2012 AUDITORIA INFORMATICA
UNIDAD IV
4.1 Generalidades de Seguridad Area Fisica Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma. Así, la Seguridad Física consiste en la “aplicación de barreras físicas y
procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial”(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Tipos de Desastres No será la primera vez que se mencione en este trabajo, que cada sistema es único y por lo tanto la política de seguridad a implementar no será única. Este concepto vale, también, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarán pautas de aplicación general y no procedimientos específicos. Para ejemplificar esto: valdrá de poco tener en cuenta aquí, en Entre Ríos, técnicas de seguridad ante terremotos; pero sí será de máxima utilidad en Los Angeles, EE.UU. Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro. Las principales amenazas que se prevén en la seguridad física son: Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre.
Disturbios, sabotajes internos y externos deliberados. No hace falta recurrir a películas de espionaje para sacar ideas de cómo obtener la máxima seguridad en un sistema informático, además de que la solución sería extremadamente cara. A veces basta recurrir al sentido común para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas áreas siguen siendo técnicas válidas en cualquier entorno. A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos. Incendios Inundaciones Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputos. Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Condiciones Climatológicas Señales de Radar La influencia de las señales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios años.
Los resultados de las investigaciones más recientes son que las señales muy fuertes de radar pueden inferir en el procesamiento electrónico de la información, pero únicamente si la señal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podría ocurrir sólo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algún momento, estuviera apuntando directamente hacia dicha ventana. Instalaciones Eléctricas Ergometría Acciones Hostiles Robo Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro Fraude Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imágen, no se da ninguna publicidad a este tipo de situaciones.
Sabotaje El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Además, suciedad, partículas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las líneas de comunicaciones y eléctricas pueden ser cortadas, etc. Control de Accesos El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución. Utilización de Guardias Utilización de Detectores de Metales El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual. La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma. La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo. Utilización de Sistemas Biométricos Verificación Automática de Firmas (VAF) En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque también podría encuadrarse dentro de las verificaciones biométricas.
Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud. La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o de escribir. La secuencia sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es único en cada individuo. El patrón contiene información extensa sobre la manera en que la escritura es ejecutada. El equipamiento de colección de firmas es inherentemente de bajo costo y robusto. Esencialmente, consta de un bloque de metal (o algún otro material con propiedades acústicas similares) y una computadora barata. Seguridad con Animales Sirven para grandes extensiones de terreno, y además tienen órganos sensitivos mucho más sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema. Así mismo, este sistema posee la desventaja de que los animales pueden ser engañados para lograr el acceso deseado. Protección Electrónica 4.2 Seguridad Logica y Confidencial La seguridad lógica se encarga de los controles de acceso que están diseñados para salvaguardar la integridad de la información almacenada de una computadora, así como de controlar el mal uso de la información. La seguridad lógica se encarga de controlar y salvaguardar la información generada por los sistemas, por el software de desarrollo y por los programas en aplicación.
Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especifico, de las redes y terminales. La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la organización: Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o información. Código oculto en un programa Entrada de virus La seguridad lógica puede evitar una afectación de perdida de registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas. Un método eficaz para proteger sistemas de computación es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contraseña antes de permitirle el acceso a información confidencial. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computación, por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad adecuada. El sistema integral de seguridad debe comprender: Elementos administrativos. Definición de una política de seguridad. Organización y división de responsabilidades. Seguridad lógica Tipos de usuarios: Propietario. Es el dueño de la información, el responsable de ésta, y puede realizar cualquier función. Es responsable de la seguridad lógica, en cuanto puede realizar cualquier acción y puede autorizar a otros usuarios de acuerdo con el nivel que desee darles. Administrador. Sólo puede actualizar o modificar el software con la debida autorización, pero no puede modificar la información. Es responsable de la seguridad lógica y de la integridad de los datos.
Usuario principal. Está autorizado por el propietario para hacer modificaciones, cambios, lectura y utilización de los datos, pero no puede dar autorización para que otros usuarios entren. Usuario de explotación. Puede leer la información y utilizarla para explotación de la misma, principalmente para hacer reportes de diferente índole. Usuario de auditoría. Puede utilizar la información y rastrearla dentro del sistema para fines de auditoria. Los usuarios pueden ser múltiples, y pueden ser el resultado de la combinación de los antes señalados. Se recomienda que exista sólo un usuario propietario, y que el administrador sea una persona designada por la gerencia de informática. Para conservar la integridad, confidencialidad y disponibilidad de los sistemas de información se debe tomar en cuenta lo siguiente: La integridad es la responsabilidad de los individuos autorizados para modificar datos o programas o de los usuarios a los que se otorgan acceso a aplicaciones de sistema o funciones fuera de sus responsabilidades normales de trabajo. La confidencialidad es responsabilidad de los individuos autorizados para consultar o para bajar archivos importantes para microcomputadoras. La responsabilidad es responsabilidad de individuos autorizados para alterar los parámetros de control de acceso al sistema operativo, al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones. La seguridad lógica abarca las siguientes áreas: Rutas de acceso. Claves de acceso. Software de control de acceso. Encriptamiento. Rutas de acceso Cada uno de los sistemas de información tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema. Los tipos de restricciones de acceso son: Sólo lectura
Sólo consulta Lectura y consulta Lectura escritura para crear, actualizar, borrar, ejecutar o copiar El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema. El autor debe conocer las rutas de acceso para el evaluación de los puntos de control apropiados. Claves de acceso Un área importante en la seguridad lógica de las claves de acceso de los usuarios. Existen diferentes métodos de identificación para el usuario: Un password, código o llaves de acceso. Las claves de acceso pueden ser usadas para controlar al acceso a la computadora, a sus recursos, así como definir nivel de acceso o funciones específicas. Las llaves de acceso deben tener las siguientes características: - El sistema debe verificar primero que el usuario tenga una llave de acceso válida. - La llave de acceso debe ser de una longitud adecuada para ser un secreto. - La llave de acceso no debe ser desplegada cuando es tecleada. - Las llaves de acceso deben ser encintadas. - Las llaves de acceso deben de prohibir el uso de nombres, palabras o caracteres difíciles de retener, además el password no debe ser cambiado por un valor pasado. Se recomienda la combinación de caracteres alfabéticos y numéricos. Una credencial con banda magnética. La banda magnética de las credenciales es frecuentemente usada para la entrada del sistema. Esta credencial es como una bancaria, pero se recomienda que tenga fotografía y firma. Algo especifico del usuario. Es un método para identificación del usuario, que es implantado con tecnología biométrica (características propias). Algunos de los dispositivos biométricos son: - Las huellas dactilares. - La retina
- La geometría de la mano. - La firma. - La voz. Software de control de acceso El software de control de acceso, tiene las siguientes funciones: Definición de usuarios. Definición de las funciones del usuario después de accesar el sistema. Jobs Establecimiento de auditoría a través del uso del sistema. La mayor ventaja del software de seguridad es la capacidad para proteger los recursos de acceso no autorizados, incluyendo los siguientes: Procesos en espera de modificación por un programa de aplicación. Accesos por editores en línea. Accesos por utilerías de software. Accesos a archivos de las bases de datos, a través de un manejador de base de datos. Acceso de terminales o estaciones no autorizadas. Estos paquetes pueden restringir el acceso a los recursos, reduciendo así el riesgo de accesos no autorizados. Otra característica de estos paquetes es que se pueden detectar las violaciones de seguridad, tomando las siguientes medidas: Terminaciones de procesos. Forzar a las terminales a apagarse. Desplegar mensajes de error. Escribir los riesgos para la auditoría. Otros tipos de software de control de acceso
Algunos tipos de software son diseñados con características que pueden ser usadas para proveerles seguridad. Sin embargo, es preferible usar un software de control de acceso para asegurar el ambiente total y completar las características de seguridad con u software especifico. a) Sistemas operativos. Se trata de una serie de programas que se encuentran dentro de los sistemas operativos, los cuales manejan los recursos de las computadoras y sirven como interfase entre software de aplicaciones y el hardware. Estos programas proporcionan seguridad ya que, internamente, dentro de los sistemas operativos manejan y controlan la ejecución de programas de aplicación y proveen los servicios que estos programas requieren, dependiendo del usuario y del sistema que esté trabajando. b) Software manejador de base de datos. Es un software cuya finalidad es la de controlar, organizar y manipular los datos. Provee múltiples caminos para accesar los datos en una base de datos. Maneja la integridad de datos entre operaciones, funciones y tareas de la organización. c) Software de consolas o terminales maestras. El software de consolas o terminales maestras puede ser definido como varios programas del sistema operativo que proveen soporte y servicio para que las terminales en línea acceden a los programas en aplicación. d) Software de librerías. El software de librerías consta de datos y programas específicos escritos para ejecutar una función de la organización. Los programas en aplicación pueden ser guardados en archivos en el sistema, y el acceso a estos programas puede ser controlado por medio del software usado para controlar el acceso a estos archivos. e) Software de utilerías. Existen dos tipos de utilerías. El primero es usado en los sistemas de desarrollo para proveer productividad. El desarrollo de programas y los editores en línea son los ejemplos de este tipo de software. El segundo es usado para asistir en el manejo de operaciones de la computadora. Monitoreos, calendarios de trabajo, sistema manejador de disco y cinta son ejemplos de este de software.
4.3 Seguridad Personal
4.4 Clasificacion Controles de Seguridad
4.5 Seguridad de Datos y Software de Aplicacion
4.6 Controles para Evaluar Software de Aplicacion
4.7 Controles Para Prevenir Crímenes Y Fraudes Informaticos
4.8 Plan de Contingencia Seguros procedimientos de recuperacion de desastres A medida que las empresas se han vuelto cada vez más dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informáticos se ha vuelto crucial. Actualmente, la mayoría de las empresas necesitan un nivel alto de disponibilidad y algunas requiren incluso un nivel continuo de disponibilidad, ya que les resultaría extremadamente difícil funcionar sin los recursos informáticos. Los procedimientos manuales, si es que existen, sólo serían prácticos por un corto periodo. En caso de un desastre, la interrupción prolongada de los servicios de computación puede llevar a pérdidas financieras significativas, sobre todo si está implicada la responsabilidad de la gerencia de informática. Lo más grave es que se puede perder la credibilidad del público o los los clientes y, como consecuencia, la empresa puede terminar en un fracaso total. Cabe preguntarse “¿Por se necesita un plan de contingencia para desastres si existe una póliza de seguro para esta eventualidad?” La respuesta es que si bien
el seguro puede cubrir los costos materiales de los activos de una organización en caso de una calamidad, no servirá para recuperar el negocio. No ayudará a conservar a los clientes y, en la mayoría de los casos, no proporcionará fondos por adelantado para mantener funcionando el negocio hasta que se haya recuperado. En un estudio realizado por la Universidad de Minnesota, se ha demostrado que más del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperación ya en funcionamiento, saldrán del negocio en dos o tres años.
Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informáticos, este porcentaje seguramente crecerá. Por lo tanto, la capacidad para recuperarse éxitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratégico de seguridad para una organización. Imagínese una situación que interrumpa las operaciones de las computadoras durante una semana o un mes; imagine la pérdida de todos los datos de la empresa, todas las unidades de respaldo del sitio y la destrucción de equipos vitales del sistema ¿Cómo se manejaría semejante catástrofe? Si Ud. se ve en esta situación y lo único que puede hacer es preguntarse “¿Y ahora qué?” ¡ya es demasiado tarde! La única manera efectiva de afrontar un desastre es tener una solución completa y totalmente probada para recuperarse de los efectos del mismo. 4.9 Tecnicas Herramientas Relacionadas con Seguridad Fisica y del personal Primera parte de: 4.10.-Auditoria de la seguridad de los datos y del software de aplicación 1.-Controles internos sobre el análisis, desarrollo e implementación de sistemas 1.-Las actividades que se realizan para el análisis, diseño, desarrollo e implementación de sistemas de cualquier empresa son únicas y por lo tanto, no tienen parecido alguno con otras actividades. 2.-Por esta razón merecen un tratamiento más especializado. 2.- Puntos básicos 1.-Las consecuencias de un error (generalmente deben ser consideradas para cada campo en la información de entrada). 2.-Los puntos en el procesamiento de información en los cuales se puede introducir un error en ésta. 2.-Puntos básicos 1.-Lo adecuado de los controles introducidos para prevención, detección y corrección de errores de entrada. 3.-¿Cómo pueden ocurrir errores en los datos de entrada?
1.-Pueden estar registrados incorrectamente en el punto de entrada. 2.-Pueden haber sido convertidos incorrectamente a forma legible por la máquina. 4.-¿Cómo pueden ocurrir errores en los datos de entrada? 1.-Pueden haber sido perdidos al manejarlos; 2.-Pueden haber sido incorrectamente procesados al ser leídos por el equipo del computador. 5.-El auditor debe investigar puntos tales como: 1.-¿Qué ocurre a la información de entrada en que se encuentran los errores? 2.-¿Qué sucede con una operación no correspondida? 3.-¿Qué sucede si los totales de control no coinciden? 6.-Tipos de controles. 1.-Control de distribución. 2.-Validación de datos. 3.-Totales de control. 4.-Control de secuencia. 5.-Pruebas de consistencia y verosimilitud. 6.-Dígito de control. 7.-Control de distribución 1.-La información de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no están autorizados para recibirla. 8.-Validación de datos 1.-Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer. 2.-Estas pruebas actúan como filtros de la información.
9.-Validación de datos 1.-Los datos que logran pasar el filtro se dice que están validados. 2.-Aquellos que contienen errores son examinados, y una vez corregidos pasan de nuevo por el filtro. 10.-Totales de control 1.-Un sistema de validación consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artículos de un archivo. 2.-El resultado se compara con el total de estos mismos obtenidos manualmente. 11.-Totales de control 1.-Si el total manual no coincide con el total de la computadora es señal de que se ha producido un error, esto es debido a que no están escritos los datos correctamente, o se omita un registro, duplicar registros. 12.-Control de secuencia 1.-En datos como las facturas que están foliadas, la computadora puede ejercer un control de secuencia sobre este número de folio, con lo cual se detectará si se omitieron o duplicaron registros. 13.-Control de secuencia 1.-Algunas veces se dan rangos de secuencia con vacíos entre rango y rango, entonces la investigación se hace dentro de los límites de cada rango. 14.-Control de secuencia 1.-En la mayoría de las veces el control de secuencia se produce sobre la clave de identificación del artículo, pero en otras se incorpora un campo adicional al artículo en donde se inserta el número de orden que permita el control de secuencia. 15.-Pruebas de consistencia y verosimilitud 1.-Una prueba típica de consistencia es ver si un campo de un registro al que hemos definido como numérico, efectivamente soporta información numérica. 16.-Dígito de control 1.-Dado que la clave de identificación de los artículos de un registro, permite individualizar cada uno de los artículos.
2.-Es necesario asegurarse de que el contenido de la clave esté correcto. 17.-Dígito de control 1.-Cuando se escribe un número es factible cometer ciertos errores ya típicos: – Error de omisión. – Error de adición. – Error de transposición. – Error de repetición. – Error de transcripción. – Error aleatorio.
18.-Dígito de control 1.-Para detectar que el contenido de un campo de una clave es el correcto, lo que se hace es añadir una cifra más, obtenida como una combinación matemática de las distintas cifras que integran el número de la clave de identificación. 29.-Dígito de control 1.-Existen dos fases en el problema: -Asignar a cada número de la clave su correspondiente dígito de control de manera que desde este momento para cualquier transacción el número de artículo tiene que aparecer acompañado de su dígito de control. 20.-Dígito de control .Validación de cualquier movimiento o transacción en que intervenga el artículo. • Para ello se forma la parte que será propiamente el número de clave, se calcula
el dígito de control y se compara con el que aparece asociado en la clave. Segunda parte de: 4.10.- Auditoría de la seguridad de los datos y del software de aplicación 1.-PROTECCIÓN DE LOS REGISTROS Y DE LOS ARCHIVOS 1.1.formas en que se pueden perder los archivos:
1.1.1.Su presencia en un ambiente destructivo. 1.1.2 .Manejo indebido por parte del operador. 1.1.3 .Mal funcionamiento de la máquina. 2.-CONSIDERACIONES DE AUDITORÍA: 1.-El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que haya en los procedimientos para protección de registros y archivos y para su restitución en caso de pérdida. Aún cuando no ocurra una pérdida, un sistema débil pone en peligro los archivos. 3.-PLAN DE PRESERVACIÓN DE LA INFORMACIÓN 1.-DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado. 2.-ARCHIVO DE DISCOS: Una característica del archivo de discos es que el registro anterior es destruído, no produce una copia automáticamente una copia en duplicado. 3.-VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel de impresión. Grado de confianza, satisfacción y desempeño Grado de confianza, satisfacción y desempeño 4.-OBJETIVOS DE LA AUDITORÍA DEL SOFTWARE DE APLICACIÓN 1.-VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES. Para satisfacer: La instalación del software La operación y seguridad del software. La administración del software 2.-DETECTAR EL GRADO DE CONFIABILIDAD. Grado de confianza, satisfacción y desempeño
5.-Investigar si existen políticas con relación al software. 1.-Detectar si existen controles de seguridad. 2.-Verificar que sea software legalizado. 3.-Actualización del software de aplicación. 6.-EVALUACIÓN DEL SOFTWARE El auditor debe evaluar qué software se encuentra instalado en la organización. Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. También debe investigar las versiones de cada uno. 7.-ORGANIZACIÓN El auditor debe de verificar que existan políticas para: 1.-La evaluación del software. 2.-Adquisición o instalación. 3.-Soporte a usuarios. 4.-Seguridad. 8.-INSTALACIÓN Y LEGALIZACIÓN 1.-Procedimientos para la instalación del software. El auditor debe investigar si existen procedimientos que aseguren la oportuna instalación del software. 2.-Actividades durante la instalación. Por ejemplo: revisión de contenido del paquete, fecha de instalación, número de máquina, responsable de instalación, etc. 9.-Justificación En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe formular una justificación del porqué de esta adquisición. 1.-Software legal
El auditor debe de investigar las políticas cuando se encuentra software instalado en máquinas sin licencias de uso. 10.-ENTRADA Y SALIDA DEL SOFTWARE Que el software que salga de la empresa sea: 1.-Revisado (contenido, cantidad, destino). 2.-Esté registrado formalmente en la empresa. 3.-Justificada plenamente su salida. 4.-Aprobado por el responsable del área de informática. 10.1-ENTRADA Y SALIDA DEL SOFTWARE Que el software que salga de la empresa sea: 1.-Registrado en bitácora (quién y a qué hora lo sacó) 2.-Devuelto en las mismas condiciones. 3.-El personal está comprometido a no hacer mal uso del mismo. 10.1.1ENTRADA Y SALIDA DEL SOFTWARE Que el software que ingrese a la empresa sea: Revisado (contenido, cantidad, procedencia). 1.-Aprobado por el responsable de informática. 2.-Registrado (quién y a qué hora lo introdujo) 10.1.2ENTRADA Y SALIDA DEL SOFTWARE Que el software que ingrese a la empresa sea: 1.-Devuelto en tiempo (comparar con fecha estipulada de devolución).
2.-Devuelto en las mismas condiciones. 3.-El personal está comprometido a no hacer mal uso del mismo. 4.10 Tacnicas y Herramientas Relacionadas con Seguridad de Datos y software de aplicacion Primera parte de: 4.10.-Auditoria de la seguridad de los datos y del software de aplicación 1.-Controles internos sobre el análisis, desarrollo e implementación de sistemas 1.-Las actividades que se realizan para el análisis, diseño, desarrollo e implementación de sistemas de cualquier empresa son únicas y por lo tanto, no tienen parecido alguno con otras actividades. 2.-Por esta razón merecen un tratamiento más especializado. 2.- Puntos básicos 1.-Las consecuencias de un error (generalmente deben ser consideradas para cada campo en la información de entrada). 2.-Los puntos en el procesamiento de información en los cuales se puede introducir un error en ésta. 2.-Puntos básicos 1.-Lo adecuado de los controles introducidos para prevención, detección y corrección de errores de entrada. 3.-¿Cómo pueden ocurrir errores en los datos de entrada? 1.-Pueden estar registrados incorrectamente en el punto de entrada. 2.-Pueden haber sido convertidos incorrectamente a forma legible por la máquina. 4.-¿Cómo pueden ocurrir errores en los datos de entrada? 1.-Pueden haber sido perdidos al manejarlos; 2.-Pueden haber sido incorrectamente procesados al ser leídos por el equipo del computador.
5.-El auditor debe investigar puntos tales como: 1.-¿Qué ocurre a la información de entrada en que se encuentran los errores? 2.-¿Qué sucede con una operación no correspondida? 3.-¿Qué sucede si los totales de control no coinciden? 6.-Tipos de controles. 1.-Control de distribución. 2.-Validación de datos. 3.-Totales de control. 4.-Control de secuencia. 5.-Pruebas de consistencia y verosimilitud. 6.-Dígito de control. 7.-Control de distribución 1.-La información de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no están autorizados para recibirla. 8.-Validación de datos 1.-Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer. 2.-Estas pruebas actúan como filtros de la información. 9.-Validación de datos 1.-Los datos que logran pasar el filtro se dice que están validados. 2.-Aquellos que contienen errores son examinados, y una vez corregidos pasan de nuevo por el filtro. 10.-Totales de control 1.-Un sistema de validación consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artículos de un archivo.
2.-El resultado se compara con el total de estos mismos obtenidos manualmente. 11.-Totales de control 1.-Si el total manual no coincide con el total de la computadora es señal de que se ha producido un error, esto es debido a que no están escritos los datos correctamente, o se omita un registro, duplicar registros. 12.-Control de secuencia 1.-En datos como las facturas que están foliadas, la computadora puede ejercer un control de secuencia sobre este número de folio, con lo cual se detectará si se omitieron o duplicaron registros. 13.-Control de secuencia 1.-Algunas veces se dan rangos de secuencia con vacíos entre rango y rango, entonces la investigación se hace dentro de los límites de cada rango. 14.-Control de secuencia 1.-En la mayoría de las veces el control de secuencia se produce sobre la clave de identificación del artículo, pero en otras se incorpora un campo adicional al artículo en donde se inserta el número de orden que permita el control de secuencia. 15.-Pruebas de consistencia y verosimilitud 1.-Una prueba típica de consistencia es ver si un campo de un registro al que hemos definido como numérico, efectivamente soporta información numérica. 16.-Dígito de control 1.-Dado que la clave de identificación de los artículos de un registro, permite individualizar cada uno de los artículos. 2.-Es necesario asegurarse de que el contenido de la clave esté correcto. 17.-Dígito de control 1.-Cuando se escribe un número es factible cometer ciertos errores ya típicos: – Error de omisión. – Error de adición. – Error de transposición.
– Error de repetición. – Error de transcripción. – Error aleatorio.
18.-Dígito de control 1.-Para detectar que el contenido de un campo de una clave es el correcto, lo que se hace es añadir una cifra más, obtenida como una combinación matemática de las distintas cifras que integran el número de la clave de identificación. 29.-Dígito de control 1.-Existen dos fases en el problema: -Asignar a cada número de la clave su correspondiente dígito de control de manera que desde este momento para cualquier transacción el número de artículo tiene que aparecer acompañado de su dígito de control. 20.-Dígito de control .Validación de cualquier movimiento o transacción en que intervenga el artículo. • Para ello se forma la parte que será propiamente el número de clave, se calcula
el dígito de control y se compara con el que aparece asociado en la clave. Segunda parte de: 4.10.- Auditoría de la seguridad de los datos y del software de aplicación 1.-PROTECCIÓN DE LOS REGISTROS Y DE LOS ARCHIVOS 1.1.formas en que se pueden perder los archivos: 1.1.1.Su presencia en un ambiente destructivo. 1.1.2 .Manejo indebido por parte del operador. 1.1.3 .Mal funcionamiento de la máquina. 2.-CONSIDERACIONES DE AUDITORÍA: 1.-El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que haya en los procedimientos para protección de registros y archivos y para su restitución en caso de pérdida.
Aún cuando no ocurra una pérdida, un sistema débil pone en peligro los archivos. 3.-PLAN DE PRESERVACIÓN DE LA INFORMACIÓN 1.-DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado. 2.-ARCHIVO DE DISCOS: Una característica del archivo de discos es que el registro anterior es destruído, no produce una copia automáticamente una copia en duplicado. 3.-VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel de impresión. Grado de confianza, satisfacción y desempeño Grado de confianza, satisfacción y desempeño 4.-OBJETIVOS DE LA AUDITORÍA DEL SOFTWARE DE APLICACIÓN 1.-VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES. Para satisfacer: La instalación del software La operación y seguridad del software. La administración del software 2.-DETECTAR EL GRADO DE CONFIABILIDAD. Grado de confianza, satisfacción y desempeño 5.-Investigar si existen políticas con relación al software. 1.-Detectar si existen controles de seguridad. 2.-Verificar que sea software legalizado. 3.-Actualización del software de aplicación. 6.-EVALUACIÓN DEL SOFTWARE
El auditor debe evaluar qué software se encuentra instalado en la organización. Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. También debe investigar las versiones de cada uno. 7.-ORGANIZACIÓN El auditor debe de verificar que existan políticas para: 1.-La evaluación del software. 2.-Adquisición o instalación. 3.-Soporte a usuarios. 4.-Seguridad. 8.-INSTALACIÓN Y LEGALIZACIÓN 1.-Procedimientos para la instalación del software. El auditor debe investigar si existen procedimientos que aseguren la oportuna instalación del software. 2.-Actividades durante la instalación. Por ejemplo: revisión de contenido del paquete, fecha de instalación, número de máquina, responsable de instalación, etc. 9.-Justificación En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe formular una justificación del porqué de esta adquisición. 1.-Software legal El auditor debe de investigar las políticas cuando se encuentra software instalado en máquinas sin licencias de uso. 10.-ENTRADA Y SALIDA DEL SOFTWARE Que el software que salga de la empresa sea: 1.-Revisado (contenido, cantidad, destino). 2.-Esté registrado formalmente en la empresa.
3.-Justificada plenamente su salida. 4.-Aprobado por el responsable del área de informática. 10.1-ENTRADA Y SALIDA DEL SOFTWARE Que el software que salga de la empresa sea: 1.-Registrado en bitácora (quién y a qué hora lo sacó) 2.-Devuelto en las mismas condiciones. 3.-El personal está comprometido a no hacer mal uso del mismo. 10.1.1ENTRADA Y SALIDA DEL SOFTWARE Que el software que ingrese a la empresa sea: Revisado (contenido, cantidad, procedencia). 1.-Aprobado por el responsable de informática. 2.-Registrado (quién y a qué hora lo introdujo) 10.1.2ENTRADA Y SALIDA DEL SOFTWARE Que el software que ingrese a la empresa sea: 1.-Devuelto en tiempo (comparar con fecha estipulada de devolución). 2.-Devuelto en las mismas condiciones. 3.-El personal está comprometido a no hacer mal uso del mismo.
