Upload
adrian-centeno
View
1.390
Download
14
Embed Size (px)
Citation preview
Universidad Tecnologica de Netzahualcoyotl
AUDITORIA DE SISTEMAS EN TI
Auditoria de Sistemas TI 2010Contenido1.1 Auditoria de la Funcin Informtica..........................................................................................................................4 1.1.1 Definir conceptos de Auditoria y Auditoria Informtica .....................................................................................4 1.1.2 Describir la estructura organizacional y funciones de la auditoria Informtica .................................................4 1.1.3 Reconocer las TI y sus caractersticas .............................................................................................................4 1.2 Polticas de la Organizacin (Reglas de la Organizacin) .......................................................................................5 1.2.1 Describir el concepto de Poltica ......................................................................................................................5 1.2.2 Describir la importancia del manual de Polticas de la Organizacin ...............................................................5 1.3 Interpretacin del Manual de Procedimientos de la organizacin ............................................................................6 1.3.1 Reconocer los conceptos de procesos, roles y funciones ................................................................................6 1.3.2 Definir el concepto de manual ..........................................................................................................................6 1.3.3 Describir los tipos de manuales de la organizacin y sus apartados................................................................6 1.4 Recursos Humanos..................................................................................................................................................7 1.4.1 Definir el concepto de Capital Humano ............................................................................................................7 1.4.2 Describir la Gestin de Recursos Humanos .....................................................................................................8 1.5 Diagnostico de la Situacin Actual .........................................................................................................................10 1.5.1 Describir los pasos para realizar un diagnostico de la situacin actual de una organizacin .........................10 1.5.2 Explicar el diagnostico del negocio u organizacin ........................................................................................11 1.5.3 reas de Oportunidad de TI dentro de la Organizacin .................................................................................12 1.6 Control Interno .......................................................................................................................................................13 1.6.1 Describir el concepto de control Interno, sus funciones y tipos de Control.....................................................13 1.6.2 Describir la metodologa para el establecimiento de Controles ......................................................................16 2.1 Planeacin de la auditoria Informtica ...................................................................................................................17 2.1.1 Reconocer las normas y estndares relacionados con proyectos de TI.........................................................17 2.1.2 Identificar las fases de la auditoria Informtica ...............................................................................................17 2.1.3 Definir los elementos de la planeacin de la auditoria Informtica .................................................................17 2.1.4 Definir el concepto de la lista de Verificacin .................................................................................................17 2.2 Evaluacin de la Seguridad ...................................................................................................................................18 2.2.1 Identificar los modelos de Seguridad ..............................................................................................................19 2.2.2 Identificar las areas y fases que pueda cubrir la auditoria de la seguridad ..................................................19 2.2.3 Definir la auditoria de seguridad fsica lgica de los datos .............................................................................20 2.3 Seleccin de proveedores......................................................................................................................................21 2.3.1 Reconocer las caractersticas que debe tener un proveedor .........................................................................21 2.3.2 Reconocer los procedimientos vigentes o existentes para la seleccin de proveedores ...............................22 2.4 Licenciamiento del Software ..................................................................................................................................23 2.4.1 Identificar los diferentes tipos de licenciamientos de software y condiciones de uso .....................................23 2.5 Evaluacin de Hardware y Software ......................................................................................................................24 2.5.1 Describir las caractersticas del Hardware y software apropiado para tareas especficas .............................25 2.6 Evaluacin de sistemas .........................................................................................................................................25 2.6.1 Describir los pasos para evaluar los sistemas de informacin de acuerdo al ciclo de vida ............................26 2.6.2 Explicar los elementos de la evaluacin de anlisis de sistemas ...................................................................26 2.6.3 Explicar los elementos de la evaluacin del diseo lgico ............................................................................26 2.6.4 Explicar los elementos de la evaluacin del desarrollo del sistema ...............................................................27 2.7 Evaluacin de la red...............................................................................................................................................27 2.7.1 Reconocer los elementos que debe contener una red local con base en el estndar ANSI/TIA 569 A y B ...27 2.7.2 Reconocer los elementos que debe contener una red inalmbrica con base en el estndar ANSI EIA/TIA 802.11x ....................................................................................................................................................................29 2.7.3 Reconocer normas para establecer un site de Telecomunicaciones (ANSI EIA/TIA 569)..............................29 2.7.4 Reconocer el modelo OSI y el protocolo TCP/IP ............................................................................................30 2.7.5 Describir la vulnerabilidad de las redes ..........................................................................................................32
2
Auditoria de Sistemas TI 20102.7.6 Explicar la auditoria de la red fsica y lgica ...................................................................................................33 3.1 Conceptos Bsicos ................................................................................................................................................35 3.1.1 Describir el concepto de evidencia, las irregularidades, los papeles de trabajo o documentacin.................35 3.2 Interpretacin de los resultados de la Auditoria Informtica ..................................................................................36 3.2.1 Identificar los tipos de opiniones.....................................................................................................................36 3.2.2 Describir los componentes, caractersticas y tendencias de un informe ........................................................37 3.3 Identificar los tipos de conclusiones de la Auditoria Informtica ............................................................................37 3.3.1 Identificar los tipos de de conclusiones ..........................................................................................................37 3.4 reas de oportunidad e las ITIL ............................................................................................................................38 3.4.1 Reconocer el concepto de FODA y sus componentes ...................................................................................38 3.4.2 Definir el concepto de ITIL ..............................................................................................................................39 3.4.3 Describir los lineamientos y/o estndares que ayudan en el control, operacin, administracin de recursos y servicios informticos ..............................................................................................................................................39
3
Auditoria de Sistemas TI 20101.1 Auditoria de la Funcin Informtica1.1.1 Definir conceptos de Auditoria y Auditoria InformticaAuditoria: Es la revisin y examen de una funcin, cifra, proceso o reporte, efectuados por personal independiente a la operacin, para apoyar la funcin ejecutiva. La Auditoria de tecnologas de informacin (T.I.), como se le conoce actualmente, (Auditoria informtica o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y consistente, respondiendo a la acelerada evolucin de la tecnologa informtica de los ltimos 10 aos. En algunos pases altamente desarrollados es catalogada como una actividad de apoyo vital para el mantenimiento de la infraestructura crtica de una nacin, tanto en el sector pblico como privado, en la medida en que la informacin es considerada un activo tan o ms importante que cualquier otro en una organizacin. Existe pues, un cuerpo de conocimientos, normas, tcnicas y buenas prcticas dedicadas a la evaluacin y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la informacin tratada y almacenada a travs del computador y equipos afines, as como de la eficiencia, eficacia y economa con que la administracin de un ente estn manejando dicha INFORMACION y todos los recursos fsicos y humanos asociados para su adquisicin, captura, procesamiento, transmisin, distribucin, uso y almacenamiento. Todo lo anterior con el objetivo de emitir una opinin o juicio, para lo cual se aplican tcnicas de auditora de general aceptacin y conocimiento tcnico especfico.
1.1.2 Describir la estructura organizacional y funciones de la auditoria InformticaEspecialidad profesional apoyada por un conjunto de conocimientos profundos acerca de la tecnologa informtica, de tcnicas y procedimientos de auditora y de conocimientos contables suficientes, para evaluar la calidad, fiabilidad y seguridad de un entorno informtico dado, as como brindar seguridad razonable acerca de la utilidad de la informacin almacenada y procesada en ellos, con el fin de emitir un juicio al respecto. Complementariamente, su trabajo, deber permitir la emisin de un juicio u opinin acerca de lo adecuado del control interno informtico. Finalmente, deber expresar su opinin acerca de el grado de eficiencia, eficacia y economa con que estn siendo usados - administrados todos los recursos de tecnologa informtica a cargo de la administracin, incluido el factor humano. Rol de la auditoria/auditor de T.I. en la empresa El auditor de sistemas debe jugar un rol proactivo a travs de todas las etapas del proceso de sistematizacin del negocio. Adicionalmente debe apoyar a la Auditoria Financiera en su proceso de obtencin de evidencia y validacin de procedimientos de control a travs del uso de C.A.A.T. (computer audit assisted technologies) y del computador
1.1.3 Reconocer las TI y sus caractersticasLas TIC conforman el conjunto de recursos necesarios para manipular la informacin y particularmente los ordenadores, programas informticos y redes necesarias para convertirla, almacenarla, administrarla, transmitirla y encontrarla. Se puede reagrupar las TIC segn: Las redes.
4
Auditoria de Sistemas TI 2010Los terminales. Los servicios. Ejemplos de tic Las redes Telefona fija Banda ancha Telefona mvil Redes de televisin Redes en el hogar Los terminales Ordenador personal Navegador de Internet Sistemas operativos para ordenadores Telfono mvil Televisor Reproductores porttiles de audio y vdeo Consolas de juego
1.2 Polticas de la Organizacin (Reglas de la Organizacin)1.2.1 Describir el concepto de PolticaLa poltica, Es la actividad humana que tiende a gobernar o dirigir la accin del Estado en beneficio de la sociedad. Es el proceso orientado ideolgicamente hacia la toma de decisiones para la consecucin de los objetivos de un grupo. La ciencia poltica es una ciencia social que estudia dicha conducta de una forma acadmica utilizando tcnicas de anlisis poltico; los profesionales en esta ciencia adquieren el ttulo de politlogos, mientras quienes desempean actividades profesionales a cargo del Estado o se presentan a elecciones se denominan polticos
1.2.2 Describir la importancia del manual de Polticas de la OrganizacinLos Manuales representan una gua prctica que se utiliza como herramienta de soporte para la organizacin y comunicacin, que contiene informacin ordenada y sistemtica, en la cual se establecen claramente los objetivos, normas, polticas y procedimientos de la empresa, lo que hace que sean de mucha utilidad para lograr una eficiente administracin. Son considerados uno de los elementos ms eficaces para la toma de decisiones en la administracin, ya que facilitan el aprendizaje y proporcionan la orientacin precisa que requiere la accin humana en cada una de las unidades administrativas que conforman a la empresa, fundamentalmente a nivel operativo o de ejecucin, pues son una fuente de informacin que trata de orientar y mejorar los esfuerzos de sus integrantes para lograr la adecuada realizacin de las actividades que se le han encomendado.
5
Auditoria de Sistemas TI 20101.3 Interpretacin del Manual de Procedimientos de la organizacin1.3.1 Reconocer los conceptos de procesos, roles y funcionesSon los documentos en los que se integra toda la informacin operativa y administrativa de las unidades, con la finalidad de lograr la estandarizacin de operaciones, procesos, procedimientos, imagen y servicio. Manual de procedimientos Un manual de procedimientos es el documento que contiene la descripcin de actividades que deben seguirse en la realizacin de las funciones de una unidad administrativa, o de dos ms de ellas. Incluye: Puestos o unidades Administrativas Informacin y formatos de formularios Autorizaciones o documentos necesarios Funciones: Permite conocer el funcionamiento interno por lo que respecta a descripcin de tareas, ubicacin, requerimientos y a los puestos responsables de su ejecucin. Auxilian en la induccin del puesto y al adiestramiento y capacitacin del personal Sirve para el anlisis o revisin de los procedimientos de un sistema Interviene en la consulta de todo el personal Sirve Para establecer un sistema de informacin o bien modificar el ya existente. Para uniformar y controlar el cumplimiento de las rutinas de trabajo y evitar su alteracin arbitraria. Determina en forma ms sencilla las responsabilidades por fallas o errores. Facilita las labores de auditora, evaluacin del control interno y su evaluacin. Aumenta la eficiencia de los empleados, indicndoles lo que deben hacer y cmo deben hacerlo. Ayuda a la coordinacin de actividades y evitar duplicidades. Construye una base para el anlisis posterior del trabajo y el mejoramiento de los sistemas, procedimientos y mtodos
1.3.2 Definir el concepto de manualInstrumento administrativo que contiene en forma explcita, ordenada y sistemtica informacin sobre objetivos, polticas, procedimientos etc.
1.3.3 Describir los tipos de manuales de la organizacin y sus apartadosTipos de Manuales: Manual de Organizacin Describe la Organizacin Formal de la Empresa consignando: Misiones: enunciacin sinttica del objetivo que persigue el rea de la Organizacin.
6
Auditoria de Sistemas TI 2010Funciones Bsicas de la Autoridad: Quienes dependen de l y l de quien depende Responsabilidad Caractersticas y Especificaciones de la Posicin. Manual de Procedimientos. Describe en detalle las operaciones que integran los procedimientos administrativos en orden secuencial de su ejecucin y las normas a cumplir por los miembros de la organizacin compatibles con dichos procedimientos. La estructura de un Manual de Procedimientos debe contemplar: Cartula de Presentacin: indicando Tema, N de Procedimiento, Vigencia, reas afectadas y Analista Actuante. Objetivos y Alcance Instrucciones acerca de codificaciones utilizadas o de la forma de actualizacin. Manual del Puesto de Trabajo. Describe en forma pormenorizada la intervencin que le corresponde a la posicin en cada uno de los procedimientos en los que le toca intervenir. El Cmo, el Porqu y el Para Qu. Su contenido debe responder a la siguiente estructura: Objetivos. Funciones del Sector. Descripcin de Procedimientos. Tareas a realizar. Instrucciones. Responsabilidad
1.4 Recursos Humanos1.4.1 Definir el concepto de Capital HumanoSe denomina recursos humanos al trabajo que aporta el conjunto de los empleados o colaboradores de una organizacin. Pero lo ms frecuente es llamar as a la funcin que se ocupa de seleccionar, contratar, formar, emplear y retener a los colaboradores de la organizacin. Estas tareas las puede desempear una persona o departamento en concreto (los profesionales en Recursos Humanos) junto a los directivos de la organizacin. El capital humano es un trmino usado en ciertas teoras econmicas del crecimiento para designar a un hipottico factor de produccin dependiente no slo de la cantidad, sino tambin de la calidad del grado de formacin y productividad de las personas involucradas en un proceso productivo. A partir de ese uso inicialmente tcnico, se ha extendido para designar el conjunto de recursos humanos que posee una empresa o institucin econmica. Igualmente se habla de modo informal de mejora en el capital humano cuando aumenta el grado de destreza, experiencia o formacin de las personas de dicha institucin econmica. En las instituciones educativas se designa al "conjunto de conocimientos, habilidades, destrezas y talentos que posee una persona y la hacen apta para desarrollar actividades especficas"
7
Auditoria de Sistemas TI 2010Capital: cantidad de dinero o valor que produce inters o utilidad. Elemento o factor de la produccin formado por la riqueza acumulada que en cualquier aspecto se destina de nuevo a aquella unin del trabajo y de los agentes naturales. Humano: relativo al hombre o propio de l. Gestin: efectuar acciones para el logro de objetivos.Competencia: aptitud; cualidad que hace que la persona sea apta para un fin. Suficiencia o idoneidad para obtener y ejercer un empleo. Idneo, capaz, hbil o propsito para una cosa. Capacidad y disposicin para el buen de desempeo. Estos trminos por separado no nos dan mucha claridad o luz de su utilizacin en la administracin del RRHH, sin embargo veamos las interacciones que se suceden entre ellos.
Capital Humano: Es el aumento en la capacidad de la produccin del trabajo alcanzada con mejoras en las capacidades de trabajadores. Estas capacidades realzadas se adquieren con el entrenamiento, la educacin y la experiencia. Se refiere al conocimiento prctico, las habilidades adquiridas y las capacidades aprendidas de un individuo que lo hacen potencialmente. En sentido figurado se refiere al trmino capital en su conexin con lo que quiz sera mejor llamada la "calidad del trabajo" es algo confuso. En sentido ms estricto del trmino, el capital humano no es realmente capital del todo. El trmino fue acuado para hacer una analoga ilustrativa til entre la inversin de recursos para aumentar el stock del capital fsico ordinario (herramientas, mquinas, edificios, etc.) para aumentar la productividad del trabajo y de la "inversin" en la educacin o el entrenamiento de la mano de obra como medios alternativos de lograr el mismo objetivo general de incrementar la productividad. La empresa es una entidad econmica donde se combinan dinmicamente factores que son necesarios para el proceso de produccin, entre estos factores esenciales est el capital, el capital humano, el trabajo y la direccin empresarial.
1.4.2 Describir la Gestin de Recursos HumanosLa gestin de los recursos humanos se encarga de obtener y coordinar a las personas de una organizacin, de forma que consigan las metas establecidas. Para ello es muy importante cuidar las relaciones humanas. Las fases por las que ha pasado la gestin de los RRHH son cuatro: 1. Administrativa: Es puramente burocrtico y acta sobre la disciplina y las remuneraciones. Las medidas a adoptar son de tipo reactivo. 2. Gestin: Se empieza a considerar las necesidades de tipo social y sociolgico de las personas. Las medidas a adoptar son de tipo pro activo. 3. Desarrollo: Se busca la conciliacin entre las necesidades de los trabajadores y las necesidades econmicas de la empresa. Se considera que las personas son elementos importantes para la empresa y se busca su motivacin y eficiencia.
8
Auditoria de Sistemas TI 20104. Gestin estratgica de los RRHH: La gestin de los RRHH esta ligada a la estrategia de la empresa. Los trabajadores son la fuente principal de la ventaja competitiva de la empresa. Esta evolucin ha sido protagonizada por: Objetivos de la gestin de recursos humanos Atraer a los candidatos al puesto de trabajo que estn potencialmente cualificados Retener a los mejores empleados Motivar a los empleados Ayudar a los empleados a crecer y desarrollarse en la organizacin Aumento de la productividad Mejorar la calidad de vida en el trabajo Cumplimiento de la normativa y legislacin. A continuacin se sintetizan algunas de las funciones ms importantes de la Gestin de los Recursos Humanos: El proceso de seleccin 1 el formulario de solicitud: la preseleccin. En este punto vamos a analizar los distintos currculos o formularios de solicitud que hayamos recoger viendo el grado de adecuado de los candidatos al perfil deseado. Para ello clasificaremos los datos en excluyentes, valorables o ponderables e indicativos. 2 pruebas de seleccin Son unas operaciones por medio de las cuales se juzgan las cualidades y el valor de cada candidato en relacin con el puesto que se quiere cubrir. Estas pruebas tienen un carcter prospectivo en el sentido en que tratan de predecir el comportamiento futuro de una persona interpretando y extrapolando los resultados de las pruebas. Tenemos pruebas profesionales, en las que se simulan las condiciones reales de trabajo; pruebas psicotcnicas, otras pruebas son juegos de empresas, ejercicios dinmicos de grupo, grafologa, etc. La entrevista de seleccin En primer lugar hay que determinar la preparacin del entrevistador y seleccionarlo. Hay que programarse la entrevista, y decidir los objetivos perseguidos con la misma. Hay que crear un ambiente apropiado, y citar a los candidatos, generalmente por telfono, y hacer que no coincida en la sala de espera. Conocimiento del puesto a cubrir y del perfil ideal. Hay que reconocer a cada candidato -La gestin del desempeo est estrechamente vinculada a la evaluacin de las competencias, del potencial y a los resultados obtenidos, lo que permite tener un estimado de cmo se est desarrollando el trabajo a la vez que constituye un ente motivador del mismo y de su desempeo respecto a las nuevas exigencias, que logre elevar la motivacin con nuevas formas de estimulacin y contribuya a hacer coincidir las necesidades de los individuos que trabajan en la organizacin con la misin y los objetivos de esta, dando respuesta en cuanto a eficiencia, eficacia y efectividad.
9
Auditoria de Sistemas TI 2010La remuneracin parte de la valoracin de los puestos de trabajo y se basa en los resultados obtenidos de forma individual y colectiva, por lo que tender a ser un componente variable favoreciendo la eficacia que debe primar en las organizaciones. Las promociones se apoyan cada vez ms en la competencia de los individuos, por lo que el concepto de evaluacin del desempeo, de evaluacin del potencial y el desarrollo de carrera prevn la evolucin futura de los recursos humanos dentro de la organizacin. Evaluacin del desempeo Toda evaluacin es un proceso para estimular o juzgar el valor, la excelencia las cualidades de alguna persona. Los objetivos fundamentales de la evaluacin del desempeo son: Permitir condiciones de medicin del potencial humano en el sentido de determinar su plena aplicacin. Permitir el tratamiento de los recursos humanos como un recurso bsico de la empresa y cuya productividad puede desarrollarse indefinidamente, dependiendo la forma de administracin. Dar oportunidades de crecimiento y condiciones de efectiva participacin a todos los miembros de la organizacin, teniendo en cuenta, por una parte, los objetivos empresariales y, por la otra, los objetivos individuales. Estos sistemas efectivos de evaluacin del desempeo pueden aplicarse a travs de: Tcnicas orientadas a la tarea Tcnicas orientadas a las personas Sistemas de retroalimentacin Sistemas de mejora del rendimiento
1.5 Diagnostico de la Situacin ActualEl diagnostico de la situacin actual busca analizar tanto el entorno como la empresa en si. El anlisis del entorno tiene que ver con la totalidad de los sistemas que rodean a la empresa y que interactan con ella. Interesa identificar le conjunto de elementos y actores formales e informales que afectan o pudieran afectar sus operaciones y decisiones actuales o futuras. Se supone, por lo general que la empresa tiene poca o ninguna posibilidad de dominio sobre el entorno donde se encuentra y actual.
1.5.1 Describir los pasos para realizar un diagnostico de la situacin actual de una organizacinLos programas de cambio organizacional planeado, parten del reconocimiento previo de que el comportamiento humano presenta una complejidad en su estudio derivada de su carcter multidimensional, de tal forma que se reconoce de antemano, la influencia de factores sociales e individuales que determinan el comportamiento individual y grupal. Por ello, es necesario precisar que para alcanzar la objetividad y garantizar mejores resultados en las intervenciones de agentes de cambio en organizaciones formales, se requiere la adopcin de un enfoque multidisciplinario que retome las aportaciones de diferentes ciencias sociales que comparten como objeto de estudio el comportamiento humano en general y organizacional en particular.
10
Auditoria de Sistemas TI 2010Revitalizar una organizacin implica intensificar las acciones de capacitacin e incrementar la contribucin de los directivos, trabajadores y la organizacin como un todo, de manera que puedan hacer frente a las exigencias de un entorno social cada vez ms competitivo. La revitalizacin implica partir de un diagnstico adecuado e integral de la organizacin como fase previa a la implementacin de cambios planeados. La planeacin de todo cambio organizacional debe incluir como una de sus primeras acciones la realizacin de un diagnstico organizacional, que sirva como punto de partida y referencia para una retroalimentacin posterior. Esta nueva filosofa de la organizacin ha venido a reducir la confianza exclusiva en la autoridad de la direccin, en las reglas rgidas y en las divisiones de trabajo estrictas y cerradas. Resaltan en cambio, como verdaderas necesidades de cambio las siguientes: a. Involucrar a los miembros de la organizacin en el proceso de toma de decisiones en base a un modelo horizontal b. Integracin de equipos de trabajo en las diferentes reas de la organizacin c. Crear, fortalecer y mantener diversos canales de comunicacin organizacional, a travs de los cuales fluya la informacin referente al rendimiento y el entorno competitivo que rodea a la organizacin. d. Desarrollo de una identidad organizacional que aumente los niveles de compromiso y responsabilidad a lo largo de toda la estructura ocupacional de la organizacin e. Fortalecimiento del proceso de socializacin organizacional con el objeto de mejorar el contrato psicolgico entre el individuo y su organizacin
1.5.2 Explicar el diagnostico del negocio u organizacinDiagnstico organizacional es una actividad vivencial que involucra a un grupo de personas de una empresa o institucin interesadas en plantear soluciones a situaciones problemticas o conflictivas, sometindose a un auto-anlisis que debe conducir a un plan de accin concreto que permita solucionar la situacin problemtica. La base del diagnstico organizacional es que, al igual que las personas, las empresas o instituciones deben someterse a exmenes peridicos, para identificar posibles problemas antes de que estos se tornen graves. Estos exmenes peridicos constituyen un sistema de control que permite optimizar el funcionamiento de las empresas e instituciones, al identificar problemas en el funcionamiento de stas, surgen acciones dirigidas a su eliminacin o disminucin, que en conjunto constituyen una parte importante de la planeacin operativa. Se debe notar que en un diagnstico se est evaluando el comportamiento de un sistema contra un modelo normativo, aunque es posible que este modelo nunca sea definido en forma explcita. De la misma manera que el mdico examina a un paciente y lo compara mentalmente con el funcionamiento de una persona sana, el analista tiene un modelo mental de lo que debera ser su organizacin funcionando correctamente. Esta analoga es muy clara, ya que el paciente (organizacin) proporciona una serie de sntomas (funciones corporales alteradas) al mdico (analista de sistemas), el cual puede identificar la enfermedad del paciente y proponer una terapia. En la figura N 1 Se muestra un diagrama que ejemplifica la situacin anteriormente mencionada. De aqu se puede ver que existen tres factores importantes a tomar en cuenta cuando se realiza un diagnstico organizacional. Estos factores son muy importantes tanto para determinar la problemtica, como para dar soluciones a la misma y son:
11
Auditoria de Sistemas TI 2010La situacin de la empresa dentro del contexto de su rama industrial. La posicin de la empresa en el ciclo de vida de las organizaciones. El sistema social que prevalece dentro de la empresa. Adems desde un punto global, un diagnstico, aunque no necesariamente un Diagnstico Organizacional, es el obligado punto de partida de un proceso de planeacin, en donde es necesario saber dnde se est antes de decidir a dnde se quiere ir, y como se llegar a ese punto. La figura N 2 que se muestra a continuacin describe el proceso de planeacin.Asignarrecursos
Planes detallados
Realizaci
Plan
Diagnstico
Incentivo sMonitoreo y control
Asignacin de responsabilidades y funciones
1.5.3 reas de Oportunidad de TI dentro de la OrganizacinEl objetivo del diagnstico organizacional es someter a la organizacin a un auto-anlisis que le permita identificar sntomas presentes en la organizacin, y a travs de ellos, encontrar los problemas que podramos llamar de fondo, y que deben ser resueltos para preservar la salud organizacional. Como en todo sistema participativo, el proceso es tan importante como el resultado, ya que el espritu de grupo generado y el conocimiento de las opiniones y problemas de otros componentes de la organizacin son beneficios casi tan importantes como el de identificar y resolver el problema. El procedimiento general del Diagnstico Organizacional consta de los siguientes pasos: Seleccin del grupo de trabajo Entrenamiento del grupo de trabajo Generacin de sntomas individuales Generacin de la lista colectiva Proceso de sntesis y generacin de problemas Clasificacin de problemas Planteamiento de soluciones Generacin de un plan de trabajo
12
Auditoria de Sistemas TI 20101.6 Control InternoEl control interno es de importancia para la estructura administrativa contable de una empresa. Esto asegura que tanto son confiables sus estados contables, frente a los fraudes y eficiencia y eficacia operativa.
1.6.1 Describir el concepto de control Interno, sus funciones y tipos de ControlEl sistema de control interno comprende el plan de la organizacin y todos los mtodos coordinados y medidas adoptadas dentro de una empresa con el fin de salvaguardar sus activos y verificara la confiabilidad de los datos contables. Pero cuando tenemos empresas que tienen ms de un dueo, muchos empleados, y muchas tareas delegadas. Por lo tanto los dueos pierden control y es necesario un mecanismo de control interno. Este sistema deber ser sofisticado y complejo segn se requiera en funcin de la complejidad de la organizacin. Con la organizacin de tipo multinacional, los directivos imparten rdenes hacia sus filiales en distintos pases, pero el cumplimiento de las mismas no puede ser controlado con su participacin frecuente. Pero si as fuese su presencia no asegura que se eviten los fraudes. Entonces cuanto ms se alejan los propietarios de las operaciones mas es necesario se hace la existencia de un sistema de control interno estructurado. Limitaciones de un sistema de control interno Ningn sistema de control interno puede garantizar su cumplimiento de sus objetivos ampliamente, de acuerdo a esto, el control interno brinda una seguridad razonable en funcin de: Costo beneficio: El control no puede superar el valor de lo que se quiere controlar. La mayora de los controles hacia transacciones o tareas ordinarias. Debe establecerse bajo las operaciones repetitivas y en cuanto a las extraordinarias, existe la posibilidad que el sistema no sepa responder El factor de error humano Posibilidad de conclusiones que pueda evadir los controles. Polucin de fraude por acuerdo entre dos o ms personas. No hay sistema de control no Vulnerable a estas circunstancias. Control interno administrativo y control interno contable Dos tipos de controles internos (administrativos y contables) El control interno administrativo no est limitado al plan de la organizacin y procedimientos que se relaciona con el proceso de decisin que lleva a la autorizacin de intercambios
13
Auditoria de Sistemas TI 2010Entonces el control interno administrativo se relaciona con la eficiencia en las operaciones establecidas por el ente. El control interno contable comprende el plan de la organizacin y los registros que conciernen a la salvaguarda de los activos y a la confiabilidad de los registros contables. Estos tipos de controles brindan seguridad razonable: 1. Los intercambios son ejecutados de acuerdo con autorizaciones generales o especificas de la gerencia 2. Se registran los cambios para: * mantener un control adecuado y * permitir la preparacin de los ee.cc. 3. Se salvaguardan los activos solo accesandolos con autorizacin 4. Los activos registrados son comparados con las existencias. Clasificacin de los controles internos Generales: No tienen un impacto sobre la calidad de las aseveraciones en los estados contables , dado que no se relacionan con la informacin Contable. Especficos: Se relacionan con la informacin Contable y por lo tanto con las aseveraciones de los saldos de los estados contables. Este tipo de controles estn desde el origen de la informacin hasta los saldos finales. Tipos de controles generales Conciencia de control La gerencia es responsable del establecimiento de una conciencia favorable de control interno de la organizacin. Es importante que la gerencia no viole los controles establecidos porque el sistema es ineficaz. La Gerencia se podra motivar a violarlos por las siguientes causas: Cuando el ente est experimentando numerosos fracasos. Cuando le falte capacidad de capital de trabajo o crdito. Cuando la remuneracin de los administradores este ligada al resultado. Cuando el ente se va a vender en base a sus ee.cc. Cuando se obtienen beneficios en exponer resultados ms bajos. Cuando la gerencia se encuentra bajo presin en cumplir sus objetivos. Estructura organizacional Establecida una adecuada estructura en cuanto al establecimiento de divisiones y departamentos funcionales y as como la asignacin de responsabilidades y polticas de delegacin de autoridad. Esto incluye la existencia de un departamento de control interno que dependa del mximo nivel de la empresa. Personal
14
Auditoria de Sistemas TI 2010Calidad e integridad del personal que esta encargado de ejecutar los mtodos y procedimientos prescriptos por la gerencia para el logro de los objetivos. Proteccin de los activos y registros Polticas adoptadas para prevenir la destruccin o acceso no autorizado a los activos, a los medios de procesamiento de los datos electrnicos y a los datos generados. Adems incluye medidas por el cual el sistema contable debe estar protegido ante la eventualidad de desastres ( incendio , inundacin, etc. ) Separacin de funciones La segregacin de funciones incompatibles reduce el riesgo de que una persona este en condiciones tanto de cometer o ocultar errores o fraudes en el transcurso normal de su trabajo. Lo que se debe evaluar para evitar la colusin de fraudes son: autorizacin, ejecucin , registro, custodia de los bienes, realizacin de conciliaciones. Control circundante en el procesamiento electrnico de datos El funcionamiento de los controles generales dependa la eficacia del funcionamiento de los controles especficos. El mismo procedimiento debe ser aplicado a la empresa con procesamiento computarizado. Los controles generales en el procesamiento electrnico de datos ( PED ) tiene que ver con los siguientes aspectos. Organizacin El personal de PED (sistemas) no realice las siguientes tareas: iniciar y autorizar intercambios que no sean para suministros y servicios propios del departamento. Registro de los intercambios Custodia de activos que no sean los del propio departamento Correccin de errores que no provengan de los originados por el propio dpto. En cuanto a la organizacin dentro del mismo departamento, las siguientes funciones deben estar segregadas: Programacin del sistema operativo Anlisis, programacin y mantenimiento Operacin Ingreso de datos Control de datos de entrada / salida Archivos de programas y datos. Desarrollo y mantenimiento de sistemas Las tcnicas de mantenimiento y programacin operativos del sistema deben estar normalizadas y documentadas. Operacin y procedimientos Deben existir controles que aseguren el procesamiento exacto y oportuno de la informacin contable. Instrucciones por escrito sobre procedimiento para preparar datos para su ingreso y procesamiento
15
Auditoria de Sistemas TI 2010La funcin de control debe ser efectuada por un grupo especfico e independiente. Instrucciones por escrito sobre la operacin de los equipos. Solamente operadores de computador deben procesar los SIST OP. Controles de equipos y programas del sistema Debe efectuarse un control de los equipos: Programacin del mantenimiento preventivo y peridico Registro de fallas de equipos Los cambios del sist. Op. Y la programacin. Controles de acceso El acceso al PED debe estar restringido en todo momento. Tambin debe controlarse: El acceso los equipos debe estar restringido a aquellos autorizados El acceso de la documentacin solo aquellos autorizados El acceso a los archivos de datos y programas solo limitados a operadores
1.6.2 Describir la metodologa para el establecimiento de ControlesMetodologas ms comunes Entre las metodologas ms comunes de evaluacin de sistemas se encuentra: Control interno informtico. Sus mtodos y procesamientos. Las herramientas de control Funcin de Control; En la auditoria Informtica; esta tiene funcin de vigilancia y evaluacin mediante dictmenes, los auditores de tienen diferentes objetivos de los de cuentas, ellos evalan eficiencia, costos y la seguridad con mayor visin, y realizan evaluaciones de tipo cualitativo. Control interno informtico; Cumplen funciones de control dual en los diferentes departamentos, que puede ser normativa, marco jurdico, la funciones del control interno es la siguientes determinar los propietarios y los perfiles segn la clase de informacin, permitir a dos personas intervenir como medida de control, realizar planes de contingencias, dictar normas de seguridad informtica, controla la calidad de software, los costos, los responsables de cada departamento, control de licencias, manejo de claves De cifrado, vigilan el cumplimiento de normas y de controles, es clara que esta medida permite la seguridad informtica. Metodologas de clasificacin de informacin y de obtencin de procedimientos de control; Es establecer cules son las entidades de informacin a proteger, dependiendo del grado de importancia de la informacin para el establecimiento de contramedidas. Herramientas de control; Las herramientas de control, son de dos tipos lgicos y fsicos , des del punto lgico son programas que brindar seguridad, las principales herramientas son las siguientes; seguridad lgica del sistema, seguridad lgica complementaria del sistema, seguridad lgica en entornos distribuidos, control de acceso fsico, control de copias, gestin de soporte magnticos, gestin de control de impresin y envo de listados por
16
Auditoria de Sistemas TI 2010red, control de proyectos y versiones , gestin de independencia y control de cambios. Y fsicos los cifradores
2.1 Planeacin de la auditoria InformticaPara hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.
2.1.1 Reconocer las normas y estndares relacionados con proyectos de TIEn esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los objetivos que debe cumplir, tiempos , herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. Los objetos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica.
2.1.2 Identificar las fases de la auditoria InformticaEl examen de los objetivos de la auditora, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluacin, nos lleva a la conclusin de que el papel del computador afecta significativamente las tcnicas a aplicar. Mediante una revisin adecuada del sistema de procesamiento electrnico de datos del cliente, y el uso de formatos bien diseados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente.
2.1.3 Definir los elementos de la planeacin de la auditoria Informtica
Una de las partes ms importantes en la planeacin de la auditora en informtica es el personal que deber participar, ya que se debe contar con un equipo seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado.
2.1.4 Definir el concepto de la lista de VerificacinLa Lista de Verificacin, se usa para determinar con qu frecuencia ocurre un evento a lo largo de un perodo de tiempo determinado. En la Lista de Verificacin se pueden recoger informaciones de eventos que estn sucediendo o aquellos que ya sucedieron. A pesar de que la finalidad de la Lista de verificacin es el registro de datos y no su anlisis, frecuentemente indica cul es el problema que muestra esa ocurrencia.
17
Auditoria de Sistemas TI 2010La lista de verificacin permite observar, entre otros, los siguientes aspectos: Nmero de veces que sucede una cosa. Tiempo necesario para que alguna cosa suceda. Costo de una determinada operacin, a lo largo de un cierto perodo de tiempo. Impacto de una actividad a lo largo de un perodo de tiempo. Se usa para: Registrar informaciones sobre el desempeo de un proceso. Cmo usarla? Determine exactamente lo que debe ser observado. Defina el perodo durante el cual los datos sern recolectados. Construya un formulario simple y de fcil manejo para anotar los datos. Haga la recoleccin de datos, registrando la frecuencia de cada tem que est siendo observado. Sume la frecuencia de cada tem y regstrela en la columna Total. Checklist: El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversar y har preguntas "normales", que en realidad servirn para la complementacin sistemtica de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de puntos dbiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los puntos contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar cuestionarios en su presencia.
2.2 Evaluacin de la SeguridadPara realizar una evaluacin de la Seguridad, es importante conocer cmo desarrollar y ejecutar la implantacin de un Sistema de Seguridad.
18
Auditoria de Sistemas TI 2010Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa.
2.2.1 Identificar los modelos de SeguridadDefinir elementos administrativos Definir Polticas de Seguridad: A nivel departamental, a nivel institucional Organizar y dividir las responsabilidades Contemplar la Seguridad Fsica contra catstrofes (incendios, terremotos, inundaciones, etc.) Definir prcticas de Seguridad para el personal: Plan de emergencia, Plan de evacuacin, Uso de recursos de emergencia (extinguidores, etc.) Definir el tipo de Plizas de Seguros Definir elementos tcnicos de procedimientos: Tcnicas de aseguramiento del sistema Codificar la informacin: Criptografa Contraseas difciles de averiguar (letras maysculas, minsculas, nmeros y smbolos ) que deben ser cambiadas peridicamente Vigilancia de Red: Tecnologas repelentes o protectoras (Cortafuegos (firewalls), sistema de deteccin de intrusos, etc.)
2.2.2 Identificar las areas y fases que pueda cubrir la auditoria de la seguridad
Anti-spyware, antivirus, llaves para proteccin de software, etc. Mantener los sistemas de informacin (sistemas operativos y programas) con las actualizaciones que ms impacten en la Seguridad Definir las necesidades de Sistemas de Seguridad para hardware y software Flujo de energa Cableados locales y externos Aplicacin de los Sistemas de Seguridad, incluyendo datos y archivos Planificacin de los papeles de los Auditores internos y externos Planificacin de programas de contingencia o recuperacin de desastre y sus respectivas pruebas (Simulacin) Planificacin de Pruebas al Plan de Contingencia con carcter peridico Poltica de Destruccin de basura, copias, fotocopias, discos duros, etc. Dentro de las reas generales, se establecen las siguientes divisiones de Auditora Informtica: de Explotacin, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Areas Especificas de la Auditora Informtica ms importantes. reas Especficas Explotacin Desarrollo Sistemas Comunicaciones reas Generales Interna Direccin Usuario Seguridad
19
Auditoria de Sistemas TI 2010Seguridad
2.2.3 Definir la auditoria de seguridad fsica lgica de los datosLa seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales. La auditora fsica no se debe limitar a comprobar la existencia de los medios fsicos, sino tambin su funcionalidad, racionalidad y seguridad. Existen tres tipos de seguridad: Seguridad lgica. Seguridad fsica. Seguridad de las comunicaciones. EL PLAN DE CONTINGENCIA DE TENER LO SIGUIENTE: Realizar un anlisis de riesgos de los sistemas crticos. Establecer un periodo crtico de recuperacin. Realizar un anlisis de las aplicaciones crticas estableciendo periodos de proceso. Establecer prioridades de proceso por das del ao de las aplicaciones y orden de los procesos. Establecer objetivos de recuperacin que determine el periodo de tiempo entre la declaracin del desastre y el momento en el que el centro alternativo puede procesar las aplicaciones crticas. Designar entre los distintos tipos existentes en un centro alternativo de proceso de datos. Asegurar la capacidad de las comunicaciones. Asegurar los servicios de bookup. Tcnicas: Observacin de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos. Revisin analtica de: documentacin, polticas, normas, procedimientos de seguridad fsica y contratos de seguros. Entrevistas con directivos y personal. Consultas a tcnicos y peritos. Fases de la Auditoria: Alcance de la Auditora Adquisicin de Informacin General Administracin y Planificacin Plan de Auditora Resultado de las Pruebas Conclusiones y Comentarios Borrador de Informe Discusin con los Responsables de rea Informe Final
20
Auditoria de Sistemas TI 20102.3 Seleccin de proveedoresUna vez que se han buscado proveedores, se procede a la seleccin de los ms adecuados; esto implica el estudio exhaustivo de los posibles proveedores y su eliminacin sucesiva basndose en los criterios de seleccin que se hayan elegido, hasta reducir la cantidad a unos pocos proveedores. Con la informacin que se recabe en el proceso de seleccin se realiza el siguiente trabajo: Una ficha de cada proveedor para formar un fichero de proveedores en el que se reflejarn las caractersticas de los artculos que cada proveedor puede suministrar y las condiciones comerciales que ofrece.
Modelo de ficha de proveedores.
2.3.1 Reconocer las caractersticas que debe tener un proveedorLa investigacin de proveedores consiste en investigar y estudiar los posibles proveedores de los materiales requeridos. Esta investigacin generalmente se hace mediante la verificacin de los proveedores previamente registrados en el organismo de compras. El organismo de compras debe tener un fichero o banco de datos sobre los proveedores registrados, que contengan los abastecimientos que hayan efectuado y las condiciones en que se negocio, este fichero debe permitir una evaluacin del mercado de proveedores para cada material como modelo para comprar las caractersticas de cada proveedor potencial. La seleccin del proveedor ms adecuado dentro de los investigados consiste en comparar las diversas propuestas y cotizaciones de venta de varios proveedores y escoger cual es el que mejor atiende a las conveniencias de la empresa, condiciones de pago, posibles descuentos, plazos de entrega, etc.
21
Auditoria de Sistemas TI 2010Negociacin con el proveedor Una vez escogido el proveedor, compras comienzan a negociar con la adquisicin del material requerido, dentro de las condiciones ms adecuadas del precio de pago. La negociacin sirve para definir como se har la emisin del pedido de compra del proveedor. El pedido de compra es un contrato formal entre la empresa y el proveedor, en donde se especifican las condiciones en que se hizo la negociacin. El comprador es el responsable de las condiciones y especificaciones contenidas en el pedido de compra. Acompaamiento del pedido Hecho el pedido de compra, el organismo de compras necesita asegurarse de que la entrega del material se har dentro de los plazos establecidos y en la cantidad y calidad negociadas, debe haber un acompaamiento o seguimiento del pedido, a travs de constantes contactos personales o telefnicos con el proveedor, para conocer el avance de la produccin del material requerido, este seguimiento representa una constante supervisin del pedido y una cobranza permanente de resultados, esto permite localizar anticipadamente problemas y evitar sorpresas desagradables, pues a travs de el, compras puede asegurar el pedido, exigir la entrega en los plazos establecidos o intentar complementar el atraso con oreos proveedores.
2.3.2 Reconocer los procedimientos vigentes o existentes para la seleccin de proveedoresPara la seleccin de los proveedores se utilizan bsicamente criterios econmicos y de calidad, aunque se puede utilizar una combinacin de ambos. Criterios econmicos La seleccin se realiza teniendo en cuenta el precio de los artculos, los descuentos comerciales, el pago de los gastos ocasionados (transporte, embalajes, carga y descarga, etc.), los descuentos por volumen de compra (rappels) y los plazos de pago. Se elegir el proveedor cuyo precio final sea ms bajo. Lgicamente, cuando dos productos renan las mismas condiciones econmicas, se elegir el de mayor calidad. Criterios de calidad Cuando a la hora de la seleccin el proveedor le conceda una gran importancia a la calidad de los artculos, stos han de ser sometidos a un meticuloso estudio comparativo de sus caractersticas tcnicas, analizar muestras, realizar pruebas, etctera. Este criterio se utiliza cuando lo que prima en la empresa es conseguir un producto de una determinada calidad, que no tiene que ser necesariamente la mejor, sino la que interese al comprador en ese momento. Tambin se utilizan criterios de calidad cuando el producto ha de responder a unas caractersticas tcnicas determinadas. Cuando los artculos sean de la misma calidad se elegir el que resulte ms econmico.
22
Auditoria de Sistemas TI 2010No siempre la oferta ms barata es la ms conveniente, puesto que tambin se pueden considerar como parmetros de calidad aspectos no directamente relacionados con los productos como, por ejemplo: servicio postventa, periodo de garanta, imagen que el producto y el proveedor tengan en el mercado, existencia de servicios de atencin al cliente, etctera. Tambin se toman en cuenta del proveedor, su prestigio, localizacin, instalaciones, fuerza tcnica, capacidad financiera y nivel organizativo y de administracin.
2.4 Licenciamiento del SoftwareEs un contrato entre el licenciante (autor/titular de los derechos de explotacin/distribuidor) y el licenciatario del programa informtico (usuario consumidor /usuario profesional o empresa), para utilizar el software cumpliendo una serie de trminos y condiciones establecidas dentro de sus clusulas. Las licencias de software pueden establecer entre otras cosas: la cesin de determinados derechos del propietario al usuario final sobre una o varias copias del programa informtico, los lmites en la responsabilidad por fallos, el plazo de cesin de los derechos, el mbito geogrfico de validez del contrato e incluso pueden establecer determinados compromisos del usuario final hacia el propietario, tales como la no cesin del programa a terceros o la no reinstalacin del programa en equipos distintos al que se instal originalmente.
2.4.1 Identificar los diferentes tipos de licenciamientos de software y condiciones de usoElementos personales de una licencia de software Licenciante El licenciante o proveedor-licenciante es aquel que provee el software ms la licencia al licenciatario, la cual, le permitir a este ltimo tener ciertos derechos sobre el software. El rol de licenciante lo puede ejercer cualquiera de los siguientes actores: Autor: El desarrollador o conjunto de desarrolladores que crea el software, son por antonomasa quienes en una primera instancia poseen el rol de licenciante, al ser los titulares originales del software. Titular de los derechos de explotacin: Es la persona natural o jurdica que recibe una cesin de los derechos de explotacin de forma exclusiva del software desde un tercero, transformndolo en titular derivado y licenciante del software. Distribuidor: Es la persona jurdica a la cual se le otorga el derecho de distribucin y la posibilidad de generar sublicencias del software mediante la firma de un contrato de distribucin con el titular de los derechos de explotacin. Garanta de titularidad Es la garanta ofrecida por el licenciante o propietario, en la cual, asegura que cuenta con suficientes derechos de explotacin sobre el software como para permitirle proveer una licencia al licenciatario. Licenciatario
23
Auditoria de Sistemas TI 2010El licenciatario o usuario-licenciatario es aquella persona fsica o jurdica que se le permite ejercer el derecho de uso ms algn otro derecho de explotacin sobre un determinado software cumpliendo las condiciones establecidas por la licencia otorgada por el licenciante. Usuario consumidor: Persona natural que recibe una licencia de software otorgada por el licenciante, la cual, se encuentra en una posicin desventajosa ante los trminos y condiciones establecidas en ella. Usuario profesional o empresa: Persona natural o jurdica que recibe una licencia de software otorgada por el licenciante, la cual, se encuentra en igualdad de condiciones ante el licenciante para ejercer sus derechos y deberes ante los trminos y condiciones establecidos en la licencia. Elementos objetivos de una licencia de software Plazo El plazo determina la duracin en el tiempo durante la cual se mantienen vigentes los trminos y condiciones establecidos en licencia. Las licencias en base a sus plazos se pueden clasificar en: Licencias con plazo especfico. Licencias de plazo indefinido. Licencias sin especificacin de plazo. Precio El precio determina el valor el cual debe ser pagado por el licenciatario al licenciante por el concepto de la cesin de derechos establecidos en la licencia.
2.5 Evaluacin de Hardware y SoftwareCuando se utiliza el trmino Hardware se estn englobando todos los aspectos materiales, es decir, que se VEN y se TOCAN dentro la funcin informtica de la Empresa. Existen una serie de Objetivos de la Auditoria Informtica del entorno Hardware: Determinar si el Hardware se utiliza eficientemente Revisar los Informes de la direccin sobre la utilizacin del Hardware. Revisar el Inventario Hardware Verificar los procedimientos de seguridad Fsica Revisar si el equipo se utiliza por el personal Autorizado. Comprobar las condiciones Ambientales Comprobar los Procedimientos de Prevencin, Deteccin, Correccin frente a cualquier tipo de Desastre. Evaluacin del Software La evaluacin del Software en una empresa va a permitir determinar si este esta siendo bien utilizado Revisar cada cuando se le da mantenimiento, y si el que se le brinda es confiable y seguro. Si todos los cambios son suficientemente controlados. El Auditor debe someter a evaluaciones peridicas el software operativo y deber obtener resultados que le permitan asegurarse de las fortalezas del Software.
24
Auditoria de Sistemas TI 20102.5.1 Describir las caractersticas del Hardware y software apropiado para tareas especficasEl Software de sistemas es un conjunto de programas que interactan con el entre el hardware y el software. El software es el conjunto de instrucciones que las computadoras emplean para manipular datos. Sin el software, la computadora sera un conjunto de medios sin utilizar. Sus Componentes: Procesamiento de texto Bases de datos Graficas Servicios en lnea Programas Caractersticas del Hardware para tareas Especficas Sus Componentes son: Teclado Mouse CPU Monitor Impresora Memoria ROM Memoria RAM Consta de: 1.- Evaluacin de los Sistemas 2.- Evaluacin de los equipos Capacidades Utilizacin Seguridad y evaluacin fsica y lgica 3.- Evaluacin de la Seguridad 4.-La seguridad en la informtica 5.- La seguridad lgica
2.6 Evaluacin de sistemasLa auditora en informtica es de vital importancia para el buen desempeo de los sistemas de informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin, hardware y software).
25
Auditoria de Sistemas TI 20102.6.1 Describir los pasos para evaluar los sistemas de informacin de acuerdo al ciclo de vidaEn esta etapa se evaluarn las polticas, procedimientos y normas que se tienen para llevar a cabo el anlisis. Se deber evaluar la planeacin de las aplicaciones que pueden provenir de tres fuentes principales: La planeacin estratgica: agrupadas las aplicaciones en conjuntos relacionados entre s y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificacin en el momento de la planeacin. Los requerimientos de los usuarios. El inventario de sistemas en proceso al recopilar la informacin de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron.
2.6.2 Explicar los elementos de la evaluacin de anlisis de sistemasEn esta etapa se evaluarn las polticas, procedimientos y normas que se tienen para llevar a cabo el anlisis. Se deber evaluar la planeacin de las aplicaciones que pueden provenir de tres fuentes principales: La planeacin estratgica: agrupadas las aplicaciones en conjuntos relacionados entre s y no como programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificacin en el momento de la planeacin. Los requerimientos de los usuarios. El inventario de sistemas en proceso al recopilar la informacin de los cambios que han sido solicitados, sin importar si se efectuaron o se registraron. La situacin de una aplicacin en dicho inventario puede ser alguna de las siguientes: Planeada para ser desarrollada en el futuro. En desarrollo. En proceso, pero con modificaciones en desarrollo. En proceso con problemas detectados. En proceso sin problemas. En proceso espordicamente.
2.6.3 Explicar los elementos de la evaluacin del diseo lgicoEn esta etapa se debern analizar las especificaciones del sistema. Qu deber hacer?, Cmo lo deber hacer?, Secuencia y ocurrencia de los datos, el proceso y salida de reportes?
26
Auditoria de Sistemas TI 2010Una vez que hemos analizado estas partes, se deber estudiar la participacin que tuvo el usuario en la identificacin del nuevo sistema, la participacin de auditora interna en el diseo de los controles y la determinacin de los procedimientos de operacin y decisin. Al tener el anlisis del diseo lgico del sistema debemos compararlo con lo que realmente se est obteniendo en la cual debemos evaluar lo planeado, cmo fue planeado y lo que realmente se est obteniendo.
2.6.4 Explicar los elementos de la evaluacin del desarrollo del sistemaEn esta etapa se debern analizar las especificaciones del sistema. Qu deber hacer?, Cmo lo deber hacer?, Secuencia y ocurrencia de los datos, el proceso y salida de reportes? Una vez que hemos analizado estas partes, se deber estudiar la participacin que tuvo el usuario en la identificacin del nuevo sistema, la participacin de auditora interna en el diseo de los controles y la determinacin de los procedimientos de operacin y decisin. Al tener el anlisis del diseo lgico del sistema debemos compararlo con lo que realmente se est obteniendo en la cual debemos evaluar lo planeado, cmo fue planeado y lo que realmente se est obteniendo. BASES DE DATOS. Fases: 1. 2. 3. 4. 5. 6. Anlisis de requisitos. Diseo conceptual. Eleccin del sistema gestor de bases de datos. Diseo lgico. Diseo fsico. Instalacin y mantenimiento.
La seguridad en Bases de Datos Est compuesta de Control de acceso Permisos y Privilegios Definicin de roles y perfiles Control de Acceso a Bases de Datos: Acceso al Sistema Operativo Acceso a la Base de Datos Acceso a los objetos de la base de datos
2.7 Evaluacin de la red2.7.1 Reconocer los elementos que debe contener una red local con base en el estndar ANSI/TIA 569 A y B
27
Auditoria de Sistemas TI 2010ANSI/TIA/EIA-568-A Alambrado de Telecomunicaciones para Edificios Comerciales Este estndar define un sistema genrico de alambrado de telecomunicaciones para edificios comerciales que puedan soportar un ambiente de productos y proveedores mltiples. El propsito de este estndar es permitir el diseo e instalacin del cableado de telecomunicaciones contando con poca informacin acerca de los productos de telecomunicaciones que posteriormente se instalarn. La instalacin de los sistemas de cableado durante el proceso de instalacin y/o remodelacin son significativamente ms baratos e implican menos interrupciones que despus de ocupado el edificio Esta norma gua la seleccin de sistemas de cableado al especificar los requisitos mnimos de sistemas y componentes, y describe los mtodos de pruebas de campo necesarios para satisfacer las normas. Propsito del Estndar EIA/TIA 568-A: Establecer un cableado estndar genrico de telecomunicaciones que respaldar un ambiente multiproveedor. Permitir la planeacin e instalacin de un sistema de cableado estructurado para construcciones comerciales. Establecer un criterio de ejecucin y tcnico para varias configuraciones de sistemas de cableado El estndar especifica: Requerimientos mnimos para cableado de telecomunicaciones dentro de un ambiente de oficina Topologa y distancias recomendadas Parmetros de medios de comunicacin que determinan el rendimiento La vida productiva de los sistemas de telecomunicaciones por cable por ms de 10 aos (15 actualmente) ANSI/TIA/EIA-568-B El estndar TIA/EIA-568-B se publica por primera vez en 2001. Sustituyen al conjunto de estndares TIA/EIA-568-A que han quedado obsoletos. TIA/EIA-568-B tres estndares que tratan el cableado comercial para productos y servicios de telecomunicaciones. Los tres estndares oficiales: ANSI/TIA/EIA-568-B.1-2001, -B.2-2001 y -B.3-2001. El contenido de 568-B.3 se refiere a los requerimientos de rendimiento mecnico y de transmisin del cable de fibra ptica, hardware de conexin, y cordones de conexin, incluyen el reconocimiento de la fibra multi-modo y el uso de conectores de fibra de factor de forma pequeo TIA/EIA 568-B.3 Cables de fibra se reconoce la fibra de 50 mm se reconocen tanto la fibra multimodo como la modo-simple para el rea de trabajo Conectores de fibra el conector 568SC dplex permanece como estndar en el rea de trabajo otros conectores pueden se usados en otro sitios
28
Auditoria de Sistemas TI 2010Deben con Fiber Optic Connector Intermateability Standard (FOCIS)
2.7.2 Reconocer los elementos que debe contener una red inalmbrica con base en el estndar ANSI EIA/TIA 802.11xUna red inalmbrica 802.11 est basada en una arquitectura celular en la que el sistema se divide en clulas llamadas BSS (Basic Service Set). Cada clula est controlada por una estacin base llamada AP (Access Point). Un sistema puede constar de una o varias clulas; en el caso pluricelular los diferentes AP se conectan entre s mediante un backbone llamado DS (Distribution System), tpicamente Ethernet, aunque en algunos casos tambin puede ser inalmbrico. Todo este conjunto de clulas interconectadas se ve como una nica red desde los protocolos de las capas superiores, y se llama ESS (Extended Service Set). Cada ESS tiene un identificador conocido como SSID, que debe ser el mismo en todos los AP del ESS. El protocolo 802.11 puede utilizarse para soportar la conexin inalmbrica de puntos de acceso, de forma que el sistema de distribucin se vuelve inalmbrico. Esta opcin recibe el nombre de WDS (Wireless Distribution System). Los AP que soportan WDS pueden actuar con dos funciones: bridge inalmbrico o repetidor. El protocolo 802.11 define la capa fsica y la capa MAC. Hay distintas posibilidades para la capa fsica dependiendo del tipo de red (a, b, g, h), e incluso distintas opciones dentro del mismo tipo. Actualmente el tipo ms comn es el 802.11b, cuyas caractersticas de la capa fsica son: La banda de frecuencia de 2,4 GHz. El DSSS (Direct Sequence Spread Spectrum). La codificacin CCK (para las velocidades de 5,5 y 11 Mbit/s). La capa MAC, adems de la funcionalidad tpica de estas capas, realiza funciones que normalmente se implementan en capas superiores: fragmentacin, retransmisin de paquetes, y asentimientos .Esto es as debido a las caractersticas de los enlaces radio, con errores altos, que aconsejan un tamao pequeo de los paquetes, pero debindose preservar desde el punto de vista de las capas superiores los paquetes de 1.518 bytes tpicos de Ethernet.
2.7.3 Reconocer normas para establecer un site de Telecomunicaciones (ANSI EIA/TIA 569)Estndar ANSI/TIA/EIA-569 de Rutas y Espacios de telecomunicaciones para Edificios Comerciales El Grupo de Trabajo de la Asociacin de Industrias de Telecomunicaciones (TIA)TR41.8.3 encargado de Trayectorias & Espacios de Telecomunicaciones public la Norma ANSI/TIA/EIA-569-A ('569-A) en 1998.
29
Auditoria de Sistemas TI 2010Este estndar reconoce tres conceptos fundamentales relacionados con telecomunicaciones y edificios: Los edificios son dinmicos. Durante la existencia de un edificio, las remodelaciones son ms la regla que la excepcin. Este estndar reconoce, de manera positiva, que el cambio ocurre. Los sistemas de telecomunicaciones y de medios son dinmicos. Durante la existencia de un edificio, los equipos de telecomunicaciones cambian dramticamente. Este estndar reconoce este hecho siendo tan independiente como sea posible de proveedores de equipo. Telecomunicaciones es ms que datos y voz. Telecomunicaciones tambin incorpora otros sistemas tales como control ambiental, seguridad, audio, televisin, alarmas y sonido. De hecho, telecomunicaciones incorpora todos los sistemas de bajo voltaje que transportan informacin en los edificios. A continuacin los rasgos sobresalientes de la Norma '569-A: Objetivo Estandarizar las prcticas de construccin y diseo. Provee un sistema de soporte de telecomunicaciones que es adaptable a cambios durante la vida til de la instalacin. Alcance Trayectorias y espacios en los cuales se colocan y terminan medios de telecomunicaciones. Trayectorias y espacios de telecomunicaciones dentro y entre edificios. Diseo de edificios comerciales para viviendas unifamiliares y multifamiliares.
2.7.4 Reconocer el modelo OSI y el protocolo TCP/IPEl modelo de referencia de Interconexin de Sistemas Abiertos (OSI, Open System Interconnection) es el modelo de red descriptivo creado por la Organizacin Internacional para la Estandarizacin lanzado en 1984. Es decir, es un marco de referencia para la definicin de arquitecturas de interconexin de sistemas de comunicaciones. Capa fsica (Capa 1) Es la que se encarga de las conexiones fsicas de la computadora hacia la red, tanto en lo que se refiere al medio fsico como a la forma en la que se transmite la informacin. Capa de enlace de datos (Capa 2) Esta capa se ocupa del direccionamiento fsico, de la topologa de la red, del acceso a la red, de la notificacin de errores, de la distribucin ordenada de tramas y del control del flujo. Capa de red (Capa 3) El objetivo de la capa de red es hacer que los datos lleguen desde el origen al destino, an cuando ambos no estn conectados directamente. Los dispositivos que facilitan tal tarea se denominan encaminadores, aunque es ms frecuente encontrar el nombre ingls routers y, en ocasiones enrutadores. Los routers
30
Auditoria de Sistemas TI 2010trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en determinados casos, dependiendo de la funcin que se le asigne. Los firewalls actan sobre esta capa principalmente, para descartar direcciones de mquinas. Capa de transporte (Capa 4) Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del paquete) de la mquina origen a la de destino, independizndolo del tipo de red fsica que se est utilizando. La PDU de la capa 4 se llama Segmento o Datagrama, dependiendo de si corresponde a TCP o UDP. Sus protocolos son TCP y UDP; el primero orientado a conexin y el otro sin conexin. Capa de sesin (Capa 5) Esta capa es la que se encarga de mantener y controlar el enlace establecido entre dos computadores que estn transmitiendo datos de cualquier ndole. Capa de presentacin (Capa 6) El objetivo es encargarse de la representacin de la informacin, de manera que aunque distintos equipos puedan tener diferentes representaciones internas de caracteres los datos lleguen de manera reconocible. Capa de aplicacin (Capa 7) Ofrece a las aplicaciones la posibilidad de acceder a los servicios de las dems capas y define los protocolos que utilizan las aplicaciones para intercambiar datos, como correo electrnico (POP y SMTP), gestores de bases de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones distintas y puesto que continuamente se desarrollan nuevas aplicaciones el nmero de protocolos crece sin parar. Modelo TCP/IP El Protocolo de Internet (IP) y el Protocolo de Transmisin (TCP), fueron desarrollados inicialmente en 1973 por el informtico estadounidense Vinton Cerf como parte de un proyecto dirigido por el ingeniero norteamericano Robert Kahn y patrocinado por la Agencia de Programas Avanzados de Investigacin (ARPA, siglas en ingls) del Departamento Estadounidense de Defensa. Internet comenz siendo una red informtica de ARPA (llamada ARPAnet) que conectaba redes de ordenadores de varias universidades y laboratorios en investigacin en Estados Unidos. World Wibe Web se desarroll en 1989 por el informtico britnico Timothy Berners-Lee para el Consejo Europeo de Investigacin Nuclear (CERN, siglas en francs). DEFINICION TCP / IP Se han desarrollado diferentes familias de protocolos para comunicacin por red de datos para los sistemas UNIX. El ms ampliamente utilizado es el Internet Protocol Suite, comnmente conocido como TCP / IP. Es un protocolo DARPA que proporciona transmisin fiable de paquetes de datos sobre redes. El nombre TCP / IP Proviene de dos protocolos importantes de la familia, el Transmission Control Protocol (TCP) y el
31
Auditoria de Sistemas TI 2010Internet Protocol (IP). Todos juntos llegan a ser ms de 100 protocolos diferentes definidos en este conjunto. Las capas estn jerarquizadas. Cada capa se construye sobre su predecesora. El nmero de capas y, en cada una de ellas, sus servicios y funciones son variables con cada tipo de red. Sin embargo, en cualquier red, la misin de cada capa es proveer servicios a las capas superiores hacindoles transparentes el modo en que esos servicios se llevan a cabo. De esta manera, cada capa debe ocuparse exclusivamente de su nivel inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente superior, a quien devuelve resultados. Capa 4 o capa de aplicacin: Aplicacin, asimilable a las capas 5 (sesin), 6 (presentacin) y 7 (aplicacin) del modelo OSI.la capa de aplicacin deba incluir los detalles de las capas de sesin y presentacin OSI. Crearon una capa de aplicacin que maneja aspectos de representacin, codificacin y control de dilogo. Capa 3 o capa de transporte: Transporte, asimilable a la capa 4 (transporte) del modelo OSI. Capa 2 o capa de red: Internet, asimilable a la capa 3 (red) del modelo OSI. Capa 1 o capa de enlace: Acceso al Medio, asimilable a la capa 1 (fsica) y 2 (enlace de datos) del modelo OSI.
2.7.5 Describir la vulnerabilidad de las redesEl anlisis de la vulnerabilidad, a veces llamado exploracin de la vulnerabilidad, es el acto de determinar qu agujeros y vulnerabilidades de la seguridad pueden ser aplicables a la red. Para hacer esto, examinamos las mquinas identificadas dentro de la red para identificar todos los puertos abiertos y los sistemas operativos y los usos que los anfitriones estn funcionando (nmero de versin incluyendo, nivel del remiendo, y paquete del servicio). Adems, comparamos esta informacin con varias bases de datos de la vulnerabilidad del Internet para comprobar qu vulnerabilidades y hazaas actuales pueden ser aplicables a la red. Dado el constreimiento del tiempo nos podemos estar debajo durante un contrato y el nmero de anfitriones dentro del alcance, puede ser necesario centrarse inicialmente en los anfitriones crticos. Sin embargo, si el pelado abajo de la lista de la blanco necesita ser hecho, l se hace generalmente durante el paso siguiente. Nota: Es importante tomar en la consideracin que los resultados del silbido de bala autoritariamente no demuestran a que un anfitrin est abajo. En la luz de esto, si hay alguna duda si el target(s) est filtrado o protegido con eficacia contra silbido de bala o est realmente abajo, recomendamos el continuar con una exploracin portuaria. Mantenga el nmero de puertos tales exploraciones abajo que estas exploraciones tiendan para tomar a una cantidad de tiempo ms larga. Si es necesario explorar una gran cantidad de puertos en los anfitriones insensibles, es el mejor hacer esto durante la noche. En el extremo de esta etapa, tenemos gusto de poder documentar todos los anfitriones de la blanco (vivos y de otra manera) en una tabla junto con el OS, el IP address, los usos corrientes, cualquier informacin de
32
Auditoria de Sistemas TI 2010la bandera disponible, y vulnerabilidades sabidas. Esta informacin es til durante la etapa de la explotacin y para la presentacin al cliente de modo que el cliente sea enterado de las vulnerabilidades en la red y la cantidad de informacin que un forastero puede recopilar antes de comprometer la red. Identificacin del OSI Identificando el sistema operativo, podemos procurar predecir los servicios que pueden funcionar en el anfitrin y adaptar nuestras exploraciones del puerto basadas en esta informacin. Nmap, la herramienta principal usada para realizar la identificacin del OS, hace esto analizando la respuesta del apilado del TCP de la blanco a los paquetes que Nmap envi. Vario RFCs gobierna cmo el apilado del TCP debe responder cuando est preguntado. Sin embargo, los detalles de la puesta en prctica se dejan al vendedor. Por lo tanto, las diferencias en cmo los vendedores satisfacen el RFCs permiten que sean identificados. Mientras que este mtodo no es a toda prueba, la deteccin del OS de Nmap es bastante confiable y aceptada bien por la industria. Cambiar la firma del OS de una computadora es posible pero no trivial, y no ha sido nuestra experiencia que las compaas realizan este nivel de enmascarar. La identificacin del OS va una manera larga en la ejecucin de la enumeracin de la red y de la exploracin de la vulnerabilidad. Tan pronto como sepamos el OS de una mquina particular, podemos comenzar a generar una lista de agujeros y de vulnerabilidades potencialesa menudo de propio sitio del Web del vendedor. Por ejemplo, tan pronto como sepamos una mquina es Windows NT, podemos comprobar si el puerto 139 del TCP est abierto y procurar una conexin nula a la parte del IP. Si identificamos una caja de UNIX, podemos buscar los puertos de X Windows (60006063). Enumeracin Del Uso De los resultados de la exploracin portuaria, ganamos una lista de puertos abiertos en las mquinas receptoras. Un puerto abierto no indica enteramente lo que puede ser activo el servicio que escucha. Los puertos debajo de 1024 se han asignado a los varios servicios y si stos se encuentran abiertos, indican generalmente el servicio asignado. Adems, otros usos se han funcionado en ciertos puertos para tan de largo que se han convertido en el estndar de hecho, tal como puerto 65301 para el pcAnywhere y 26000 para el temblor. Por supuesto los administradores de sistema pueden cambiar el puerto que un servicio funciona encendido en una tentativa de ocultarla (un ejemplo de la seguridad con oscuridad). Por lo tanto, procuramos conectar con el puerto abierto y asir una bandera para verificar el funcionamiento del servicio. Investigacin Del Internet Una vez que la lista de usos se sepa, el paso siguiente es investigar la lista y determinarse existen qu vulnerabilidades. Mientras que usted realiza pruebas de penetracin, usted hace familiar con ciertas vulnerabilidades populares y puede determinarse rpidamente si un uso es vulnerable. Sin embargo, es importante tener presente que las nuevas vulnerabilidades estn fijadas sobre una base diaria, y usted debe comprobar sus bases de datos preferidas de la vulnerabilidad para saber si hay todos los usos, servicios, y sistemas operativos que usted encuentra en cada contrato.
2.7.6 Explicar la auditoria de la red fsica y lgica
33
Auditoria de Sistemas TI 2010Auditoria De La Red Fsica Se debe garantizar que exista: reas de equipo de comunicacin con control de acceso. Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos. Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trafico en ella. Prioridad de recuperacin del sistema. Control de las lneas telefnicas. Comprobando que: El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado. La seguridad fsica del equipo de comunicaciones sea adecuada. Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas telefnicas. Las lneas de comunicacin estn fuera de la vista. Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma. Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a la red. Existan revisiones peridicas de la red buscando pinchazos a la misma. El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas. Existan alternativas de respaldo de las comunicaciones. Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas configuradas con retrollamada, cdigo de conexin o interruptores. AUDITORIA LOGICA En sta, debe evitarse un dao interno, como por ejemplo, inhabilitar un equipo que empieza a enviar mensajes hasta que satura por completo la red. Para ste tipo de situaciones: Se deben dar contraseas de acceso. Controlar los errores. Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto, regularmente se cambia la ruta de acceso de la informacin a la red. Registrar las actividades de los usuarios en la red. Encriptar la informacin pertinente. Evitar la importacin y exportacin de datos. Que se comprueban si: El sistema pidi el nombre de usuario y la contrasea para cada sesin: En cada sesin de usuario, se debe revisar que no acceda a ningn sistema sin autorizacin, ha de inhabilitarse al usuario que tras un nmero establecido de veces erra en dar correctamente su propia contrasea, se debe obligar a los usuarios a cambiar su contrasea regularmente, las
34
Auditoria de Sistemas TI 2010contraseas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar informacin sobre su ltima conexin a fin de evitar suplantaciones. Inhabilitar el software o hardware con acceso libre. Generar estadsticas de las tasas de errores y transmisin. Crear protocolos con deteccin de errores. Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor. El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes duplicados, fuera de orden, perdidos o retrasados. Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde una terminal debidamente autorizada. Se debe hacer un anlisis del riesgode aplicaciones en los procesos. Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes organizaciones. Asegurar que los datos que viajan por Internet vayan cifrados. Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado para impedir el acceso de equipos forneos a la red. Deben existir polticas que prohban la instalacin de programas o equipos personales en la red. Los accesos a servidores remotos han de estar inhabilitados. La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en cada una de las siguientes facetas: Servidores = Desde dentro del servidor y de la red interna. Servidores web. Intranet = Desde dentro. Firewall = Desde dentro. Accesos del exterior y/o Internet.
3.1 Conceptos Bsicos3.1.1 Describir el concepto de evidencia, las irregularidades, los papeles de trabajo o documentacinDe acuerdo al diccionario de la real academia espaola, una evidencia es un conocimiento que se nos aparece intuitivamente de tal manera que podemos afirmar la validez de su contenido, como verdadero, con certeza y sin sombra de duda La evidencia es la base de juicio del auditor. Es con lo que se sustentara la correcta ejecucin de los procesos, procedimientos o instrucciones de trabajo. La evidencia, es uno de los fundamentos de la auditoria, la forma de solicitar evidencia y el tipo de evidencia depender del tipo de auditora aplicada.
35
Auditoria de Sistemas TI 2010Fsica Permite al auditor constatar la existencia real de los activos y la calidad de los mismos, mediante la inspeccin ocular. Puede haber ocasiones en que el auditor necesite apoyarse en personas tcnicas, peritos, etc. Es obtenida a travs del examen de documentos importantes y registros contables. Hay 2 tipos: las creadas dentro de la organizacin (Se debe considerar al control interno de la organizacin como dbil), y las creadas fuera de la organizacin. Es la obtenida del conjunto de procedimientos que implican la realizacin de clculos aritmticos y comprobaciones matemticas. Se obtiene a travs del contacto personal con los distintos responsables y empleados de la compaa y con terceras personas independientes. Este tipo de evidencia sirve para detectar puntos dbiles y conflictivos en el sistema permitiendo iniciar una investigacin sobre los mismos. Condiciona el alcance del trabajo de auditoria, su evaluacin determina el nivel de pruebas que el auditor deber realizar. La evidencia de un sistema de control interno eficaz y que adems se cumpla, constituye para el auditor una evidencia vlida del correcto funcionamiento de la empresa. Esta evidencia depende del grado de control interno exigidos en su preparacin.
Documental
Analtica
Verbal
Control interno
Mayores y diarios
Comparaciones e ndices
Es la comparacin de las cantidades de cada una de las cuentas de activos, pasivos, ingresos y gastos con los saldos correspondientes al periodo precedente.
3.2 Interpretacin de los resultados de la Auditoria InformticaEl informe de auditora financiera tiene como objetivo expresar una opinin tcnica de las cuentas anuales en los aspectos significativos o importantes, sobre si stas muestran la imagen fiel del patrimonio, de la situacin financiera y del resultado de sus operaciones, as como de los recursos obtenidos y aplicados durante el ejercicio.
3.2.1 Identificar los tipos de opinionesOpinin Favorable: En una opinin favorable, el auditor manifiesta de forma clara y precisa que las cuentas anuales consideradas expresan en todos los aspectos significativos la imagen fiel del patrimonio y de la situacin financiera, de los resultados de sus operaciones y de los recursos obtenidos y aplicados durante el ejercicio, y contienen la informacin necesaria y suficiente para su interpretacin y comprensin adecuada. Opinin con Salvedades Este tipo de opinin es aplicable cuando el auditor concluye que existen una o varias de las circunstancias que se relacionan en este apartado, siempre que sean significativas en relacin con las cuentas anuales tomadas en su conjunto.
Opinin Desfavorable
36
Auditoria de Sistemas TI 2010La opinin desfavorable supone manifestarse en el sentido de que las cuentas anuales tomadas en su conjunto no presentan la imagen fiel del patrimonio, de la situacin financiera, del resultado de las operaciones o de los cambios de la situacin financiera de la entidad auditada, de conformidad con los principios y normas contables generalmente aceptados. Opinin Denegada Cuando el auditor no ha obtenido la evidencia necesaria para formarse una opinin sobre las cuentas anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una opinin sobre las mismas.
3.2.2 Describir los componentes, caractersticas y tendencias de un informeIndica el alcance del trabajo y si ha sido
