el servidor remotamente.
Tabla 1. Principales protocolos de alto nivel en redes.
Debido a la constante evolución en este campo, un primer y fundamental punto de referencia es poder referirse a un modelo comúnmente aceptable. El modelo común de referencia, adoptado por ISO (International Standars Organization) se denomina modelo OSI. 6.2.2 Modelo OSI (Open System Interconection): Es un sistema que está abierto a la comunicación con otros sistemas. Consta de siete capas (Físico, Enlace, Red, Transporte, Sesión, Presentación y Aplicación). Es necesario que el auditor tenga conocimiento de dichas capas puesto que la información atraviesa descendentemente la pila conformada por las siete capas, llega al medio físico y asciende a través de las siete capas en la pila de destino. Por tanto, cada capa tiene unos métodos prefijados para comunicarse con la inmediatamente superior y la inferior. La transmisión entre las capas es horizontal, aunque se vea su especificación técnica de manera vertical (Fig. 9). Además, de esta manera se aíslan los protocolos que se utilizan en unas capas con los protocolos que se utilicen en otras. Sabiendo las capas que corresponden a cada protocolo se tiene una idea del alcance y la utilidad del mismo. En los niveles inferiores, habitualmente hasta el nivel tres, es donde se definen las redes LAN, MAN y WAN. Una de las grandes ventajas de usar este Modelo es que permite modificar las capas, de manera extensible sin problema. Además permite acelerar el desarrollo de las redes, ya que se pueden realizar tareas en paralelo.
ISC-2003-1-11
60
Protocolo host-enrutador capa enlace datos
Presentación
Sesión
Transporte
Presentación
Sesión
Transporte
Red Red
Enlace de Datos
Enlace de Datos
Física Física
Enlace de
Datos
Red
Física
Red
Física
Enlace de
Datos
Aplicación Aplicación
Capa
7
Interfaz
6
Interfaz
5
APDU
PPDU
SPDU
4 TPDU
3 Paquete
2
1
Marco
Bit
Host A Host B Enrutador Enrutador
Protocolo de Aplicación
Protocolo de Presentación
Protocolo de Sesión
Protocolo de transporte
Frontera de comunicación de subred
Protocolo interno de la subred
Protocolo host-enrutador de la capa de red
Protocolo host-enrutador de la capa física
Figura 9. Representación Modelo OSI.
ISC-2003-1-11
61
6.2.3 Modelo TCP/IP (Transfer control Protocol/ Internet Protocol): Modelo usado en la antigua red ARPANET antecesora de la hoy conocida Internet. Es el protocolo que está imponiéndose por derecho propio. Posee una gran cantidad de aplicaciones pero que no pueden funcionar con otros protocolos. Pero al ser abierto permite evitar la dependencia a ningún fabricante en concreto. Una solución es "encapsular" un protocolo sobre otro, así el netbios por ejemplo, puede ser transportado sobre TCP/IP, aunque debe de tener bastantes controles. El modelo TCP/IP tiene cuatro capas que son: capa del nodo a la red, capa de interred, capa de transporte y capa de aplicación (Fig. 10). Funciona parecido al modelo OSI en cuanto a que la comunicación entre capas se realiza por medio de protocolos y ésta se hace de manera horizontal.
Figura 10. Modelo TCP/IP26.
26 Tanenbaum, Andrew, Redes de Computadoras, 3a Edición, México, 1997, Capítulo 1, p.36.
Aplicación 4
3
2
1
Transporte
Interred
Host de red
Capa
ISC-2003-1-11
62
Ante el auge del protocolo TCP/IP, se está adoptando la siguiente nomenclatura para las redes basadas en este protocolo: • Intranet: Red interna, privada y segura de una empresa, utilice o no
medios de transporte de terceros. • Extranet: Es una red privada y segura, compartida por un conjunto de
empresas, aunque utilice medios de transporte ajenos e inseguros, como pudiera ser Internet.
• Internet: Es la red de redes, "metared" a donde se conecta cualquier red
que se desee abrir al exterior, pública e insegura, de alcance mundial, donde puede comunicar cualquier pareja o conjunto de interlocutores, dotada además de todo tipo de servicios de valor añadido.
6.2.4 Modelo ATM (Asynchronous Transfer Model): Surgió de la necesidad de las compañías telefónicas por unificar los protocolos de las aplicaciones existentes. Con la estandarización de todos los servicios de red se redefinieron todas las capas y sus servicios. La idea en que se basa el modelo ATM consis te en transmitir toda la información en paquetes pequeños de tamaño fijo llamados células. Las celdas tienen una longitud de 53 bytes, de los cuales cinco son de encabezado y 48 de carga útil. (Fig.11) 5 bytes 48 bytes 53 bytes
Figura 11. Celda ATM27
El modelo ATM tiene tres capas que son: capa física, capa ATM y capa de adaptación AAL (Fig. 12). La capa física tiene que ver con el medio físico como:
27 Íbid, p.62.
Encabezado Datos del usuario
ISC-2003-1-11
63
voltajes y temporización de bits; la capa ATM tiene que ver con las celdas y su transporte y la capa de adaptación actúa como una interfaz que segmenta los paquetes, transmite las celdas en forma individual y las reensambla en el otro extremo.
Figura 12. Modelo ATM 28.
ATM es tanto una tecnología (oculta a los usuarios) como un servicio potencial (visible a los usuarios). El modelo ATM es más rápido que el modelo TCP/IP ya que garantiza que todos los servicios de tiempo real tengan mayor atención que los otros. Un dispositivo espec íficamente dedicado a la protección de una Intranet ante una Extranet y fundamentalmente ante Internet es el Firewall.
28 Íbid, p.63.
AAL
ATM
FISICA
CS
SAR
TC
PMD
Capas superiores de
Aplicación
ISC-2003-1-11
64
6.3 FIREWALL Ésta es una máquina dedicada en exclusiva a leer cada paquete que entra o sale de una red para permitir su paso o desecharlo directamente. Esta autorización por rechazo está basada en unas tablas que identifican, por cada pareja de interlocutores, los tipos de servicios que pueden ser establecidos. Para llevar a cabo su misión, existen diversas configuraciones, donde se pueden incluir enrutadores o routers (NADs), servidores de proximidad (Proxys), entre otros. 6.3.1 Filtradores de paquetes NADs: Funcionan a nivel de red, actúan como un enrutador con reglas que deciden que paquete se deja pasar y cual no. (Fig. 13). Estas reglas pueden estar basadas en: IP fuente, IP destino, Puerto origen, Puerto destino y tipo de servicio.
Figura 13. Aplicación con enrutador. A continuación se presentan las ventajas y desventajas de usar este modelo de aplicación: • Ventajas: Cuando se usa filtrador de paquetes, las reglas para decidir que
paquetes pueden pasar y cuales no son más complejas; haciendo una red sencilla segura.
• Desventajas: El filtrador de paquetes no analiza datos, sólo trabaja a nivel
de red; lo cual influye en la calidad y tipo de información que se transmite, ya que no se filtran virus pero se pueden filtrar paquetes con información no deseada o confidencial.
RED INTERNET ENRUTADOR
ISC-2003-1-11
65
6.3.2 Proxys: Funcionan a nivel de aplicación, tiene dos interfaces de red: Internet y la red privada. Deben tener servicios de enrutamiento para direccionar. Existen varios modelos de aplicación para el uso de Proxys : a)
Figura 14. Aplicación sin enrutador, usando Proxy. • Ventajas: Con el uso de Proxy con filtrador como su nombre lo indica hace
la filtración de paquetes, pero también el Proxy hace filtración; así que la información está protegida por los accesos restringidos tanto del filtrador como del Proxy.
• Desventajas: La configuración es un poco complicada, ya que se debe
configurar el Proxy de cada aplicación, ya que cada servicio tiene su propio Proxy.
b)
Figura 15. Aplicación con Proxy.
RED PRIVADA
PROXY FILTRADOR
SERVICIOS INTERNET
RED PRIVADA
SERVICIOS INTERNET
FLITRADOR DE RED
PROXY
ISC-2003-1-11
66
• Ventajas: Es un modelo más complejo y más seguro, ya que la red interna obligatoriamente pasa por el Proxy para llegar a Internet. Además deja pasar el tráfico con restricciones.
• Desventajas: Como se validan muchas cosas, se pueden presentar cuellos
de botella. c)
Figura 16. Aplicación con dos filtradores de red y Proxy.
• Ventajas: Se tiene configuración de seguridad distribuida (ingoing-outgoing) para paquetes. lo que mejora el mantenimiento y el rendimiento. Existe menor complejidad en la configuración ya que el Proxy no es obligatorio para usar los servicios de Internet.
• Desventajas: Puede tener debilidad de seguridad, ya que el Proxy no es
obligatorio para usar los servicios de Internet.
RED INTERNA FLITRADOR
SERVICIOS INTERNET
INTERNETFLITRADOR
PROXY
ISC-2003-1-11
67
7. METODOLOGÍAS EXISTENTES PARA EL DESARROLLO DE UNA AUDITORÍA INFORMÁTICA
La informática es una materia compleja en todos sus aspectos, haciendo necesaria la utilización de metodologías en cada área que la compone. Las metodologías son necesarias para desarrollar cualquier proyecto de manera ordenada y eficaz. En la Auditoría de Sistemas la aplicación de metodologías ayuda a determinar las distintas características de la empresa y sirven de base para realizar un plan de seguridad que mejore la situación actual encontrada. 7.1 METODOLOGÍA PARA LA AUDITORÍA DE SISTEMAS SEGÚN COBIT COBIT es un estándar de Control Interno y Auditoría en Sistemas de información que significa: Control OBjectives for Information and Related Tecnology; es decir, Objetivos de Control para Información y Tecnología Relacionada. Fue creado por la Asociación de Control y Auditoría de Sistemas de Información (ISACA), que es la principal organización global profesional en control de tecnología de información, enfocada en asuntos de Auditoría, Control y Seguridad. Esta organización trabaja estrechamente con más de 140 Capítulos en cerca de 100 países, desarrolla servicios y programas diseñados para establecer la excelencia y realiza investigaciones conducidas a través de la fundación ISACF. La misión principal de COBIT es
Investigar, desarrollar, dar publicidad y promover un conjunto internacional autorizado y actualizado, de Objetivos de Control de Tecnología de Información generalmente aceptados para el uso diario de gerentes de negocio y auditores.29
En términos generales, COBIT es un estándar generalmente aceptado y aplicable por las buenas prácticas de Control de Información y Tecnología de Información, basado en la revisión critica de tareas y actividades respecto a la reingeniería de negocios. Los auditores utilizan COBIT principalmente para 29 Cubillos, Euclides, Implantación de COBIT como Estándar de Control Interno y Auditoria en Sistemas de Información, AUDISIS, Bogotá, Colombia, Febrero de 2000, p.3.
ISC-2003-1-11
68
sustanciar sus opiniones a la Administración sobre Controles Internos y para responder a la pregunta sobre ¿Qué Controles mínimos son necesarios? Para implantar COBIT es necesario contar con un marco de referencia. Para esto, se debe tener muy clara la definición de control, la cual se hizo en el primer capítulo de este estudio, y la definición del objetivo de Control de Tecnología de Información: "Declaración del resultado deseado o propósito a ser alcanzado, implantando procedimientos de Control en una actividad particular de Tecnología de Información". 30 7.1.1 Marco de Referencia: Permite el alineamiento de Objetivos de Control Individuales con los estándares, regulaciones y prácticas existentes. Una vez se tiene el marco de referencia se definen los requerimientos del negocio, los recursos que se van a utilizar y los procesos en los cuales se van a aplicar estos recursos (Fig. 17).
Figura 17. Principios del marco de referencia para COBIT .31
30 Íbid, p.13. 31 Íbid, p.14.
Procesos del negocio
Recursos de Tecnología de
Información
Información Criterios
Lo que usted obtiene Lo que usted
necesita
Concuerdan ?
ISC-2003-1-11
69
7.1.2 Requerimientos de la información de negocios: Se clasifican en: • Requisitos de Calidad: Calidad, Costo y Prestación de Servicio. • Requisitos Fiduciarios: Efectividad y eficiencia de las operaciones,
Confiabilidad de Informes Financieros y cumplimiento con las Leyes y regulaciones.
• Requisitos de seguridad: Confidencialidad, Integridad y Disponibilidad. 7.1.3 Criterios de la Información de negocios: Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, cumplimiento y confiabilidad de la información. 7.1.3.1 Efectividad: Se refiere a que la información sea relevante y pertinente para los procesos del negocio, así como que sea entregada de una manera oportuna, correcta, consistente, utilizable y completa. 7.1.3.2 Eficiencia: Concierne al suministro de información a través del uso optimo (más productivo y económico) de los recursos de Tecnología de Información. 7.1.3.3 Confidencialidad: Concierne a la protección de información sensible de divulgación no autorizada. 7.1.3.4 Integridad: Relacionada con lo exacta y completa que sea la información, así como a su validez de acuerdo con los valores y expectativas del negocio; se refiere a que la información sea exacta y completa. 7.1.3.5 Disponibilidad: Relacionada con que la información esté disponible cuando sea requerida por los procesos del negocio ahora y en el futuro. También concierne a la salvaguardia de los recursos y sus capacidades asociadas.
ISC-2003-1-11
70
7.1.3.6 Cumplimiento: Tiene que ver con estar de acuerdo con aquellas leyes, regulaciones, y obligaciones contractuales a las cuales está sujeto el proceso del negocio; es decir los criterios del negocio impuesto externamente. 7.1.4 Definición de Dominios: Está dividido en cuatro etapas principales que son: • Planeación y Organización: En este dominio se satisfacen los objetivos de
los negocios y se determinan las estrategias y tácticas de contribución de las Tecnologías de Información. Como se había nombrado antes los objetivos deben estar apropiadamente planeados, comunicados y manejados así como debe existir una adecuada organización e infraestructura tecnológica.
• Adquisición e implementación: En este dominio se realizan las estrategias
de la Tecnología de Información, se realizan los cambios y mantenimientos de los sistemas. En este momento las soluciones son identificadas, desarrolladas, adquiridas e implementadas y se integran a los procesos del negocio.
• Prestación de Servicios y Soporte: En este dominio se realiza la prestación
actual de los servicios, se establecen los procesos de soporte, se procesan los datos actuales mediante las aplicaciones y se desarrollan las operaciones actuales a través de la seguridad, incluyendo entrenamiento.
• Monitoreo: Finalmente en este dominio se evalúan regularmente todos los
procesos de la Tecnología de Información y se vigila el cumplimiento con calidad de los controles.
Como se puede notar estos dominios se parecen a las etapas del proceso para la realización de una auditoria de sistemas, señalado anteriormente. 7.1.5 Procesos de Tecnología de Información: Cada dominio tiene sus procesos asociados con la Tecnología de Información. Para objeto de este estudio solo se nombraran aquellos relevantes con el área de redes, en especial, los procesos que tengan que ver con la Intranet. Así mismo, cada proceso tiene unos factores de riesgo asociados, establecidos por el estándar COBIT, los cuales se minimizan en la medida en que los procesos de cada dominio de desarrollen adecuadamente.
ISC-2003-1-11
71
• Factores de Riesgo (FR) asociados con los procesos del área de Intranet e Internet:
Ø FR1: Acceso no autorizado a la red interna de la organización. Ø FR2: Acceso no autorizado a mensajes confidenciales. Ø FR3: Pérdida de la integridad de la información, especialmente de
transacciones importantes para la empresa. Ø FR4: Pérdida de confidencialidad de la información. Ø FR5: Interrupción del servicio disponible. Ø FR6: Infección con virus.
• Dominio de Planeación y Organización: a) Determinar la arquitectura de la información. Previene los factores de
riesgo: FR1, FR2, FR3 y FR4. b) Definir la Dirección Tecnológica. Previene el factor de riesgo: FR5. c) Definir la organización y las relaciones de la Tecnología de Información.
Previene los factores de riesgo: FR1, FR2, FR3, FR4 y FR5. d) Comunicar los propósitos de la Administración y Dirección de la Tecnología
de Información. Previene los factores de riesgo: FR1, FR2, FR3, FR4 y FR6. e) Administrar los recursos humanos. Previene los factores de riesgo: FR1,
FR2, FR3, FR4, FR5 y FR6. f) Asegurar el cumplimiento de requisitos externos. Previene los factores de
riesgo: FR1, FR2, FR3 y FR4. g) Evaluar riesgos. Previene los factores de riesgo: FR1, FR2, FR3 y FR4. • Dominio de Adquisición e implementación: a) Identificar las soluciones automatizadas. Previene los factores de riesgo:
FR1, FR2, FR3 y FR4. b) Adquirir y mantener software de aplicación. Previene los factores de riesgo:
FR1, FR2, FR3, FR4 y FR5. c) Adquirir y mantener infraestructura de tecnología. Previene los factores de
riesgo: FR1, FR2, FR3, FR4 y FR5. d) Desarrollar y mantener procedimientos. Previene el factor de riesgo: FR5. e) Instalar y acreditar los sistemas. Previene los factores de riesgo: FR1, FR2
y FR5. f) Administrar los cambios. Previene el factor de riesgo: FR5.
ISC-2003-1-11
72
• Dominio de Prestación de Servicio y Soporte: a) Definir niveles de servicio: Previene el factor de riesgo: FR5. b) Administrar los servicios de terceras partes. Previene los factores de riesgo:
FR1, FR2 y FR5. c) Administrar el desempeño y la capacidad. Previene el factor de riesgo: FR5. d) Asegurar un servicio continuo. Previene el factor de riesgo: FR5. e) Garantizar la seguridad de los sistemas. Previene los factores de riesgo:
FR1, FR2, FR3, FR4, FR5 y FR6. f) Educar y entrenar a los usuarios. Previene los factores de riesgo: FR1, FR2
y FR6. g) Administrar la configuración. Previene el factor de riesgo: FR6. h) Administrar los datos. Previene los factores de riesgo: FR1, FR2, FR3, FR4
y FR5. i) Administrar las instalaciones. Previene los factores de riesgo: FR1, FR2,
FR4 y FR5. j) Administrar las operaciones. Previene el factor de riesgo: FR5. • Dominio de Monitoreo: a) Monitorear los procesos. Previene los factores de riesgo: FR1, FR2, FR3 y
FR4. b) Evaluar lo adecuado que sea el Control Interno. Previene los factores de
riesgo: FR1, FR2, FR3, FR4, FR5 y FR6. c) Obtener aseguramiento independiente. Previene los factores de riesgo:
FR1, FR2, FR3, FR4, FR5 y FR6. d) Proveer Auditoría independiente. Previene los factores de riesgo: FR1, FR2,
FR3, FR4, FR5 y FR6. 7.1.6 Objetivos de Control asociados a los procesos: Cada dominio debe encadenarse con los objetivos asociados a cada proceso. • Dominio Planeación y Organización: a) Proceso: Determinar la arquitectura de la información.
ISC-2003-1-11
73
Control sobre el proceso de Tecnología de Información: Definir la arquitectura de la información. Satisface la necesidad del negocio de: Organizar mejor los sistemas de información Considera : - Documentación. - Diccionario de datos. - Propiedad de los datos y clasificación de criticidad. - Reglas de sintaxis de datos. b) Proceso: Definir la Dirección Tecnológica. Control sobre el proceso de Tecnología de Información: Determinar la Dirección Tecnológica. Satisface la necesidad del negocio de: Tomar ventaja de la tecnología disponible y emergente. Considera : - Suficiencia y capacidad evolutiva de la infraestructura actual. - Monitoreo de la Dirección Tecnológica. - Restricciones del negocio. - Planes de adquisición. c) Proceso: Definir la organización y las relaciones de la Tecnología de Información. Control sobre el proceso de Tecnología de Información: Determinar la organización de la Tecnología de Información y sus relaciones. Satisface la necesidad del negocio de: Prestar servicios de Tecnología de Información. Considera : - Recursos externos e internos. - Responsabilidad de la junta.
ISC-2003-1-11
74
- Segregación de funciones. - Niveles de personal. - Propietarios. - Comité de iniciativas. - Planeación de personal. - Descripción de cargos. - Supervisión. - Indicadores de desempeño claves. d) Proceso: Comunicar los propósitos de la Administración y Dirección de Tecnología de Información. Control sobre el proceso de Tecnología de Información: Comunicar los propósitos a la Administración y a la Dirección de Tecnologías de Información. Satisface la necesidad del negocio de: Asegurar el conocimiento y comprensión del usuario. Considera :
- Políticas de seguridad. - Directivas de tecnología. - Cumplimiento. - Compromiso de mejoramiento continuo. - Compromiso de calidad. - Código de conducta. - Controles Internos. e) Proceso: Administrar los recursos humanos. Control sobre el proceso de Tecnología de Información: Administrar los recursos humanos. Satisface la necesidad del negocio de: Maximizar las contribuciones del personal al proceso de Tecnología de Información. Considera : - Consejos y Recomendaciones. - Evaluación medible del desempeño.
ISC-2003-1-11
75
- Entrenamiento. - Construcción de conocimiento. - Disciplina. - Entrenamiento cruzado. - Confianza en el personal clave. f) Proceso: Asegurar el cumplimiento de requisitos externos. Control sobre el proceso de Tecnología de Información: Asegurar el cumplimiento de requisitos externos. Satisface la necesidad del negocio de: Cumplir obligaciones legales, reguladoras y contractuales. Considera : - Leyes, regulaciones y contratos. - Monitoreo de desarrollos legales/reguladores. - Búsqueda de asesoría legal. - Revisiones regulares para .cambios enmiendas. - Seguridad y ergonomía. - Privacidad y transborde de flujo de datos. g) Proceso: Evaluar riesgos. Control sobre el proceso de Tecnología de Información: Estimar riesgos. Satisface la necesidad del negocio de: Asegurar el logro de los objetivos de Tecnología de Información y responder a amenazas al suministro de los servicios de Tecnología de Información. Considera : - Diferentes clases de riesgos de Tecnología de Información. - Oportunidad de análisis. - Alcance. - Reportes de incidentes. - Conservación de un modelo de riesgos.
ISC-2003-1-11
76
• Dominio de Adquisición e Implementaron: a) Proceso: Identificar las soluciones automatizadas. Control sobre el proceso de Tecnología de Información: Identificar las soluciones automatizadas . Satisface la necesidad del negocio de: Asegurar el mejor método de satisfacer las necesidades del usuario. Considera : - Restricciones internas y externas. - Direcciones de tecnología. - Estudios de viabilidad. - Necesidades del usuario. - Arquitectura de información. b) Proceso: Adquirir y mantener software de aplicación. Control sobre el proceso de Tecnología de Información: Adquirir y mantener software de aplicación. Satisface la necesidad del negocio de: Suministrar funciones automatizadas que soporten efectivamente los procesos del negocio. Considera : - Clientelización de paquete. - Diseño funcional. - Diseño detallado. - Codificación. - Prueba funcional. - Revisión del contrato/licencia. - Documentación. - Controles de aplicación y seguridad. c) Proceso: Adquirir y mantener infraestructura de tecnología.
ISC-2003-1-11
77
Control sobre el proceso de Tecnología de Información: Adquirir y mantener infraestructura de tecnología. Satisface la necesidad del negocio de: Suministrar las plataformas apropiadas que soporten las aplicaciones del negocio. Considera : - Tecnología disponible. - Dirección de tecnología. - Procedimientos clientelizados. - Adaptabilidad. - Asuntos de seguridad. d) Proceso: Desarrollar y mantener procedimientos. Control sobre el proceso de Tecnología de Información: Desarrollar y mantener procedimientos relacionados con sistemas de Tecnología de Información. Satisface la necesidad del negocio de: Asegurar el uso apropiado de las aplicaciones y las soluciones tecnológicas puestas en marcha. Considera : - Procedimientos y controles de usuario. - Procedimientos y controles operacionales. e) Proceso: Instalar y acreditar los sistemas. Control sobre el proceso de Tecnología de Información: Instalar y acreditar los s istemas. Satisface la necesidad del negocio de: Verificar y confirmar que la solución es para el objetivo propuesto. Considera : - Estructura de aprobación. - Documentación. - Prueba especifica. - Capacitación/entrenamiento. - Carga/conversión de datos. - Revisión post - implementación.
ISC-2003-1-11
78
f) Proceso: Administración de cambios. Control sobre el proceso de Tecnología de Información: Administrar cambios. Satisface la necesidad del negocio de: Minimizar la probabilidad de interrupción, alteraciones no autorizadas y errores. Considera : - Identificación de cambios. - categorización, priorización y procedimientos de emergencia. - Prueba especifica. - Evaluación de impacto. - Administración de liberación. - Distribución de software. • Dominio de prestación del servicio y soporte: a) Proceso: Definir niveles de servicio. Control sobre el proceso de Tecnología de Información: Definir niveles de servicio. Satisface la necesidad del negocio de: Establecer un entendimiento común del nivel de servicio requerido. Considera : - Definición de responsabilidades. - Tiempos y volúmenes de respuesta. - Dependencias. - Cargos económicos. - Garantías de integridad. - Acuerdos de no divulgación. b) Proceso: Administrar los servicios de terceras partes.
ISC-2003-1-11
79
Control sobre el proceso de Tecnología de Información: Administrar los servicios con terceras partes. Satisface la necesidad del negocio de: Asegurar que los roles y responsabilidades de terceras personas estén claramente definidos, adheridos y continuos para satisfacer los requisitos. Considera : - Acuerdos de nivel de servicio (SLAs). - Acuerdos de no divulgación. - Políticas de la compañía. - Leyes y regulaciones. - Contratos de outsourcing. c) Proceso: Administrar el desempeño y la capacidad. Control sobre el proceso de Tecnología de Información: Administrar el desempeño y la capacidad. Satisface la necesidad del negocio de: Asegurar que esté disponible una capacidad adecuada y que se haga un mejor y óptimo uso para satisfacer las necesidades de desempeño requeridas. Considera : - Volúmenes. - Tiempos de respuesta. - Through put. d) Proceso: Asegurar un servicio continuo. Control sobre el proceso de Tecnología de Información: Asegurar un servicio continuo. Satisface la necesidad del negocio de: Hacer disponibles los servicios como se requiere y continuar suministrándolos en el caso de interrupción. Considera : - Clasificación de criticidad.
ISC-2003-1-11
80
- Plan documentado. - Procedimientos alternativos. - Prueba y entrenamiento sistemáticos y regulares. e) Proceso: Garantizar la seguridad de los sistemas. Control sobre el proceso de Tecnología de Información: Garantizar la seguridad de los sistemas. Satisface la necesidad del negocio de: Salvaguardar información contra uso no autorizado, divulgación o modificación, daño o pérdida. Considera : - Autorización. - Autenticación. - Perfiles de usuario e identificación. - Administración de claves. - Reportaje de incidentes y seguimiento. f) Proceso: Educar y entrenar a los usuarios . Control sobre el proceso de Tecnología de Información: Educar y entrenar a los usuarios. Satisface la necesidad del negocio de: Asegurar que los usuarios están haciendo uso efectivo de la tecnología y tienen conocimiento de las responsabilidades implicadas. Considera : - Campañas de concientización. - Técnicas de concientización. - Módulos de entrenamiento. - Guías de procedimiento. g) Proceso: Administrar la configuración. Control sobre el proceso de Tecnología de Información: Administrar la configuración.
ISC-2003-1-11
81
Satisface la necesidad del negocio de: Explicar todos los componentes de Tecnología de Información, prevenir alteraciones no autorizadas, verificar la existencia física y proveer una base para una sólida administración de cambios. Considera: - Registro de activos. - Clasificación de activos. - Administración de cambios. - Control de almacenamiento de software. h) Proceso: Administrar los problemas e incidentes. Control sobre el proceso de Tecnología de Información: Administrar los problemas e incidentes. Satisface la necesidad del negocio de: Asegurar que los problemas e incidentes son resueltos, y la causa investigada para prevenir que vuelva a ocurrir. Considera : - Suficientes rastros de auditoría de problemas y soluciones. - Solución oportuna de problemas reportados. - Procedimientos de escolación. - Informes de incidencia. i) Proceso: Administrar los datos. Control sobre el proceso de Tecnología de Información: Administrar los datos. Satisface la necesidad del negocio de: Asegurar que los datos permanecen completos, exactos y válidos durante la entrada, actualización y almacenamiento. Considera : - Diseño de formas. - Administración del almacenamiento y backup de datos.
ISC-2003-1-11
82
- Controles de entrada. - Controles de salida. - Retención de documentos fuente. - Identificación y movimiento de medios. - Manejo de biblioteca. - Controles de interface. - Controles de procesamiento. j) Proceso: Administrar las instalaciones. Control sobre el proceso de Tecnología de Información: Administrar las instalaciones. Satisface la necesidad del negocio de: Suministrar un medio circundante físico conveniente protegiendo el equipo de Tecnologías de Información y la gente contra peligros naturales y causados por el hombre. Considera: - Selección del lugar. - Seguridad física. - Protección de riesgos ambientales. - Acceso a las instalaciones. - Seguridad del personal. k) Proceso: Administrar las operaciones. Control sobre el proceso de Tecnología de Información: Administrar las operaciones. Satisface la necesidad del negocio de: Asegurar que las funciones importantes de soporte de Tecnología de Información son ejecutadas regularmente y de una manera ordenada. Considera : - Manual de procedimientos de operaciones. - Documentación del proceso de operaciones. - Logging de eventos del sistema. - Administración de servicios de red. - Proceso de transferir cambios. - Planeación del personal y workload.
ISC-2003-1-11
83
- Recuperación y backup de sistemas. • Dominio de Monitoreo: a) Proceso: Monitorear los procesos. Control sobre el proceso de Tecnología de Información: Monitorear los procesos. Satisface la necesidad del negocio de: Asegurar el logro de los grupos de objetivos determinados para los procesos de Tecnología de Información. Considera : - Auto evaluaciones. - Puntos de referencia (bench marks). - Medición de indicadores de desempeño claves. - Reportes a la administración. b) Proceso: Evaluar qué tan adecuado es el Control Interno. Control sobre el proceso de Tecnología de Información: Evaluar qué tan adecuado es el Control Interno. Satisface la necesidad del negocio de: Asegurar el logro del conjunto de objetivos de Control Interno para los procesos de Tecnología de Información. Considera : - Monitoreo del Control Interno sobre la marcha. - Puntos de referencia (bench marks). - Reportes de errores y excepciones. - Reportes a la administración. - Auto evaluaciones. c) Proceso: Obtener aseguramiento independiente. Control sobre el proceso de Tecnología de Información: Obtener aseguramiento independiente.
ISC-2003-1-11
84
Satisface la necesidad del negocio de: Incrementar los niveles de confidencia y certidumbre entre la organización, los clientes y proveedores de terceras partes. Considera : - Certificaciones y/o acreditaciones independientes. - Evaluaciones independientes de la efectividad. -Aseguramiento independiente del cumplimiento de las leyes y requerimientos regulativos. - Revisión de servicios suministrados por terceras partes. - Involucramiento proactivo de la auditoría. d) Proceso: Proveer una Auditoría independiente. Control sobre el proceso de Tecnología de Información: Proveer una Auditoría independiente. Satisface la necesidad del negocio de: Incrementar los niveles de confianza y los beneficios de los consejos de las mejores prácticas. Considera : - Independencia de la Auditoría. - Involucramiento proactivo de la Auditoría. - Ejecución de las auditorías por personal capacitado y calificado. - Claridad de los hallazgos y recomendaciones. - Actividades de seguimiento.
ISC-2003-1-11
85
7.2 METODOLOGÍA PARA LA AUDITORÍA DE SISTEMAS SEGÚN PINILLA32 “La Auditoría utiliza un enfoque metodológico deductivo, que es realizado por medio de la evaluación de determinada realidad”33, primero conociendo el objeto audítable y luego se inicia un desglose de sus elementos hasta aproximarse o llegar al origen de los hechos. Para aplicar la metodología se debe seguir una serie de pasos importantes que son: A nivel general si se trata de una auditoría externa, el auditor debe:
i. Conocer la organización. ii. Clasificar los componentes. iii. General el plan global de auditoría.
Si se trata de una auditoría interna, el auditor como miembro de la entidad, ya conoce el negocio y la organización, posee un conocimiento tecnológic o y sabe los puntos críticos del sistema, para que por último genere el plan global de auditoria. Si se trata de una auditoría externa, el auditor debe informarse y conocer globalmente la entidad que auditará. 7.2.1 Conocimiento global de la entidad: El auditor deberá conocer el negocio de la empresa y entenderlo para poder evaluar los sistemas de control existentes; además deberá lograr un conocimiento tecnológico de la empresa. Para esto se tienen en cuenta aspectos importantes, tales como el tema económico, legal y organizacional. Conocer el objeto social de la entidad, los principales bienes o servicios que produce, el mercado que cubre, la competencia, el grado de cumplimiento de las normas legales en términos comerciales y laborales, los manuales de funcionamiento y procedimientos, la distribución de la parte física y el recurso humano, entre otros.
32 Pinilla, Op.cit. pgs. 53-58. 33 Ídem.
ISC-2003-1-11
86
7.2.2 Definición y clasificación de Áreas Auditables: El auditor de sistemas, deberá considerar el nivel tecnológico de la empresa y puede estudiar por ejemplo, el desarrollo de los sistemas, las aplicaciones que están en funcionamiento, el soporte que se le da a los usuarios de las aplicaciones o precisarse en aplicaciones especiales como: bases de datos, redes, comunicaciones, Internet, sistemas operativos, microprocesadores y construcción de software entre otros. Por cada área auditable se debe seguir los siguientes pasos:
i. Definir el objetivo de la auditoría. ii. Conocer la componente. iii. Evaluar los sistemas de control interno. iv. Obtener evidencia. v. Evaluar los resultados. vi. Concluir y recomendar. vii. Presentar el informe de Auditoría. viii. Realizar un seguimiento a las recomendaciones.
7.2.2.1 Definir el objetivo de la auditoría: Estos objetivos pueden diseñarse de manera general o especifica. Los objetivos definen el marco de acción del trabajo de la auditoría, así como el tipo de auditoria que se va a realizar, en este caso una auditoria informática. También es importante definir el alcance del trabajo de la auditoria. Lo anterior con el ánimo de establecer claramente desde un principio que es lo que se va hacer y hasta donde se va a llegar. 7.2.2.2 Conocer la componente: En esta etapa se pretende profundizar el conocimiento en materia de: objetivos del área, personal encargado de manejarla, seguridad, sistemas de información y manuales de procedimientos y funciones entre otros. 7.2.2.3 Evaluar los sistemas de control interno: En esta fase se conoce el grado de validez del sistema de Control Interno que se encuentra actualmente en funcionamiento en la organización. A partir de su evaluación se pueden llegar a definir las pruebas que se consideren pertinentes para el levantamiento de información y/o obtención de evidencia suficiente, completa y veraz. 7.2.2.4 Obtener evidencia : La obtención de evidencias exige el diseño de pruebas que sustenten la información y el informe de auditoría. Estas pruebas pueden ser sustantivas, de cumplimiento o de doble finalidad.
ISC-2003-1-11
87
7.2.2.5 Evaluar los resultados: Las evidencias o hallazgos de auditoría deben precisar una plena y ordenada información que permita sustentar rigurosa y verídicamente las recomendaciones de Control Interno. 7.2.2.6 Concluir y recomendar: Una vez se han detectado las áreas débiles y los vacíos concretos tras el análisis del Control Interno, el auditor prepara una carta de recomendaciones en la que por lo menos debe contemplar: áreas de control, puntos de control, deficiencias de control, causas, efectos, recomendaciones de control y en algunos casos estimación de costo/beneficio. 7.2.2.7 Presentar el informe de Auditoría:
El auditor emite una opinión sobre el grado de aceptabilidad, en el manejo administrativo de la organización, de acuerdo con los resultados obtenidos durante la evaluación del proceso administrativo y las operaciones del ente auditado.34
El informe debe estar basado en las normas de auditoria generalmente aceptadas y puede ser dirigido a la empresa a la cual se ha auditado o a la sociedad. Su opinión debe estar fuertemente sustentada con evidencias y puede emitir su concepto limpia, con salvedades o adversamente (denegación). Para cualquiera de los casos debe expresar las razones para actuar así. 7.2.2.8 Realizar un seguimiento a las recomendaciones: En esta fase se visitan los puntos débiles de control después de un tiempo prudencial, con el animo de cerciorarse de la forma como se están implementando los controles sugeridos en las recomendaciones del informe35. 34 Íbid, p. 69. 35 Íbid, p. 58.
ISC-2003-1-11
88
8. METODOLOGÍA PROPUESTA
A continuación se propone una metodología que pretende servir como ayuda para la realización de una auditoria de sistemas en el área de redes, especialmente en el tema de la Intranet. Como se había mencionado antes, la Intranet corresponde a la red interna de la organización. Así mismo la Intranet, tiene diferentes componentes que deben ser controlados y auditados. Pero antes, se expondrán las vulnerabilidades importantes para tener en cuenta a la hora de realizar la auditoria. 8.1 VULNERABILIDADES EN REDES
Todos los sistemas de comunicación, desde el punto de vista de auditoría, presentan un problema en común: La información transita por lugares físicamente alejados de las personas responsables. Esto presupone un compromiso de la seguridad, ya que no existen procedimientos físicos para garantizar la inviolabilidad de la información. En las redes de comunicaciones, por causas propias a la tecnología, pueden producirse básicamente tres tipos de incidencias: a) Alteración de bits b) Ausencia de tramas c) Alteración de secuencias
Por causas dolosas, y teniendo en cuenta que es físicamente posible interceptar la información, los tres mayores riesgos a atajar son:
a) Indagación b) Suplantación c) Modificación
Para este tipo de actuaciones dolosas, la única medida prácticamente efectiva en redes MAN y WAN es la criptografía. En redes LAN suelen utilizarse más bien medias de seguridad físicas al ser la criptografía una alternativa costosa. Más delante se profundizará este tema ya que es importante en el área de seguridad en las redes.
ISC-2003-1-11
89
También es necesario cuidar el cableado, si es de cobre es propenso a escuchas o pinchazos que pueden no dejar rastro. El cableado troncal y el de ruta cada vez más frecuentemente se tienden mediante fibras ópticas, que son muy difíciles de interceptar, debido a que no provocan radiación electromagnética y a que la conexión física a una fibra óptica requiere una tecnología delicada y compleja. También en el propio puesto de trabajo puede haber peligros, como grabar/retransmitir la imagen que se ve en la pantalla, teclados que guardan memoria del orden en que se han pulsado las teclas, o directamente que las contraseñas estén escritas en papeles a la vista. Además estas mismas representan otro punto crítico en las comunicaciones.
Conociendo ya las vulnerabilidades de las redes, a continuación se expone la metodología propuesta. 8.2 METODOLOGÍA PROPUESTA Esta pretende ser una guía de ayuda para la realización de la Auditoria de Sistemas para la red interna (Intranet) y en general mostrar las partes que puede tener el contenido de un informe de Auditoría de Sistemas. Así mismo, se presentarán modelos de formatos que pueden servir como apoyo al trabajo y finalmente se implementará la metodología en un caso real para verificar su aplicación. La metodología está compuesta por diversos aspectos de otras metodológicas existentes y de las cuales ya se ha hablado a lo largo de este estudio. Ellas son: COBIT y aquella expuesta por José Dagoberto Pinilla. Ante todo lo siguiente no pretende decir el cómo se debe hacer una Auditoría de Sistemas en el área de redes sino que se debe hacer o que se debe tener en cuenta a la hora de realizarla. La metodología se enfoca en la utilización de la investigación y la observación de los hechos, los cuales deben estar sustentados, con el fin de aproximarse lo más cercanamente a la realidad. A continuación se presentan los componentes principales para la realización de la Auditoria de Sistemas:
ISC-2003-1-11
90
8.2.1 Conocimiento global de la entidad: Se conocen los aspectos fundamentales de la entidad, tales como: económico, legal y organizacional. Conocer el objeto social de la entidad, los principales bienes o servicios que produce, el mercado que cubre, la competencia, el grado de cumplimiento de las normas legales en términos comerciales y laborales, los manuales de funcionamiento y procedimientos, la distribución de la parte física y el recurso humano, entre otros. Si el auditor es externo antes de empezar a hacer su trabajo, debe conocer a fondo todos los aspectos anteriormente nombrados Lo anterior con el animo de que este empapado de todas las actividades y funciones de la empresa para lograr un entendimiento posterior de las áreas auditables y sus procedimientos. Si el Auditor es interno, se supone que ya conoce en gran parte todos los aspectos fundamentales de la empresa y por ende está preparado para realizar únicamente un conocimiento más profundo del área que va auditar. En particular, es recomendable conocer los macro procesos de la empresa, las políticas y estrategias propuestas por la Dirección y las normas propias del negocio. Es importante conocer la misión, visión, metas y objetivos y la correspondencia entre el ser y el deber ser. Este conocimiento se puede realizar a través de los métodos de análisis externo e interno. Entre los métodos de análisis Externo se puede realizar un análisis DOFA de la organización, es decir, se determinan las Debilidades, Oportunidades, Fortalezas y Amenazas del entorno en el que la empresa se mueve y dentro de ella misma. Se pueden mirar las fortalezas de Porte r, que analiza la fuerza de los clientes, proveedores, competidores, sustitutos y nuevos competidores. Otro método es realizar un análisis TASCOI que determina la transformación o proceso que realiza la empresa; los actores que toman parte en el proceso; los proveedores, clientes, dueños e interventores. También se puede analizar la cadena de valor, dividiendo la empresa en actividades de apoyo, que tienen relación directa con la percepción del cliente y las actividades de línea que afectan directamente el proceso.
ISC-2003-1-11
91
Adicionalmente para entender el negocio se puede hablar con personas vinculadas a la empresa para saber detalles en lo que en realidad esta sucediendo. Determinar los planes que se van a implantar o si ya están en funcionamiento si estos funcionan o son deficientes. Conocer los procesos principales de la empresa y determinar los estándares de calidad que son aplicados. Por cada área auditable se recomienda seguir los siguientes pasos: Definir el objetivo y el alcance de la auditoría. Conocer el área auditable. Identificar los riesgos y vulnerabilidades. Evaluar los sistemas de control interno. Diseñar y ejecutar las pruebas. Evaluar los resultados. Concluir y recomendar. Presentar el informe de Auditoría. Realizar un seguimiento a las recomendaciones. 8.2.2 Definir el objetivo y alcance de la auditoría: Definir con precisión que aspectos de la entidad se van a examinar. Se define alcance y resultados.
• Alcance: Desde dónde y hasta dónde se examinará. Se determinan los aspectos del objeto que se examinará.
• Resultados: El objeto y el alcance preciso de la auditoría. Precisar cuáles aspectos NO se van a examinar.
8.2.3 Conocer el área auditable: Entender por cada componente: sus partes y la complejidad e importancia de cada una de ellas, los riesgos inherentes y el sistema de control existente. El auditor deberá determinar cuáles son las aplicaciones implicadas en la auditoría, cuáles influyen en el proceso de producción, cuáles componentes son las más críticas, entender cuáles componentes se utilizan más que otras y evaluar los riesgos en las componentes.
ISC-2003-1-11
92
• Método:
Ø Remisión de documentación existente (manuales de procedimientos, funciones, aplicaciones, usuarios, mantenimiento, operación, etc.)
Ø Resultado de auditorias existentes. Ø Entrevistas y observaciones.
• Resultados : Ø Riesgos existentes y potenciales. Ø Controles existentes.
En el campo específico de las redes debe tener conocimiento del área física, área lógica, área de comunicaciones y los procedimientos que se llevan a cabo integralmente en toda el área. En esta fase el auditor debe determinar el tipo de red que esta implementada en la entidad. 8.2.3.1 Identificar hardware de red: Identificar la red en cuanto a tecnología de transmisión. Determinar si es una red de difusión (broadcasting) o una red punto a punto. Identificar la tecnología según la escala de la red o por su tamaño físico. Determinar si es una Red de Área Local LAN y dentro de esta rama identificar si la red es de tipo anillo (Token Ring), red tipo bus (Token Bus ), red tipo estrella (Star Network), o Red de Área Metropolitana MAN o Red de Área Amplia WAN. Para el caso de la Intranet nos interesa la red LAN. En este punto es importante hacer un levantamiento del inventario físico o topológico de la red actual. Así como investigar los mapas de la red y del centro de cómputo. Se tiene en cuenta los dispositivos que componen la red, tales como: servidores, host, multicomputadores, hubs, firewalls , proxys , enrutadores y filtradores de paquetes entre otros. Todo a nivel físico solamente.
ISC-2003-1-11
93
En esta parte también se puede observar y analizar la parte del cableado de la red, la disposición de los computadores, la disposición de los equipos y dispositivos en la empresa y en el centro de cómputo. Los sistemas de ventilación y de emergencia, entre otros. 8.2.3.2 Identificar software de red: Identificar el protocolo usado y el modelo aplicado (OSI, ATM, TCP/IP). A nivel lógico se mira el funcionamiento de: servidores, host, multicomputadores, hubs, firewalls, proxys, enrutadores y filtradores de paquetes entre otros. En esta fase es bueno conocer los puntos de salida de la red interna hacia la externa y las licencias de software que se tienen para el uso de los dispositivos y equipos. En términos generales es importante realizar un levantamiento del inventario de software de la red actual. Una vez se tenga un conocimiento de la red a nivel físico y lógico se pueden llegar a definir los objetivos y el alcance de la auditoría. 8.2.4 Identificar los riesgos y vulnerabilidades: En este punto se identifican y categorizan los riesgos inherentes a los servicios que se soportan en el sistema actual de correo. El objetivo de esta etapa es determinar cuáles son los riegos críticos asociados con la forma como se des arrollan las tareas soportadas por el sistema. Sobre tales riesgos se enfatizará el desarrollo de este trabajo de auditoría. Esta etapa comprende la ejecución de dos grandes actividades:
i. Estimar la vulnerabilidad del sistema objeto de la auditoria. ii. Determinar los riesgos críticos para el sistema objeto de la auditoria.
Según el numeral 5.1 de este trabajo, las causas del riesgo, también denominadas amenazas, se refieren a los medios, circunstancias y agentes que generan los riesgos. La identificación de las causas del riesgo es la parte más importante del proceso de la evaluación del riesgo ya que en teoría los controles se deberían establecer para actuar sobre las causas del riesgo con el propósito de reducirlas o eliminarlas. Para llevar a cabo el anterior proceso se
ISC-2003-1-11
94
utilizará el método usado por AUDISIS 36 para la evaluación de riesgos típicos, este modelo fue explicado en el numeral 5.1.3 de este trabajo. Para determinar los riesgos críticos se utilizará el Principio Pareto o Regla 80/2037, explicado en numeral 5.1.5 de este trabajo.
• Método:
Ø Elaborar una matriz de riesgo-causa/control y resaltar las debilidades encontradas. También se puede utilizar el método Delphi para identificar y evaluar los riesgos existentes.
Ø Determinar el riesgo residual.
• Resultados:
Ø Matriz riesgo-control. Ø Riesgos residuales.
8.2.5 Evaluar los sistemas de Control Interno: En esta fase se conoce el grado de validez del sistema de Control Interno que se encuentra actualmente en funcionamiento en la organización. A partir de su evaluación se pueden llegar a definir las pruebas que se consideren pertinentes para el levantamiento de información y/o obtención de evidencia suficiente, completa y veraz. En esta fase se determinan los controles críticos y su exposición frente al riesgo, en particular al riesgo residual. Para aplicar la metodología es necesario entender el concepto de riesgo residual y de control crítico.
• Riesgo Residual: Es aquel riesgo que no tiene un control esperado para minimizar su impacto o frecuencia.
36 Asociación de Auditores de Sistemas de Colombia. Mayo de 2003. 37 El Principio Pareto o Regla 80/20 estudia la relación causa-efecto. Este principio estableció que el 20% de las causas originan el 80% de los efectos.
ISC-2003-1-11
95
• Control Crítico: Es el control que no existe o que hace que los riesgos se
maximicen. Además para la implementación de esta etapa se considerarán las siguientes clases de control: 8.2.5.1 Control Preventivo: Resultan como medida preventiva para reducir o eliminar el efecto que puede tener el riesgo sobre el sistema o sobre la empresa. Ofrecen la primera medida de defensa o barrera contra los eventos indeseables. Con su aplicación se busca anticiparse a la ocurrencia de los riesgos. Por lo general este tipo de controles son transparentes para el usuario, ya que el no tiene conciencia de su existencia. Son de bajo costo y reducen la frecuencia de las amenazas. 8.5.2.2 Control Detectivo: Son alarmas que se disparan ante la ocurrencia de alguna amenaza. Ofrecen la segunda medida de defensa contra los agentes causales que pasaron la barrera de los controles preventivos. Los controles detectivos son insuficientes por sí solos, ya que requieren de una medida correctiva. 8.5.2.3 Control Correctivo: Una vez la causa del riesgo ha sido detectada mediante los controles detectivos, se ejecutan los controles correctivos sobre el agente causal. De esta manera se busca corregir y prevenir la presencia de los riesgos, mitigando el impacto y/o la probabilidad de ocurrencia de los mismos. Por lo general los controles correctivos requieren de políticas, procedimientos y programas para su ejecución. Son costosos, proveen ayuda para investigaciones y toman acciones para resolver los problemas. 8.5.2.4 Control Manual: Son implementados por seres humanos. Verifican la exactitud de los resultados y el procesamiento completo de los datos. Trabajan en coordinación con los controles automáticos. 8.5.2.5 Control Automático: Son procedimientos programados y ejecutados por máquinas, generalmente computadores. Diseñados para prevenir, detectar y corregir errores o amenazas que afecten adversamente los sistemas de la empresa o la empresa misma. Ayudan a asegurar la consistencia y exactitud de los datos procesados automáticamente.
ISC-2003-1-11
96
8.5.2.6 Control Voluntario: Soportan la administración de las actividades del negocio. Su aplicación es voluntaria y espontánea. 8.5.2.7 Control Obligatorio: Por lo general son exigidos por leyes o normas externas que regulan las actividades de las empresas. También son exigidos por las normas o leyes internas de la empresa. 8.5.2.8 Control Aceptable: Control que al ejecutarse mitiga de manera importante el impacto y/o la probabilidad de ocurrencia. Evalúan el nivel de efectividad de los control. Se aplican debidamente sin importar si son controles: manuales, automáticos, voluntarios, obligatorios, preventivos, detectivos o correctivos. Ahora sí se define el método a seguir en esta parte de la metodología:
• Método:
Ø Determinar los controles críticos. Ø Evaluar el Sistema de Control Interno, permitiendo conocer el grado
de validez de los controles existentes. • Resultados : Ø Controles críticos.
Para desarrollar más a fondo esta fase de la metodología a continuación se expone los campos principales a auditar en la red Interna. 8.2.5.1 Auditar la Gerencia de Comunicaciones: Cada vez más, las comunicaciones están tomando un papel determinante en el tratamiento de datos, aunque no siempre esta importancia queda adecuadamente reflejada dentro de la estructura organizacional de procesos de datos, específicamente en organizaciones de tipo "tradicional", donde la adaptación a los cambios no se produce inmediatamente. Muchas veces, el informático a cargo de las comunicaciones se considera solamente un técnico o bien no siempre sus habilidades y calificaciones en temas de comunicación no están a la altura.
ISC-2003-1-11
97
Por tanto, el primer punto de una auditoría es determinar que la función en gestión de redes y comunicaciones esté claramente definida, debiendo ser responsable, en general de las siguientes áreas:
• Gestión de la red, inventario de equipamiento y normativa de conectividad
• Monitorización de las comunicaciones, registro y resolución de problemas
• Revisión de costos y su asignación de proveedores y servicios de transporte, balanceo de tráfico entre rutas y selección de equipamiento
• Participación activa en la estrategia de proceso de datos, fijación de estándares a ser usados en el desarrollo de aplicaciones y evaluación de necesidades en comunicaciones.
Como objetivos de control, se debe marcar la existencia de:
• Una gerencia de comunicaciones con autoridad para establecer procedimientos y normativa
• Procedimientos y registros de inventarios y cambios • Funciones de vigilancia del uso de la red de comunicaciones, ajustes de
rendimiento, registro de incidencias y resolución de problemas • Procedimientos para el seguimiento del costo de las comunicaciones y
su reparto a las personas o unidades apropiadas • Procedimientos para vigilar el uso de la red de comunicaciones, realizar
ajustes para mejorar el rendimiento y registrar y resolver cualquier problema
• Participación activa de la gerencia de comunicaciones en el diseño de las nuevas aplicaciones on line para asegurar que se sigue la n ormativa de comunicaciones.
8.2.5.1.1 Lista de control
Comprobar que:
a) La gerencia de comunicaciones despache con el puesto directivo que en el organigrama tenga autoridad suficiente para dirigir y controlar la función
ISC-2003-1-11
98
b) Existan descripciones del puesto de trabajo, competencias, requerimientos y responsabilidades para el personal involucrado en las comunicaciones
c) Existan normas en comunicaciones al menos en las siguientes áreas: d) Tipos de equipamientos como adaptadores LAN, que pueden ser
instalados en la red e) Procedimientos de autorización para conectar nuevo equipamiento en la
red f) Planes y procedimientos de autorización para la introducción de líneas y
equipos fuera de las horas normales de operación g) Procedimientos para el uso de cualquier conexión digital con el exterior,
como línea de red telefónica conmutada o Internet, h) Procedimientos de autorización para el uso de exploradores físicos
(sniffers ) y lógicos (tracers ). i) Control de qué máquinas tienen instalados exploradores lógicos y de
que éstos sólo pueden ser invocados por usuarios autorizados j) Los contratos con transportistas de información y otros proveedores
tienen definidas responsabilidades y obligaciones. k) Existan planes de comunicaciones a largo plazo, así como sus
estrategias. Así como implementación de nuevas tecnologías, como fibra óptica, ATM, etc.
l) El plan general de recuperación de desastres considera el respaldo y recuperación de los sistemas de comunicaciones.
m) Las listas de inventario cubren todo el equipamiento de comunicaciones de datos, incluyendo módems, controladores, terminales, líneas y equipos relacionados.
n) Se mantienen diagramas de red que documentan las conexiones físicas y lógicas entre las comunicaciones y otros equipos de proceso de datos.
o) Se refleja correctamente, en el registro de inventario y en los diagramas de red, una muestra seleccionada de equipos de comunicaciones, de dentro y de fuera de la sala de computadoras.
p) Los procedimientos de cambio para equipos de comunicaciones, así como para añadir nuevas terminales o cambios en direcciones.
q) Existe un procedimiento formal de prueba que cubre la introducción de cualquier equipo nuevo o cambios en la red de comunicaciones.
r) Están establecidos ratios de rendimiento que cubren áreas como la de tiempos de respuesta en las terminales y tasas de errores.
s) Se vigila la actividad dentro de los sistemas on-line y se realizan los ajustes apropiados para mejorar el rendimiento.
t) Existe un sistema comprensible de contabilidad y cargo en costos de comunicaciones, incluyendo líneas, equipos y terminales.
u) Las consideraciones de planificación de capacidad en comunicaciones son tomadas en cuenta en el diseño e implementación de nuevas aplicaciones.
ISC-2003-1-11
99
8.2.5.2 Auditar la Red Física: En una primera división, se establecen bastantes riesgos para los datos que circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto ha de auditarse hasta qué punto las instalaciones físicas del edificio ofrecen garantías y han sido estudiadas las vulnerabilidad existentes. También debe comprobarse que desde el interior del edificio no se intercepta físicamente el cableado "pinchazo". Ha de tenerse en cuenta que la red física es un punto claro de contacto entre la gerencia de comunicaciones y la gerencia de mantenimiento general de edificios, que es quien suele aportar electricistas y personal profesional para el tendido físico de cables y su mantenimiento. Como objetivos de control, se debe marcar la existencia de:
• Áreas controladas para los equipos de comunicaciones, previniendo así accesos inadecuados.
• Protección y tendido adecuado de cables y líneas de comunicaciones, para evitar accesos físicos.
• Controles de utilización de los equipos de pruebas de comunicaciones, usados para monitorizar la red y su tráfico, que impidan su utilización inadecuada.
• Atención específica a la recuperación de los sistemas de comunicación de datos en el plan de recuperación de desastres en sistemas de información.
• Controles específicos en caso de que se utilicen líneas telefónicas normales con acceso a la red de datos para prevenir accesos no autorizados al sistema o a la red.
8.2.5.2.1 Lista de control
• Comprobar que:
a) El equipo de comunicaciones se mantiene en habitaciones cerradas
con acceso limitado a personas autorizadas. b) La seguridad física de los equipos de comunicaciones, tales como
controladores de comunicaciones, dentro de las salas de computadoras, es adecuada.
c) Las líneas de comunicaciones, en las salas de comunicaciones, armarios y terminaciones de los despachos, estarán etiquetadas con
ISC-2003-1-11
100
un código gestionado por la gerencia de comunicaciones y no por su descripción física o métodos sin coherencia.
d) Existen procedimientos para la protección de cables y bocas de conexión que dificulten el que sean interceptados o conectados por personas no autorizadas.
e) Se revisa periódicamente la red de comunicaciones, buscando interceptaciones activas o pasivas.
f) Existen controles adecuados sobre los equipos de prueba de comunicaciones usados para monitorizar líneas y fijar problemas incluyendo:
§ Procedimiento restringiendo el uso de estos equipos a personal autorizado.
§ Facilidades de traza y registro del tráfico de datos que posean los equipos de monitorización.
§ Procedimientos de aprobación y registro ante las conexiones a líneas de comunicaciones en la detección y corrección de problemas.
g) En el plan general de recuperación de desastres para servicios de información presta adecuada atención a la recuperación y vuelta al servicio de los sistemas de comunicación de datos.
h) Existen planes de contingencia para desastres que sólo afecten a las comunicaciones, como el fallo de una sala completa de comunicaciones.
i) Las alternativas de respaldo de comunicaciones, bien sea con las mismas salas o con salas de respaldo, consideran la seguridad física de estos lugares.
j) Las líneas telefónicas usadas para datos, cuyos números no deben ser públicos, tienen dispositivos/procedimientos de seguridad tales como retro llamada, códigos de conexión o interruptores para impedir accesos no autorizados a l sistema informático.
8.2.5.3 Auditar la Red Lógica: Es necesario monitorear la red, revisar los errores o situaciones anómalas que se producen y tener establecidos los procedimientos para detectar y aislar equipos en situación anómala. En general, si se quiere que la información que viaja por la red no pueda ser espiada, la única solución totalmente efectiva es la encriptación. Como objetivos de control, se debe marcar la existencia de:
ISC-2003-1-11
101
• Contraseñas y otros procedimientos para limitar y detectar cualquier intento
de acceso no autorizado a la red de comunicaciones • Facilidades de control de errores para detectar errores de transmisión y
establecer las retransmisiones apropiadas. • Controles para asegurar que las transmisiones van solamente a usuarios
autorizados y que los mensajes no tienen por qué seguir siempre la misma ruta.
• Registro de la actividad de la red, para ayudar a reconstruir incidencias y detectar accesos no autorizados.
• Técnicas de cifrado de datos donde haya riesgos de accesos de datos impropios a transmisiones sensibles.
• Controles adecuados que cubran la importación o exportación de datos a través de puertas, en cualquier punto de la red, a otros sistemas informáticos.
8.2.5.3.1 Lista de control
• Comprobar que:
a) El software de comunicaciones para permitir el acceso, exige código de usuario y contraseña
b) Revisar el procedimiento de conexión de usuario y comprobar que:
§ Los usuarios no pueden acceder a ningún sistema, ni siquiera de ayuda, antes de haberse identificado correctamente
§ Se inhabilita al usuario que sea incapaz de dar la contraseña después de un número determinado de intentos infructuosos.
§ Se obliga a cambiar la contraseña regularmente. § Las contraseñas no son mostradas en pantalla cuando se
teclean. § Durante el procedimiento de identificación, los usuarios son
informados de cuándo fue su última conexión para ayudar a identificar potenciales suplantaciones o accesos no autorizados.
§ Cualquier procedimiento del fabricante, mediante hardware o software, que permita el libre acceso y que haya sido utilizado en la instalación original, ha de haber sido inhabilitado o cambiado.
c) Se toman estadísticas que incluyan tasas de errores y de retransmisión.
ISC-2003-1-11
102
d) Los protocolos utilizados, revisados con el personal adecuado de comunicaciones, disponen de procedimientos de control de errores con la seguridad suficiente.
8.2.6 Diseñar y ejecutar las pruebas: Se verifica que los controles críticos funcionan correcta y uniformemente, es decir que si estos funcionan, siempre lo hacen.
• Método:
Ø Definir objetivos del control a probar de cada prueba. Ø Escoger método para las pruebas. Ø Realizar las pruebas. Ø Recoger evidencia que sirvan de instrumento para el análisis de los
sistemas de control.
• Pruebas:
Ø Entrevistas. Ø Casos de prueba: De los controles o las aplicaciones se espera un
comportamiento y este ejecuta para saber si se comporta como debe ser.
Ø Selección de contraejemplos: Se buscan explícitamente casos anormales.
Ø Punteo contra existencias: Se obtiene lista de lo que existe y punteo el objeto con lo existe, para verificar su congruencia.
• Tipos de Pruebas:
a) Cumplimiento: Encaminadas a evaluar el funcionamiento y la aplicación uniforme de los controles. Evalúan los procedimientos operativos y de control definidos. Determinan si existe un control que funciona siempre adecuadamente. También se aplican para evaluar si los procedimientos empleados satisfacen las políticas del gobierno, de la industria y de la empresa.
b) Sustantivas: Encaminadas a evaluar aspectos tales como legalidad, exactitud, completitud, integridad, etc. Normalmente están
ISC-2003-1-11
103
relacionadas con un tema específico de los estados financieros. Generalmente se hacen cuando el control evaluado no pasó las pruebas de cumplimiento
c) Mixtas: Combinación de pruebas de cumplimiento y pruebas sustantivas.
8.2.6.1 Obtener la evidencia: La obtención de evidencia se hace mediante la aplicación del modelo de pruebas de auditoría diseñado especialmente para el efecto. El instrumento que se utiliza para la obtención de evidenc ia son los papeles de trabajo, diseñados con base al alcance de los objetivos y los tipos de prueba seleccionados, después de conocer los resultados de la evaluación del sistema de Control Interno. 8.2.6.2 Diseñar los papeles de trabajo: La obtención de evidencias requiere el diseño de formatos apropiados para recoger la información que implican las pruebas a efectuar. Los formatos dependen del tipo de información a capturar y del grado de detalle de la misma. En términos generales el auditor tiene plena libertad de diseñar los papeles de acuerdo con su propio criterio y necesidades. Sin embargo, en este trabajo se exponen formatos que pueden ser útiles en el momento de levantar evidencia. Estos formatos no se ciñen a alguna metodología o guía de auditoría en particular, son un compendio de los aspectos más importantes que se pueden llegar a tener en cuenta. (Anexo 1, 2, 3, 4 y 5) y Formato de la Figura 5 de este trabajo.
8.2.7 Evaluar los resultados: Los papeles de trabajo deben diseñarse con un orden determinado que permita recoger y analizar las evidencias, que a criterio del auditor se consideren relevantes para respaldar el informe de auditoria.
• Método:
Ø Analizar los resultados de las pruebas para determinar la efectividad de los controles.
Ø Comprobar el cubrimiento de los riesgos. Ø Adjuntar la evidencia de los resultados de las pruebas. Ø Evaluar oportunidades de mejoramiento (cambios e innovaciones)
para cubrir riesgo residual y brindar mayor efectividad y economía. Ø Analizar las evidencias, cons iderando criterios importantes que
puedan respaldar el informe de la Auditoría.
ISC-2003-1-11
104
Ø Estimar recursos necesarios. Ø Estimar relación costo-beneficio.
8.2.8 Concluir y recomendar: Una vez se han detectado las áreas débiles y los vacíos concretos tras el anális is del Control Interno, el auditor prepara una carta de recomendaciones. Es importante tener en cuenta que el papel del auditor debe ser integral y por lo tanto no debe limitarse solo a encontrar falencias sino también cualidades. Así mismo, no solo limitarse a exponer los aspectos negativos, sino también brindar un apoyo en las actividades que se deben hacer para mejorar o corregir esos aspectos negativos.
• Método:
Ø Realizar recomendaciones dirigidas a la alta Dirección, en donde se establezcan claramente las fallas o áreas débiles que deben ser reforzadas por medio de nuevos controles o mejorando los existentes.
Ø Plantear alternativas. 8.2.9 Informe de auditoría : El informe del auditor debe designar los estados sobre los cuales esta emitiendo su opinión y consta de:
a) Párrafo de alcance; en donde expone el alcance de la auditoria y los estados examinado, es una declaración, de qué se examinó y cómo lo hizo.
b) Párrafo de opinión; en el que expresa de manera independiente su opinión sobre los estados examinados; la adecuación de ellos, los principios contables generalmente aceptados y la coherencia en su aplicación. La opinión debe estar acompañada de recomendaciones, adecuadamente sustentadas que faciliten a la Dirección la toma de decisiones en materia de implantar los controles existentes, mejorarlos o crear nuevos controles que se adapten a las necesidades y que optimicen la efectividad y la eficacia de las operaciones.
c) Fecha del informe, que debe ser la misma en la que el auditor completo todos los procedimientos significativos de la auditoria.
Su opinión debe estar fuertemente sustentada con evidencias y puede emitir su concepto limpia, con salvedades o adversamente (denegación). Para cualquiera de los casos debe expresar las razones para actuar así.
ISC-2003-1-11
105
El informe es el producto del trabajo del auditor, como ya se mencionó antes el informe debe ser ejecutado con base en las normas de auditoría normalmente aceptadas. Así mismo debe contener la opinión de validez técnica del sistema de Control Interno y el resultado de las operaciones. El informe se presenta a la gerencia de la empresa y por lo tanto debe contener solamente los aspectos más importantes de forma clara y concisa, de manera que la gerencia pueda analizar fácilmente el informe y los controles sugeridos por la auditoría en la carta de recomendaciones. Así la gerencia podrá definir cuáles de esos controles deben ser implementados o corregidos. A continuación se muestra un ejemplo de la manera como podría desarrollarse un informe de Auditoría de Sistemas: 8.2.9.1 Contenido de un informe de Auditoría de Sistemas38:
i. Índice ii. Objetivos del trabajo iii. Alcance del trabajo iv. Resumen ejecutivo del trabajo v. Detalle de las conclusiones y recomendaciones vi. Plan de acción para la implantación de recomendaciones.
Objetivos del trabajo: Se relaciona en forma esquemática los puntos de evaluación que son materia del trabajo. Alcance del trabajo: se detallara el cubrimiento que se desarrollara para el cumplimiento de los objetivos propuestos. En caso de que los objetivos y el alcance sean muy cortos en su redacción, estos deberán ir en un solo capitulo titulado: Objetivos y alcance del trabajo. Resumen ejecutivo del trabajo: Se efectuará un resumen de los hallazgos y evidencias que requieran acción inmediata por la Administración. Así mismo,
38 KPMG, Peat Marwick Consulting, Normas de organización y administración, Junio 1991, p. 1.
ISC-2003-1-11
106
los puntos relevantes que en concepto el auditor considere tratarse de prioridad en la reunión de discusión del informe con la Gerencia. El resumen debe presentarse por áreas de acuerdo con la planificación del índice para detalles de las conclusiones y recomendaciones. En este punto es importante enfatizar que el lenguaje utilizado debe ser comprensible al nivel de las personas que leerán el informe. Así mismo, los datos importantes deben ser fácilmente identificables y analizables por la Administración para que ésta comprenda la intención y los hallazgos del trabajo. De esta manera la Gerencia podrá diseñar un plan de acción a seguir de acuerdo a este informe ejecutivo. Detalle de las conclusiones y recomendacio nes: Se detallará los hallazgos, enunciando en forma diáfana el problema, el o los riesgos que se están asumiendo ante la debilidad encontrada y a continuación se dará la recomendación para solucionar la deficiencia detectada. Para los casos que, se hallan discutido los puntos con el auditado, se documentara con la respuesta del mismo, inmediatamente después de la recomendación. Por ejemplo:
• Deficiencia en el acceso al centro de computo:
Ø El acceso al centro de computo es deficiencia ..... etc.
Ø El riesgo asumido es la facilidad que tiene cualquier persona sobre ..... etc.
Ø Nuestra recomendación es la de colocar ..... etc.
Ø Esta deficiencia fue discutida con el Gerente de Sistemas y estuvo de acuerdo en .... etc.
Es de resaltar, que en este punto hay que determinar los factores que son más importantes para la gerencia, tales como: imagen de la empresa, dinero invertido, competencia, sanciones legales, estabilidad de los empleados y permanencia en el negocio entre otros. De esta manera si se hallan riesgos que afecten los factores anteriormente nombrados la gerencia podría estar más al tanto del plan de acción para mitigar el impacto de los riesgos.
ISC-2003-1-11
107
Plan de acción para la implementación de recomendaciones: Se deberá establecer el plan de acción por área y qué se debe realizar por parte del departamento o usuario responsable, para implantar la recomendación. El contenido columnar de este plan se podría ser el siguiente. (Anexo 5). 8.2.10 Realizar un seguimiento a las recomendaciones: Se verifica el seguimiento de los planes o controles alternos sugeridos en las recomendaciones y se evalúa cómo la organización responde a estos.
ISC-2003-1-11
108
9. APLICACIÓN DE LA METODOLOGÍA PROPUESTA A UN CASO REAL Como se mencionó en el punto anterior, la metodología propuesta en este trabajo se compone de una serie de pasos importantes a seguir que son:
i. Conocer globalmente la entidad ii. Definir el objetivo y el alcance de la auditoría. iii. Conocer el área auditable. iv. Identificar vulnerabilidades y/o riesgos v. Evaluar los sistemas de control interno. vi. Diseñar y ejecutar las pruebas. vii. Evaluar los resultados. viii. Concluir y recomendar. ix. Presentar el informe de Auditoría. x. Realizar un seguimiento a las recomendaciones .
A continuación se desarrollará la auditoría en la entidad auditada, como aplicación a un caso real de la metodología anteriormente propuesta. Entidad auditada: Institución de Educación Superior. Área Auditable: Sistema de Correo Electrónico de la Institución. 9.1 CONOCER GLOBALMENTE LA ENTIDAD
La Institución de Educación Superior es una fundación sin ánimo de lucro de carácter privado con sede en Bogotá.
“Cuenta con una población de 9.926 estudiantes: 7.598 de ellos en pregrado, 1.459 en especializaciones, 866 en maestrías, y 3 en doctorado. Está compuesta por 8 facultades, con 27 programas de pregrado, 26 especializaciones, 15 maestrías y 3 doctorados (Ciencias -Biología, Ciencias-Física e Ingeniería).”39
39 Información suministrada por la Institución de Educación Superior, Bogotá, Colombia, Mayo 2003.
ISC-2003-1-11
109
El sistema de correo es manejado por el Centro de Cómputo (CC) de la Institución. A cada uno de los usuarios se les asigna una cuenta de correo electrónico al ingresar a la Institución y la posibilidad de consultar el correo desde cualquier lugar del mundo a través de Internet “Todos los estudiantes y los empleados de la Institución tienen derecho a hacer uso de los servicios que presta el Centro de Cómputo desde el momento de su vinculación hasta el momento de su retiro de la Institución.”40
A continuación se realizará una descripción del Centro de Cómputo.
9.1.1 Descripción del Centro de Cómputo de la institución:
Los servicios prestados por el Centro de Cómputo están encaminados principalmente al soporte y apoyo de las actividades académicas de la Institución. Así mismo, cuenta con servicios de apoyo administrativo, destinados a facilitar todo tipo de procesos dentro de la Institución41 .
El Centro de Cómputo funciona en la Institución desde hace aproximadamente 30 años y está conformado por un equipo interdisciplinario de profesionales prestadores de servicios en el área de las comunicaciones y los sistemas de información. El Centro de Cómputo es el encargado de la administración del Sistema de Correo Electrónico, el cual ha funcionado desde 1994 hasta el momento.
A continuación se presentará la motivación de la auditoría:
9.2 MOTIVACIÓN DE LA AUDITORÍA El siguiente trabajo se realiza con el ánimo de validar la metodología anteriormente propuesta. La auditoría se realiza sobre el Sistema de Correo de una Institución de Educación Superior que aceptó colaborar en el desarrollo de 40 Ídem. 41 Centro de Cómputo, Institución de Educación Superior, Bogotá, Colombia, Mayo de 2003.
ISC-2003-1-11
110
este trabajo y cuya información únicamente tiene sentido académico y confidencial. La auditoría busca revisar, inspeccionar y validar el sistema de correo en la Institución de Educación Superior ya que es un servicio ampliamente utilizado y su evaluación busca responder a ciertos interrogantes propuestos por la Dirección Administradora del Sistema. Entre los interrogantes anteriormente mencionados están:
Ø Determinar si el sistema de correo electrónico actual es eficiente. Ø Determinar si los usuarios actuales están satisfechos con su
funcionamiento, velocidad y capacidad en sus cuentas de correo. Ø Determinar si el sistema de correo es seguro y privado. Ø Determinar si la información del sistema es confidencial. Ø Determinar si la plataforma del sistema es estable y confiable. Ø Determinar el uso que los clientes hacen sobre el sistema. Ø Apoyar al CC en la búsqueda de mejoras o recomendaciones que
puedan implementar en el sistema actual de correo. Ø Apoyar al CC en la toma de decisión de la implantación de cuentas
vitalicias para los usuarios del correo, especialmente para alumnos y exalumnos.
Ø Apoyar al CC en la toma de decisión de migración del sistema actual a otro.
Se buscará dar respuesta a los interrogantes anteriores, sustentados con evidencia factible y real de manera que el informe final de la auditoría sirva como base para la Dirección Administradora del Sistema de Correo de la Institución de Educación Superior a tomar decisiones importantes sobre la permanencia, modificación o reemplazo del sistema actual. A continuación se definirán los objetivos y el alcance de la auditoría: 9.3 DEFINIR EL OBJETIVO Y ALCANCE DE LA AUDITORIA A continuación se presentarán el objetivo general, los objetivos específicos, el alcance y las áreas de trabajo de la auditoría:
ISC-2003-1-11
111
9.3.1 Objetivo General de la auditoría : Revisar, inspeccionar y validar el Sistema de Correo en la Institución de Educación Superior con el ánimo de apoyar a la Dirección Administradora del mismo para determinar la permanencia, modificación o reemplazo del sistema actual. 9.3.2 Objetivos específicos de la auditoría:
i. Evaluar las políticas existentes, formalizarlas y validarlas o levantarlas y aprobarlas en caso necesario.
ii. Determinar vulnerabilidades y riesgos del sistema e impacto de los mismos.
iii. Evaluar los controles existentes, formalizarlos y validarlos o levantarlos y aprobarlos en caso necesario.
iv. Determinar que los controles estén de acuerdo con las políticas. v. Determinar si el sistema de correo electrónico actual es eficiente. vi. Determinar si el sistema de correo es seguro y privado. vii. Determinar si la información del sistema es confidencial. viii. Inspeccionar si la plataforma del sistema es estable y confiable. ix. Determinar el uso que los clientes hacen sobre el sistema. x. Determinar si los usuarios actuales están satisfechos con su
funcionamiento, velocidad y capacidad en sus cuentas de correo. xi. Apoyar al CC en la búsqueda de mejoras o recomendaciones que
puedan implementar en el sistema actual de correo. xii. Apoyar al CC en la toma de decisión de la implantación de cuentas
vitalicias para los usuarios del correo, especialmente para alumnos y exalumnos.
xiii. Apoyar al CC en la toma de decisión de migración del sistema actual a otro.
9.3.3 Puntos sobre los que se realizará la auditoría: Según los objetivos anteriormente planteados la auditoría de remitirá únicamente a los siguientes puntos: Ø Políticas y controles del sistema. Ø Riesgos y vulnerabilidades del sistema.
ISC-2003-1-11
112
Ø Eficiencia del sistema de correo actual. Ø Eficacia del sistema de correo actual. Ø Capacidad del sistema de correo actual. Ø Velocidad del sistema de correo actual. Ø Tamaño del sistema de correo actual. Ø Usuarios del sistema de correo actual. Ø Seguridad del sistema de correo actual. Ø Uso del sistema de correo actual. Ø Privacidad de la información manejada en el sistema de correo actual. Ø Integridad de la información manejada en el sistema de correo actual. Ø Estabilidad y confiabilidad de la plataforma actual. Ø Ventajas y Desventajas del sistema de correo actual.
9.3.4 Alcance de la auditoría: La auditoría del Sistema de Correo de la Institución de Educación Superior se realizará únicamente sobre los puntos anteriormente nombrados, y deja a un lado puntos como: parte física del sistema de correo y tráfico, ya que éstos ya han sido realizados o están actualmente en proceso de desarrollo por parte de una compañía de outsourcing y una investigación de tesis de un alumno de la Institución respectivamente. Así mismo, algunos procesos del sistema como: manejo de login de los usuarios y servicio de listas de correo. A continuación se realizará una descripción del área auditable: 9.4 CONOCER EL AREA AUDITABLE A Continuación se presentará una descripción del sistema actual del correo y sus partes físicas más importantes. Así mismo, se especificarán las políticas existentes. 9.4.1 Descripción del sistema actual de correo: El sistema de correo es manejado por el CC de la Institución, como se nombró anteriormente. El servicio de correo electrónico es uno de los servicios más importantes. A través de él toda la comunidad de la institución puede estar comunicada.
ISC-2003-1-11
113
El Sistema de Correo de la Institución de Educación Superior, lleva en funcionamiento aproximadamente 10 años y ha prestado su servicio tanto a profesores y estudiantes de la institución, como a personal administrativo de la misma42. El sistema de correo electrónico fue implantado por el Centro de Cómputo de la institución y es este último, quien se encarga de su manejo y administración. El sistema está compuesto físicamente por varias partes importantes que son:
i. Servidor de recepción de correo. ii. Servidores de distribución de correo. iii. Servicio de filtración de virus. iv. Servidor de almacenamiento de correo. v. Servicio de listas de correo. vi. Servidores para consulta de correo.
9.4.1.1 Servidor de recepción de correo: Un servidor de intercambio cumple con una doble finalidad: primero, recibir todo el correo entrante al dominio local y segundo, hacerse cargo del correo saliente del dominio local. La recepción de mensajes funciona de la mano del servicio de resolución de nombres(DNS)43. En el momento en que un servidor de distribución de correo solicite entregar un mensaje al dominio local, el servidor remoto inspecciona el destinatario, toma el dominio del mismo y establece con el servidor de nombres delegado quién es el servidor de intercambio de correo (MX)44. Inmediatamente después intenta establecer una conexión TCP al puerto 25 a través del protocolo de transferencia (SMTP)45, informando: destinatario, remitente y dirección IP entre otros. El servidor que recibe el mensaje (Servidor de Recepción de Correo)
42 Administrador del Sistema de Correo Electrónico de la Institución de Educación Superior, Bogotá, Colombia, Mayo 2003. 43 Al momento de la realización de este trabajo, la entidad auditada utilizaba el servidor de nombres libre Bind 9.2.1, Bogotá, Colombia, Mayo 2003. 44 Mail Exchanger, por sus siglas en inglés. En el momento de la realización del trabajo la entidad auditada contaba con dos servidores registrados como MX, ubicados en el campus y en el sitio del proveedor actual de canal. 45 Simple Mail Transfer Protocol, por sus siglas en Inglés. En el momento de la realización de este trabajo la entidad auditada utilizaba el protocolo de transferencia EHLO, Mayo 2003.
ISC-2003-1-11
114
decide de acuerdo a una serie de reglas establecidas si este puede hacerse cargo del correo o no. Según el Administrador del sistema de correo electrónico de la entidad auditada, en caso de que no se establezca una conexión satisfactoria entre el servidor de distribución de correo remoto y el servidor de intercambio de correo (MX); el servidor remoto colocará en una cola el correo (por un tiempo de cuatro horas); después de ese tiempo, se realiza un nuevo intento de conexión. Si de nuevo la comunicación falla el servicio de correo envía un correo de advertencia al remitente y continua intentando por un periodo de cinco días. En caso de no poder enviar el correo, el sistema de correo después de un periodo de varios días descarta el mensaje intentando avisar al remitente que fue imposible la entrega del paquete. El servidor de intercambio funciona a través de dos sistemas. Uno de ellos, y quien responde directamente a los clientes que llegan de Internet, es el servidor de filtrado de virus Norton Antivirus for Gateways. Este servidor se describirá en el servicio de filtrado de virus. Aunque es factible que tanto el servidor de intercambio de correo (distribución y recepción) como el servidor de almacenamiento de correo se coloquen en una misma máquina, según el Administrador del sistema de correo electrónico de la entidad auditada, hace algunos años se decidió que esta posibilidad no se tomara en cuenta, debido a que si en algún momento el servidor de almacenamiento de correos presentara alguna falla, los correos podrían seguir siendo recibidos. Actualmente si esto sucede, al momento de restaurar el servicio de almacenamiento, el servidor de intercambio despacha los correos recibidos durante el periodo de tiempo en el que alguno de los servidores falló. 9.4.1.2 Servidores de distribución de correo: El servicio de distribución de correo es idéntico al servicio de recepción con la diferencia de que los correos que son recibidos para la distribución son aceptados o rechazados de acuerdo a un conjunto de reglas 46. Por ejemplo, estas reglas aseguran: que el remitente sea local, que su dirección pertenezca al dominio local y que dicha dirección sea válida, entre otras. Cuando un servidor está configurado de manera incorrecta y permite entregar correos fuera de su dominio de clientes, los cuales no pertenecen a su dominio,
46 Administrador del Sistema de Correo Electrónico de la Institución de Educación Superior, Bogotá, Colombia, Mayo 2003.
ISC-2003-1-11
115
se conoce como Open Relay. Esta circunstancia es aprovechada por personas conocidas como spammers para distribuir correo comerc ial no solicitado, generando por lo general, una disminución dramática de la salida del canal de conexión hacia Internet. 9.4.1.3 Servicio de filtrado de virus: Este servicio se realiza a través del correo electrónico y se realiza con el fin de evitar la propagación de virus en todo el campus. El servidor antivirus elimina diariamente entre 150 y 200 infecciones contenidas dentro de los correos de los usuarios47. El servicio de antivirus se logra gracias al servidor de filtrado de virus Norton Antivirus for Gateways. Este servidor revisa cada uno de los correos entrantes y se asegura que estos no contengan ningún tipo de infección. En caso de contener virus, el servidor remueve del correo las fuentes de contagio y lo reenvía al puesto 1025 de la misma máquina donde Sendmail determina a quien enviarlo. Hasta el momento los correos enviados a través de los sitios web no se filtran; además, hasta el momento no se han encontrado vulnerabilidades en el cliente de correo web que permitan la diseminación de correos con virus a través de este mecanismo48. 9.4.1.4 Servidor de almacenamiento de correo: El servidor de almacenamiento de correo tiene dos funciones: la primera, recibir el correo enviado desde el servidor de intercambio de correo y la segunda, permitir la consulta de los correos por los usuarios. Para la recepción de correo utiliza Sendmail como agente de transporte de correo y para la distribución local se utiliza procmail. Para la consulta de correo se utilizan dos servidores diferentes: POP349 e Imap50. El servicio de transporte de correo Sendmail almacena los correos en un archivo para cada usuario dentro de la partición /var/spool/mail, es decir que para un usuario determinado el path de entrada al correo será
47 Ídem. 48 Ídem. 49 Post Office Protocol, Versión 3, por sus siglas en Inglés. 50 Interactive Mail Access Protocol, Versión 4, Revisión 1, por sus siglas en Inglés.
ISC-2003-1-11
116
/var/spool/mail/loginUsuario51. La “Bandeja de entrada” es una archivo de texto plano que conserva el formato de la Universidad de Berkeley. Los archivos adjuntos de los correos son convertidos a texto plano en formato MIME. El cliente que hace uso del protocolo POP3, establece una conexión al puerto 110 en caso de haber configurado la conexión sin cifrado o al puerto 995 en caso de utilizar una comunicación cifrada, y en ese momento “baja” todos los mensajes al cliente ubicado en la máquina del usuario. Por otra parte, el protocolo Imap obtiene únicamente los encabezados del mensaje(remitente, destinatario, hora de llegada y asunto) y los envía al usuario. El usuario, cliente de correo compatible con Imap, obtiene el contenido de los mensajes a través de comandos enviados al servidor. Imap permite la creación de carpetas personales que guardan los contenidos dentro del directorio personal de cada usuario del servidor. En el momento de la realización de este trabajo, no había ninguna restricción acerca del número de correos que podían ser enviados o recibidos por un cliente al día. El tamaño de los correos estaba sujeto a restricciones de tamaño establecidas en el servidor de intercambio de correo. El tamaño máximo de todas las carpetas de cada usuario era de 7 Mb, excepto el tamaño de la “Bandeja de entrada” de correo electrónico. 9.4.1.5 Servicio de listas de correo: El servidor de listas de correo funciona como un elemento multiplicador a través del cual entra un correo y se generan paquetes de varios correos. Este servicio no es tema de estudio de este trabajo. 9.4.1.6 Servidores para consulta de correo: El cliente de correo Web utilizado por la entidad auditada, es la aplicación de libre distribución IMP cuya base está sustentada en Horde. Los proyectos de código abierto anteriormente nombrados fueron desarrollados en lenguaje PHP. Las páginas interpretadas por el servidor obtienen la información del correo a través del protocolo Imap accediendo al servidor de almacenamiento por el puerto 143. El sistema desempeña funciones básicas de mensajería, cambio de contraseñas de las cuentas, libreta de direcciones e integración con el directorio de la entidad auditada.
51 Administrador del Sistema de Correo Electrónico de la Institución de Educación Superior, Bogotá, Colombia, Mayo 2003.
ISC-2003-1-11
117
Además del sistema de correo, el sistema se apoya en Idap, para la integración con el directorio de la entidad auditada y MySQL para la personalización de opciones y la agenda de direcciones personales. Actualmente existe una restricción de correos enviados de hasta 7Mbytes por cliente. A continuación se especificarán los usuarios del sistema de correo: 9.4.2 Usuarios del sistema: Según el Administrador del Centro de Cómputo de la Institución de Educación Superior los usuarios del sistema son:
i. Estudiantes matriculados en la institución. ii. Profesores de Planta y de Cátedra de la Institución. iii. Personal Administrativo de la Institución.
Como se nombró anteriormente, a cada uno de los usuarios se les asigna una cuenta de correo electrónico al ingresar a la Institución y la posibilidad de consultar el correo desde cualquier lugar del mundo a través de Internet “Todos los estudiantes y los empleados de la Institución tienen derecho a hacer uso de los servicios que presta el Centro de Cómputo desde el momento de su vinculación hasta el momento de su retiro de la Institución.”52
9.4.2.1 Penetración del servicio: Se define como penetración del servicio el número de personas que efectivamente utilizan el servicio de correo de la Institución. Según al Administrador del sistema de correo de la entidad auditada, en el mes de marzo de 2003, se detectó que más de 12000 personas utilizaron este servicio.
52 Ídem.
ISC-2003-1-11
118
Existen políticas administrativas y normas de uso que garantizan el bienestar de todos los usuarios y el buen desempeño de los computadores de la red de la Institución. Estas normas deben ser conocidas y respetadas por todos los usuarios. La violación de alguna de éstas puede acarrear consecuencias tanto para la Institución como para el usuario. Más adelante se especificarán dichas políticas y normas, las cuales se analizarán con más detalle. A continuación se presentarán los beneficios y deficiencias del sistema actual de correo: 9.4.3 Beneficios del sistema actual: Para analizar las ventajas y desventajas del sistema actual, habría que preguntarse primero el por qué se utiliza este sistema y no otro. Según el CC de la entidad auditada hay dos razones: la primera, es porque la versión antigua de Netscape Messenger Express tiene ya algún tiempo y sólo funciona con versiones antiguas de Imap, cuestión que impide mejorar el servicio en otros aspectos como por ejemplo, seguridad. La segunda razón es porque la nueva versión53 consume menos recursos del sistema y posee mejoras que no es posible encontrar en el servicio de Netscape Messenger Express. Según el CC de la entidad auditada, la ventaja que trae la versión del sistema actual frente a las anteriores, es que esta versión del cliente de correo intenta mejorar algunas de las características que estudiantes y empleados han solicitado a través de los últimos años y entre las que están: Ø Registro de correos enviados a carpetas almacenadas en el servidor
(Sendmail) Ø Mejoras en el despliegue de correos con caracteres en español y/o otros
idiomas Ø Traducción completa al español de las ayudas, íconos y cajas de diálogo
del cliente. Ø Visualización previa de archivos adjuntos en línea (Microsoft Word,
Microsoft Excel) Ø Libreta de direcciones personalizable. Ø Integración con el Directorio de la Institución para encontrar direcciones
de correo.
53 Al momento de realizar el trabajo la versión utilizada para el sistema de correo electrónico de la entidad auditada era: Netscape Communicator versión 6.2, Bogotá, Colombia, Mayo de 2003.
ISC-2003-1-11
119
Ø Filtros para la gestión del correo. Ø Posibilidad de personalizar opciones comunes en clientes de correo. Ø Los clientes de correo tradicionales (Outlook Express, Microsoft Outlook,
Netscape Messenger) solo permiten el envío de correos si y solamente si la estación está dentro del campus 54 de la Institución.
9.4.4 Deficiencias del sistema actual: Para entender las desventajas por la utilización del correo por Web, primero es necesario entender qué es Pop y que es Imap. Los clientes que utilizan protocolo Pop, van hasta el servidor y literalmente “bajan” los mensajes, depositando el contenido de los mismos en el computador desde donde se está consultando el correo. En contraste Imap toma “fotos” del buzón de correo del usuario y ejecuta comandos sobre este, permaneciendo, hasta que no se le indique lo contrario, en el servidor. La desventaja es que si el usuario utiliza un cliente POP, los mensajes ya han "bajado" y por lo tanto no los podrá ver desde ningún cliente Imap. Igualmente, si utiliza el cliente Web y mueve los mensajes a las carpetas del servidor, el cliente POP no podrá "bajar" los mensajes. Además de lo anterior, la versión 6.2 de Netscape Communicator, no presenta el botón para adjuntar archivos, lo cual es un problema que se presenta únicamente en esta versión de navegador. Sin embargo para las demás versiones es posible enviar correos con archivos adjuntos.
Otra desventaja es que el sistema de correo se demora algunas veces en cargar. Según el CC de la entidad auditada, la razón para que la carga sea lenta obedece a varios factores (versión del navegador, velocidad de la conexión, carga del servidor, velocidad del PC, etc.) pero por lo general se debe a la cantidad de mensajes guardados en la bandeja de entrada ( inbox ) de cada usuario. Ya que a menor número de mensajes, mayor rapidez en la carga. “Igualmente la mayor carga se produce en los días laborales entre las 9:00 y las 12:00 del día” 55. Además para garantizar la seguridad del sistema la conexión puede llegar a ser un poco más lenta.
54 La definición de campus incluye el acceso remoto a través de un módem. 55 Centro de Cómputo, Institución de Educación Superior, Bogotá, Colombia, Mayo de 2003.
ISC-2003-1-11
120
Como ya se mencionó anteriormente, también existe la posibilidad de que suceda un Spam. Spam es una palabra inglesa que define correos que no tienen mayor relevancia y que no han sido solicitados por el usuario de una cuenta y por lo general tienen un fin comercial. Así la bandeja de entrada de un usuario puede llenarse de estos correos indeseados bloqueando la cuenta de su correo, debido al exceso de mensajes en la misma. Actualmente para evitar este problema, el sistema actual cuenta con la opción “reportar como spam” que envía un correo automático a una cuenta interna para bloquear esa dirección específica, asegurándose que de al menos de esa cuenta no se reciban más correos. A continuación se presentarán y analizarán las políticas existentes del sistema actual de correo de la entidad auditada. 9.4.5 Políticas existentes del sistema actual de correo: Las políticas del sistema se dividen en dos: políticas para la administración del sistema de correo y políticas para el uso del sistema de correo. 9.4.5.1 Políticas para la administración del sistema de correo: Según el administrador del sistema de correo de la entidad auditada, las políticas para la administración del servicio son:
i. Generación de cuentas. ii. Eliminación de cuentas. iii. Cambio de contraseñas. iv. Tamaño de cuentas. v. Tamaño de correos.
Estas políticas han sido definidas y formalizadas por el área de Organización y Métodos de la entidad auditada. Actualmente estas políticas están atravesando por un proceso de reevaluación por parte del área anteriormente nombrada, con la ayuda del Centro de Cómputo de la Institución. El motivo de la revisión es la búsqueda de mejoramiento de las políticas administrativas de manera que enmarquen los objetivos de la entidad lo más cercano posible.
ISC-2003-1-11
121
9.4.5.1.1 Generación de cuentas: Esto se hace para estudiantes, para empleados (profesores y personal administrativo) y para terceros.
La generación de cuentas para estudiantes está a cargo del área de Admisiones y Registro de la Institución, proceso que se hace automáticamente con todos los aspirantes admitidos y matriculados en la entidad (Anexo 6).
La creación de cuentas de correo electrónico para estudiantes se realizará una vez ha sido aceptado en la Institución y antes de la inscripción de materias. A los estudiantes de primer semestre de pregrado se les creará una vez hayan cancelado la confirmación de reserva de cupos. Así mismo, se crearán cuentas de correo electrónico a los estudiantes, siempre y cuando, la duración de sus estudios en la Institución sea superior a tres meses en programas de pregrado y postgrado. A los estudiantes con convenio educativo o vinculación mediante contrato laboral, se les dejará únicamente el correo electrónico que les fue otorgado como estudiantes 56.
Por medio de las cuentas los estudiantes pueden elaborar actividades académicas tales como la inscripción de materias, acceso al directorio de la entidad y elaboración de horario de clase entre otros. La generación de cuentas para empleados la realiza el área de Recursos Humanos de la Institución (Anexo 7). Las cuentas tanto para profesores de planta como p ara personal administrativo se generarán en el momento de firmar el contrato de vinculación con la entidad. “La cuenta de correo electrónico es una herramienta de trabajo y por tal razón es un derecho y un deber irrenunciable de todo profesor y/o empleado” 57. Por medio de las cuentas los empleados pueden desempeñar sus funciones y tener acceso al correo y al directorio de la entidad entre otros.
La creación de cuenta de correo para profesores de cátedra que ingresen a la Universidad, se realizará con el registro por parte de la unidad académica en el prehorario reportado a Admisiones y Registro siempre y cuando se requiera para el desarrollo de la actividad por la cual fue contratada. Se crearán cuentas de correo electrónico a personas naturales vinculadas mediante contrato civil de prestación
56 Tomado de las políticas de generación de cuentas de la entidad auditada, Bogotá, Colombia, Mayo de 2003. 57 Ídem.
ISC-2003-1-11
122
de servicios, siempre y cuando, la duración del mismo sea superior a tres meses y sean necesarias para la elaboración de la actividad por la cual fue contratada. La Universidad no asignará cuentas de correo electrónico a personas jurídicas vinculadas mediante contrato civil de prestación de servicios 58 .
Así mismo, la Institución creará cuentas de correo a personas que ocupen cargos que por su actividad y responsabilidad así lo requieran. Dichos cargos son: Ø Miembros del Consejo Directivo. Ø Cargos directivos: Rector, Vicerrectores, Secretario General, Decanos,
Directores de Dirección, Directores de Departamento (Académico y Administrativo), Directores de Centro, Secretario General Facultad y Jefes de Oficina
Ø Profesores de planta, cátedra e investigadores Ø Ingenieros de la Dirección de Tecnologías de Información e ingenieros
soporte de otras unidades.
Cuando se crea la cuenta, a cada usuario se le da un login59 el cual también lo asigna el sistema automáticamente. Para estudiantes el esquema asignación de login lo realiza el área de Admisiones y Registro de la Institución. El proceso se hace buscando en el sistema una palabra de 8 caracteres (incluyendo un guión) con las letras de los nombres y apellidos del estudiante. El sistema busca si hay un login libre que pueda ser asignado y lo asigna. Por ejemplo, si el nombre del estudiante es Pepe Pérez, un login posible para el será: pe-perez. Así mismo, el proceso de generación de login para empleados lo hace el área de Recursos Humanos de la Institución. El proceso es similar al de los estudiantes, con la excepción de que el login no incluye el guión dentro de sus 8 caracteres. Por ejemplo, si el nombre del empleado es Juan López, un login posible para el será: jualopez. Es importante recordar que el login es único dentro del sistema y por lo tanto dentro de la Institución.
La generación de cuentas para terceros se hace mediante un empleado del Centro de Cómputo de la institución (Anexo 8). Un tercero, es una persona que no es estudiante ni empleado de la entidad, pero que debido a algunas razones, necesita utilizar el sistema de correo de la Institución. La Institución considera terceros a “personas naturales o jurídicas no vinculadas con ella
58 Ídem. 59 Palabra de acceso al sistema y con la cual el usuario se identifica ante el mismo. Esta palabra es única dentro del sistema. También es llamada user name.
ISC-2003-1-11
123
mediante contrato de trabajo (personal de planta) o contrato civil de prestación de servicios con persona natural (Profesor de cátedra o investigador)” 60. Cuando se genera la cuenta de un tercero también se le asigna un login, el cual tiene las mismas características que el login para los empleados de la entidad.
La Institución autorizará a terceros el acceso a la red de su propiedad, siempre y cuando el ofrecimiento de dichos recursos haya sido establecido mediante un convenio o contrato, su vigencia sea superior a un (1) mes y dicha cuenta se requiera para el desarrollo de la actividad del convenio o contrato. La solicitud de creación de cuenta de correo electrónico debe gestionarse con copia del contrato o convenio y contener la siguiente información: Unidad solicitante y nombre del solicitante, vigencia, nombre y documento de identidad de la persona natural que será responsable de la cuenta institucional. Cuando la vigencia de la cuenta de correo requiera prolongarse, la Unidad deberá enviar comunicación a la Dirección de Tecnologías de Información, solicitando la prórroga 15 días antes de la fecha de terminación con copia de la prórroga del convenio o contrato 61.
“Las normas de conducta para el uso de los servicios de red de la Institución, serán de obligatoria observancia y cumplimiento. Dichas normas serán comunicadas al usuario con su primer correo electrónico” 62. Estas normas de uso se explicaran más adelante. 9.4.5.1.2 Eliminación de cuentas: La eliminación de cuentas se realiza para estudiantes, para empleados (profesores y personal administrativo) y para terceros. El ente coordinador de todo este proceso es el área de Organización y Métodos de la Institución.
De manera análoga al proceso de creación de cuentas para estudiantes su eliminación lo realiza el área de Admisiones y Registro de la entidad. Es un proceso automático en donde se verifican los estudiantes que no están matriculados en la Institución, ya sea porque aplazaron el semestre, se graduaron o se retiraron de la entidad. 60 Tomado de las políticas de generación de cuentas de la entidad auditada, Bogotá, Colombia, Mayo de 2003. 61 Ídem. 62 Ídem.
ISC-2003-1-11
124
La Institución cancelará dichas cuentas a estudiantes de primer semestre de pregrado si después de dos semanas de haber iniciado clases no se reporta el pago de la matrícula a Admisiones y Registro por parte de Tesorería, dos semanas después del plazo de pago para estudiantes nuevos, transferencia externa, reintegro, reingreso, o postgrado, o en el siguiente periodo académico en que se haya producido la graduación o el retiro de los estudiantes 63.
El proceso de eliminación de cuentas se realiza mediante una lista de verificación, en donde se compara con aquellos estudiantes que no están matriculados, aplazaron semestre o están graduados. Si el sistema encuentra un estudiante con alguna de las condiciones anteriores, se le envía un correo de aviso del bloqueo de la cuenta. El estudiante puede responder a este correo con una solicitud justificada del uso de la misma. En caso de ser aprobado el estudiante se sacará del listado de eliminación de cuentas. Si el estudiante no respondió al correo de aviso de bloqueo, el sistema bloquea la cuenta, borrándola automáticamente del sistema. Si existiera algún estudiante que no se dio cuenta del correo de aviso de bloqueo, la recuperación de la cuenta de logrará de un día para otro, esto en caso de que el estudiante tenga una razón justificada para el uso de la cuenta. Todo el proceso anterior está coordinado por el Centro de Cómputo de la Institución. La eliminación de cuentas de correo para empleados, lo realiza el área de Recursos Humanos. El proceso se realiza 15 días después de la fecha de retiro del empleado. Así mismo, se cancelará dicha cuenta si al mes de su aprobación no se ha legalizado la vinculación del empleado mediante contrato de trabajo. “El profesor y/o empleado que se retira de la Institución deberá entregar en medio magnético los archivos correspondientes a la información recibida sobre actividades del cargo y almacenadas en la cuenta de correo para conseguir el paz y salvo de su dependencia” 64. La eliminación de cuentas de correo para terceros, lo realiza una persona encargada en el Centro de Cómputo de la institución. El proceso se realiza treinta (30) días después de la fecha de terminación del convenio o contrato.
63 Tomado de las políticas de generación de cuentas de la entidad auditada, Bogotá, Colombia, Mayo de 2003. 64 Ídem.
ISC-2003-1-11
125
En ese caso las cuentas no contarán con acceso remoto, serán genéricas y no personales. Dentro de este proceso de eliminación de cuentas existe un proceso interno de bloqueo de cuentas de correo. Bloqueo de cuentas de correo: Los cargos autorizados podrán solicitar al Centro de Cómputo de la Institución, el bloqueo o desbloqueo inmediato de la cuenta de correo a un usuario siempre y cuando exista una justificación. Las atribuciones para solicitar la creación de un bloque o el desbloqueo de una cuenta de correo electrónico están a cargo del: Rector, Vicerrector, Secretario General, Decano, Director de Dirección, Director de Centro, Director de Programa, Director de Departamento y Secretario General de Facultad. 9.4.5.1.3 Cambio de Contraseñas: Antes de hablar del proceso de cambio de contraseñas se hablara del proceso de generación de contraseñas: Generación de Contraseñas: En el momento de asignación de login (user name) de la cuenta de correo, al usuario se le asigna una contraseña. Esta contraseña corresponde al número de identificación del usuario (Cédula, Pasaporte y en algunos casos Tarjeta de Identidad). Esta clave le da al usuario junto con el login (user name) la llave de acceso inmediato al sistema y por lo tanto el cambio y manejo de esa llave corresponde a cada uno de los usuarios. Es importante resaltar que el login (user name) no se puede cambiar, mientras que la contraseña sí. La clave de cada usuario debe ser de 7 u 8 caracteres entre letras y números. El sistema diferencia entre mayúsculas y minúsculas. Es importante resaltar que el proceso de generación de contraseñas por primera vez tanto para estudiantes de primer semestre, como para empleados, se realiza por medio de una asignación aleatoria de contraseñas. Además “por facilidad se debe hacer el cambio de clave a un valor, recomendando siempre que esto debe realizarse lo más pronto posible” 65. Cambio de contraseñas: La responsabilidad de la administración y el cambio de contraseña está a cargo de cada uno de los usuarios. El cambio de contraseña esta restringido por el sistema por un periodo de cuarenta (40) días.
65 Administrador del Sistema de Correo Electrónico de la Institución de Educación Superior, Bogotá, Colombia, Mayo 2003.
ISC-2003-1-11
126
Sin embargo, se recomienda a los usuarios cambiar regularmente su clave y que ésta no sea la misma de periodos anteriores. Si el sistema confirma que una clave no se ha cambiado durante más de cuarenta (40) días, el sistema envía un mensaje de aviso al usuario donde se le informa del bloqueo de la cuenta de correo. Estos mensajes son enviados por el sistema una semana antes del bloqueo, 3 días antes del bloqueo y el día anterior al bloqueo. Si finalmente la clave de un usuario expiró y la cuenta fue bloqueada, el usuario debe acercarse a una de las salas de informática de la Institución prevista para tal proceso, en donde presentando el carné del usuario el monitor de la sala reactivará la cuenta, en cuyo caso el sistema nuevamente le asignará una clave correspondiente al número de identificación del usuario y que le permitirá su uso automático. Es responsabilidad del cliente cambiar inmediatamente esa clave para no tener problemas de seguridad. En el momento de la realización de este trabajo, no existía un historial de las claves de los usuarios, simplemente el sistema compara con la clave inmediatamente anterior para que esta no sea usada. 9.4.5.1.4 Tamaño de las cuentas de correo: Por disposición del Centro de Cómputo de la entidad auditada, el tamaño máximo de las cuentas de los usuarios del sistema de correo electrónico es de 7Mb. La bandeja personal de cada usuario tiene un tamaño máximo de 7Mb, este tamaño corresponde al tamaño total de las carpetas personales que un usuario puede tener en el sistema de correo de la entidad excluyendo la bandeja de entrada. El sistema de correo verifica el tamaño de las cuentas de los usuarios. Esto se logra a través del sistema Veritas FileSystem que tiene un sistema de administración de cuotas que dice el tamaño de la cuenta de cada uno de los clientes. También se cuenta con un Software interno de SendMail que realiza el mismo proceso de verificación. El sistema avisará al usuario por medio de un correo si el tamaño de su cuenta ha sobrepasado los 7 Mb, en cuyo caso se le sugiere que organice mejor sus carpetas o que borre el contenido de alguna de ellas, ya que los correos pueden, a lo sumo, permanecer en la bandeja de entrada (inbox) pero éstos no se pueden trasladar a las carpetas personales. Si se pierde el correo, el sistema cuenta con un registro que indica la ruta por donde pasó el correo (protocolo, máquina y fecha entre otros), de esta manera hablando con una persona encargada del Centro de Cómputo de la entidad, se podrían recuperar algunos correos. Para esto se debe contar con permiso del usuario que indique la solicitud de recuperación de sus correos. Según el Administrador del sistema de correo electrónico de la entidad auditada, diariamente llegan no menos de 420 Mb de correo, por lo tanto es imposible guardar un backup mayor a 6 semanas de los correos de los
ISC-2003-1-11
127
usuarios del sistema. Estos backups se guardan en cintas y su manejo está a cargo de un grupo de manipulación de máquinas del Centro de Cómputo. La práctica de backups de correo no es tema de estudio de este trabajo. 9.4.5.1.5 Tamaño de los correos: Por disposición del Centro de Cómputo de la entidad auditada, el tamaño máximo de correos enviados desde una cuenta de un usuario es de 13 Mb. Existe un número ilimitado para los mensajes recibidos, es decir, el buzón de entrada (inbox) puede tener un número ilimitado de mensajes. Lo anterior, debido a que el servicio de correo es estable, lo que lo hace tener una ventaja competitiva frente a otros servicios de correo como Hotmail, en donde el tamaño del buzón de entrada se llena fácilmente. A continuación se presentarán las políticas de uso del sistema de correo. 9.4.5.2 Políticas de uso del sistema de correo: Las políticas de uso corresponden a las normas de uso del sistema de correo electrónico. Estas normas han sido definidas y formalizadas por el área de Jurídica y el Centro de Cómputo de la entidad auditada. Las normas se dividen en: Ø Campo de aplicación. Ø Normas generales. Ø Sanciones.
9.4.5.2.1 Campo de aplicación: Las normas genera les de conducta son aplicables y extensivas a los servicios de red proporcionados tanto al interior de la entidad, como a los que se prestan a través del acceso remoto que brinda la Institución a sus estudiantes, profesores y empleados. 9.4.5.2.2 Normas Generales: La entidad auditada, exige el respeto a las normas vigentes en la utilización de los recursos informáticos, telemáticos y de red proporcionados por la Institución. “Estos recursos deben ser utilizados de manera racional y consciente, teniendo en cuenta que se trata de un servicio para el beneficio general y que cualquier falla o daño generado a los mismos repercute en perjuicio de todos los usuarios” 66.
66 Tomado de las normas de conducta para el uso de los servicios de red de la entidad auditada, Bogotá, Colombia, Mayo de 2003.
ISC-2003-1-11
128
Las características del protocolo utilizado para la transmisión de los datos67, hacen que toda la información de la red sea de acceso público. La Institución sugiere que toda la información que sea de carácter importante y privado sea protegida por el usuario mediante su codificación o encripción. Así mismo, las acciones de “los usuarios podrán ser monitoreadas por el Administrador del servicio siempre y cuando ello sea necesario para asegurar el buen funcionamiento de la red” 68. Al hacer uso de los servicios de la red, los usuarios están manifestando el conocimiento y acato de cada una de las normas. (Anexo 9). 9.4.5.2.3 Sanciones:
El incumplimiento de las normas presentadas puede acarrear consecuencias, tales como la cancelación temporal de la cuenta de acceso a cualquier servicio computacional de la Institución; y en algunos casos, la suspensión definitiva de la misma. En otros casos y dependiendo de la naturaleza de la acción se analizará el caso en particular y se adoptaran las medidas pertinentes de acuerdo con lo establecido para sanciones disciplinarias en el Reglamento Interno de Trabajo y los reglamentos de Estudiantes de la Institución tanto de pregrado como de postgrado. En caso de violar normas legales, la sanción será impuesta por los organismos designados para tal fin 69.
Para realizar el análisis de riesgos del objeto auditado, primero se identificaron los procesos más importantes que se desarrollan en el sistema de correo electrónico. 67 En el momento de la realización de este trabajo el protocolo de Internet utilizado para la transmisión de datos es TCP/IP, Bogotá, Colombia, Mayo de 2003. 68 Tomado de las normas de conducta para el uso de los servicios de red de la entidad auditada, Bogotá, Colombia, Mayo de 2003. 69 Ídem.
ISC-2003-1-11
129
9.4.5 Procesos del sistema actual de correo electrónico
Los procesos que se identificaron como parte del sistema actual de correo electrónico son:
I. Administración de servidores:
Ø De recepción de correo. Ø De distribución de correo. Ø De almacenamiento de correo. Ø De consulta de correo.
II. Administración de filtración de virus.
III. Administración de usuarios del sistema:
Ø Generación de cuentas. Ø Eliminación de cuentas. Ø Cambio de contraseñas. Ø Manejo de tamaños de cuentas. Ø Manejo de tamaños de correos.
IV. Uso de cuentas de correo.
Teniendo en cuenta los procesos anteriormente nombrados, se identifican los riesgos asociados a cada proceso, sus causas y su impacto. 9.5 IDENTIFICAR VULNERABILIDADES Y RIESGOS
En este punto se identifican y categorizan los riesgos inherentes a los servicios que se soportan en el sistema actual de correo. El objetivo de esta etapa es determinar cuáles son los riegos críticos asociados con la forma como se desarrollan las tareas soportadas por el sistema. Sobre tales riesgos se enfatizará el desarrollo de este trabajo de auditoría.
ISC-2003-1-11
130
Esta etapa comprende la ejecución de dos grandes actividades:
i. Estimar la vulnerabilidad del sistema objeto de la auditoria. ii. Determinar los riesgos críticos para el sistema objeto de la auditoria.
Según el numeral 5.1 de este trabajo, las causas del riesgo, también denominadas amenazas, se refieren a los medios, circunstancias y agentes que generan los riesgos. La identificación de las causas del riesgo es la parte más importante del proceso de su evaluación ya que, en teoría, los controles se deberían establecer para actuar sobre las causas del riesgo con el propósito de reducirlas o eliminarlas. Para llevar a cabo el anterior proceso se utilizará el método usado por AUDISIS70 para la evaluación de riesgos típicos. Este modelo fue explicado en el numeral 5.1.3 de este trabajo. Para determinar los riesgos críticos se utilizará el Principio Pareto o Regla 80/2071, explicado en numeral 5.1.5 de este trabajo.
Ahora se explicará cómo estimar la vulnerabilidad del sistema. 9.5.1 Estimar la vulnerabilidad del sistema: Para esta primera parte se implementarán las siguientes etapas del “Es tándar Australiano/Neozelandés, AS/NZS, 4360:1999”, descrito en el capítulo 5 de este trabajo. Las etapas son:
i. Identificación de riesgos. ii. Análisis de riesgos. iii. Evaluación de riesgos.
9.5.1.1 Identificación de riesgos: Se identificaron qué riesgos podrían ocurrir en el sistema actual de correo electrónico, qué causas los generarían y que consecuencias tendrían. Los riesgos generaron una amplia lista de eventos los cuales podrían afectar a cada uno de los procesos del objeto auditado. La identificación debe incluir todos los riesgos estén o no controlados por la organización. Para esta etapa se utilizó el formato descrito como Anexo 1 de este trabajo. Los resultados de la identificación de riesgos están descritos en los anexos (1.1 al 1.26) así:
70 Asociación de Auditores de Sistemas de Colombia. Mayo de 2003. 71 El Principio Pareto o Regla 80/20 estudia la relación causa-efecto. Este principio estableció que el 20% de las causas originan el 80% de los efectos.
ISC-2003-1-11
131
Ø El resultado a nivel general del sistema está descrito en los Anexos (1.1 al 1.5).
Ø El resultado para el proceso de administración de servidores de recepción de correo está descrito en el Anexo 1.6.
Ø El resultado para el proceso de administración de servidores de distribución de correo está descrito en el Anexo 1.7.
Ø El resultado para el proceso de administración de servidores de almacenamiento de correo está descrito en el Anexo 1.8.
Ø El resultado para el proceso de administración de servidores de consulta de correo está descrito en el Anexo 1.9.
Ø El resultado para el proceso de administración de filtración de virus está descrito en el Anexo 1.10.
Ø El resultado para el proceso de generación de cuentas de correo está descrito en los Anexos (1.11 al 1.13).
Ø El resultado para el proceso de eliminación de cuentas de correo está descrito en los Anexos (1.14 al 1.17).
Ø El resultado para el proceso de cambio de contraseñas está descrito en los Anexos (1.18 al 1.20).
Ø El resultado para el proceso de manejo de tamaños de cuentas de correo está descrito en el Anexo 1.21.
Ø El resultado para el proceso de manejo de tamaños de correos está descrito en el Anexo 1.22.
Ø El resultado para el proceso de uso de cuentas de correo está descrito en los Anexos (1.23 al 1.26).
Luego de identificar los riesgos, sus causas e impactos se procede a analizar dichos riesgos. 9.5.1.2 Análisis de riesgos72: Se analizaron los riesgos encontrados en términos de impacto (consecuencia) y probabilidad de ocurrencia. La consecuencia y la probabilidad son combinadas para producir un nivel de riesgo estimado. Para el análisis se utilizó el formato descrito en el Anexo 2 de este trabajo. El resultado de este análisis está descrito en los anexos (2.1 al 2.5). Después de esta fase se determinan los riesgos críticos del sistema, esto se realiza en la etapa de evaluación de riesgos.
72 El análisis de riesgos fue realizado con la colaboración de los Administradores del Sistema Actual de Correo Electrónico, Centro de Cómputo, Entidad Auditada. Bogotá, Colombia, Junio de 2003.
ISC-2003-1-11
132
9.5.1.3 Evaluación de riesgos73: En esta etapa se comparan los niveles de riesgo contra un patrón previamente establecido el cual es (Tabla 2): Patrón para establecer niveles de riesgo: prob. imp. ALTO MEDIO BAJO
ALTO CRITICOS MEDIO BAJO MEDIO MEDIO MEDIO BAJO BAJO BAJO BAJO BAJO
Tabla 2. Patrón de niveles de riesgos. Este patrón, permite priorizar los riesgos. Para este caso: si los niveles de riesgo establecidos son bajos, entonces los riesgos podrían caer en una categoría aceptable y podría no necesitarse un tratamiento. Si los niveles de riesgo establecidos son medios, entonces necesitan de un tratamiento, el cual no es urgente. Si los niveles de riesgo son altos o críticos, entonces los riesgos necesitan un tratamiento especializado e inmediato. Para el resto del desarrollo de este estudio se trabajará con los riesgos críticos del sistema; los riesgos medios y bajos se podrán estudiar en etapas poste riores. Es importante recordar que ningún riesgo debe descuidarse, ya que un riego bajo o medio fácilmente se puede convertir en un riesgo alto o critico. El resultado de este análisis se presenta a continuación (Tabla 3): prob. imp. ALTO MEDIO BAJO
ALTO 12 31 50 MEDIO 7 7 2 BAJO 9 4 20
Tabla 3. Resultado de evaluación de riesgos.
73 Ídem.
ISC-2003-1-11
133
La descripción de riegos críticos es (Tabla 4): Calificación: Crítica
Num Riesgo
Descripción Riesgo
Causa Riesgo Impacto Riesgo
1.12 Daño y/o Des trucción de activos
Actos accidentales: Mal funcionamiento de los equipos críticos
Pérdida de equipos y/o información crítica.
2.5 Desventaja competitiva
Actos accidentales: Mala calidad del servicio ofrecido a los clientes: Perspectiva de grado de satisfacción de usuarios.
Pérdida de credibilidad y uso del sistema.
3.3 Fraude/Hurto Actos accidentales o malintencionados: Falsificación de datos de entrada al sistema.
Pérdida de la integridad de la información. Sacar provecho de información privada y confidencial con fines malintencionados.
3.4 Fraude/Hurto Actos accidentales o malintencionados: Alteración de datos de entrada al sistema.
Pérdida de la integridad de la información. Sacar provecho de información privada y confidencial con fines malintencionados.
3.6 Fraude/Hurto Actos accidentales o malintencionados: Suplantación electrónica de empleados con derechos de acceso al sistema.
Pérdida de privacidad, confidencialidad e integridad de los datos.
3.8 Fraude/Hurto Actos accidentales o malintencionados: Suplantación de terminales con derechos de acceso al sistema.
Pérdida de privacidad, confidencialidad e integridad de los datos.
4.11 Pérdida de la continuidad del servicio.
Actos Accidentales o malintencionados: Interrupción en los servicios del sistema.
Pérdida de la continuidad del servicio.
4.12 Pérdida de la continuidad del servicio.
Actos Accidentales o malintencionados: Interrupción en las líneas de comunicación de datos.
Pérdida de la continuidad del servicio.
4.14 Pérdida de la continuidad del servicio.
Actos Accidentales o malintencionados: Inexactitud de la información entregada a los clientes.
Pérdida de la continuidad del servicio. Pérdida de la credibilidad en el servicio.
ISC-2003-1-11
134
61 Realización de actividades ilegales con la cuenta de correo por parte de los estudiantes.
Acciones malintencionadas: Violación de las normas de uso de las cuentas de correo. Vulnerabilidad del sistema.
Sanciones académicas y legales. Fraude/sabotaje. Uso indebido de los servicios del sistema. Abuso de confianza de los usuarios.
63 Realización de actividades ilegales con la cuenta de correo por parte de los empleados.
Acciones malintencionadas: Violación de las normas de uso de las cuentas de correo. Vulnerabilidad del sistema.
Sanciones laborales y legales. Fraude/sabotaje.
Uso indebido de los servicios del sistema. Abuso de confianza de los usuarios.
67 Utilización indebida de los recursos públicos
Acciones malintencionadas: Violación de las normas de uso de las cuentas de correo. Vulnerabilidad del sistema.
Sanciones académicas. laborales y legales. Saturación de líneas de acceso. Abuso del espacio de disco de cada usuario.
Tabla 4. Descripción de riesgos críticos.
Es importante resaltar que el análisis de controles existentes se realizará únicamente sobre los riesgos críticos encontrados. Lo anterior se determinó con base al Principio o Ley Pareto 20/80 que determina que el 20% de las causas originan el 80% de los efectos. Es decir, se consideró que los riesgos críticos del sistema pueden ocasionar los mayores problemas asociados para el sistema. 9.6 EVALUACIÓN DE CONTROLES EXISTENTES Como se nombró anteriormente, el análisis de controles existentes sólo se realizará para los riesgos críticos del sistema. Los demás controles deberán analizarse en etapas posteriores a este estudio.
ISC-2003-1-11
135
9.6.1 Identificación y clasificación de controles Por medio de este análisis se pretende determinar principalmente si existe un control para el riesgo existente y el tipo de control. Para tal fin se utilizó el formato descrito en el Anexo 3 de este trabajo. El resultado de este análisis se presenta en los anexos (3.1 al 3.6). La clasificación utilizada para estos controles se ciñe de acuerdo a la descripción realizada de los controles en el numeral 8.5.2 de este trabajo. Tales tipos de control son: Ø Preventivo Ø Detectivo Ø Correctivo Ø Manual Ø Automático Ø Voluntario Ø Obligatorio Ø Aceptable
Después de identificar y clasificar los controles, se analizan respecto a los riesgos. 9.6.2 Análisis de controles: En esta etapa se evalúa la protección que ofrecen los controles contra las causas (impacto) y probabilidad de los riesgos. De acuerdo a los anexos (3.1 al 3.6) de este trabajo, se presenta el siguiente análisis de controles (Tabla 5): Num
riesgo ID
control Reducción de
impacto SI/NO
Reducción de probabilidad
SI/NO
Nuevo valor de impacto
Nuevo valor de
probabilidad 1.12 1 NO NO 1 1 1.12 2 SI NO 0.5 1 1.12 3 SI NO 0.5 1 3.3 4 SI SI 0.5 0.5 3.3 5 NO SI 1 0.5
ISC-2003-1-11
136
3.4 5 NO SI 1 0.5 3.4 6 NO SI 1 0.5 3.4 7 NO NO 1 1 3.4 8 NO NO 1 1 3.6 5 NO SI 1 0.5 3.8 4 SI SI 0.5 0.5 3.8 5 NO SI 1 0.5 3.8 8 NO NO 1 1
4.11 1 NO NO 1 1 4.11 2 SI NO 0.5 1 4.11 3 SI NO 0.5 1 4.12 1 NO NO 1 1 4.12 2 SI NO 0.5 1 4.12 3 SI NO 0.5 1 4.14 8 NO NO 1 1 67 9 NO NO 1 1 67 10 NO NO 1 1 67 11 NO NO 1 1 67 12 NO NO 1 1
Tabla 5. Análisis de controles existentes.
9.6.3 Riesgos Residuales: Mediante la tabla anterior se puede establecer que después de aplicar ciertos controles aún existen riesgos para el sistema. Esos riesgos se llaman riesgos residuales (Tabla 6). Tales riesgos son:
Num Riesgo ID Control Impacto Probabilidad 1.12 1 1 1 3.4 7 1 1 3.4 8 1 1 3.8 8 1 1
4.11 1 1 1 4.12 1 1 1 4.14 8 1 1 67 9 1 1 67 10 1 1 67 11 1 1 67 12 1 1
Tabla 6. Riesgos Residuales del Sistema actual de Correo.
ISC-2003-1-11
137
Los riesgos residuales son de principal interés porque deben tenerse en cuenta para formular nuevos controles que permitan mitigar su impacto y/o probabilidad. Este proceso hace parte de la fase de recomendaciones. 9.7 DISEÑAR Y EJECUTAR LAS PRUEBAS Los resultados de la evaluación de controles existentes, obtenidos en la etapa anterior, sirven de base para determinar el tipo de pruebas de auditoría que se requieren. Para esta fase se ejecutaron pruebas de cumplimiento, las cuales se aplicaron únicamente sobre algunos de los controles que resultaron con un nivel de efectividad aceptable. Como se nombró en el numeral 8.2.6 las pruebas de cumplimiento tienen por objeto comprobar (obtener evidencia) que los controles establecidos existen, se utilizan y las personas los entienden y ejecutan correctamente. Para este proceso se utilizó el Anexo 4, descrito en este trabajo. El resultado de este análisis se presenta en el Anexo 4.1. Para cada una de las pruebas realizadas se tuvo en cuenta el riesgo y control a evaluar, el tipo de control y la descripción de la prueba realizada. Algunas pruebas fueron aplicadas de forma manual y otras de forma automática, entendiéndose por esta última, la forma en que un computador asuste al desarrollo de la prueba. 9.7.1 Clasificación de pruebas: De acuerdo al Anexo 4.1 de este trabajo, a continuación se presenta la clasificación de las pruebas como resultado de la aplicación de las mismas (Tabla 7):
Num prueba
Descripción prueba Clasificación prueba Manual/ Automática
1 Se verificó la existencia de contrato con la empresa externa que realiza el soporte 7X24.
Manual
2 Se verificó la existencia de licencias de: SW, mantenimiento y servicios.
Manual
3 Se verificó la existencia de cintas de backup del día anterior.
Manual
4 Se verificó el proceso de ingreso y validación de administrador al sistema de correo.
Manual y Automática
ISC-2003-1-11
138
5 Se revisaron logs de autenticación de usuarios y de máquinas autorizadas del CC.
Manual y Automática
6 Se verificó el proceso de ingreso y validación de usuario (estudiante, empleado, profesor) al sistema de correo.
Manual y Automática
7 Se verificó ejecución de script que genera estadísticas de porcentaje y tamaños de cuentas de correo.
Manual y Automática
8 Se verificó lista de las cuentas de correo (10) con tamaño crítico.
Manual y Automática
9 Se verificó ejecución de script que genera estadísticas de porcentaje de utilización de discos y CPU.
Manual y Automática
10 Se verificó ejecución de script que genera estadísticas de porcentaje y tamaños de inbox de cuentas de correo.
Manual y Automática
Tabla 7. Clasificación de pruebas de cumplimiento.
Además a continuación se describe el procedimiento que se siguió para ejecutar las pruebas automáticas (Tabla 8):
Num prueba
Procedimiento ejecución prueba
4 i. El administrador ingresa clave (llave pública) al sistema. Esta clave fue otorgada por el Administrador de servidores del sistema.
ii. Se despliega mensaje que informa que el acceso al sistema solo está permitido para usuarios autorizados.
iii. El administrador ingresa al sistema de correo, en calidad de administrador.
5 i. El administrador ingresa al sistema de correo, en calidad de administrador
ii. Dentro del sistema, ubica el directorio donde se almacenan los logs correspondientes a la autenticación de usuarios.
iii. Se despliegan logs de autenticación de usuarios, indicando máquina, nombre usuario, fecha y hora de conexión y el tipo de tarea realizada o en curso.
6 i. El usuario abre la página de inicio del sistema de correo. ii. El usuario ingresa nombre de usuario ( login) y clave para ingresar al
sistema. iii. El sistema automáticamente valida tanto el nombre de usuario como
la clave de acceso. iv. Si la validación fue exitosa, el usuario ingresa a su cuenta de correo. v. Si la validación no fue exitosa, el sistema automáticamente pedirá de
nuevo el ingreso correcto del login y de la clave para acceder al sistema exitosamente.
ISC-2003-1-11
139
7 i. El administrador ingresa a su máquina personal de trabajo. ii. El administrador ubica la aplicación que genera estadísticas. iii. El administrador ejecuta la aplicación que genera estadísticas. iv. La aplicación arroja estadísticas con información referente a
porcentajes y tamaños de todas las cuentas de correo. 8 i. El administrador ingresa a su máquina personal de trabajo.
ii. El administrador ejecuta la aplicación que genera estadísticas de porcentajes y tamaños de las cuentas de correo.
iii. El administrador ejecuta script que genera la lista de las 10 cuentas con mayores porcentajes de tamaño de cuenta o cuota.
iv. El scrip t despliega lista con las 10 cuentas con mayores porcentajes de tamaño de cuenta o cuota.
9 i. El administrador ingresa a su máquina personal de trabajo. ii. El administrador ubica la aplicación (Orca 74) que genera estadísticas. iii. El administrador ejecuta la aplicación (Orca ) que genera estadísticas. iv. Orca arroja estadísticas con información referente a porcentajes de
utilización de discos y CPU de máquinas que generan estadísticas. 10 i. El administrador ingresa a su máquina personal de trabajo.
ii. El administrador ejecuta la aplicación que genera estadísticas de porcentajes y tamaños de las cuentas de correo.
iii. El administrador ejecuta script que genera estadísticas de porcentajes y tamaños de inbox de cuentas de correo.
iv. El script despliega porcentajes y tamaños de inbox de cuentas de correo.
Tabla 8. Descripción de procedimiento para ejecución de pruebas de cumplimiento .
Además de las pruebas de cumplimiento, se realizaron entrevistas con los administradores actuales del sistema de correo, quienes brindaron apoyo en el levantamiento de información inicial para el conocimiento del área auditada. Así mismo, colaboraron con el proceso de identificación de riesgos y controles. A continuación se presentará un análisis de los resultados obtenidos. 9.8 EVALUAR LOS RESULTADOS Este análisis se realizó sobre las fases de: identificación y clasificación de riesgos, identificación y clasificación de controles existentes y aplicación de pruebas de cumplimiento.
74 Orca es una aplicación interna que se ejecuta dentro de Orcallator. Orca es quien finalmente muestra los resultados de las estadísticas.
ISC-2003-1-11
140
9.8.1 Fase de identificación y clasificación de riesgos
i. Se establecieron riesgos que no aplicaban como tales al sistema. Dichos riesgos fueron:
Ø Riesgo: Decisiones erróneas. (Num riesgo: 5.3) Impacto: Difícil control sobre acciones que deberían estar reportadas. Causa: Actos accidentales. Omisión de utilización de reportes producidos para la toma de decisiones. Razón por la que no aplica: No se llevan reportes para la toma de decisiones.
Ø Riesgo: Decisiones erróneas (Num riesgo: 5.4) Impacto: Difícil control sobre acciones que deberían estar reportadas. Causa: Actos accidentales. Imposibilidad de utilizar el sistema de computador para producir reportes para la toma de decisiones. Razón por la que no aplica: No se llevan reportes para la toma de decisiones.
Ø Riesgo: Rechazo de correos que deberían ser aceptados (Num riesgo: 8) Impacto: Pérdida de mensaje. Pérdida de información. Causa: Actos accidentales. Fallas en la aplicación de reglas para el servicio de recepción de correo. Razón por la que no aplica: No se rechaza ningún tipo de correo todos son aceptados.
Ø Riesgo: Información de claves visible al administrador del
sistema (Num riesgo: 47) Impacto: Violación de la privacidad de los usuarios con fines malintencionados. Violación de la privacidad de los usuarios. Pérdida de la integridad y confiabilidad de la información. Causa: Actos accidentales o malintencionadas. Fallas en los sistemas de seguridad del servicio. Razón por la que no aplica: La información de las claves de los usuarios no está visible a los administradores del sistema.
Ø Riesgo: Pérdida errónea de correo por límite de cuenta (Num riesgo: 57) Impacto: Pérdida de información. Pérdida de credibilidad del servicio. Insatisfacción de los usuarios.
ISC-2003-1-11
141
Causa: Actos accidentales o malintencionadas. Fallas en el sistema Veritas de FileSystem y SW interno de Sendmail. Razón por la que no aplica: La información de la cuenta nunca se pierde porque los correos siguen llegando y guardándose en la bandeja de entrada (Inbox).
Ø Riesgo: Recuperación errónea de correo (Num riesgo: 58) Impacto: Violación de las normas de recuperación de correo. Acceso ilegal a información no autorizada. Sanciones laborales. Causa: Actos accidentales o malintencionadas. Fallas en el sistema de recuperación de correo. Razón por la que no aplica: Existe poca probabilidad (casi nula) de que se recuperen correos sin autorización , es decir, de forma errónea.
Ø Riesgo: Superar límite de correo enviados desde una cuenta de usuario (Num riesgo: 59) Impacto: Pérdida de información. Violación de normas de uso de correo. Causa: Actos accidentales. Fallas en la administración de la cuenta por parte del usuario. Razón por la que no aplica: No existe límite de correos enviados desde una cuenta de correo.
Ø Riesgo: No aviso cuando se supera el límite de correo enviados desde una cuenta de usuario. (Num riesgo: 60) Impacto: Pérdida de información. Violación de normas de uso de correo. Causa: Actos accidentales o malintencionadas. Fallas en el sistema Veritas de FileSystem y SW interno de Sendmail. Razón por la que no aplica: No existe límite de correos enviados desde una cuenta de correo.
Ø Riesgo: Utilización o reproducción ilegal de SW. (Num riesgo:
68) Impacto: Sanciones legales, académicas y laborales. Abuso de confianza de los usuarios. Violación de sistemas de seguridad de programas o archivos. Fraude/Hurto de SW Causa: Violación de las normas de uso de cuentas de correo. Uso ilegal de derechos de propiedad de SW. Razón por la que no aplica: Existe poca probabilidad (casi nula) que desde la cuenta de correo se pueda utilizar o reproducir SW ilegal.
ISC-2003-1-11
142
9.8.2 Fase de identificación y clasificación de controles
i. Existen riesgos críticos a los que actualmente no se les aplica ningún
control para mitigar su impacto y/o probabilidad. Tales riesgos son:
Ø Riesgo: Desventaja Competitiva (Num riesgo : 2.5) Impacto: Pérdida de credibilidad y uso del sistema. Causa: Actos intencionales. Mala calidad del servicio ofrecido a los clientes. Perspectiva de grado de satisfacción de usuarios.
Ø Riesgo: Realización de actividades ilegales con la cuenta de
correo por parte de los estudiantes (Num riesgo : 61) Impacto: Sanciones académicas y legales. Fraude/Sabotaje. Uso indebido de los servicios del sistema. Causa: Actos malintencionados. Violación de las normas de uso de las cuentas de correo, vulnerabilidad del sistema.
Ø Riesgo: Realización de actividades ilegales con la cuenta de correo por parte de los empleados (Num riesgo : 63) Impacto: Sanciones laborales y legales. Fraude/Sabotaje. Uso indebido de los servicios del sistema. Abuso de confianza de los usuarios. Causa: Actos malintencionados. Violación de las normas de uso de las cuentas de correo, vulnerabilidad del sistema.
ii. Después de aplicar controles existentes sobre los riesgos críticos del sistema, se presentan riesgos residuales, los cuales aún tienen calificación alta en cuanto a impacto y probabilidad (ver Tabla 6). Tales riesgos representan todavía una amenaza para el sistema de correo.
iii. Después de aplicar controles existentes sobre algunos riesgos, se
determinó que su impacto y/o probabilidad se redujeron de alta a media (ver Tabla 5). Tales riesgos pasaron de ser críticos a riesgos medios o bajos.
Después de analizar los controles existentes, se determinó que algunos no ofrecen protección total sobre los riesgos.
ISC-2003-1-11
143
9.8.3 Fase de aplicación de pruebas de cumplimiento
i. Después de aplicar las pruebas de cumplimento, se reiteró la ausencia de controles para algunos de los riesgos críticos del sistema.
ii. Después de aplicar las pruebas de cumplimento, se reiteró la efectividad
de algunos controles existentes sobre los riesgos críticos del sistema. 9.9 CONCLUIR Y RECOMENDAR Esta fase se incluirá en el informe de auditoría. Las conclusiones y recomendaciones se incluirán en el informe gerencial, pero hacen parte del informe detallado.
9.10 PRESENTAR EL INFORME DE AUDITORÍA Este informe presenta el resultado de la auditoría, el cual consiste en conclusiones, opiniones y recomendaciones obtenidas después de la evaluación de los riesgos y controles y de aplicar las pruebas de auditoría. 9.10.1 Informe Detallado: Como informe detallado se presenta todo el capítulo 9 de este trabajo, que corresponde al caso de aplicación, auditando el Sistema de Correo Electrónico de una Institución de Educación Superior. Este informe principalmente cuenta con: Descripción global de la entidad auditada, numeral 9.1 Motivación de la auditoría, numeral 9.2 Objetivos y alcance de la auditoria, numeral 9.3 Descripción del área auditada, numeral 9.4
Ø Descripción del sistema actual de correo, numeral 9.4.1 Ø Usuarios del sistema, numeral 9.4.2 Ø Beneficios del sistema actual, numeral 9.4.3 Ø Deficiencias del sistema actual, numeral 9.4.4 Ø Políticas existentes, numeral 9.4.5 Ø Procesos actuales del sistema, numeral 9.4.6
ISC-2003-1-11
144
Identificación de vulnerabilidades y riesgos del sistema actual, numeral 9.5
Ø Vulnerabilidad, numeral 9.5.1 Evaluación de controles existentes, numeral 9.6
Ø Identificación y clasificación de controles, numeral 9.6.1 Ø Análisis de controles existentes, numeral 9.6.2 Ø Riesgos Residuales del sistema actual, numeral 9.6.3
Diseño y ejecución de pruebas, numeral 9.7
Ø Clasificación de pruebas, numeral 9.7.1 Evaluación de resultados, numeral 9.8
Ø Fase de identificación y clasificación de riesgos, numeral 9.8.1 Ø Fase de identificación y clasificación de controles, numeral 9.8.2 Ø Fase de aplicación de pruebas de cumplimiento, numeral 9.8.3
Las conclusiones y recomendaciones se incluirán en el informe gerencial, pero hacen parte del informe detallado.
9.10.2 Informe Gerencial: Este informe contiene los datos más importantes de la auditoria en sus distintas fases de análisis.
El siguiente trabajo se realizó con el ánimo de validar la metodología propuesta en el marco teórico como desarrollo de mi trabajo de tesis de pregrado. La auditoría se realizó sobre el Sistema de Correo de una Institución de Educación Superior que aceptó colaborar en el desarrollo de este trabajo y cuya información únicamente tiene sentido académico y confidencial.
Entidad Auditada: Institución de Educación Superior Área Auditada: Sistema de correo electrónico Fecha de Realización: Marzo de 2003 a junio de 2003. (Tres meses) Responsable/Auditor: Bibiana Díaz Guevara
ISC-2003-1-11
145
9.10.2.1 Objetivo General de la auditoría Revisar, inspeccionar y validar el Sistema de Correo en la Institución de Educación Superior con el ánimo de apoyar a la Dirección Administradora del mismo para determinar la permanencia, modificación o reemplazo del sistema actual. 9.10.2.1.1 Objetivos específicos de la auditoría
i. Evaluar las políticas existentes, formalizarlas y validarlas o levantarlas y aprobarlas en caso necesario.
ii. Determinar vulnerabilidades y riesgos del sistema e impacto de los mismos.
iii. Evaluar los controles existentes, formalizarlos y validarlos o levantarlos y aprobarlos en caso necesario.
iv. Determinar que los controles estén de acuerdo con las políticas. v. Determinar si el sistema de correo electrónico actual es eficiente. vi. Determinar si el sistema de correo es seguro y privado. vii. Determinar si la información del sistema es confidencial. viii. Inspeccionar si la plataforma del sistema es estable y confiable. ix. Determinar el uso que los clientes hacen sobre el sistema. x. Determinar si los usuarios actuales están satisfechos con su
funcionamiento, velocidad y capacidad en sus cuentas de correo. xi. Apoyar al CC en la búsqueda de mejoras o recomendaciones que
puedan implementar en el sistema actual de correo. xii. Apoyar al CC en la toma de decisión de la implantación de cuentas
vitalicias para los usuarios del correo, especialmente para alumnos y exalumnos.
xiii. Apoyar al CC en la toma de decisión de migración del sistema actual a otro.
9.10.2.3 Alcance de la auditoría La auditoría del Sistema de Correo de la Institución de Educación Superior se realizará únicamente sobre los puntos anteriormente nombrados, y deja a un lado puntos como: parte física del sistema de correo y tráfico, ya que éstos ya han sido realizados o están actualmente en proceso de desarrollo por parte de una compañía de outsourcing y una investigación de tesis de un alumno de la Institución respectivamente. Así mismo, algunos procesos del sistema como: manejo de login de los usuarios y servicio de listas de correo.
ISC-2003-1-11
146
9.10.2.4 Descripción del trabajo realizado
El estudio comenzó con el conocimiento global de la entidad y luego con un conocimiento profundo del área auditada. Una vez se identificaron los componentes más importantes del sistema y sus procesos, se identificaron los riesgos inherentes al sistema en términos de impactos y causas. Después de realizó un análisis de esos riesgos calificándolos en una escala preestablecida que permitió determinar qué riesgos eran altos (críticos), medios y bajos. A partir de esa información se trabajó en los riesgos críticos para identificar y analizar los controles existentes. Se clasificaron los controles de acuerdo a su efectividad y se realizaron pruebas sobre los controles que obtuvieron un nivel aceptable. Con las pruebas se verificó la existencia de los controles, su correcta aplicación y conocimiento por parte de las personas encargadas de implementarlos. Tras este análisis se sacaron los resultados, conclusiones y se hicieron recomendaciones para mejorar los controles existentes o implementar algunos nuevos, dándole un valor agregado al conocimiento que tenia la entidad Auditada antes de la realización de la auditoria. A continuación se presentan los resultados de la auditoría. 9.10.2.5 Resultados de la Auditoria: Ø En total se identificaron 151 riesgos (ver Anexos 1.1 a 1.26). 9 de ellos no
aplicaban al sistema (ver numeral 9.8.1), 24 de ellos son riesgos críticos (ver Tabla 4, numeral 9.5.1.3), 45 son riesgos medianos (ver Tabla 3, numeral 9.5.1.3), y 85 son riesgos bajos (ver Tabla 3, numeral 9.5.1.3). (Fig. 18).
ISC-2003-1-11
147
Clasificación de riesgos
12
31
50
7 7
2
9
4
20
0
10
20
30
40
50
60
Alto Medio Bajo
Probabilidad
Imp
acto Alto
Medio
Bajo
Figura 18. Resultados de la clasificación inicial de riesgos. A continuación se muestran por porcentajes los riegos clasificados (Fig.19):
Porcentajes de Clasificación Inicial de Riesgos
8%
22%
36%
5%
5%
1%
6%
3% 14%Alto-Alto
Alto-Medio
Alto-Bajo
Medio-Alto
Medio-Medio
Medio-Bajo
Bajo-Alto
Bajo-Medio
Bajo-Bajo
Figura 19. Porcentajes de la clasificación inicial de riesgos.
ISC-2003-1-11
148
Ahora se muestra la clasificación final de los riesgos (Fig. 20):
Porcentaje de clasificación final de riesgos
6%15%
28%
51%
No aplica
Riesgos Críticos
Riesgos Medios
Riesgos Bajos
Figura 20. Porcentajes de la clasificación final de riesgos.
A partir de esta clasificación el análisis de controles y la ejecución de pruebas se realizaron sobre los riesgos críticos. Ø Existen 12 tipos de controles existentes para los riesgos críticos (ver
Anexos 3.1 al 3.6). Ø Al aplicar controles existentes, de 24 riesgos críticos (incluyen sub. riesgos),
13 de los riesgos reducen su impacto y probabilidad de alta a media (ver Tabla 5, numeral 9.6.2).
Ø No existen controles para 3 riesgos críticos (ver numeral 9.8.2). Ø De los 13 riesgos que redujeron su impacto y/o probabilidad, 8 se volvieron
riesgos medios y 5 se volvieron riesgos bajos (ver Tabla 5, numeral 9.6.2). Tales riesgos se llaman riesgos de exposición, son riesgos críticos que cambiaron su impacto y/o probabilidad tras aplicar los controles existentes (Fig.21).
ISC-2003-1-11
149
Porcentaje de riesgos de exposición
62%
38%
Riesgos Medios
Riesgos Bajos
Figura 21. Porcentajes de riesgos de exposición.
Ø Después de aplicar los controles existentes se identificaron 11 riesgos
residuales (ver Tabla 6, numeral 9.6.3). Finalmente para visualizar mejor el análisis de riesgos críticos el resultado final fue el siguiente (Fig.22):
ISC-2003-1-11
150
Análisis de Riesgos
50%
23%
27%
Riesgos Inherentes
Riesgos Residuales
Riesgos de Exposicion
Figura 22. Porcentajes finales de análisis de riesgos. 9.10.2.6 Conclusiones
Ø El sistema de correo electrónico de la Entidad Auditada tramita entre 10.000
y 47.000 correos diarios, esto es, entre 3.600.000 y 17.000.000 de correos al año75.
Ø Actualmente, se realiza un backup remoto, pero solo de algunas de las máquinas críticas de la Entidad Auditada, en particular, Bases de datos de: Sistema de Admisiones y Registro, Departamento de Recursos Humanos y Departamento Financiero.
Ø Actualmente, existen recomendaciones 76 para optimizar el uso de las cuentas de correo tales como: cambiar regularmente la clave, borrar los mensajes de manera periódica, vaciar regularmente la papelera de mensajes eliminados, filtrar el correo no deseado, evitar la propagación de información sin fundamento (spam ) y usar antivirus.
75 Centro de Cómputo, Estadísticas. Institución de Educación Superior. Bogotá, Colombia, Junio 27 de 2003. 76 Centro de Cómputo, Recomendaciones para optimizar el uso de las cuentas de correo , Institución de Educación Superior. Bogotá, Colombia, Junio 27 de 2003.
ISC-2003-1-11
151
Ø Actualmente existen normas y límites de acciones definidos para los usuarios (estudiantes, empleados y profesores), para los administradores del CC y para la entidad auditada.
Ø Actualmente la Institución de Educación Superior no se hace cargo de La supervisión de datos que transmitan o almacenen los usuarios y realizar búsquedas de actividades ilícitas en los servicios de transmisión, almacenamiento ni alojamiento de datos.
Ø Actualmente, el directorio de la Institución solo puede ser consultado desde el interior del campus de la misma.
Ø Actualmente, la transmisión de datos desde el browser del cliente hasta el servidor está cifrada, por lo tanto es poco probable que la información (incluyendo la clave) la vea un tercero. Esto significa que la conexión es segura.
Ø Actualmente, se está realizando un estudio por parte del CC, para implementar cuentas de correo vitalicias para los estudiantes de la institución de Educación Superior. En cuyo caso, también se incorporarían las cuentas de los alumnos que ya se han graduado. Esta facilidad, se piensa implementar en menos de 2 años.
Ø Actualmente el CC está pensando migrar el sistema actual Sendmail a otro. Posiblemente a Exchange . Para esto se realizará un estudio que analice factores como: desempeño, ventajas y desventajas, capacidad de usuarios que pueden soportar, relación costo/beneficio, servicio de soporte y mantenimiento, licencias, costos e impacto de migración de un sistema a otro y calidad de las dos posibilidades, entre otros. Esta determinación será tomada en menos de 6 meses.
9.10.2.3 Recomendaciones Ø Es importante recordar que ningún riesgo debe descuidarse, ya que un
riego bajo o medio fácilmente se puede convertir en un riesgo alto o critico.
Ø Para mitigar la probabilidad del riesgo denominado como Fraude/Hurto (3.4): Pérdida de la integridad de la información debido a alteración de los datos de entrada al sistema por parte de los empleados del CC y de los usuarios. Se recomienda, implementar un control sobre los log de modificación de parámetros del sistema. Se recomienda, monitorear y auditar constantemente el control mencionado, para mejorar la integridad de la información.
Ø Para mitigar la probabilidad del riesgo denominado como Fraude/Hurto (3.6): Pérdida de privacidad, confidencialidad e integridad de los datos debido a suplantación electrónica de empleados con derechos de acceso al sistema. Se recomienda, implementar un control para bloquear la sesión de la persona que intente ingresar al sistema con claves no
ISC-2003-1-11
152
autorizadas (intentos fallidos). Se recomienda, monitorear y auditar constantemente el control mencionado, para mejorar la privacidad, confidencialidad e integridad de los datos. Se recomienda aplicar este control no solo a usuarios del sistema de correo sino también a los administradores, porque aunque el correo cuenta con un sistema de autenticación de usuarios autorizados para el CC, el control adicional reduciría el intento de realizar acciones malintencionadas sobre el sistema.
Ø Para mitigar la probabilidad del riesgo denominado como Fraude/Hurto (3.8): Pérdida de privacidad, confidencialidad e integridad de los datos debido a suplantación de terminales con derechos de acceso al sistema. Se recomienda, implementar un control sobre los log de modificación de parámetros del sistema. Se recomienda, monitorear y auditar constantemente el control mencionado, para asegurar la integridad de la información. Además de lo anterior, se recomienda implementar un control sobre los log de accesos autorizados y no autorizados, ya que aunque se cuenta con un dispositivo que detecta los usuarios no autorizados (Firewall), no debería dejarse en el toda la función de detección de intrusos, ya que de alguna forma existe la posibilidad de ingresar al sistema desde alguna terminal (no autorizada) entrando remotamente al escritorio (PC) de alguno de los administradores, ingresando así al sistema, posiblemente con fines malintencionados. Por esta razón, se recomienda, monitorear y auditar constantemente los controles mencionados para mejorar la privacidad, confidencialidad e integridad de los datos.
Ø Para mitigar el riesgo denominado Utilización indebida de los recursos públicos (67), que implica la saturación de las líneas de acceso y abuso de los espacios de los discos debido a la violación de las normas de uso de correo electrónico. Se recomienda implementar un dispositivo físico en las máquinas encargadas de las cuentas de correo, de tal manera que permita implementar un control para evitar traspasar los limites autorizados de espacio en disco. Además, se recomienda, monitorear y auditar constantemente el controles mencionado y el dispositivo físico para mejorar la utilización de los recursos públicos.
Ø Para mitigar los riesgos relacionados con la pérdida de equipos o de información critica debido a mal funcionamiento de los equipos críticos. Se recomienda, realizar un backup remoto de las máquinas correspondientes al sistema de correo.
Ø Para mitigar los riesgos relacionados con la pérdida de la continuidad del servicio debido a interrupción en los servicios del sistema o interrupción en las líneas de comunicación de datos. Se recomienda, realizar un backup remoto de las máquinas correspondientes al sistema de correo. Lo anterior podría reducir la probabilidad de ocurrencia de este tipo de riesgos. Se aclara que en la actualidad se realiza un backup remoto, pero solo de algunas de las máquinas críticas de la Entidad Auditada, en particular, Bases de datos de: Sistema de Admisiones y
ISC-2003-1-11
153
Registro, Departamento de Recursos Humanos y Departamento Financiero.
Ø Para mitigar la probabilidad de los riesgos relacionados con: Pérdida de privacidad, confidencialidad, confiabilidad e integridad de los datos debido a la violación de las normas de uso de las cuentas de correo. Se recomienda, implementar campañas más agresivas para la difusión, institucionalización y aplicación de las claves para evitar la falsificación de correos, suplantación electrónica de un usuario, alteración o falsificación de los datos de las cuentas, violación de la información privada y confidencial de las cuentas de los usuarios y en general la violación de las normas de uso del correo electrónico. Esto podría realizarse por medio de la difusión y aplicación de las recomendaciones77 para optimizar el uso de las cuentas de correo tales como: cambiar regularmente la clave, borrar los mensajes de manera periódica, vaciar regularmente la papelera de mensajes eliminados, filtrar el correo no deseado, evitar la propagación de información sin fundamento (spam), usar antivirus y el uso de firmas o certificados digitales en todos los correos. Lo anterior logrará mejorar la privacidad, confidencialidad, confiabilidad e integridad de los datos.
Ø Se recomienda difundir de manera extensiva las recomendaciones para el manejo de las claves de las cuentas de correo (Anexo 1078).
Ø Difundir de manera extensiva el uso del sistema de audio respuesta para los usuarios que tienen quejas, sugerencias o comentarios. Esto apoya las labores del CC en la identificación de fallas o debilidades que tiene el sistema desde el punto de vista de los usuarios finales. Así mismo difundir, el uso de las líneas de soporte enca rgada de la solución de problemas técnicos y de software en los computadores de la entidad auditada.
Ø Se recomienda implementar un control que verifique la segregación de funciones, especialmente de los administradores del sistema, de manera que las actividades sensitivas no recaigan sobre una mima persona. Lo anterior evitaría la posibilidad de comentar actos accidentales o malintencionados sobre el sistema.
Ø Se recomienda controlar, monitorear y auditar las aplicaciones relacionadas con las estadísticas de los tamaños de las cuentas de correo, porcentajes de uso de los discos y CPU y porcentajes de las cuentas con mayo tamaño fuera del limite. Ya que aunque en la actualidad existen estas herramientas no se realizan continuamente, desperdiciando así el valor agregado que le podrían dar a la administración del sistema.
Ø Se recomienda facilitar el acceso externo al directorio de la Institución de la Entidad Auditada. Ya que actualmente el directorio solo puede ser consultado desde el interior del campus. Esto a veces produce insatisfacción en los clientes quienes desde sus hogares no pueden
77 Ídem. 78 http://www.multi.net.co/normasbasicasnf.htm#Manejo de claves. Junio 27 de 2003.
ISC-2003-1-11
154
acceder a este servicio. Por tanto, se recomienda establecerse un control lógico que identifique y verifique el ingreso al directorio de los clientes del sistema. Es decir, por medio de la autenticación de usuarios usando login y clave de las cuentas de correo, al igual que otros servicios que presta la Institución.
Ø Para la existencia del Open Relay , se recomienda implantar controles que eviten la incorrecta configuración del servidor de distribución de correo. Se recomienda que este control sea monitoreado y auditado para verificar la efectividad del control.
Ø Para la existencia del Spam, se recomienda, la instalación de herramientas que eviten la difusión de correos con información innecesaria. Por ejemplo se podría difundir el uso de la herramienta Cloudmark SpamNet Outlook79 , que permite la protección de las cuentas de correo de los ataques de spammers.
Ø Se recomienda institucionalizar de manera efectiva las normas de uso de cuentas de correo, su aplicación y la ejecución severa de las sanciones a quienes violen dichas normas. Ya que en la actualidad existen conflictos por fallas en la definición de limites entre lo público y lo privado. Se aclara que en la actualidad existen normas y limites de acciones definidos para los usuarios (estudiantes, empleados y profesores), para los administradores del CC y para la entidad auditada. Actualmente la Institución de Educación Superior no se hace cargo de La supervisión de datos que transmitan o almacenen los usuarios y realizar búsquedas de actividades ilícitas en los servicios de transmisión, almacenamiento ni alojamiento de datos.
Ø Se recomienda definir indicadores de gestión que permitan controlar las actividades y procesos del sistema de correo. Por ejemplo, se podría definir un indicador de gestión que permita conocer la efectividad de la aplicación de las normas de uso. Esto podría brindarle a la administración una perspectiva real de la aplicación de las normas por parte de los usuarios.
Ø Se recomienda que los administradores del sistema acuerden, concilien y elaboren un Plan de Implementación de Recomendaciones que asigne responsabilidades y cronogramas para su cumplimiento (Anexo 5). Este plan debe monitorearse por medio de un seguimiento que verifique que el plan implementado si ha contribuido al logro de los objetivos y al cumplimiento de las especificaciones de cada uno de los controles sugeridos, en busca de la reducción de impactos y probabilidades de ocurrencia de los riesgos. En especial, de los riesgos críticos del sistema.
79 http://www.cloudmark.com/products/spamnet/. Junio 27 de 2003.
ISC-2003-1-11
155
9.11 REALIZAR UN SEGUIMIENTO A LAS RECOMENDACIONES Después de emitir y presentar el informe con los resultados de la auditoria, se espera que la administración de la entidad auditada, particularmente para el objeto auditado, inicien las acciones a seguir para atender los hallazgos encontrados en este estudio. Como se nombró en las recomendaciones, los administradores del sistema deberían de acordar, conciliar y elaborar un Plan de Implementación de Recomendaciones y fijar responsabilidades y cronogramas para su cumplimiento. La asesoría de la implantación de las recomendaciones se propone como un análisis posterior a este estudio.
ISC-2003-1-11
156
10. CONCLUSIONES GENERALES DEL TRABAJO
El área de redes tiene una amplia gama de aspectos que se pueden considerar: área física, área lógica, Intranets, Internet, comunicaciones, etc. Por tanto la realización de un trabajo de auditoría no es una labor sencilla, ya que para realizar un trabajo como este hay que tener en cuenta gran cantidad de aspectos que componen cada una de las áreas auditadas. Es así como tal vez esto sea un factor de enriquecimiento para el auditor quien tiene que aprender sobre el área o entidad auditada, lo cual le ayuda a profundizar su conocimiento y le brinda habilidades para obtener información y evaluar con raciocinio los procesos auditados. El desarrollo del anterior trabajo sirvió para profundizar los conocimientos adquiridos durante la formación como profesional de Ingeniería de Sistemas y Computación. El desarrollo del anterior trabajo se sustentó mediante la aplicación de la guía propuesta a un caso real (Sistema de Correo Electrónico de una Institución de Educación Superior), el cual permitió la validación y enriquecimiento de la guía. Así mismo, la guía propuesta se puede implementar en otros casos reales que busquen sustentar y enriquecer el trabajo realizado. Mediante la aplicación de la guía como metodología propuesta, se identificaron aspectos que fueron:
Ø Durante la ejecución de la aplicación de la guía, se enriqueció el marco teórico de este trabajo, debido a la necesidad de complementar lo desarrollado anteriormente con el fin de que el caso real estuviera de acuerdo a la guía propuesta.
Ø Se siguió con satisfacción la metodología descrita para cada una de las fases que hacían parte de la guía propuesta.
Ø Se obtuvieron resultados coherentes de acuerdo al análisis de cada una de las fases que componen la guía.
Como aspecto importante se resalta que el desarrollo de la aplicación de la guía a un caso real, le servirá como herramienta de apoyo al Centro de Cómputo de la Institución de Educación Superior, para conocer con mayor profundidad sus riesgos y controles de manera que le permitan evaluar su sistema de correo actual, con base a los resultados obtenidos. De igual
ISC-2003-1-11
157
manera, este estudio apoyará al Centro de Cómputo de la entidad auditada a desarrollar un plan de implementación que le permita seguir las recomendaciones realizadas y las pautas para mejorar o implementar controles que permitan mitigar el impacto y la probabilidad de ocurrencia de los riesgos encontrados actualmente. Con base a lo anterior, se propone la metodología descrita en este trabajo, como guía para el desarrollo de auditoría de sistemas en redes y como herramienta útil para la toma de decisiones de una área o empresa. Así mismo, como apoyo para la evaluación de sistemas o procesos existentes en una entidad o un área en particular.
ISC-2003-1-11
158
11. TRABAJO FUTURO Como trabajo futuro, es deseable que se completen cada una de las fases de: análisis de controles, pruebas, evaluación de resultados, conclusiones y recomendaciones, informes de auditoría y seguimiento de recomendaciones de los riesgos medios y bajos encontrados en este estudio. Ya que en este trabajo solo se aplicaron dichas fases a los riesgos críticos que se encontraron sobre el sistema actual. De manera que faltaría realizar:
Ø Identificación de controles existentes para los riesgos calificados como: medios y bajos .
Ø Análisis de controles existentes para los riesgos calificados como: medios y bajos .
Ø Identificación de riesgos de exposición. Ø Diseño y ejecución de pruebas de controles existentes para riesgos
medios y bajos. Ø Clasificación de pruebas de controles existentes para riesgos medios
y bajos. Ø Especificación de cada una de las pruebas realizadas para cada uno
de los controles evaluados (riesgos medios y bajos). Ø Evaluación de los resultados obtenidos en las pruebas ejecutadas.
(riesgos medios y bajos). Ø Identificación de riesgos residuales. Ø Concluir y recomendar de acuerdo a la evaluación de los resultados
obtenidos en las pruebas ejecutadas (riesgos medios y bajos). Ø Presentar informes de auditoría: Detallado y Gerencial. Ø Realizar seguimiento de recomendaciones descritas en los informes
de auditoría (riesgos críticos, medios y bajos). Así mismo, es deseable que como trabajo futuro se implemente la metodología propuesta, la cual se describió en el marco teórico de este trabajo, en otros casos reales, para que dicha metodología se sustente, se valide y se enriquezca aún más.
ISC-2003-1-11
159
12. BIBLIOGRAFÍA Australia, Nueva Zelanda, Estándar Australiano/Neocelandés AS/NZS 4360:1999, Comité OB/7 de la junta de estándares de Australia y Nueva Zelanda sobre administración de riesgos, 1999. Colombia, Congreso de La República de Colombia, Ley No. 87 del 29 de Noviembre de 1993, Artículo 1, Definición de Control interno. Cubillos, Euclides, Auditoría a sistemas de información computarizados , 1a Edición, AUDISIS, Bogotá, Colombia, Noviembre de 1999. Cubillos, Euclides, Implantación de COBIT como Estándar de Control Interno y Auditoria en Sistemas de Información, AUDISIS, Bogotá, Colombia, Febrero de 2000. Del Río, Juan Manuel, Tesis Maestría en Telecomunicaciones, Universidad de Los Andes, Bogotá, Colombia, Marzo de 2002. Ebert, Ronald y Griffin, Ricky, Negocios , Cuarta Edición, Prentice Hall, México, 1997. Fitzgerald J., Fitzgerald A.F, Designing controls into computarizad systems, JFA & Associates, 2 Edición, 1990. Kell W.G., Boynton W.C. y Ziegler R.E., Auditoría Moderna, CECSA, 1999. KPMG, Peat Marwick Consulting, Normas de organización y administración, Junio 1991, p. 1. Piattini M.G., Del peso E., Auditoría Informática: un enfoque práctico, RA-MA Editorial, 1998. Pinilla, José Dagoberto, Auditoría informática: un enfoque práctico, Ecoe Ediciones, Bogotá, Colombia, 1992. Pinilla, José Dagoberto, Auditoría Informática: un enfoque operacional, Ecoe Ediciones, Bogotá, Colombia, Noviembre de 1999. Tanenbaum, Andrew, Redes de Computadoras, 3a Edición, México, 1997. http://www.multi.net.co/normasbasicasnf.htm#Manejo de claves. Junio 27 de 2003.
ISC-2003-1-11
160
13. REFERENCIAS Carrillo Ángela.,Giraldo Olga Lucía, Notas de clase curso Auditoría de Sistemas, Universidad de Los Andes, Bogotá, Agosto de 2002. Centro de Cómputo, Estadísticas. Institución de Educación Superior. Bogotá, Junio 27 de 2003. Centro de Cómputo, Recomendaciones para optimizar el uso de las cuentas de correo, Institución de Educación Superior. Bogotá, Junio 27 de 2003. COBIT (Control OBjectives for Information and Related Tecnology), Asociación de Control y Auditoría de Sistemas de Información (ISACA). Normas de conducta para el uso de los servicios de red de la entidad auditada, Institución de Educación Superior. Bogotá, Mayo de 2003. Políticas de generación de cuentas de la entidad auditada, Institución de Educación Superior. Bogotá, Mayo de 2003. http://www.cloudmark.com/products/spamnet/. Junio 27 de 2003.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: ________________________________________________ Hoja de trabajo No: ________________ Responsable /Auditor: ____________________________________ Fecha: ___________________________ Área /Tema Revisado: ____________________________________ Proceso: _________________________ Fecha Hallazgo
Número Riesgo
Descripción Riesgo
Descripción de causa
Descripción de Impacto o Consecuencia
Anexo 1. Formato de registro de riesgos, causas e impactos.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 001___________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003.__________________________________ Área /Tema Revisado: Sistema actual de correo electrónico a nivel general._____________________________________________ Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
1 1.1 1.2
Desastres naturales: Ø Terremoto Ø Rayos o tormenta eléctrica
Ø Pérdida de equipos y/o información crítica. Ø Pérdida de equipos y/o información crítica.
1.3 1.4 1.5
Actos malintencionados de terceros: Ø Actos terroristas Ø Asaltos, vandalismo Ø Disturbios civiles
Ø Pérdida de equipos y/o información crítica. Ø Pérdida de equipos y/o información crítica. Ø Pérdida de equipos y/o información crítica.
1.6 1.7 1.8
Actos malintencionados de empleados: Ø Sabotaje de empleados Ø Paros laborales Ø Daños y desastres al servicio por
parte de los empleados.
Ø Pérdida de equipos y/o información crítica. Ø Pérdida de la continuidad del servicio. Ø Pérdida de equipos y/o información crítica.
26-05-2003
1.9 1.10 1.11 1.12
Daño / destrucción de activos
Actos accidentales: Ø Inapropiadas instalaciones eléctricas Ø Inapropiadas instalaciones físicas Ø Desastre por fuego, agua u otros
elementos Ø Mal funcionamiento de los equipos
críticos
Ø Pérdida de equipos y/o información crítica. Ø Pérdida de equipos y/o información crítica. Ø Pérdida de equipos y/o información crítica. Ø Pérdida de equipos y/o información crítica.
Anexo 1.1. Resultado de registro de riesgos, causas e impactos.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 002_______________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003.______________________________ Área /Tema Revisado: Sistema actual de correo electrónico a nivel general._________________________________________ Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
2 2.1 2.2 2.3 2.4 2.5
Actos accidentales: Ø Divulgación accidental de información
critica del sistema Ø Interrupción accidental del servicio por
daños en el sistema Ø Interrupción accidental del servicio por
fallas de luz o energía Ø Obsolescencia tecnológica Ø Mala calidad del servicio ofrecido a clientes:
visión de usuarios del sistema.
Ø Información crítica y/o confidencial
en poder de personas no autorizadas Ø Pérdida de la información y de la
continuidad del servicio. Ø Pérdida en la continuidad del servicio Ø Pérdida de posicionamiento frente a
competencia. Ø Pérdida de credibilidad y uso del
sistema.
26-05-2003
2.6 2.7 2.8 2.9 2.10
Desventaja competitiva
Actos intencionales: Ø Divulgación malintencionada de la
información critica del sistema. Ø Interrupción malintencionada del servicio
por daños en el sistema. Ø Interrupción malintencionada del servicio
por cortes de luz o energía Ø Mala atención a los clientes por parte de los
empleados: sugerencias o comentarios recibidos de mala forma o no tenidos en cuenta.
Ø Cese de actividades por parte de los empleados.
Ø Información crítica y/o confidencial
en poder de personas no autorizadas.
Ø Pérdida de la información y de la continuidad del servicio.
Ø Pérdida en la continuidad del servicio Ø Pérdida de posicionamiento frente a
competencia y frente a usuarios. Pérdida de credibilidad y uso del sistema.
Ø Pérdida de continuidad del servicio.
Anexo 1.2. Resultado de registro de riesgos, causas e impactos.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 003___________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003.__________________________________ Área /Tema Revisado: Sistema actual de correo electrónico a nivel general._____________________________________________
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-05-2003 3 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 3.13
Fraude/Hurto Actos intencionales: Ø Concentración de funciones sensitivas
sobre una misma persona. Ø Alteración de documentos negociables y
no negociables con los datos de entrada al sistema.
Ø Falsificación de documentos negociables y no negociables que contienen los datos de entrada al sistema.
Ø Alteración de los datos registrados en los archivos del sistema.
Ø Rutinas malintencionadas en los programas del sistema.
Ø Suplantación electrónica de empleados con derechos de acceso al sistema.
Ø Suplantación física o electrónica de clientes (usuarios externos) con derechos de acceso al sistema.
Ø Suplantación de terminales con derecho de acceso al sistema.
Ø Baja moral de los empleados. Ø Baja moral de los clientes del sistema. Ø Complicidad entre los clientes y
empleados. Ø Saqueo o vandalismo por actos de
terceros. Ø Disturbios civiles por actos de terceros.
Ø Manipular acciones, procesos o
información con fines malintencionados. Ø Sacar provecho de información privada y
confidencial del sistema con fines malintencionados.
Ø Sacar provecho de información privada y confidencial del sistema con fines malintencionados.
Ø Pérdida de la integridad de la información. Ø Pérdida de la integridad de la información.
Ø Pérdida de privacidad, confidencialidad e
integridad de los datos. Ø Pérdida de privacidad, confidencialidad e
integridad de los datos. Ø Pérdida de privacidad, confidencialidad e
integridad de los datos. Ø Ejecución de acciones malintencionadas. Ø Ejecución de acciones malintencionadas. Ø Ejecución de acciones malintencionadas.
Ø Pérdida de equipos y/o información crítica. Ø Pérdida de equipos y/o información crítica.
Anexo 1.3. Resultado de registro de riesgos, causas e impactos.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 004__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico a nivel general.____________________________________________
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
4 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10
Actos malintencionado de empleados: Ø Cese de actividades. Ø Sabotaje por parte de los empleados. Ø Prestar deliberadamente, servicios de mala
calidad a los clientes. Ø Servicio inoportuno y demorado a los
clientes. Ø Dar versiones inexactas de la situación del
sistema. Ø Incumplimiento (engaño) a los clientes. Ø Deliberadamente, violar privacidad y buen
nombre de los clientes. Ø Realizar negocios no autorizados por la ley. Ø Interrupción deliberada en los servicios del
sistema. Ø Interrupción deliberada en las líneas de
comunicación de datos.
Ø Pérdida de la continuidad del servicio. Ø Pérdida de equipos y/o info. crítica. Ø Pérdida de posicionamiento y
credibilidad en el servicio. Ø Pérdida de continuidad del servicio.
Ø Pérdida de la credibilidad del servicio.
Ø Pérdida de la credibilidad del servicio. Ø Pérdida de la privacidad y
confidencialidad de la información. Ø Sanciones legales. Ø Pérdida de la continuidad del servicio.
Ø Pérdida de la continuidad del servicio.
26-05-2003
4.11 4.12 4.13 4.14
Pérdida de la continuidad del servicio
Actos accidentales: Ø Interrupción en los servicios del sistema. Ø Interrupción en las líneas de comunicación
de datos. Ø Servicio inoportuno y demorado. Ø Inexactitud de la información entregada a
los clientes.
Ø Pérdida de la continuidad del servicio. Ø Pérdida de la continuidad del servicio.
Ø Pérdida de la fidelidad y de la
credibilidad del cliente en el servicio. Ø Pérdida de la credibilidad del servicio.
Anexo 1.4. Resultado de registro de riesgos, causas e impactos.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 005__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico a nivel general.____________________________________________ Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
5 5.1 5.2 5.3 5.4
Actos accidentales: Ø Utilizar versiones de archivos de
computador que no corresponden. Ø Utilizar versiones de programas de
computador que no corresponden. Ø Omisión de utilización de reportes
producidos para la toma de decisiones. Ø Imposibilidad de utilizar el sistema de
computador para producir reportes para la toma de decisiones.
Ø Trabajar sobre versiones erróneas o no
actualizadas de archivos. Ø Trabajar sobre versiones erróneas o no
actualizadas de programas. Ø Difícil control sobre acciones que
deberían estar reportadas. Ø Difícil control sobre acciones que
deberían estar reportadas.
26-05-2003
5.5 5.6 5.7
Decisiones erróneas
Actos malintencionados: Ø Baja moral de los empleados que toman
las decisiones. Ø Abuso de confianza de los empleados
que toman las decisiones. Ø Concentración de funciones sensitivas
en una sola persona.
Ø Acciones malintencionadas Ø Acciones malintencionadas. Ø Manipular acciones, procesos o
información con fines malintencionados.
Anexo 1.5. Resultado de registro de riesgos, causas e impactos.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 006__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de servidores de recepción de correo.__ Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-05-2003 6 Conexión no satisfactoria entre el servidor de distribución de correo remoto y el servidor de intercambio de correo
Actos accidentales: Ø Fallas en la conexión TCP al puerto 25
a través del protocolo SMTP.
Ø Demoras en la entrega del mensaje a
su destinatario. Ø No envío de mensaje al destinatario.
26-05-2033 7 Demoras en la velocidad de conexión
Actos accidentales: Ø Fallas en la conexión TCP al puerto 25
a través del protocolo SMTP.
Ø Demoras en la entrega del mensaje a
su destinatario. Ø Lentitud al bajar los correos. Ø Pérdida de la credibilidad y
posicionamiento del servicio.
Anexo 1.6. Resultado de registro de riesgos, causas e impactos.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 007__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de servidores de distribución de correo.__ Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-03-2003 8 Rechazo de correos que deberían ser aceptados
Actos accidentales: Ø Fallas en la aplicación de reglas para el
servicio de recepción de correo.
Ø Pérdida de mensaje Ø Pérdida de información.
26-03-2003 9 Aceptación de correos que deberían ser rechazados
Actos accidentales: Ø Fallas en la aplicación de reglas para el
servicio de recepción de correo.
Ø Spam. Ø Recepción de correos no autorizados. Ø Recepción equivocada de información.
26-03-2003 10 Entrega de correo fuera del dominio de sus clientes
Actos accidentales: Ø Configuración incorrecta del servidor de
distribución de correo.
Ø Open Relay Ø Mala calidad del servicio. Ø Pérdida de información.
26-03-2003 11 Distribución de
correos comerciales no solicitados
Actos malintencionados: Ø Aprovechamiento de la oportunidad
dada por el Open Relay.
Ø Spam Ø Recepción equivocada de información. Ø Mala calidad del servicio Ø Pérdida de privacidad.
26-03-2003 12 Demoras en la
velocidad de conexión
Actos accidentales: Ø Fallas en la conexión con el servidor de
distribución de correo.
Ø Demoras en la entrega del mensaje a
su destinatario. Ø Lentitud al bajar los correos. Ø Pérdida de credibilidad y uso del
servicio.
Anexo 1.7. Resultado de registro de riesgos, causas e impactos.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 008__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Admón. de servidores de almacenamiento de correo.____ Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-05-2003 13 Conexión no satisfactoria entre el servidor de correo de almacenamiento y el cliente
Acciones Accidentales: Ø Fallas en la conexión POP3 no cifrada
al puerto 110. Ø Fallas en la conexión POP3 cifrada al
puerto 995. Ø Fallas en la conexión usando protocolo
Imap.
Ø Errores al bajar el contenido de los
correos. Pérdida de información. Ø Errores al bajar el contenido de los
correos. Pérdida de información Ø Errores al bajar el encabezado de los
correos. Pérdida de información.
26-05-2003 14 Fallas en la lectura de mensajes de cliente WEB
Acciones Accidentales: Ø Uso de protocolo Imap y se mueven
carpetas de usuario al servidor.
Ø El cliente POP3 no podrá bajar los
mensajes. Ø Pérdida de información.
26-05-2003 15 Fallas en la lectura de mensajes de cliente POP3
Acciones Accidentales: Ø Uso de protocolo POP3.
Ø Los mensajes ya han bajado y no pueden ser vistos por ningún cliente Imap.
Ø Pérdida de información. 26-05-2003 16 Demoras en la
velocidad de conexión.
Acciones Accidentales: Ø Fallas en la conexión con el servidor de
almacenamiento de correo.
Ø Demoras en la entrega del mensaje a su destinatario.
Ø Lentitud al bajar los correos. Ø Pérdida de credibilidad y uso del
servicio. 26-05-2003 17 Información visible
por admón. del sistema
Acciones accidentales o malintencionadas: Ø Fallas en los controles de seguridad del
sistema. Ø Vulnerabilidad de los sistemas de
seguridad del servicio.
Ø Pérdida de confidencialidad, privacidad
e integridad de la información. Ø Acciones malintencionadas con info.
26-05-2003 18 Información viajando y guardándose en cualquier PC de usuarios
Acciones accidentales o malintencionadas: Ø Vulnerabilidad de los sistemas de
seguridad del servicio. Ø Fallas en los controles de seguridad del
sistema.
Ø Pérdida de confidencialidad, privacidad
e integridad de la información. Ø Acciones malintencionadas con info.
Anexo 1.8. Resultado de registro de riesgos, causas e impactos.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 009__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de servidores de consulta de correo.____ Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-03-2003 19 Conexión no satisfactoria entre el servidor para consulta de correo y el cliente.
Acciones accidentales: Ø Fallas en la conexión Imap al puerto
143. Ø Fallas en el sistema Idap.
Ø Error en la interpretación de las páginas por el servidor de consulta de correo.
Ø Errores en la integración con el directorio de la entidad auditada y MySQL para la personalización de opciones y agenda de direcciones personales.
26-05-2003 20 Demoras en la velocidad de conexión
Acciones accidentales: Ø Fallas en la conexión con el servidor de
consulta de correo.
Ø Demoras en la entrega del mensaje a su destinatario.
Ø Lentitud al bajar los correos. Ø Pérdida de credibilidad y uso del
servicio. 26-05-2003 21 Información visible
por admón. del sistema
Acciones accidentales o malintencionadas: Ø Fallas en los controles de seguridad del
sistema. Ø Vulnerabilidad de los sistemas de
seguridad del servicio.
Ø Pérdida de confidencialidad, privacidad
e integridad de la información. Ø Acciones malintencionadas con info.
26-05-2003 22 Información viajando y guardándose en cualquier PC de usuarios
Acciones accidentales o malintencionadas: Ø Vulnerabilidad de los sistemas de
seguridad del servicio. Ø Fallas en los controles de seguridad del
sistema.
Ø Pérdida de confidencialidad, privacidad
e integridad de la información. Ø Acciones malintencionadas con info.
26-05-2003 23 Consulta de directorio únicamente al interior del campus de la entidad auditada.
Acciones accidentales: Ø Fallas en el sistema Idap.
Ø Pérdida de cobertura del servicio. Ø Pérdida de posicionamiento frente a
competencia.
Anexo 1.9. Resultado de registro de riesgos, causas e impactos.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 010__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de filtración de virus._________________ Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
Acciones malintencionadas: Ø Fallas malintencionadas en el servidor
de filtrado de virus.
Ø Propagación de virus dentro del
sistema Ø Pérdida de integridad de la información Ø Pérdida de información Ø Pérdida de continuidad del servicio.
26-05-2003 24 24.1 24.2
Filtración de virus al sistema
Acciones accidentales: Ø Fallas en el servidor de filtrado de virus.
Ø Propagación de virus dentro del
sistema Ø Pérdida de integridad de la información Ø Pérdida de información Ø Pérdida de continuidad del servicio.
Anexo 1.10. Resultado de registro de riesgos, causas e impactos.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 011__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de generación de cuentas de correo.____
Anexo 1.11. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
25 25.1
Acciones accidentales: Ø Fallas en el proceso de generación de
cuentas por parte de el área de Admisiones y Registro.
Ø Violación a las normas para la creación
de cuentas de estudiantes. Ø Acceso ilegal al sistema.
26-05-2003
25.2
Creación de cuentas de correo a estudiantes de 1 semestre que no hayan cancelado la confirmación de reserva de cupo
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de generación de cuentas por parte de el área de Admisiones y Registro.
Ø Violación de las normas para la creación de cuentas a estudiantes.
Ø Sanciones laborales y penales. Ø Fraude/Hurto/Sabotaje Ø Acceso ilegal al sistema con malas
intenciones. 26 26.1
Acciones accidentales: Ø Fallas en el proceso de generación de
cuentas por parte de el área de Admisiones y Registro.
Ø Violación a las normas para la creación
de cuentas de estudiantes. Ø Acceso ilegal al sistema.
26-05-2003
26.2
Creación equivocada de cuentas de correo de estudiantes de pregrado o postgrado con duración de estudios inferior a 3 meses.
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de generación de cuentas por parte de el área de Admisiones y Registro.
Ø Violación de las normas para la creación de cuentas a estudiantes.
Ø Sanciones laborales y penales. Ø Fraude/Hurto/Sabotaje Ø Acceso ilegal al sistema con malas
intenciones. 27 27.1
Acciones accidentales: Ø Fallas en el proceso de generación de
cuentas por parte de el área de Recursos Humanos
Ø Violación a las normas para la creación de cuentas de empleados.
Ø Acceso ilegal al sistema.
26-05-2003
27.2
Creación de cuentas de correo a personas no incluidas en los cargos mencionados en la sección 9.4.2.1.1 de este trabajo
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de generación de cuentas por parte de el área de Recursos Humanos
Ø Violación de las normas para la creación de cuentas a empleados.
Ø Sanciones laborales y penales. Ø Fraude/Hurto/Sabotaje Ø Acceso ilegal al sistema con malas
intenciones
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 012__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de generación de cuentas de correo.___
Anexo 1.12. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
28 28.1
Acciones accidentales: Ø Fallas en el proceso de generación de
cuentas por parte de el área de Recursos Humanos
Ø Violación a las normas para la creación de cuentas de empleados.
Ø Acceso ilegal al sistema.
26-05-2003
28.2
Creación equivocada de cuenta de correo a personas que no son empleados de la entidad
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de generación de cuentas por parte de el área de Recursos Humanos
Ø Violación de las normas para la creación de cuentas a empleados.
Ø Sanciones laborales y penales. Ø Fraude/Hurto/Sabotaje Ø Acceso ilegal al sistema con malas
intenciones. 29 29.1
Acciones accidentales: Ø Fallas en el proceso de generación de
cuentas por parte de el área de Recursos Humanos
Ø Violación a las normas para la creación de cuentas de empleados.
Ø Acceso ilegal al sistema.
26-05-2003
29.2
Creación equivocada de cuenta de correo a persona natural cuya duración en la prestación de sus servicios es inferior a 3 meses.
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de generación de cuentas por parte de el área de Recursos Humanos
Ø Violación de las normas para la creación de cuentas a empleados.
Ø Sanciones laborales y penales. Ø Fraude/Hurto/Sabotaje Ø Acceso ilegal al sistema con malas
intenciones. 30 30.1
Acciones accidentales: Ø Fallas en el proceso de generación de
cuentas por parte de el área de Recursos Humanos
Ø Violación a las normas para la creación de cuentas de empleados.
Ø Acceso ilegal al sistema.
26-05-2003
30.2
Asignación de correo apersonas jurídicas vinculadas mediante contrato civil de prestación de servicios.
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de generación de cuentas por parte de el área de Recursos Humanos
Ø Violación de las normas para la creación de cuentas a empleados.
Ø Sanciones laborales y penales. Ø Fraude/Hurto/Sabotaje Ø Acceso ilegal al sistema con malas
intenciones.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 013__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de generación de cuentas de correo.___
Anexo 1.13. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
31 31.1
Acciones accidentales: Ø Fallas en el proceso de generación de
cuentas por parte de el área de Admisiones y Registro.
Ø Dualidad de información Ø Pérdida de la integración y privacidad
de la información.
26-05-2003
31.2
Creación de login repetido para estudiantes
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de generación de cuentas por parte de el área de Admisiones y Registro.
Ø Fraude/Hurto/Sabotaje Ø Violación de la privacidad y buen
nombre de los usuarios.
32 32.1
Acciones accidentales: Ø Fallas en el proceso de generación de
cuentas por parte de el área de Recursos Humanos
Ø Dualidad de información Ø Pérdida de la integración y privacidad
de la información.
26-05-2003
32.2
Creación de login repetido para empleados
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de generación de cuentas por parte de el área de Recursos Humanos
Ø Fraude/Hurto/Sabotaje Ø Violación de la privacidad y buen
nombre de los usuarios.
33 33.1
Acciones accidentales: Ø Fallas en el proceso de generación de
cuentas por parte del CC
Ø Violación a las normas para la creación de cuentas a terceros.
Ø Acceso ilegal al sistema.
26-05-2003
33.2
Creación equivocada de cuentas de correo a terceros cuando su contrato o convenio es inferior a 1 mes.
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de generación de cuentas por parte del CC
Ø Violación de las normas para la creación de cuentas a terceros.
Ø Sanciones laborales y penales. Ø Fraude/Hurto/Sabotaje
34 34.1
Acciones accidentales: Ø Fallas en el proceso de generación de
cuentas por parte del CC
Ø Dualidad de información Ø Pérdida de la integración y privacidad
de la información
26-05-2003
34.2
Creación de login repetido a terceros
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de generación de cuentas por parte del CC
Ø Fraude/Hurto/Sabotaje Ø Violación de la privacidad y buen
nombre de los usuarios.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 014__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de eliminación de cuentas de correo.___
Anexo 1.14. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
35 35.1
Acciones accidentales: Ø Fallas en el proceso de eliminación de
cuentas por parte de el área de Admisiones y Registro.
Ø Pérdida de la integridad e información. Ø Pérdida de la credibilidad del servicio. Ø Incumplimiento (engaño) a los clientes.
26-05-2003
35.2
Eliminación errónea de cuenta de correo de estudiante matriculado
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de eliminación de cuentas por parte de el área de Admisiones y Registro.
Ø Sabotaje/Vandalismo Ø Violación de las normas de eliminación
de cuentas de correo. Ø Sanciones laborales.
36 36.1
Acciones accidentales: Ø Fallas en el proceso de eliminación de
cuentas por parte de el área de Recursos Humanos.
Ø Pérdida de la integridad e información. Ø Pérdida de la credibilidad del servicio. Ø Incumplimiento (engaño) a los clientes.
26-05-2003
36.2
Eliminación errónea de cuenta de correo de empleado Actual Acciones malintencionadas:
Ø Acciones malintencionadas durante el proceso de eliminación de cuentas por parte de el área de Recursos Humanos.
Ø Sabotaje/Vandalismo Ø Violación de las normas de eliminación
de cuentas de correo. Ø Sanciones laborales.
37 37.1
Acciones accidentales: Ø Fallas en el proceso de eliminación de
cuentas por parte de el área del CC.
Ø Pérdida de la integridad e información. Ø Pérdida de la credibilidad del servicio. Ø Incumplimiento (engaño) a los clientes.
26-05-2003
37.2
Eliminación errónea de cuenta de correo a tercero
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de eliminación de cuentas por parte de el área del CC.
Ø Sabotaje/Vandalismo Ø Violación de las normas de eliminación
de cuentas de correo. Ø Sanciones laborales.
38 38.1
Acciones accidentales: Ø Fallas en el proceso de bloqueo de
cuentas por parte de el área de Admisiones y Registro.
Ø Violación de las normas para el bloqueo de cuentas.
Ø Pérdida en la continuidad del servicio. Ø Incumplimiento (engaño) a los clientes.
26-05-2003
38.2
Bloqueo injustificado de cuenta de correo a estudiante matriculado Acciones malintencionadas:
Ø Acciones malintencionadas durante el proceso de bloqueo de cuentas por parte de el área de Admisiones y Registro.
Ø Violación de las normas para el bloqueo de cuentas.
Ø Sabotaje/Vandalismo Ø Mala calidad de los servicios. Ø Sanciones laborales.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 015__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de eliminación de cuentas de correo.___
Anexo 1.15. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
39 39.1
Acciones accidentales: Ø Fallas en el proceso de bloqueo de
cuentas por parte del CC.
Ø Violación de las normas para el bloqueo de cuentas.
Ø Pérdida en la continuidad del servicio. Ø Incumplimiento (engaño) a los clientes.
26-05-2003
39.2
Bloqueo injustificado de cuenta de correo a empleado actual.
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de bloqueo de cuentas por parte del CC.
Ø Violación de las normas para el bloqueo de cuentas.
Ø Sabotaje/Vandalismo Ø Mala calidad de los servicios. Ø Sanciones laborales.
40 40.1
Acciones accidentales: Ø Fallas en el proceso de bloqueo de
cuentas por parte del CC.
Ø Violación de las normas para el bloqueo de cuentas.
Ø Pérdida en la continuidad del servicio. Ø Incumplimiento (engaño) a los clientes.
26-05-2003
40.2
Bloqueo injustificado de cuenta de correo a tercero.
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de bloqueo de cuentas por parte de el área del CC.
Ø Violación de las normas para el bloqueo de cuentas.
Ø Sabotaje/Vandalismo Ø Mala calidad de los servicios. Ø Sanciones laborales.
41 41.1
Acciones accidentales: Ø Fallas en el proceso de eliminación de
cuentas por parte de el área de Admisiones y Registro.
Ø Acceso ilegal al sistema. Ø Violación de las normas de eliminación
de cuentas de correo. Ø Pérdida de la credibilidad del servicio.
26-05-2003
41.2
No eliminación de cuenta de correo a estudiante no matriculado, graduado, retirado, o con semestre aplazado. Acciones malintencionadas:
Ø Acciones malintencionadas durante el proceso de eliminación de cuentas por parte de el área de Admisiones y Registro.
Ø Sabotaje/Vandalismo Ø Violación de las normas de eliminación
de cuentas de correo. Ø Sanciones laborales. Ø Acceso ilegal al sistema.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 016__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de eliminación de cuentas de correo.___
Anexo 1.16. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
42 42.1
Acciones accidentales: Ø Fallas en el proceso de bloqueo de
cuentas por parte de el área de Recursos Humanos.
Ø Acceso ilegal al sistema. Ø Violación de las normas de eliminación
de cuentas de correo. Ø Pérdida de la credibilidad del servicio.
26-05-2003
42.2
No eliminación de cuenta de correo a empleado retirado o sin legalización de contrato.
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de bloqueo de cuentas por parte de el área de Recursos Humanos.
Ø Sabotaje/Vandalismo Ø Violación de las normas de eliminación
de cuentas de correo. Ø Sanciones laborales. Ø Acceso ilegal al sistema.
43 43.1
Acciones accidentales: Ø Fallas en el proceso de bloqueo de
cuentas por parte del CC.
Ø Acceso ilegal al sistema. Ø Violación de las normas de eliminación
de cuentas de correo. Ø Pérdida de la credibilidad del servicio.
26-05-2003
43.2
No eliminación de cuenta de correo a tercero después de 30 días de la terminación de contrato.
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de bloqueo de cuentas por parte de el CC.
Ø Sabotaje/Vandalismo Ø Violación de las normas de eliminación
de cuentas de correo. Ø Sanciones laborales. Ø Acceso ilegal al sistema.
44 44.1
Acciones accidentales: Ø Fallas en el proceso de bloqueo de
cuentas por parte del CC.
Ø Violación de las normas para la recuperación de cuentas.
Ø Acceso ilegal al sistema.
26-05-2003
44.2
Recuperación injustificada de cuenta de correo de estudiante
Acciones malintencionadas: Ø Acciones malintencionadas durante el
proceso de bloqueo de cuentas por parte del CC.
Ø Fraude/Sabotaje Ø Violación de las normas para la
recuperación de cuentas. Ø Acceso ilegal al sistema con fines
malintencionados.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 017__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de eliminación de cuentas de correo.___
Anexo 1.17. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
45 45.1
Acciones accidentales: Ø Fallas en el proceso de bloqueo de
cuentas por parte del CC.
Ø Violación de las normas para la recuperación de cuentas.
Ø Acceso ilegal al sistema.
26-05-2003
45.2
Recuperación injustificada de cuenta de correo de empleado Acciones malintencionadas:
Ø Acciones malintencionadas durante el proceso de bloqueo de cuentas por parte del CC.
Ø Fraude/Sabotaje Ø Violación de las normas para la
recuperación de cuentas. Ø Acceso ilegal al sistema con fines
malintencionados. 46 46.1
Acciones accidentales: Ø Fallas en el proceso de bloqueo de
cuentas por parte del CC.
Ø Violación de las normas para la recuperación de cuentas.
Ø Acceso ilegal al sistema.
26-05-2003
46.2
Recuperación injustificada de cuenta de correo de tercero Acciones malintencionadas:
Ø Acciones malintencionadas durante el proceso de bloqueo de cuentas por parte del CC.
Ø Fraude/Sabotaje Ø Violación de las normas para la
recuperación de cuentas. Ø Acceso ilegal al sistema con fines
malintencionados.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 018__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de cambio de clave._________________
Anexo 1.18. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-05-2003
47
Información de claves visible al administrador del sistema
Acciones accidentales o malintencionadas: Ø Fallas en los sistemas de seguridad del
servicio.
Ø Violación de la privacidad de los
usuarios con fines malintencionados. Ø Violación de la privacidad de los
usuarios. Ø Pérdida de la integridad y confiabilidad
de la información. 26-05-2003 48
Manejo indebido de la clave
Acciones accidentales: Ø Fallas en la admón. del uso de la clave
por parte de cada usuario.
Ø Acciones malintencionadas. Ø Violación de la privacidad y el buen
nombre de los usuarios. Ø Sanciones académicas, laborales y
penales. Ø Suplantación electrónica de usuario en
el sistema. Ø Pérdida de integridad de la
información. Ø Acceso ilegal al cuenta privada. Ø Violación de las normas de uso de
cuentas de correo. 26-05-2003 49
No cambiar la clave regularmente
Acciones accidentales: Ø Fallas en la admón. del uso de la clave
por parte de cada usuario.
Ø Acciones malintencionadas. Ø Violación de la privacidad y el buen
nombre de los usuarios. Ø Sanciones académicas, laborales y
penales. Ø Suplantación electrónica de usuario en
el sistema. Ø Pérdida de integridad de la
información. Ø Acceso ilegal a cuenta privada. Ø Violación de las normas de uso de
cuentas de correo.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 019__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de cambio de clave._________________
Anexo 1.19. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-05-2003 50 No cambiar la clave tan pronto se ingrese al sistema por primera vez
Acciones accidentales: Ø Fallas en la admón. del uso de la clave
por parte de cada usuario.
Ø Acciones malintencionadas. Ø Violación de la privacidad y el buen
nombre de los usuarios. Ø Sanciones académicas, laborales y
penales. Ø Suplantación electrónica de usuario en
el sistema. Ø Pérdida de integridad de la
información. Ø Acceso ilegal a cuenta privada. Ø Violación de las normas de uso de
cuentas de correo. 26-05-2003 51 No cambiar la
clave cuando se reactiva la cuenta
Acciones accidentales: Ø Fallas en la admón. del uso de la clave
por parte de cada usuario.
Ø Acciones malintencionadas. Ø Violación de la privacidad y el buen
nombre de los usuarios. Ø Sanciones académicas, laborales y
penales. Ø Suplantación electrónica de usuario en
el sistema. Ø Pérdida de integridad de la
información. Ø Acceso ilegal a cuenta privada. Ø Violación de las normas de uso de
cuentas de correo.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 020__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de cambio de clave._________________
Anexo 1.20. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-05-2003 52 Vencimiento de clave por no cambio oportuno
Acciones accidentales: Ø Fallas en la admón. de la clave por
parte del usuario.
Ø Bloqueo de cuenta de correo
26-05-2003 53 Bloqueo equivocado de cuenta por cambio de clave
Acciones Accidentales o malintencionadas: Ø Fallas en la admón. del proceso de
bloqueo de cuentas por parte del CC.
Ø Interrupción del servicio
deliberadamente. Ø Servicio inoportuno y demorado Ø Pérdida de credibilidad del servicio Ø Prestar servicios de mala calidad
26-05-2003 54 No existencia de
historial de claves de usuarios en el sistema
Acciones accidentales o errores del sistema: Ø Fallas en el sistema de backups de
claves. Ø Ausencia de tecnología adecuada para
realizar proceso de backups de claves.
Ø Repetición de clave de un mismo
usuario para acceder al sistema. Ø No seguridad total sobre el sistema. Ø Violación de los sistemas de seguridad
del sistema.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 021__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de tamaños de cuentas de correo._____
Anexo 1.21. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-05-2003
55 Superar límite de cuenta de correo
Acciones accidentales: Ø Fallas en la administración de la cuenta
por parte del usuario.
Ø Correos permanecen a lo sumo en la
bandeja de entrada pero se pueden trasladar a carpetas personales.
Ø Pérdida de información.
26-05-2003 56 No aviso cuando se supere el límite de la cuenta de correo.
Acciones accidentales o malintencionadas: Ø Fallas en el sistema Veritas de
FileSystem y SW interno de Sendmail. Ø Acciones malintencionadas.
Ø Pérdida de mensajes. Ø Correos permanecen a lo sumo en la
bandeja de entrada pero se pueden trasladar a carpetas personales.
26-05-2003 57 Pérdida errónea
de correo por límite de cuenta
Acciones accidentales o malintencionadas: Ø Fallas en el sistema Veritas de
FileSystem y SW interno de Sendmail. Ø Acciones malintencionadas.
Ø Pérdida de información. Ø Pérdida de credibilidad del servicio. Ø Insatisfacción de los usuarios.
26-05-2003 58 Recuperación errónea de correo
Acciones acciedentales o malintencionadas: Ø Fallas en el sistema de recuperación de
correo. Ø Acciones malintencionadas.
Ø Violación de las normas de
recuperación de correo. Ø Acceso ilegal a información no
autorizada. Ø Sanciones laborales.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 022__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Administración de tamaños de correos.______________
Anexo 1.22. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-05-2003 59 Superar límite de correo enviados desde una cuenta de usuario
Acciones accidentales: Ø Fallas en la administración de la cuenta
por parte del usuario.
Ø Pérdida de información. Ø Violación de normas de tamaño de
correos.
26-05-2003 60 No aviso cuando se supera el límite de correo enviados desde una cuenta de usuario.
Acciones accidentales o malintencionadas: Ø Fallas en el sistema Veritas de
FileSystem y SW interno de Sendmail. Ø Acciones malintencionadas.
Ø Pérdida de información. Ø Violación de normas de tamaño de
correos.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 023__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Uso de cuentas de correo._________________________
Anexo 1.23. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
25-05-2003 61 Realización de actividades ilegales con la cuenta de correo
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Sanciones académicas y legales. Ø Fraude/Sabotaje Ø Uso indebido de los servicios del
sistema Ø Abuso de confianza de los usuarios.
25-05-2003 62 Acceso al correo de otros usuarios
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Sanciones académicas, laborales y legales.
Ø Fraude/Sabotaje Ø Uso indebido de los servicios del
sistema Ø Abuso de confianza de los usuarios.
25-05-2003 63 Desempeño de actividades diferentes a las funciones asignadas por parte de los empleados
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Sanciones laborales y legales. Ø Fraude/Sabotaje Ø Uso indebido de los servicios del
sistema Ø Abuso de confianza de los usuarios.
25-05-2003 64 Acceso a directorio interno por parte de terceros
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Sanciones legales. Ø Fraude/Sabotaje Ø Uso indebido de los servicios del
sistema Ø Abuso de confianza de los usuarios.
25-05-2003 65 No entrega de medio magnético de archivos de funciones recibidas por correo.
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Sanciones laborales. Ø Abuso de confianza de los usuarios.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 024__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Uso de cuentas de correo._________________________
Anexo 1.24. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-05-2003 66 Interferir ilegalmente en procesos computacionales
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Disminución en el desempeño o la capacidad de equipos instalados.
Ø Violación de esquemas de seguridad. Ø Sanciones académicas, laborales y
legales. 26-05-2003 67 Utilización
indebido de recursos públicos
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Saturación de líneas de acceso. Ø Abuso del espacio de disco de cada
usuario. Ø Sanciones académicas, laborales y
legales. 26-05-2003 68 Utilización o
reproducción ilegal de SW
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Uso ilegal de derechos de propiedad de
SW.
Ø Sanciones legales, académicas y laborales.
Ø Abuso de confianza de los usuarios. Ø Violación de sistemas de seguridad de
programas o archivos. Ø Fraude/Hurto de SW
26-05-2003 69 Acceso indebido a lectura de correos de otras personas
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Fraude/Hurto/Sabotaje Ø Acciones malintencionadas. Ø Sanciones legales, académicas y
laborales. Ø Violación de los sistemas de seguridad Ø Violación de la propiedad privada
26-05-2003 70 Uso indebido de los medios de la red
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Mal funcionamiento de la red Ø Afecta el bienestar de la comunidad Ø Sanciones legales, académicas o
laborales Ø Violación de los recursos de la red
26-05-2003 71 Uso de archivos o programas no autorizados.
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Acciones malintencionadas Ø Fraude/Hurto/Sabotaje Ø Sanciones legales, laborales y
académicas Ø Abuso de confianza de los usuarios.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 025__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Uso de cuentas de correo.________________________
Anexo 1.25. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-05-2003 72 Acceso a sitios WEB no autorizados
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Acciones malintencionadas Ø Fraude/Hurto/Sabotaje Ø Sanciones legales, laborales y
académicas Ø Abuso de confianza de los usuarios.
26-05-2003 73 Información visible de correos por admón. del sistema.
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Acciones malintencionadas Ø Fraude/Hurto/Sabotaje Ø Violación de la privacidad de la info. Ø Abuso de confianza de los admón. del
sistema. 26-05-2003 74 Apoderarse de
clave de otra persona
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Fraude/Hurto/Sabotaje Ø Acciones malintencionadas. Ø Sanciones legales, académicas y
laborales. Ø Violación de los sistemas de seguridad Ø Violación de la propiedad privada y el
buen nombre de los clientes. Ø Suplantación electrónica de usuario
con fines malintencionados.
26-05-2003 75 Uso de cuenta de otra persona
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Fraude/Hurto/Sabotaje Ø Acciones malintencionadas. Ø Sanciones legales, académicas y
laborales. Ø Violación de los sistemas de seguridad Ø Violación de la propiedad privada y el
buen nombre de los clientes. Ø Suplantación electrónica de usuario
con fines malintencionados.
REGISTRO DE RIESGOS, CAUSAS E IMPACTOS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 026__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Mayo 26 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico Proceso: Uso de cuentas de correo.________________________
Anexo 1.26. Resultado de registro de riesgos, causas e impactos.
Fecha Hallazgo
Num Riesgo
Descripción Riesgo
Causa Riesgo Consecuencia (impacto) Riesgo
26-05-2003 76 Intento de lectura, copia o modificación de archivos personales de otros usuarios.
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Fraude/Hurto/Sabotaje Ø Acciones malintencionadas. Ø Sanciones legales, académicas y
laborales. Ø Violación de los sistemas de seguridad Ø Violación de la propiedad privada
26-05-2003 77 Usuario no
identificable en los mensajes
Acciones malintencionadas: Ø Violación de las normas de uso de
cuentas de correo. Ø Vulnerabilidad del sistema.
Ø Fraude/Hurto/Sabotaje Ø Acciones malintencionadas. Ø Sanciones legales, académicas y
laborales.
REGISTRO DE VALORACIÓN DE RIESGOS IMPACTO VS PROBABILIDAD
Cliente:._________________________________ Hoja de trabajo No: _____________ Responsable /Auditor: ____________________ Fecha: _______________________ Área /Tema Revisado: ____________________________________________________
Impacto Probabilidad Número Riesgo Alto Medio Bajo Alto Medio Bajo
Anexo 2. Formato de registro de valoración de riesgos, impacto vs. probabilidad.
REGISTRO DE VALORACIÓN DE RIESGOS IMPACTO VS PROBABILIDAD
Cliente: Institución de Educación Superior._____ Hoja de trabajo No: 028__________ Responsable /Auditor: Bibiana Díaz Guevara.__ Fecha: Junio 11 de 2003._________ Área /Tema Revisado: Sistema actual de correo electrónico a nivel general.___________
Impacto Probabilidad Número Riesgo Alto Medio Bajo Alto Medio Bajo 1.1 1 0.11.2 1 0.11.3 1 0.11.4 0.5 0.11.5 0.1 0.5 1.6 1 0.11.7 0.1 0.11.8 0.1 0.11.9 1 0.11.10 1 0.11.11 1 0.11.12 1 1 2.1 0.5 0.12.2 1 0.5 2.3 1 0.12.4 0.1 0.12.5 1 1 2.6 0.5 0.5 2.7 1 0.12.8 1 0.5 2.9 1 0.5 2.10 0.1 0.13.1 1 0.13.2 1 0.13.3 1 1 3.4 1 1 3.5 1 0.13.6 1 1 3.7 1 0.5 3.8 1 1 3.9 1 0.5 3.10 1 0.5 3.11 1 0.1
Anexo 2.1. Resultado de valoración de riesgos, impacto vs. probabilidad.
REGISTRO DE VALORACIÓN DE RIESGOS IMPACTO VS PROBABILIDAD
Cliente: Institución de Educación Superior._____ Hoja de trabajo No: 029__________ Responsable /Auditor: Bibiana Díaz Guevara.__ Fecha: Junio 11 de 2003._________ Área /Tema Revisado: Sistema actual de correo electrónico a nivel general.___________
Impacto Probabilidad Número Riesgo Alto Medio Bajo Alto Medio Bajo 3.12 1 0.1 3.13 1 0.1 4.1 1 0.1 4.2 1 0.1 4.3 1 0.1 4.4 1 0.1 4.5 1 0.5 4.6 0.5 0.5 4.7 1 0.1 4.8 1 0.5 4.9 1 0.1 4.10 1 0.1 4.11 1 1 4.12 1 1 4.13 1 0.5 4.14 1 1 5.1 1 0.1 5.2 1 0.1 5.3 0 0 5.4 0 0 5.5 1 0.1 5.6 1 0.1 5.7 1 0.5 6 1 0.1 7 1 0.1 8 0 0 9 0.5 1 10 1 0.1 11 0.5 1 12 0.5 0.5 13 1 0.1 14 1 0.1 15 1 0.1 Anexo 2.2. Resultado de valoración de riesgos, impacto vs. probabilidad.
REGISTRO DE VALORACIÓN DE RIESGOS IMPACTO VS PROBABILIDAD
Cliente: Institución de Educación Superior._____ Hoja de trabajo No: 030__________ Responsable /Auditor: Bibiana Díaz Guevara.__ Fecha: Junio 11 de 2003._________ Área /Tema Revisado: Sistema actual de correo electrónico a nivel general.___________
Impacto Probabilidad Número Riesgo Alto Medio Bajo Alto Medio Bajo 16 0.5 0.5 17 1 0.1 18 1 0.5 19 1 0.1 20 0.5 0.5 21 1 0.1 22 1 0.5 23 0.5 1 24.1 1 0.5 24.2 1 0.1 25.1 0.1 1 25.2 0.1 0.1 26.1 0.1 0.1 26.2 0.1 0.1 27.1 0.1 0.1 27.2 0.1 0.1 28.1 0.1 0.1 28.2 0.1 0.1 29.1 0.1 0.1 29.2 0.1 0.1 30.1 0.1 0.1 30.2 0.1 0.1 31.1 1 0.5 31.2 1 0.1 32.1 1 0.5 32.2 1 0.1 33.1 0.1 0.1 33.2 0.1 0.1 34.1 1 0.1 34.2 1 0.1 35.1 1 0.5 35.2 1 0.1 36.1 1 0.5 Anexo 2.3. Resultado de valoración de riesgos, impacto vs. probabilidad.
REGISTRO DE VALORACIÓN DE RIESGOS IMPACTO VS PROBABILIDAD
Cliente: Institución de Educación Superior._____ Hoja de trabajo No: 031__________ Responsable /Auditor: Bibiana Díaz Guevara.__ Fecha: Junio 11 de 2003._________ Área /Tema Revisado: Sistema actual de correo electrónico a nivel general.___________
Impacto Probabilidad Número Riesgo Alto Medio Bajo Alto Medio Bajo 36.2 1 0.1 37.1 1 0.5 37.2 1 0.1 38.1 1 0.5 38.2 1 0.1 39.1 1 0.5 39.2 1 0.1 40.1 1 0.5 40.2 1 0.1 41.1 0.1 1 41.2 0.1 0.1 42.1 0.1 1 42.2 0.1 0.1 43.1 0.1 1 43.2 0.1 0.1 44.1 0.1 1 44.2 0.1 0.5 45.1 0.1 1 45.2 0.1 0.5 46.1 0.1 1 46.2 0.1 0.5 47 0 0 48 1 0.5 49 1 0.5 50 0.5 1 51 0.5 1 52 0.5 1 53 1 0.5 54 0.5 1 55 1 0.5 56 1 0.1 57 0 0 58 0 0 Anexo 2.4. Resultado de valoración de riesgos, impacto vs. probabilidad.
REGISTRO DE VALORACIÓN DE RIESGOS IMPACTO VS PROBABILIDAD
Cliente: Institución de Educación Superior._____ Hoja de trabajo No: 032__________ Responsable /Auditor: Bibiana Díaz Guevara.__ Fecha: Junio 11 de 2003._________ Área /Tema Revisado: Sistema actual de correo electrónico a nivel general.___________
Impacto Probabilidad Número Riesgo Alto Medio Bajo Alto Medio Bajo 59 0 0 60 0 0 61 1 1 62 1 0.5 63 1 1 64 1 0.1 65 1 0.5 66 1 0.1 67 1 1 68 0 0 69 0.5 0.5 70 0.5 0.5 71 0.1 1 72 0.1 1 73 1 0.1 74 1 0.5 75 1 0.5 76 1 0.5 77 1 0.5 Anexo 2.5. Resultado de valoración de riesgos, impacto vs. probabilidad.
REGISTRO DE CONTROLES Cliente: ______________________________________________ Hoja de trabajo No: ______________________ Responsable /Auditor: _________________________________ Fecha: _____________________________ Área /Tema Revisado: ______________________________________________________________________________ Convenciones: Tipos de Control: Preventivo (P) Correctivo (C) Manual (M) Voluntario (V) Detectivo (D) Aceptable (AC) Automático (A) Obligatorio (O)
Num Riesgo
Control? SI/NO
ID Control
Descripción Control Quién realiza
El control
Cada cuánto Se realiza
control
AC
P D C M A V O
Anexo 3. Formato de registro de Controles.
REGISTRO DE CONTROLES Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 033__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Junio 16 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico________________________________________________________ Convenciones: Tipos de Control: Preventivo (P) Correctivo (C) Manual (M) Voluntario (V) Detectivo (D) Aceptable (AC) Automático (A) Obligatorio (O)
Num Riesgo
Control? SI/NO
ID Control
Descripción Control Quién realiza
El control
Cada cuánto Se realiza
control
AC
P D C M A V O
1.12 SI 1 Soporte 7X24, si existe disco o tarjeta dañada, se revisan dichos componentes y posteriormente se instalan nuevos componentes o se arreglan.
Compañía de Outsourcing
Cada que sucede un daño en los discos y/o en las tarjetas.
X X X X
1.12 SI 2 Backup de las máquinas criticas. Los backups se guardan en cintas, estas se rotan cada dos meses y algunas semestralmente.
Operario Supervisor de Servidores.
Diariamente Incremental y el sábado se hace total.
X X X X
1.12 SI 3 Contingencia de las máquinas críticas.
Operario Supervisor de Servidores o Compañía de Outsourcing
Cuando sucede un problema en los discos y/o en las tarjetas.
X X X X
2.5 NO 3.3 SI 4 Firewall, sólo deja acceder al sistema
desde ciertos puntos. Firewall, HW Todo el
tiempo está revisando el acceso al sistema.
X X X X X
Anexo 3.1. Resultado de Registro de Controles
REGISTRO DE CONTROLES Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 034__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Junio 16 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico________________________________________________________ Convenciones: Tipos de Control: Preventivo (P) Correctivo (C) Manual (M) Voluntario (V) Detectivo (D) Aceptable (AC) Automático (A) Obligatorio (O)
Num Riesgo
Control? SI/NO
ID Ctl
Descripción Control Quién realiza El control?
Cada cuánto Se realiza control?
AC
P D C M A V O
3.3 SI 5 Autenticación de usuarios: Se da acceso a máquinas críticas asignando claves de ingreso al sistema. Las claves sólo se le dan a 6 personas determinadas del CC. Las claves permiten ingresar al sistema a realizar solo ciertas funciones, dependiendo del perfil del usuario.
Ingeniero Supervisor de Servidores. Sistema de Autenticación de usuarios.
Cada vez que se necesite Cada vez que algún usuario se conecta al sistema.
X X X X X
3.4 SI 5 Internamente (empleados CC): Autenticación de usuarios.
Sistema de Autenticación de usuarios.
Cada vez que algún usuario se conecta al sistema.
X X X X X
3.4 SI 6 Mecanismo de Time Out. Después de cierto tiempo el sistema solicita el reingreso de clave de usuario para usar correo.
Sistema Horde. Cada 15 minutos apx.
X X X X
3.4 SI 7 Página de iniciación de usuarios, enseñando y verificando la aceptación de normas de uso del correo.
Proceso del sistema de correo.
Cada vez que se abre una nueva cuenta de correo para cualquier tipo de usuario.
X X X X
Anexo 3.2. Resultado de Registro de Controles
REGISTRO DE CONTROLES Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 035__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Junio 16 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico________________________________________________________ Convenciones: Tipos de Control: Preventivo (P) Correctivo (C) Manual (M) Voluntario (V) Detectivo (D) Aceptable (AC) Automático (A) Obligatorio (O)
Num Riesgo
Control? SI/NO
ID Ctl
Descripción Control Quién realiza
El control?
Cada cuánto Se realiza control?
AC
P D C M A V O
3.4 SI 8 Proceso de aprendizaje de las normas de uso. Éstas se publican en la página de servicios del CC y en la página principal de la cuenta de correo.
CC Constantemente X X X X
3.6 SI 5 Internamente (empleados CC): Autenticación de usuarios.
Sistema de Autenticación de usuarios.
Cada vez que algún usuario se conecta al sistema.
X X X X X
3.8 SI 4 Firewall. Solo deja acceder al sistema desde ciertos puntos.
Firewall. HW Todo el tiempo está revisando el acceso al sistema.
X X X X
3.8 SI 5 Autenticación de usuarios internos del CC.
Sistema de autenticación de usuarios.
Constantemente X X X X X
3.8 SI 8 Proceso de aprendizaje de las normas de uso.
CC Constantemente. X X X X
Anexo 3.3. Resultado de Registro de Controles.
REGISTRO DE CONTROLES Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 036__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Junio 16 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico________________________________________________________ Convenciones: Tipos de Control: Preventivo (P) Correctivo (C) Manual (M) Voluntario (V) Detectivo (D) Aceptable (AC) Automático (A) Obligatorio (O)
Num Riesgo
Control? SI/NO
ID Ctl
Descripción Control Quién realiza
El control?
Cada cuánto Se realiza control?
AC
P D C M A V O
4.11 SI 1 Soporte 7X24, si existe disco o tarjeta dañada, se revisan dichos componentes y posteriormente se instalan nuevos componentes o se arreglan.
Compañía de Outsourcing
Cada que sucede un daño en los discos y/o en las tarjetas.
X X X X
4.11 SI 2 Backup de las máquinas criticas. Los backups se guardan en cintas, estas se rotan cada dos meses y algunas semestral.
Operario Supervisor de Servidores.
Diariamente Incremental y el sábado se hace total.
X X X X
4.11 SI 3 Contingencia de las máquinas críticas. Operario Supervisor de Servidores o Compañía de Outsourcing
Cuando sucede un problema en los discos y/o en las tarjetas.
X X X X
4.12 SI 1 Soporte 7X24, si existe disco o tarjeta dañada, se revisan dichos componentes y posteriormente se instalan nuevos componentes o se arreglan.
Compañía de Outsourcing
Cada que sucede un daño en los discos y/o en las tarjetas.
X X X X
4.12 SI 2 Backup de las máquinas criticas. Los backups se guardan en cintas, estas se rotan cada dos meses y algunas semestral.
Operario Supervisor de Servidores.
Diariamente Incremental y el sábado se hace total.
X X X X
Anexo 3.4. Resultado de Registro de Controles.
REGISTRO DE CONTROLES Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 037__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Junio 16 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico________________________________________________________ Convenciones: Tipos de Control: Preventivo (P) Correctivo (C) Manual (M) Voluntario (V) Detectivo (D) Aceptable (AC) Automático (A) Obligatorio (O)
Num Riesgo
Control? SI/NO
ID Ctl
Descripción Control Quién realiza
El control?
Cada cuánto Se realiza control?
AC
P D C M A V O
4.12 SI 3 Contingencia de las máquinas críticas. Operario Supervisor de Servidores o Compañía de Outsourcing
Cuando sucede un problema en los discos y/o en las tarjetas.
X X X X
4.14 SI 8 Proceso de aprendizaje de las normas de uso. Éstas se publican en la página de servicios del CC y en la página principal de la cuenta de correo.
CC Constantemente X X X X
61 NO 63 NO 67 SI 9 Revisión de tamaños de cuentas de
correo. Si tamaño excede cuota se envía correo a usuario recordando que el límite de cuenta está excedido y se recomienda borrar algunos correos para dejar espacio.
Proceso alterno de sistema de correo. Orcallator.
Continuamente. X X X X X
Anexo 3.5. Resultado de Registro de Controles.
REGISTRO DE CONTROLES Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 038__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Junio 16 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico________________________________________________________ Convenciones: Tipos de Control: Preventivo (P) Correctivo (C) Manual (M) Voluntario (V) Detectivo (D) Aceptable (AC) Automático (A) Obligatorio (O)
Num Riesgo
Control? SI/NO
ID Ctl
Descripción Control Quién realiza El control?
Cada cuánto Se realiza control?
AC
P D C M A V O
67 SI 10 Análisis de estadísticas de tamaños de cuentas de correo. Se ejecuta un script que arroja dichas estadísticas. Con las 10 cuentas apx, con los mayores tamaños de cuenta de correo.
Administrador de sistema de correo CC.
Constantemente, Cada vez que el administrador detecte tamaños críticos de cuentas de correo.
X X X X
67 SI 11 Análisis de estadísticas de tamaños de los discos de correo. Porcentaje utilizado de los discos y uso por horas de CPU autorizadas. Se ejecuta una aplicación que arroja dichas estadísticas.
Administrador de sistema de correo CC. Proceso alterno: Orcallator.
Constantemente, Cada vez que el administrador detecte tamaños críticos de los discos.
X X X X
67 SI 12 Análisis de estadísticas de tamaños del inbox de correo. Se ejecuta un script que arroja dichas estadísticas.
Administrador de sistema de correo CC.
Constantemente, Cada vez que el administrador detecte tamaños críticos del inbox de las cuentas de correo.
X X X X
Anexo 3.6. Resultado de Registro de Controles.
REGISTRO DE PRUEBAS Cliente: ______________________________________________ Hoja de trabajo No: __________________ Responsable /Auditor: ________________________________ Fecha: ________________________________ Área /Tema Revisado: __________________________________________________________________________
Num riesgo
ID control
Descripción control Tipo control
Num prueba
Descripción prueba
.
Anexo 4. Formato de registro de Pruebas.
REGISTRO DE PRUEBAS Cliente: Institución de Educación Superior.______________ Hoja de trabajo No: 039__________________________________ Responsable /Auditor: Bibiana Díaz Guevara.___________ Fecha: Junio 19 de 2003._________________________________ Área /Tema Revisado: Sistema actual de correo electrónico________________________________________________________
Num riesgo
ID control
Descripción control Tipo control
Num
prueba
Descripción prueba
1 1.12 4.11 4.12
1 Soporte 7 X 24 Aceptable Correctivo Manual Obligatorio
2
Ø Se verificó la existencia de contrato con la empresa externa que realiza el soporte 7X24.
Ø Se verificó la existencia de licencias de: SW, mantenimiento y servicios.
1.12 4.11 4.12
2 Backup de las máquinas críticas.
Aceptable Preventivo Manual Obligatorio
3 Ø Se verificó la existencia de cintas de backup del día anterior.
4
5
3.3 3.4 3.6 3.8
4 Autenticación de usuarios. Aceptable Preventivo Detectivo Automático Obligatorio
6
Ø Se verificó el proceso de ingreso y validación de administrador al sistema de correo.
Ø Se revisaron logs de autenticación de usuarios y de
máquinas autorizadas del CC. Ø Se verificó el proceso de ingreso y validación de usuario
(estudiante, empleado, profesor) al sistema de correo.
9 7 67 10
Estadísticas de tamaño de cuentas de correo.
Aceptable Detectivo Automático Voluntario
8
Ø Se verificó ejecución de script que genera estadísticas de porcentaje y tamaños de cuentas de correo.
Ø Se verificó lista de las cuentas de correo (10) con tamaño crítico.
67
11 Estadísticas de porcentaje de utilización de discos y uso de CPU.
Aceptable Detectivo Automático Voluntario
9 Ø Se verificó ejecución de script que genera estadísticas de porcentaje de utilización de discos y CPU.
67
12 Estadísticas de tamaño de inbox de cuentas de correo.
Aceptable Detectivo Automático Voluntario
10 Ø Se verificó ejecución de script que genera estadísticas de porcentaje y tamaños de inbox de cuentas de correo.
Anexo 4.1. Resultado de Pruebas de Cumplimiento a Controles.
REGISTRO DE RECOMENDACIONES Y PLAN DE ACCION Cliente: ______________________________________________ Hoja de trabajo No: ___________________ Responsable /Auditor: _________________________________ Fecha: _____________________________ Área /Tema Revisado: ___________________________________________________________________________ Fecha Hallazgo
Número Riesgo
Número Recomendación
Descripción Recomendación
Descripción del plan de acción
Responsable Implementación
Tiempo Implementación
Tiempo de Implantación I: Inmediato M: Mediano C: Corto
Anexo 5. Formato de registro de recomendaciones y plan de acción.
Anexo 6. Esquema de creación y asignación de cuentas de correo para estudiantes.
Anexo 7. Esquema de creación y asignación de cuentas de correo para empleados.
Anexo 8. Esquema de creación y asignación de cuentas de correo para terceros.
NORMAS DE CONDUCTA PARA EL USO DE LOS SERVICIOS DE RED 1. Los usuarios podrán utilizar únicamente los servicios para los cuales están autorizados. No deberán usar la cuenta de otra persona, ni intentar apoderarse de claves de acceso de otros, así como no deberán intentar acceder ni modificar archivos que no son de su propiedad, y mucho menos, los pertenecientes a la administración de la entidad o a otras instituciones. 2. El Usuario debe ser plenamente identificable en sus mensajes. No debe suplantar el nombre ni el código de otro usuario. 3. Se debe respetar la privacidad de otros usuarios. Los archivos, discos, cintas e información, son privados; el Usuario no debe intentar leer, copiar o cambiar los archivos de otro usuario, a menos que haya sido autorizado por éste. 4. El Usuario no debe interferir en los procesos computacionales de la Institución mediante acciones deliberadas que disminuyan el desempeño o la capacidad de los equipos instalados. Así mismo y bajo ningún pretexto debe intentar burlar los esquemas de seguridad de los sistemas de la Institución. 5. El Usuario debe utilizar de manera eficiente los recursos públicos sin saturar las líneas de acceso, ni abusar del espacio en disco. El número máximo de usuarios a los que puede enviar un mensaje de datos simultáneamente es de 50. Si requiere enviar el mensaje a un mayor número de usuarios deberá solicitarlo al Administrador del Servicio de Correo. Esta restricción no aplica para las listas de correo. 6. La Institución fijará un tamaño máximo de 4 Mb para cada mensaje que envíe el usuario, y así mismo, el usuario podrá guardar en su casilla de correo un máximo de 5 Mb. Si el usuario sobrepasa el límite de almacenamiento autorizado, el Administrador del servicio está facultado para borrar los mensajes indiscriminadamente. 7. Los derechos de Propiedad Intelectual otorgados a través de las respectivas autorizaciones (Licencias) de uso de Soporte lógico - Software, Bases de Datos o Creaciones Multimedia están amparados por la legislación vigente sobre la materia en Colombia. Por consiguiente se considera como una conducta ilícita la utilización o reproducción de estos o de cualquier otro material protegido, bien sea en estaciones de trabajo, en computadores o en redes sin la correspondiente autorización del titular de los derechos licenciados a menos que sea de dominio
público (public domain software). Ninguno de los programas registrados debe ser usado en un sistema o computador diferente de aquel a donde fue instalado y licenciado. 8. Los Mensajes de Datos (intercambio electrónico de datos, correo electrónico e Internet) son enviados en forma privada a cada usuario, por lo tanto ningún usuario puede interferir ni leer el correo de otros usuarios, tampoco se debe utilizar este medio con fines fraudulentos, comerciales o publicitarios. 9. Cada director de computador o red en el mundo, establece las reglas y limitaciones del uso de su sistema; el usuario deberá obedecer las reglas establecidas por los directores de cada red a la que accese. 10. El Administrador del servicio usará todos los medios que estén a su alcance para asegurar el buen funcionamiento de los servicios en beneficio de la Comunidad. 11.La Institución guardará los registros de las transacciones de los usuarios y podrá suministrarlos en las investigaciones que se sigan por conductas irregulares con el uso de los servicios. 12. Uno de los servicios que presta la red es el acceso a Internet, por lo que se debe tener en cuenta que la IAB (Internet Activities Board) considera antiética e inaceptable cualquier actividad cuyo propósito pueda ser: · Buscar acceso no autorizado a los recursos de Internet. · Dañar el uso futuro de Internet. · Malgastar recursos (personas, capacidad o computadores) por medio de estas acciones. · Destruir la integridad de información digital. · Comprometer la privacidad de los usuarios. 13. Las irregularidades, dudas, problemas o inconvenientes relacionados con el servicio de Internet de la Institución deberán ser reportados al Centro de Computo de la entidad.
Anexo 9. Normas de conducta para el uso de los servicios de red 1.
1 Tomado de las normas de conducta para el uso de los servicios de red de la entidad auditada, Bogotá, Mayo de 2003.
RECOMENDACIONES PARA MANEJO DE CLAVES DE CUENTAS DE CORREO1
• La clave que le ha sido asignada a Usted, debe cambiarse inmediatamente.
• Cambie su clave como mínimo cada 2 meses. • Use claves mezclando mayúsculas, minúsculas, puntuación, números,
etc. • Use claves que contengan más de 7 caracteres. • Use claves fáciles de recordar: que para Usted cada carácter tenga un
significado y que no las tenga que escribir en papeles. • Use claves que pueda escribir rápidamente en presencia de otras
personas. • No comparta la clave con nadie: la mayoría de los problemas de
seguridad ocurren al interior de las empresas, familias y grupos de amigos.
• Evite usar las mismas claves que ya había utilizado.
En especial nunca use claves que:
• Tengan el código de usuario (login) en alguna forma (tal cual, en reversa, en mayúsculas, etc.).
• Hagan referencia al nombre de su esposo(a), hijos, novio(a) u otro familiar.
• Tengan su nombre o apellido en forma alguna. • Tengan información acerca de Usted o de algún familiar (marca o placa
del carro, número telefónico, fecha de nacimiento, etc.). • Se encuentren en algún diccionario (ni en español ni en otro idioma).
Algunos consejos para crear una clave que cumpla con las anteriores recomendaciones y que sea de fácil recordación son los siguientes:
• Escoja una línea o dos de un poema, frase o canción y use las primeras letras de cada palabra.
• Alterne entre una consonante y una o dos vocales hasta llegar a 7 u 8 caracteres. Esto genera palabras sin sentido, las cuales son pronunciables y por lo tanto de fácil recordación.
• Escoja dos palabras cortas y encadénelas con un símbolo de puntuación entre ellas.
• Reemplace las "eles" (l) por unos (1), las "o" por ceros (0), etc.
Anexo 10. Recomendaciones para manejo de claves de cuentas de correo
1 http://www.multi.net.co/normasbasicasnf.htm#Manejo de claves. Junio 27 de 2003.
