SlideShare ist ein Scribd-Unternehmen logo

Auditoria Sistemas

Solution´s System
Solution´s System

Determinación del Area a Auditar, Riesgos, Contingencia y Seguridad

1 von 19
Downloaden Sie, um offline zu lesen
Auditoria de Sistemas ING. SISTEMAS SECCION: G-003-N INTEGRANTES: DESSIREE MORILLO GREGORIO CASTILLO JOSE FONSECA HENRY FLORES JUAN ARIAS JOAN GIL JOSE G. SANOJA H. 01/05/2011
Determinación del Área a Auditar Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoría en informática, la planificar el área a Auditar es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:  Evaluación de los sistemas y procedimientos.  Evaluación de los equipos de cómputo. Lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. Investigación Preliminar Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización. Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos: Administración Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de informática Solution’s System´s | “Piensa Limpio, Piensa Verde” 2
Objetivos a corto y largo plazo. Recursos materiales y técnicos: Solicitar documentos sobre los equipos, número de ellos, localización y características. Estudios de viabilidad: Número de equipos, localización y las características (de los equipos instalados y por instalar y programados), Fechas de instalación de los equipos y planes de instalación, Contratos vigentes de compra, renta y servicio de mantenimiento, Contratos de seguros, Convenios que se tienen con otras instalaciones, Configuración de los equipos y capacidades actuales y máximas, Planes de expansión, Ubicación general de los equipos, Políticas de operación, Políticas de uso de los equipos. Sistemas Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información. Manual de formas. Manual de procedimientos de los sistemas. Descripción genérica. Diagramas de entrada, archivos, salida. Personal Participante Una de las partes más importantes dentro de la planeación de la auditoría en informática es el personal que deberá participar y sus características. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas. Solution’s System´s | “Piensa Limpio, Piensa Verde” 3
Riesgo y materialidad de auditoría. Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede convertiré en un error material para todo el sistema. La materialidad en la auditoría de sistemas debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario. Técnicas de evaluación de Riesgos. Al determinar qué áreas funcionales o temas de auditoría que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría, el Solution’s System´s | “Piensa Limpio, Piensa Verde” 4
auditor de sistemas debe evaluar esos riesgos y determinar cuáles de esas áreas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditoría. Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoría se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia. Constituir la base para la organización de la auditoría a fin de administrar eficazmente el departamento. Proveer un resumen que describa como el tema individual de auditoría se relaciona con la organización global de la empresa así como los planes del negocio. Objetivos de controles y objetivos de auditoría. El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoría es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por ejemplo como objetivos de auditoría de sistemas los siguientes: La información de los sistemas de información deberá estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditoría se consiguen mediante los procedimientos de auditoría. Contingencia y Seguridad La calidad de un sistema de información no sólo se logra con un buen diseño del sistema o con un bajo nivel de riesgo. Para asegurar la calidad es necesario además, revisar la documentación asociada al software con el objetivo de verificar su cobertura, corrección, confiabilidad y facilidad de mantenimiento. Debe agregarse también, que el sistema debe cumplir las especificaciones y requerimientos para su uso y desempeño deseados. Niveles de Seguridad Para obtener la calidad mencionada anteriormente, en el análisis y diseño de los sistemas debe contemplarse los siguientes niveles: Solution’s System´s | “Piensa Limpio, Piensa Verde” 5
a) Prueba Debido a que en el desarrollo de un sistema no puede demostrarse que esté exento de errores, el concepto de prueba puede definirse como el proceso de ejecutar un programa con la finalidad de encontrar errores o fallas, los mismos que deben corregirse para dar mayor confiabilidad a un sistema. b) Verificación y Validación De manera similar al anterior, la verificación permite hallar errores y se realiza al ejecutar un programa en un ambiente simulado. La validación consiste en un proceso por el cual se usa un software en un ambiente no simulado, con el fin de encontrar errores que de existir, origina cambios en el sistema. Para ello se hace trabajar al sistema en un ambiente real, en el cual se procesan las transacciones en directo, emitiendo las salidas normales. No puede establecerse un período de validación que puede ser corto o prolongado. Mientras dure, el sistema puede fallar y se tiene que proceder a su modificación. c) Certificación La certificación consiste en garantizar que un sistema de información o software determinado esté correcto. Existen normas Internacionales que tratan sobre este punto (Ver ISO 9000). En el diseño de sistemas, éstos no se toman como sistemas completos ni se prueban como sistemas únicos, razón por la cual deben hacerse pruebas parciales y del sistema en su totalidad. La prueba de sistemas persigue la integración de cada módulo en el sistema, así como, buscar las discrepancias entre el sistema y sus especificaciones y documentación del mismo. Entre las pruebas especiales de sistemas se pueden considerar las siguientes: Solution’s System´s | “Piensa Limpio, Piensa Verde” 6
a) Prueba de Carga Máxima Se basa en la existencia de tiempos críticos en los sistemas en línea, es decir, la respuesta de un sistema en prueba cuando varios usuarios quieren accesar a ella. Por ejemplo, cuando se prenden todas las terminales en un sistema bancario. b) Prueba de Almacenamiento Mediante esta prueba se determina si el sistema realmente soporta la capacidad (número de registros que un archivo puede almacenar en disco) considerada en su diseño, la misma que debe ser verificada antes de la implantación. Para ello, se va almacenando datos en forma continua hasta que se alcance la capacidad teórica. La capacidad real se obtendrá al realizar la comparación respectiva. c) Prueba del Tiempo de Ejecución El tiempo de ejecución permite conocer qué tan rápido o lento es el sistema y debe realizarse antes de la implantación del mismo, para primero determinar el tiempo que toma recibir una respuesta a una consulta, hacer una copia de respaldo de un archivo o mandar una transmisión y recibir una respuesta, así como, indexar grandes archivos o preparar reportes, y segundo, realizar los ajustes necesarios. Sin embargo, la mayoría de las veces el sistema puede responder a las expectativas cuando se corren sólo algunas transacciones de prueba, mas no así, cuando se carga por completo. d) Prueba de Recuperación La prueba de recuperación consiste en crear un evento de fallas o pérdida de datos, para que los usuarios vuelvan a cargar y recuperar a partir de una copia de respaldo. Con ello, se determina si los procedimientos de recuperación, son los más adecuados para cuando el sistema falle y no se pierdan los datos. Solution’s System´s | “Piensa Limpio, Piensa Verde” 7
e) Prueba de Procedimientos Con esta prueba se determina si los manuales de documentación y ejecución contienen una descripción detallada y si refleja realmente las acciones que se llevan a cabo para el funcionamiento del sistema. Para ello, el usuario debe seguir las instrucciones en forma exacta, como se indica en el manual de procedimientos. f) Prueba de Factores Humanos Esta prueba consiste en hallar repuestas sobre la reacción de los usuarios, cuando interactúen con el sistema y sucedan imprevistos. Por ejemplo: “Los mensajes que deben aparecer en la pantalla cuando un usuario esté procesando una transacción”. Observar a las personas si tienen facilidad de manejo del teclado para el ingreso de datos. Comodidad de los usuarios frente a lo mostrado en la pantalla (color, resplandor, mucho detalle, etc). Amenazas más Frecuentes  Desastres Naturales  El Fuego El fuego es un elemento comprendido dentro de las principales amenazas contra la seguridad. El fuego es un problema crítico en un centro de cómputo por varias razones: primero, porque el centro está lleno de material combustible como papel, cajas, etc. El hardware y el cableado del suelo falso pueden ser también fuente de serios incendios. Desgraciadamente los sistemas antifuego dejan mucho que desear, causando casi igual daño que el propio fuego, sobre todo a los elementos electrónicos. El dióxido de carbono, actual alternativa del agua, resulta peligroso para los propios empleados si quedan atrapados en la sala de cómputo. Solution’s System´s | “Piensa Limpio, Piensa Verde” 8
El fuego es considerado el principal enemigo del computador ya que puede destruir fácilmente los ficheros de información y programas. Además de la pérdida de ficheros o del equipo, el fuego puede causar otras pérdidas no cubiertas por el seguro. La más importante es la pérdida del "momento del negocio". Un contratiempo de semanas o meses causa irreparables daños a cualquier organización, aunque lograra situarse en las condiciones originales. A continuación presentaremos algunos elementos en la lucha contra este tipo de amenaza. a) Sprinklers. Es un sistema ''Tipo Ducha». La instalación de este sistema se efectúa en la parte superior del ambiente, como el techo. Cuando se activa el Sprinklers se abren las válvulas y como si fuera una ducha, cae el agua al lugar donde los detectores de humo y/o calor detectan la señal de incendio. Este sistema es bastante eficaz para combatir un posible incendio, pero no es recomendable en los departamentos con equipos de cómputo, ya que este sistema puede dañar los equipos, además de ser el agua un excelente conductor de la electricidad. b) Inundación del área con gas. Otro de los métodos muy eficaces para combatir el fuego es la inundación del área con gas antifuego. En una emergencia por fuego, el área se inunda con un determinado gas como: l Dióxido de Carbono, l Halón. Este sistema no causa daño al equipo, pero el personal tiene que abandonar el lugar con rapidez, porque este tipo de gas quita el oxígeno, por tanto las personas no pueden respirar y consecuentemente, causar la muerte por ahogamiento. Cuando no se cuenta con sistemas automáticos antifuego y se vea o perciba señales de fuego, entonces se debe actuar con rapidez para poder sofocar el incendio. Para ello, se debe tener en cuenta el material que está siendo consumido por el fuego. Para cada tipo de situación hay un agente antifuego ideal, así tenemos: Solution’s System´s | “Piensa Limpio, Piensa Verde” 9
GAS CARBONICO ESPUMA AGUA (CO2) PAPEL, MADERA este tipo de material excelente apaga que deja brasa solamente enfría y empapa sofoca o ceniza requiere un en la apaga superficie totalmente agente que moje o enfríe. excelente no deja conduce la EQUIPAMIENTO residuos, no electricidad y conductora de daña el además daña el electricidad. ELECTRICO equipamiento equipo. y no es conductor de electricidad LIQUIDOS INFLAMABLES Excelente; Bueno; no produce una (aceites, gasolina, deja residuos sábana de grasa, etc.) , requieren y es espuma que inofensivo sofoca y enfría. acción rápida de sofocar y enfriar. Solution’s System´s | “Piensa Limpio, Piensa Verde” 10
MATERIAL MODO DE OPERARLOS 1.- Retirar la traba de seguridad 2.- Asegure firmemente el mango difusor 3.- Apretar el gatillo 4.- Oriente el chorro hacia la base del fuego haciendo un barrido. CO2 Alcance: 1 a 2 metros. Substancia: Bióxido de carbono Momento del Recargo: Pérdida del 10% o mas del peso. 1.- Abra la ampolla de gas. 2.- Asegure firmemente el mango difusor. 3.- Apretar el gatillo. 4.- Oriente el chorro de manera de crear una cortina de POLVO polvo sobre el fuego. QUIMICO Alcance: 2 a 4 metros Substancia: Polvo Químico seco y CO2 producido por el contacto del polvo con el fuego Momento del Recargo: Pérdida de peso de la ampolla superior al 10% 1.- Inversión del aparato para abajo 2.- Oriente el chorro para la base del fuego Alcance: 9 a 18 metros ESPUMA Substancia: Espuma formada por burbujas consistentes llenas de CO2 Momento del Recargo: Anualmente Simple maniobra de apertura de la ampolla de CO2 que AGUA - GAS sirve de propagador. Solution’s System´s | “Piensa Limpio, Piensa Verde” 11
Alcance: 9 a 20 metros. Substancia: Agua Momento del Recargo: Anualmente Recomendaciones El personal designado para usar extinguidores de fuego debe ser entrenado en su uso. Ellos deben recibir algunas lecciones de instrucciones en el mecanismo de lucha contra el fuego y luego, estar enseñados de cómo operar el extinguidor de mano. Si hay sistemas de detección de fuego que activaron el Sistema de Extinción, todo el personal de esa área debe estar entrenado en la forma cómo usarlos. Es muy importante que todo el personal reciba la instrucción de no interferir con este proceso automático y evitar su actuación en el sistema de extinción, a menos que estén seguros que no hay fuego. Muchas veces la sensibilidad de comienzo de fuego en los aparatos de detección es muy alta. Esto genera falsas alarmas y el personal de operación se acostumbra a detener el sistema automático de extinción de fuego, sin observar realmente si hay incendio. l CUIDADO AL SELECCIONAR E IMPLEMENTAR DETECTOR DE FUEGOS Y SISTEMA DE EXTINCION Y SU CONEXION SI ES EFECTUADA CON FUERZA ELECTRICA. El detector de fuego y el sistema de extinción deben ser seleccionados e instalados, con la mejor información de la tasación del riesgo, el costo y los posibles orígenes de fuego. También, considerar cómo estos sistemas de detección y extinción pueden ser integrados a su fuerza eléctrica. Esto ahorraría el costo de la instalación inicial y con algunos sistemas de extinción, daños por agua en el caso de fuego. Una consideración más contra el incendio estaría dada por el uso de paredes protectoras de fuego alrededor de las áreas que se desea proteger del incendio, que podría originarse en las áreas adyacentes. l PROTEJA SU SISTEMA CONTRA DAÑOS DE HUMO Solution’s System´s | “Piensa Limpio, Piensa Verde” 12
El humo, en particular la clase que es principalmente espeso, negro y de materiales especiales, puede ser muy dañino y requiere una lenta y costosa operación de limpieza. La mayoría de humos que llegan y dañan el Sistema de Procesamiento de Datos, son originados por fuegos externos al Centro de Procesamiento de Datos. Es frecuente introducirlos en el Centro, a través del sistema de aire acondicionado. Se debe examinar el potencial del problema y tomar las medidas apropiadas para operar reguladores e impedir la entrada de humo. Colocando adecuadas cubiertas plásticas para todo el equipo, escritorios y cabinas, puede ayudar a reducir el daño ocasionado por el humo y/o agua. Se consigue sacar el humo del área de sistemas, tan rápido como sea posible, con el uso de diferentes ventiladores. Estos son provechosos luego de que la generación o ingreso del humo ha sido eliminado. l MANTENER BUENAS RELACIONES CON EL DEPARTAMENTO LOCAL DE BOMBEROS Conseguir información con el Departamento local de Bomberos, antes de que ellos sean llamados en una emergencia. Hacer que el Departamento esté consciente de las particularidades y vulnerabilidades del sistema por excesivas cantidades de agua que provienen de arriba y la conveniencia de una salida para el humo, tanto que minimice la cantidad de penetración al área de Procesamiento de Datos. No es razonable anticipar que el Departamento de Bomberos puede estar completamente enterado de la situación peculiar presentada por su particular instalación. Ellos no podrían proporcionar intereses apropiados para la protección del sistema de Procesamiento de Datos, si no se les ha dado la oportunidad de revisarlo. Además, ellos pueden, usualmente, ofrecer excelentes consejos como precauciones, los cuales deben ser tomados para prevenir incendios. l MANTENER PROCEDIMIENTOS PLANEADOS PARA RECIBIR Y ALMACENAR ABASTECIMIENTOS DE PAPEL La plataforma de recepción, a menudo provee un fácil acceso a todos los servicios de oportunidades para hacer entrega de materiales incendiarios, que puedan destruir los servicios. Debe proveerse mucho cuidado para limitar el uso de plataformas de recepción como un medio de acceso al edificio. Por consiguiente, el abastecimiento de papel en demasía, de aquel que se Solution’s System´s | “Piensa Limpio, Piensa Verde” 13
necesita para satisfacer los requerimientos inmediatos del Centro de Procesamiento de Datos, debe ser almacenado en un lugar apropiado para proveer detección de fuego y servicios de extinción. Control de Accesos a los sistemas: 1. Autorizaciones 2. Controles Automáticos 3. Vigilancia 4. Registros Ejemplo de Formatos para la Evaluacion Control de Accesos: Autorizaciones Preguntas Respuestas Puntos ¿Existe un único responsable de Si, el Jefe de Explotación, pero el 4 implementar la política de autorizaciones de Director puede acceder a la Sala con entrada en el Centro de Cálculo? acompañantes sin previo aviso. ¿Existe alguna autorización permanente de Una sola. El técnico permanente de la 5 estancia de personal ajeno a la empresa? firma suministradora. ¿Quiénes saben cuáles son las personas El personal de vigilancia y el Jefe de 5 autorizadas? Explo-tación. Además de la tarjeta magnética de No, solamente la primera. 4 identifica-ción, ¿hay que pasar otra especial? ¿Se pregunta a las visitas si piensan visitar No, vale la primera autorización. 3 el Centro de Cálculo? ¿Se preveen las visitas al Centro de Cálculo No, basta que vayan acompañados por el 3 con 24 horas al menos? Jefe de Explotación o Director TOTAL AUTORIZACIONES 24/30 80% Control de Accesos: Controles Automáticos Preguntas Respuestas Puntos ¿Cree Ud. que los Controles Automáticos son Si, aunque ha de reconocerse que a 3 adecuados? pie puede llegarse por la noche hasta el edificio principal. ¿Quedan registradas todas las entradas y No, solamente las del personal ajeno a 3 salidas del Centro de Cálculo? Operación. Solution’s System´s | “Piensa Limpio, Piensa Verde” 14
Al final de cada turno, ¿Se controla el número Sí, y los vigilantes los reverifican. 5 de entradas y salidas del personal de Operación? ¿Puede salirse del Centro de Cálculo sin Si, porque existe otra puerta de 3 tarjeta magnética? emergen-cia que puede abrirse desde adentro TOTAL CONTROLES AUTOMATICOS 14/20 70% Control de Accesos: Vigilancia Preguntas Respuestas Puntos ¿Hay vigilantes las 24 horas? Sí. 5 ¿Existen circuitos cerrados de TV exteriores? Sí. 5 Identificadas las visitas, ¿Se les acompaña No. 2 hasta la persona que desean ver? ¿Conocen los vigilantes los terminales que No, sería muy complicado. 2 deben quedar encendidos por la noche? TOTAL VIGILANCIA 14/20 70% Control de Accesos: Registros Preguntas Respuestas Puntos ¿Existe una adecuada política de registros? No, reconocemos que casi nunca, pero 1 hasta ahora no ha habido necesidad. ¿Se ha registrado alguna vez a una persona? Nunca. 1 ¿Se abren todos los paquetes dirigidos a Casi nunca. 1 personas concretas y no a Informática? ¿Hay un cuarto para abrir los paquetes? Si, pero no se usa siempre. 3 TOTAL REGISTROS 6/20 30% Cálculos y Resultados del Ciclo de Seguridad Cálculos y resultados del ciclo de seguridad 1. Cálculo y ponderación de Secciones y Segmentos. Las Subsecciones no se ponderan, solo se calculan. 2. Identificación de materias mejorables. 3. Priorización de mejoras. En el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de toda la auditoría de Seguridad. Solution’s System´s | “Piensa Limpio, Piensa Verde” 15
El trabajo de levantamiento de información está concluido y contrastado con las pruebas. A partir de ese momento, el equipo auditor tiene en su poder todos los datos necesarios para elaborar el informe final. Solo faltaría calcular el porcentaje de bondad de cada área; éste se obtiene calculando el sumatorio de las respuestas obtenidas, recordando que deben afectarse a sus pesos correspondientes. Una vez realizado los cálculos, se ordenaran y clasificaran los resultados obtenidos por materias mejorables, estableciendo prioridades de actuación para lograrlas. Cálculo del ejemplo de las Subsecciones de la Sección de Control de Accesos: Autorizaciones 80% Controles Automáticos 70% Vigilancia 70% Registros 30% Promedio de Control de Accesos 62,5% Cabe recordar, que dentro del Segmento de Seguridad Física, la Sección de Control de Accesos tiene un peso final de 4. Prosiguiendo con el ejemplo, se procedió a la evaluación de las otras cuatro Secciones, obteniéndose los siguientes resultados: Ciclo de Seguridad: Segmento 8, Seguridad Física. Secciones Peso Puntos Sección 1. Datos 6 57,5% Sección 2. Control de Accesos 4 62,5% Sección 3. Equipos (Centro de Cálculo) 5 70% Sección 4. Documentos 3 52,5% Sección 5. Suministros 2 47,2% Conocidas los promedios y los pesos de las cinco Secciones, se procede a calcular y ponderar el Segmento 8 de Seguridad Física: Seg. 8 = PromedioSección1 * peso + PromedioSecc2 * peso + PromSecc3 * peso + PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 + peso4 + peso5) ó Seg. 8 = (57,5 * 6) + (62,5 * 4) + (70 * 5) + (52,5 * 3) + (47,2 * 2) / 20 Seg. 8 = 59,85% Solution’s System´s | “Piensa Limpio, Piensa Verde” 16
A continuación, la evaluación final de los demás Segmentos del ciclo de Seguridad: Ciclo de Seguridad. Evaluación y pesos de Segmentos Segmentos Pesos Evaluación Seg1. Normas y Estándares 10 61% Seg2. Sistema Operativo 10 90% Seg3. Software Básico 12 72% Seg4. Comunicaciones 12 55% Seg5. Bases de Datos 12 77,5% Seg6. Procesos 14 51,2% Seg7. Aplicaciones 16 50,5% Seg8. Seguridad Física 14 59,8% Promedio Total Área de 100 63,3% Seguridad Sistemática seguida para el cálculo y evaluación del Ciclo de Seguridad: a. Valoración de las respuestas a las preguntas específicas realizadas en las entrevistas y a los cuestionarios formulados por escrito. b. Cálculo matemático de todas las subsecciones de cada sección, como media aritmética (promedio final) de las preguntas específicas. Recuérdese que las subsecciones no se ponderan. c. Cálculo matemático de la Sección, como media aritmética (promedio final) de sus Subsecciones. La Sección calculada tiene su peso correspondiente. d. Cálculo matemático del Segmento. Cada una de las Secciones que lo componen se afecta por su peso correspondiente. El resultado es el valor del Segmento, el cual, a su vez, tiene asignado su peso. e. Cálculo matemático de la auditoría. Se multiplica cada valor de los Segmentos por sus pesos correspondientes, la suma total obtenida se divide por el valor fijo asignado a priori a la suma de los pesos de los segmentos. Finalmente, se procede a mostrar las áreas auditadas con gráficos de barras, exponiéndose primero los Segmentos, luego las Secciones y por último las Subsecciones. En todos los casos sé referenciarán respecto a tres zonas: roja, amarilla y verde. La zona roja corresponde a una situación de debilidad que requiere acciones a corto plazo. Serán las más prioritarias, tanto en la exposición del Informe como en la toma de medidas para la corrección. La zona amarilla corresponde a una situación discreta que requiere acciones a medio plazo, figurando a continuación de las contenidas en la zona roja. Solution’s System´s | “Piensa Limpio, Piensa Verde” 17
La zona verde requiere solamente alguna acción de mantenimiento a largo plazo. Nula Pobre Insufici Suf Adecu bue Exc ente ic. ado na el. Confección del Informe del Ciclo de Seguridad Confección del informe del ciclo de seguridad 1. Preparación de borrador de informe y Recomendaciones. 2. Discusión del borrador con el cliente. 3. Entrega del Informe y Carta de Introducción. Ha de resaltarse la importancia de la discusión de los borradores parciales con el cliente. La referencia al cliente debe entenderse como a los responsables directos de los segmentos. Es de destacar que si hubiese acuerdo, es posible que el auditado redacte un contrainforme del punto cuestionado. Este acta se incorporará al Informe Final. Las Recomendaciones del Informe son de tres tipos: Solution’s System´s | “Piensa Limpio, Piensa Verde” 18
1. Recomendaciones correspondientes a la zona roja. Serán muy detalladas e irán en primer lugar, con la máxima prioridad. La redacción de las recomendaciones se hará de modo que sea simple verificar el cumplimiento de la misma por parte del cliente. 2. Recomendaciones correspondientes a la zona amarilla. Son las que deben observarse a medio plazo, e igualmente irán priorizadas. 3. Recomendaciones correspondientes a la zona verde. Suelen referirse a medidas de mantenimiento. Pueden ser omitidas. Puede detallarse alguna de este tipo cuando una acción sencilla y económica pueda originar beneficios importantes. Solution’s System´s | “Piensa Limpio, Piensa Verde” 19

Empfohlen

Nia 300
Nia 300Nia 300
Nia 300
Herimileth Bocanegra
 
Resumen nias
Resumen niasResumen nias
Resumen nias
rodriguez
 
Tipos y clases de evidencias de la auditoria
Tipos y clases de evidencias de la auditoria Tipos y clases de evidencias de la auditoria
Tipos y clases de evidencias de la auditoria
Mayra Rios Saldaña
 
Tecnicas y proced.de auditoria epo 4
Tecnicas y proced.de auditoria epo 4Tecnicas y proced.de auditoria epo 4
Tecnicas y proced.de auditoria epo 4
Lizzet Juarez
 
NIA 200
NIA 200NIA 200
NIA 200
Saul Jonathan La Cosmopolitana
 
Nia 501
Nia 501Nia 501
Nia 501
Edwin Armando
 
1. niif 15 ingresos de actividades ordinarias procedentes de contratos con ...
1. niif 15 ingresos de actividades ordinarias procedentes de contratos con ...1. niif 15 ingresos de actividades ordinarias procedentes de contratos con ...
1. niif 15 ingresos de actividades ordinarias procedentes de contratos con ...
Carmen Rosa Vergaray
 
1.4.2 cuestionarios
1.4.2 cuestionarios1.4.2 cuestionarios
1.4.2 cuestionarios
Derlyn Rios
 

Empfohlen

Nia 300
Nia 300Nia 300
Nia 300
Herimileth Bocanegra
 
Resumen nias
Resumen niasResumen nias
Resumen nias
rodriguez
 
Tipos y clases de evidencias de la auditoria
Tipos y clases de evidencias de la auditoria Tipos y clases de evidencias de la auditoria
Tipos y clases de evidencias de la auditoria
Mayra Rios Saldaña
 
Tecnicas y proced.de auditoria epo 4
Tecnicas y proced.de auditoria epo 4Tecnicas y proced.de auditoria epo 4
Tecnicas y proced.de auditoria epo 4
Lizzet Juarez
 
NIA 200
NIA 200NIA 200
NIA 200
Saul Jonathan La Cosmopolitana
 
Nia 501
Nia 501Nia 501
Nia 501
Edwin Armando
 
1. niif 15 ingresos de actividades ordinarias procedentes de contratos con ...
1. niif 15 ingresos de actividades ordinarias procedentes de contratos con ...1. niif 15 ingresos de actividades ordinarias procedentes de contratos con ...
1. niif 15 ingresos de actividades ordinarias procedentes de contratos con ...
Carmen Rosa Vergaray
 
1.4.2 cuestionarios
1.4.2 cuestionarios1.4.2 cuestionarios
1.4.2 cuestionarios
Derlyn Rios
 
Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoria
Silvia Ibarra
 
Programa ingresos, costo y gastos
Programa ingresos, costo y gastosPrograma ingresos, costo y gastos
Programa ingresos, costo y gastos
Aracely Marchena Larios, Contaduria Publica, Banca y Finanza
 
Diapositivas nias y nagas pptx
Diapositivas nias y nagas pptxDiapositivas nias y nagas pptx
Diapositivas nias y nagas pptx
oscarand1988
 
Programa de auditoria
Programa de auditoriaPrograma de auditoria
Programa de auditoria
Nury Elizabeth Perez Ramirez
 
Normas de Auditoría Generalmente Aceptadas - NAGAS
Normas de Auditoría Generalmente Aceptadas - NAGASNormas de Auditoría Generalmente Aceptadas - NAGAS
Normas de Auditoría Generalmente Aceptadas - NAGAS
Alvaro Gastañuadi Terrones
 
NIA 330, 402,450
NIA 330, 402,450NIA 330, 402,450
NIA 330, 402,450
REVISORIA-FISCAL-ZARZAL
 
NIA 330
NIA 330NIA 330
NIA 330
Luis Hernandez
 
Coso 2
Coso 2Coso 2
Coso 2
lizcarb
 
2. Redacción de informes. Informe de auditoría, claves de su redacción
2. Redacción de informes. Informe de auditoría, claves de su redacción2. Redacción de informes. Informe de auditoría, claves de su redacción
2. Redacción de informes. Informe de auditoría, claves de su redacción
Yeilan Ivette González Odio
 
Tecnicas de Practicas Auditoria
Tecnicas de Practicas AuditoriaTecnicas de Practicas Auditoria
Tecnicas de Practicas Auditoria
JOVIMECARCH
 
Ejecución de la auditoría papeles de trabajo
Ejecución de la auditoría papeles de trabajoEjecución de la auditoría papeles de trabajo
Ejecución de la auditoría papeles de trabajo
César Guadamud
 
NAGAS vs. NIAS
NAGAS vs. NIASNAGAS vs. NIAS
NAGAS vs. NIAS
diana_villalobos
 
5 utilización de flujogramas en el control interno
5 utilización de flujogramas en el control interno5 utilización de flujogramas en el control interno
5 utilización de flujogramas en el control interno
Pepe Lascano
 
DIFERENCIA ENTRE NIAS Y NAGAS
DIFERENCIA ENTRE NIAS Y NAGASDIFERENCIA ENTRE NIAS Y NAGAS
DIFERENCIA ENTRE NIAS Y NAGAS
adrylucarlitos
 
Memorandum de planificacion
Memorandum de planificacionMemorandum de planificacion
Memorandum de planificacion
Cristian Mamani
 
Cuestionario de control interno
Cuestionario de control internoCuestionario de control interno
Cuestionario de control interno
Aracely Marchena Larios, Contaduria Publica, Banca y Finanza
 
Evaluación del control interno
Evaluación del control internoEvaluación del control interno
Evaluación del control interno
Miguel Eduardo Benites Morales
 
Auditoria forense
Auditoria forenseAuditoria forense
Auditoria forense
Jessy Hernandez Orozco
 
Evaluacion de riesgos de auditoria
Evaluacion de riesgos de auditoriaEvaluacion de riesgos de auditoria
Evaluacion de riesgos de auditoria
Paola M. Duran M.
 
APLICACIÓN PRACTICA DE LA NIA 520 DE PROCEDIMIENTOS ANALITICOS
APLICACIÓN PRACTICA DE LA NIA 520 DE PROCEDIMIENTOS ANALITICOSAPLICACIÓN PRACTICA DE LA NIA 520 DE PROCEDIMIENTOS ANALITICOS
APLICACIÓN PRACTICA DE LA NIA 520 DE PROCEDIMIENTOS ANALITICOS
Esteban Uyarra Encalado
 
Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integral
Gustavo Alvarez
 
Auditoria de sistemas de informaci n
Auditoria de sistemas de informaci nAuditoria de sistemas de informaci n
Auditoria de sistemas de informaci n
Yesenia Gomez
 

Weitere ähnliche Inhalte

Was ist angesagt?

Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoria
Silvia Ibarra
 
Diapositivas nias y nagas pptx
Diapositivas nias y nagas pptxDiapositivas nias y nagas pptx
Diapositivas nias y nagas pptx
oscarand1988
 
5 utilización de flujogramas en el control interno
5 utilización de flujogramas en el control interno5 utilización de flujogramas en el control interno
5 utilización de flujogramas en el control interno
Pepe Lascano
 

Was ist angesagt? (20)

Proyecto de auditoria
Proyecto de auditoriaProyecto de auditoria
Proyecto de auditoria
 
Programa ingresos, costo y gastos
Programa ingresos, costo y gastosPrograma ingresos, costo y gastos
Programa ingresos, costo y gastos
 
Diapositivas nias y nagas pptx
Diapositivas nias y nagas pptxDiapositivas nias y nagas pptx
Diapositivas nias y nagas pptx
 
Programa de auditoria
Programa de auditoriaPrograma de auditoria
Programa de auditoria
 
Normas de Auditoría Generalmente Aceptadas - NAGAS
Normas de Auditoría Generalmente Aceptadas - NAGASNormas de Auditoría Generalmente Aceptadas - NAGAS
Normas de Auditoría Generalmente Aceptadas - NAGAS
 
NIA 330, 402,450
NIA 330, 402,450NIA 330, 402,450
NIA 330, 402,450
 
NIA 330
NIA 330NIA 330
NIA 330
 
Coso 2
Coso 2Coso 2
Coso 2
 
2. Redacción de informes. Informe de auditoría, claves de su redacción
2. Redacción de informes. Informe de auditoría, claves de su redacción2. Redacción de informes. Informe de auditoría, claves de su redacción
2. Redacción de informes. Informe de auditoría, claves de su redacción
 
Tecnicas de Practicas Auditoria
Tecnicas de Practicas AuditoriaTecnicas de Practicas Auditoria
Tecnicas de Practicas Auditoria
 
Ejecución de la auditoría papeles de trabajo
Ejecución de la auditoría papeles de trabajoEjecución de la auditoría papeles de trabajo
Ejecución de la auditoría papeles de trabajo
 
NAGAS vs. NIAS
NAGAS vs. NIASNAGAS vs. NIAS
NAGAS vs. NIAS
 
5 utilización de flujogramas en el control interno
5 utilización de flujogramas en el control interno5 utilización de flujogramas en el control interno
5 utilización de flujogramas en el control interno
 
DIFERENCIA ENTRE NIAS Y NAGAS
DIFERENCIA ENTRE NIAS Y NAGASDIFERENCIA ENTRE NIAS Y NAGAS
DIFERENCIA ENTRE NIAS Y NAGAS
 
Memorandum de planificacion
Memorandum de planificacionMemorandum de planificacion
Memorandum de planificacion
 
Cuestionario de control interno
Cuestionario de control internoCuestionario de control interno
Cuestionario de control interno
 
Evaluación del control interno
Evaluación del control internoEvaluación del control interno
Evaluación del control interno
 
Auditoria forense
Auditoria forenseAuditoria forense
Auditoria forense
 
Evaluacion de riesgos de auditoria
Evaluacion de riesgos de auditoriaEvaluacion de riesgos de auditoria
Evaluacion de riesgos de auditoria
 
APLICACIÓN PRACTICA DE LA NIA 520 DE PROCEDIMIENTOS ANALITICOS
APLICACIÓN PRACTICA DE LA NIA 520 DE PROCEDIMIENTOS ANALITICOSAPLICACIÓN PRACTICA DE LA NIA 520 DE PROCEDIMIENTOS ANALITICOS
APLICACIÓN PRACTICA DE LA NIA 520 DE PROCEDIMIENTOS ANALITICOS
 

Ähnlich wie Auditoria Sistemas

Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integral
Gustavo Alvarez
 
Auditoria de sistemas de informaci n
Auditoria de sistemas de informaci nAuditoria de sistemas de informaci n
Auditoria de sistemas de informaci n
Yesenia Gomez
 
Planeacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3nPlaneacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3n
Anadolore Tejada
 
Auditoría+de+sistemas+de+información+presentación
Auditoría+de+sistemas+de+información+presentaciónAuditoría+de+sistemas+de+información+presentación
Auditoría+de+sistemas+de+información+presentación
Eliecer Espinosa
 
Auditoriadesistemas
AuditoriadesistemasAuditoriadesistemas
Auditoriadesistemas
grangurusv
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
titoibanez
 
Mauricio rodriguez planificacion_y_organizacion[1]
Mauricio rodriguez planificacion_y_organizacion[1]Mauricio rodriguez planificacion_y_organizacion[1]
Mauricio rodriguez planificacion_y_organizacion[1]
MAU030588
 
Planeacin de la auditora en informtica
Planeacin de la auditora en informticaPlaneacin de la auditora en informtica
Planeacin de la auditora en informtica
Luis Miguel Otaiza
 
Auditoria de sistema Informatico
Auditoria de sistema InformaticoAuditoria de sistema Informatico
Auditoria de sistema Informatico
lorenavargas15
 

Ähnlich wie Auditoria Sistemas (20)

Auditoria informatica e integral
Auditoria informatica e integralAuditoria informatica e integral
Auditoria informatica e integral
 
Auditoria de sistemas de informaci n
Auditoria de sistemas de informaci nAuditoria de sistemas de informaci n
Auditoria de sistemas de informaci n
 
Planeacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3nPlaneacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3n
 
PLANIFICACION Y ORGANIZACION
PLANIFICACION Y ORGANIZACIONPLANIFICACION Y ORGANIZACION
PLANIFICACION Y ORGANIZACION
 
Auditoría+de+sistemas+de+información+presentación
Auditoría+de+sistemas+de+información+presentaciónAuditoría+de+sistemas+de+información+presentación
Auditoría+de+sistemas+de+información+presentación
 
Auditoriadesistemas
AuditoriadesistemasAuditoriadesistemas
Auditoriadesistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Cultura empresarial Auditoria informatica
Cultura empresarial Auditoria informaticaCultura empresarial Auditoria informatica
Cultura empresarial Auditoria informatica
 
Evaluación de sistemas
Evaluación de sistemasEvaluación de sistemas
Evaluación de sistemas
 
Mauricio rodriguez planificacion_y_organizacion[1]
Mauricio rodriguez planificacion_y_organizacion[1]Mauricio rodriguez planificacion_y_organizacion[1]
Mauricio rodriguez planificacion_y_organizacion[1]
 
Auditoria de sistema
Auditoria de sistemaAuditoria de sistema
Auditoria de sistema
 
Momento I. Auditoria de sistemas, sus generalidades y fundamentos
Momento I. Auditoria de sistemas, sus generalidades y fundamentosMomento I. Auditoria de sistemas, sus generalidades y fundamentos
Momento I. Auditoria de sistemas, sus generalidades y fundamentos
 
Planeacin de la auditora en informtica
Planeacin de la auditora en informticaPlaneacin de la auditora en informtica
Planeacin de la auditora en informtica
 
Auditoria saia
Auditoria saiaAuditoria saia
Auditoria saia
 
auditoría de sistemas
auditoría de sistemas auditoría de sistemas
auditoría de sistemas
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Planeación de la auditoría en informática
Planeación de la auditoría en informáticaPlaneación de la auditoría en informática
Planeación de la auditoría en informática
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
 
Auditoria de sistema Informatico
Auditoria de sistema InformaticoAuditoria de sistema Informatico
Auditoria de sistema Informatico
 
Un1 auditoria de sistemas de informacion
Un1 auditoria de sistemas de informacionUn1 auditoria de sistemas de informacion
Un1 auditoria de sistemas de informacion
 

Mehr von Solution´s System

Formato de Inventario Hardware && Software
Formato de Inventario Hardware && SoftwareFormato de Inventario Hardware && Software
Formato de Inventario Hardware && Software
Solution´s System
 
Proyecto Gerencia de Informatica
Proyecto Gerencia de InformaticaProyecto Gerencia de Informatica
Proyecto Gerencia de Informatica
Solution´s System
 

Mehr von Solution´s System (15)

Facundo cabral
Facundo cabralFacundo cabral
Facundo cabral
 
Auditoria de Sistemas
Auditoria de SistemasAuditoria de Sistemas
Auditoria de Sistemas
 
Auditoria dde Sistemas
Auditoria dde SistemasAuditoria dde Sistemas
Auditoria dde Sistemas
 
Auditoria de Sitemas
Auditoria de SitemasAuditoria de Sitemas
Auditoria de Sitemas
 
Formato de Inventario Hardware && Software
Formato de Inventario Hardware && SoftwareFormato de Inventario Hardware && Software
Formato de Inventario Hardware && Software
 
Fallas Hardware && Software
Fallas Hardware && SoftwareFallas Hardware && Software
Fallas Hardware && Software
 
Proyecto Gerencia de Informatica
Proyecto Gerencia de InformaticaProyecto Gerencia de Informatica
Proyecto Gerencia de Informatica
 
La administracion
La administracionLa administracion
La administracion
 
Centro de computo
Centro de computoCentro de computo
Centro de computo
 
Introduccion inv. oper
Introduccion inv. operIntroduccion inv. oper
Introduccion inv. oper
 
Investigaciondeoperacionesintroducción
InvestigaciondeoperacionesintroducciónInvestigaciondeoperacionesintroducción
Investigaciondeoperacionesintroducción
 
Clase1
Clase1Clase1
Clase1
 
Contenido programatico
Contenido programaticoContenido programatico
Contenido programatico
 
Diseño oo
Diseño ooDiseño oo
Diseño oo
 
Proyecto scn modificado
Proyecto scn modificadoProyecto scn modificado
Proyecto scn modificado
 

Auditoria Sistemas

  • 1. Auditoria de Sistemas ING. SISTEMAS SECCION: G-003-N INTEGRANTES: DESSIREE MORILLO GREGORIO CASTILLO JOSE FONSECA HENRY FLORES JUAN ARIAS JOAN GIL JOSE G. SANOJA H. 01/05/2011
  • 2. Determinación del Área a Auditar Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoría en informática, la planificar el área a Auditar es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:  Evaluación de los sistemas y procedimientos.  Evaluación de los equipos de cómputo. Lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. Investigación Preliminar Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización. Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos: Administración Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de informática Solution’s System´s | “Piensa Limpio, Piensa Verde” 2
  • 3. Objetivos a corto y largo plazo. Recursos materiales y técnicos: Solicitar documentos sobre los equipos, número de ellos, localización y características. Estudios de viabilidad: Número de equipos, localización y las características (de los equipos instalados y por instalar y programados), Fechas de instalación de los equipos y planes de instalación, Contratos vigentes de compra, renta y servicio de mantenimiento, Contratos de seguros, Convenios que se tienen con otras instalaciones, Configuración de los equipos y capacidades actuales y máximas, Planes de expansión, Ubicación general de los equipos, Políticas de operación, Políticas de uso de los equipos. Sistemas Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información. Manual de formas. Manual de procedimientos de los sistemas. Descripción genérica. Diagramas de entrada, archivos, salida. Personal Participante Una de las partes más importantes dentro de la planeación de la auditoría en informática es el personal que deberá participar y sus características. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas. Solution’s System´s | “Piensa Limpio, Piensa Verde” 3
  • 4. Riesgo y materialidad de auditoría. Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede convertiré en un error material para todo el sistema. La materialidad en la auditoría de sistemas debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario. Técnicas de evaluación de Riesgos. Al determinar qué áreas funcionales o temas de auditoría que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría, el Solution’s System´s | “Piensa Limpio, Piensa Verde” 4
  • 5. auditor de sistemas debe evaluar esos riesgos y determinar cuáles de esas áreas de alto riesgo debe ser auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir que la gerencia asigne recursos necesarios para la auditoría. Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoría se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia. Constituir la base para la organización de la auditoría a fin de administrar eficazmente el departamento. Proveer un resumen que describa como el tema individual de auditoría se relaciona con la organización global de la empresa así como los planes del negocio. Objetivos de controles y objetivos de auditoría. El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoría es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por ejemplo como objetivos de auditoría de sistemas los siguientes: La información de los sistemas de información deberá estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditoría se consiguen mediante los procedimientos de auditoría. Contingencia y Seguridad La calidad de un sistema de información no sólo se logra con un buen diseño del sistema o con un bajo nivel de riesgo. Para asegurar la calidad es necesario además, revisar la documentación asociada al software con el objetivo de verificar su cobertura, corrección, confiabilidad y facilidad de mantenimiento. Debe agregarse también, que el sistema debe cumplir las especificaciones y requerimientos para su uso y desempeño deseados. Niveles de Seguridad Para obtener la calidad mencionada anteriormente, en el análisis y diseño de los sistemas debe contemplarse los siguientes niveles: Solution’s System´s | “Piensa Limpio, Piensa Verde” 5
  • 6. a) Prueba Debido a que en el desarrollo de un sistema no puede demostrarse que esté exento de errores, el concepto de prueba puede definirse como el proceso de ejecutar un programa con la finalidad de encontrar errores o fallas, los mismos que deben corregirse para dar mayor confiabilidad a un sistema. b) Verificación y Validación De manera similar al anterior, la verificación permite hallar errores y se realiza al ejecutar un programa en un ambiente simulado. La validación consiste en un proceso por el cual se usa un software en un ambiente no simulado, con el fin de encontrar errores que de existir, origina cambios en el sistema. Para ello se hace trabajar al sistema en un ambiente real, en el cual se procesan las transacciones en directo, emitiendo las salidas normales. No puede establecerse un período de validación que puede ser corto o prolongado. Mientras dure, el sistema puede fallar y se tiene que proceder a su modificación. c) Certificación La certificación consiste en garantizar que un sistema de información o software determinado esté correcto. Existen normas Internacionales que tratan sobre este punto (Ver ISO 9000). En el diseño de sistemas, éstos no se toman como sistemas completos ni se prueban como sistemas únicos, razón por la cual deben hacerse pruebas parciales y del sistema en su totalidad. La prueba de sistemas persigue la integración de cada módulo en el sistema, así como, buscar las discrepancias entre el sistema y sus especificaciones y documentación del mismo. Entre las pruebas especiales de sistemas se pueden considerar las siguientes: Solution’s System´s | “Piensa Limpio, Piensa Verde” 6
  • 7. a) Prueba de Carga Máxima Se basa en la existencia de tiempos críticos en los sistemas en línea, es decir, la respuesta de un sistema en prueba cuando varios usuarios quieren accesar a ella. Por ejemplo, cuando se prenden todas las terminales en un sistema bancario. b) Prueba de Almacenamiento Mediante esta prueba se determina si el sistema realmente soporta la capacidad (número de registros que un archivo puede almacenar en disco) considerada en su diseño, la misma que debe ser verificada antes de la implantación. Para ello, se va almacenando datos en forma continua hasta que se alcance la capacidad teórica. La capacidad real se obtendrá al realizar la comparación respectiva. c) Prueba del Tiempo de Ejecución El tiempo de ejecución permite conocer qué tan rápido o lento es el sistema y debe realizarse antes de la implantación del mismo, para primero determinar el tiempo que toma recibir una respuesta a una consulta, hacer una copia de respaldo de un archivo o mandar una transmisión y recibir una respuesta, así como, indexar grandes archivos o preparar reportes, y segundo, realizar los ajustes necesarios. Sin embargo, la mayoría de las veces el sistema puede responder a las expectativas cuando se corren sólo algunas transacciones de prueba, mas no así, cuando se carga por completo. d) Prueba de Recuperación La prueba de recuperación consiste en crear un evento de fallas o pérdida de datos, para que los usuarios vuelvan a cargar y recuperar a partir de una copia de respaldo. Con ello, se determina si los procedimientos de recuperación, son los más adecuados para cuando el sistema falle y no se pierdan los datos. Solution’s System´s | “Piensa Limpio, Piensa Verde” 7
  • 8. e) Prueba de Procedimientos Con esta prueba se determina si los manuales de documentación y ejecución contienen una descripción detallada y si refleja realmente las acciones que se llevan a cabo para el funcionamiento del sistema. Para ello, el usuario debe seguir las instrucciones en forma exacta, como se indica en el manual de procedimientos. f) Prueba de Factores Humanos Esta prueba consiste en hallar repuestas sobre la reacción de los usuarios, cuando interactúen con el sistema y sucedan imprevistos. Por ejemplo: “Los mensajes que deben aparecer en la pantalla cuando un usuario esté procesando una transacción”. Observar a las personas si tienen facilidad de manejo del teclado para el ingreso de datos. Comodidad de los usuarios frente a lo mostrado en la pantalla (color, resplandor, mucho detalle, etc). Amenazas más Frecuentes  Desastres Naturales  El Fuego El fuego es un elemento comprendido dentro de las principales amenazas contra la seguridad. El fuego es un problema crítico en un centro de cómputo por varias razones: primero, porque el centro está lleno de material combustible como papel, cajas, etc. El hardware y el cableado del suelo falso pueden ser también fuente de serios incendios. Desgraciadamente los sistemas antifuego dejan mucho que desear, causando casi igual daño que el propio fuego, sobre todo a los elementos electrónicos. El dióxido de carbono, actual alternativa del agua, resulta peligroso para los propios empleados si quedan atrapados en la sala de cómputo. Solution’s System´s | “Piensa Limpio, Piensa Verde” 8
  • 9. El fuego es considerado el principal enemigo del computador ya que puede destruir fácilmente los ficheros de información y programas. Además de la pérdida de ficheros o del equipo, el fuego puede causar otras pérdidas no cubiertas por el seguro. La más importante es la pérdida del "momento del negocio". Un contratiempo de semanas o meses causa irreparables daños a cualquier organización, aunque lograra situarse en las condiciones originales. A continuación presentaremos algunos elementos en la lucha contra este tipo de amenaza. a) Sprinklers. Es un sistema ''Tipo Ducha». La instalación de este sistema se efectúa en la parte superior del ambiente, como el techo. Cuando se activa el Sprinklers se abren las válvulas y como si fuera una ducha, cae el agua al lugar donde los detectores de humo y/o calor detectan la señal de incendio. Este sistema es bastante eficaz para combatir un posible incendio, pero no es recomendable en los departamentos con equipos de cómputo, ya que este sistema puede dañar los equipos, además de ser el agua un excelente conductor de la electricidad. b) Inundación del área con gas. Otro de los métodos muy eficaces para combatir el fuego es la inundación del área con gas antifuego. En una emergencia por fuego, el área se inunda con un determinado gas como: l Dióxido de Carbono, l Halón. Este sistema no causa daño al equipo, pero el personal tiene que abandonar el lugar con rapidez, porque este tipo de gas quita el oxígeno, por tanto las personas no pueden respirar y consecuentemente, causar la muerte por ahogamiento. Cuando no se cuenta con sistemas automáticos antifuego y se vea o perciba señales de fuego, entonces se debe actuar con rapidez para poder sofocar el incendio. Para ello, se debe tener en cuenta el material que está siendo consumido por el fuego. Para cada tipo de situación hay un agente antifuego ideal, así tenemos: Solution’s System´s | “Piensa Limpio, Piensa Verde” 9
  • 10. GAS CARBONICO ESPUMA AGUA (CO2) PAPEL, MADERA este tipo de material excelente apaga que deja brasa solamente enfría y empapa sofoca o ceniza requiere un en la apaga superficie totalmente agente que moje o enfríe. excelente no deja conduce la EQUIPAMIENTO residuos, no electricidad y conductora de daña el además daña el electricidad. ELECTRICO equipamiento equipo. y no es conductor de electricidad LIQUIDOS INFLAMABLES Excelente; Bueno; no produce una (aceites, gasolina, deja residuos sábana de grasa, etc.) , requieren y es espuma que inofensivo sofoca y enfría. acción rápida de sofocar y enfriar. Solution’s System´s | “Piensa Limpio, Piensa Verde” 10
  • 11. MATERIAL MODO DE OPERARLOS 1.- Retirar la traba de seguridad 2.- Asegure firmemente el mango difusor 3.- Apretar el gatillo 4.- Oriente el chorro hacia la base del fuego haciendo un barrido. CO2 Alcance: 1 a 2 metros. Substancia: Bióxido de carbono Momento del Recargo: Pérdida del 10% o mas del peso. 1.- Abra la ampolla de gas. 2.- Asegure firmemente el mango difusor. 3.- Apretar el gatillo. 4.- Oriente el chorro de manera de crear una cortina de POLVO polvo sobre el fuego. QUIMICO Alcance: 2 a 4 metros Substancia: Polvo Químico seco y CO2 producido por el contacto del polvo con el fuego Momento del Recargo: Pérdida de peso de la ampolla superior al 10% 1.- Inversión del aparato para abajo 2.- Oriente el chorro para la base del fuego Alcance: 9 a 18 metros ESPUMA Substancia: Espuma formada por burbujas consistentes llenas de CO2 Momento del Recargo: Anualmente Simple maniobra de apertura de la ampolla de CO2 que AGUA - GAS sirve de propagador. Solution’s System´s | “Piensa Limpio, Piensa Verde” 11
  • 12. Alcance: 9 a 20 metros. Substancia: Agua Momento del Recargo: Anualmente Recomendaciones El personal designado para usar extinguidores de fuego debe ser entrenado en su uso. Ellos deben recibir algunas lecciones de instrucciones en el mecanismo de lucha contra el fuego y luego, estar enseñados de cómo operar el extinguidor de mano. Si hay sistemas de detección de fuego que activaron el Sistema de Extinción, todo el personal de esa área debe estar entrenado en la forma cómo usarlos. Es muy importante que todo el personal reciba la instrucción de no interferir con este proceso automático y evitar su actuación en el sistema de extinción, a menos que estén seguros que no hay fuego. Muchas veces la sensibilidad de comienzo de fuego en los aparatos de detección es muy alta. Esto genera falsas alarmas y el personal de operación se acostumbra a detener el sistema automático de extinción de fuego, sin observar realmente si hay incendio. l CUIDADO AL SELECCIONAR E IMPLEMENTAR DETECTOR DE FUEGOS Y SISTEMA DE EXTINCION Y SU CONEXION SI ES EFECTUADA CON FUERZA ELECTRICA. El detector de fuego y el sistema de extinción deben ser seleccionados e instalados, con la mejor información de la tasación del riesgo, el costo y los posibles orígenes de fuego. También, considerar cómo estos sistemas de detección y extinción pueden ser integrados a su fuerza eléctrica. Esto ahorraría el costo de la instalación inicial y con algunos sistemas de extinción, daños por agua en el caso de fuego. Una consideración más contra el incendio estaría dada por el uso de paredes protectoras de fuego alrededor de las áreas que se desea proteger del incendio, que podría originarse en las áreas adyacentes. l PROTEJA SU SISTEMA CONTRA DAÑOS DE HUMO Solution’s System´s | “Piensa Limpio, Piensa Verde” 12
  • 13. El humo, en particular la clase que es principalmente espeso, negro y de materiales especiales, puede ser muy dañino y requiere una lenta y costosa operación de limpieza. La mayoría de humos que llegan y dañan el Sistema de Procesamiento de Datos, son originados por fuegos externos al Centro de Procesamiento de Datos. Es frecuente introducirlos en el Centro, a través del sistema de aire acondicionado. Se debe examinar el potencial del problema y tomar las medidas apropiadas para operar reguladores e impedir la entrada de humo. Colocando adecuadas cubiertas plásticas para todo el equipo, escritorios y cabinas, puede ayudar a reducir el daño ocasionado por el humo y/o agua. Se consigue sacar el humo del área de sistemas, tan rápido como sea posible, con el uso de diferentes ventiladores. Estos son provechosos luego de que la generación o ingreso del humo ha sido eliminado. l MANTENER BUENAS RELACIONES CON EL DEPARTAMENTO LOCAL DE BOMBEROS Conseguir información con el Departamento local de Bomberos, antes de que ellos sean llamados en una emergencia. Hacer que el Departamento esté consciente de las particularidades y vulnerabilidades del sistema por excesivas cantidades de agua que provienen de arriba y la conveniencia de una salida para el humo, tanto que minimice la cantidad de penetración al área de Procesamiento de Datos. No es razonable anticipar que el Departamento de Bomberos puede estar completamente enterado de la situación peculiar presentada por su particular instalación. Ellos no podrían proporcionar intereses apropiados para la protección del sistema de Procesamiento de Datos, si no se les ha dado la oportunidad de revisarlo. Además, ellos pueden, usualmente, ofrecer excelentes consejos como precauciones, los cuales deben ser tomados para prevenir incendios. l MANTENER PROCEDIMIENTOS PLANEADOS PARA RECIBIR Y ALMACENAR ABASTECIMIENTOS DE PAPEL La plataforma de recepción, a menudo provee un fácil acceso a todos los servicios de oportunidades para hacer entrega de materiales incendiarios, que puedan destruir los servicios. Debe proveerse mucho cuidado para limitar el uso de plataformas de recepción como un medio de acceso al edificio. Por consiguiente, el abastecimiento de papel en demasía, de aquel que se Solution’s System´s | “Piensa Limpio, Piensa Verde” 13
  • 14. necesita para satisfacer los requerimientos inmediatos del Centro de Procesamiento de Datos, debe ser almacenado en un lugar apropiado para proveer detección de fuego y servicios de extinción. Control de Accesos a los sistemas: 1. Autorizaciones 2. Controles Automáticos 3. Vigilancia 4. Registros Ejemplo de Formatos para la Evaluacion Control de Accesos: Autorizaciones Preguntas Respuestas Puntos ¿Existe un único responsable de Si, el Jefe de Explotación, pero el 4 implementar la política de autorizaciones de Director puede acceder a la Sala con entrada en el Centro de Cálculo? acompañantes sin previo aviso. ¿Existe alguna autorización permanente de Una sola. El técnico permanente de la 5 estancia de personal ajeno a la empresa? firma suministradora. ¿Quiénes saben cuáles son las personas El personal de vigilancia y el Jefe de 5 autorizadas? Explo-tación. Además de la tarjeta magnética de No, solamente la primera. 4 identifica-ción, ¿hay que pasar otra especial? ¿Se pregunta a las visitas si piensan visitar No, vale la primera autorización. 3 el Centro de Cálculo? ¿Se preveen las visitas al Centro de Cálculo No, basta que vayan acompañados por el 3 con 24 horas al menos? Jefe de Explotación o Director TOTAL AUTORIZACIONES 24/30 80% Control de Accesos: Controles Automáticos Preguntas Respuestas Puntos ¿Cree Ud. que los Controles Automáticos son Si, aunque ha de reconocerse que a 3 adecuados? pie puede llegarse por la noche hasta el edificio principal. ¿Quedan registradas todas las entradas y No, solamente las del personal ajeno a 3 salidas del Centro de Cálculo? Operación. Solution’s System´s | “Piensa Limpio, Piensa Verde” 14
  • 15. Al final de cada turno, ¿Se controla el número Sí, y los vigilantes los reverifican. 5 de entradas y salidas del personal de Operación? ¿Puede salirse del Centro de Cálculo sin Si, porque existe otra puerta de 3 tarjeta magnética? emergen-cia que puede abrirse desde adentro TOTAL CONTROLES AUTOMATICOS 14/20 70% Control de Accesos: Vigilancia Preguntas Respuestas Puntos ¿Hay vigilantes las 24 horas? Sí. 5 ¿Existen circuitos cerrados de TV exteriores? Sí. 5 Identificadas las visitas, ¿Se les acompaña No. 2 hasta la persona que desean ver? ¿Conocen los vigilantes los terminales que No, sería muy complicado. 2 deben quedar encendidos por la noche? TOTAL VIGILANCIA 14/20 70% Control de Accesos: Registros Preguntas Respuestas Puntos ¿Existe una adecuada política de registros? No, reconocemos que casi nunca, pero 1 hasta ahora no ha habido necesidad. ¿Se ha registrado alguna vez a una persona? Nunca. 1 ¿Se abren todos los paquetes dirigidos a Casi nunca. 1 personas concretas y no a Informática? ¿Hay un cuarto para abrir los paquetes? Si, pero no se usa siempre. 3 TOTAL REGISTROS 6/20 30% Cálculos y Resultados del Ciclo de Seguridad Cálculos y resultados del ciclo de seguridad 1. Cálculo y ponderación de Secciones y Segmentos. Las Subsecciones no se ponderan, solo se calculan. 2. Identificación de materias mejorables. 3. Priorización de mejoras. En el punto anterior se han realizado las entrevistas y se han puntuado las respuestas de toda la auditoría de Seguridad. Solution’s System´s | “Piensa Limpio, Piensa Verde” 15
  • 16. El trabajo de levantamiento de información está concluido y contrastado con las pruebas. A partir de ese momento, el equipo auditor tiene en su poder todos los datos necesarios para elaborar el informe final. Solo faltaría calcular el porcentaje de bondad de cada área; éste se obtiene calculando el sumatorio de las respuestas obtenidas, recordando que deben afectarse a sus pesos correspondientes. Una vez realizado los cálculos, se ordenaran y clasificaran los resultados obtenidos por materias mejorables, estableciendo prioridades de actuación para lograrlas. Cálculo del ejemplo de las Subsecciones de la Sección de Control de Accesos: Autorizaciones 80% Controles Automáticos 70% Vigilancia 70% Registros 30% Promedio de Control de Accesos 62,5% Cabe recordar, que dentro del Segmento de Seguridad Física, la Sección de Control de Accesos tiene un peso final de 4. Prosiguiendo con el ejemplo, se procedió a la evaluación de las otras cuatro Secciones, obteniéndose los siguientes resultados: Ciclo de Seguridad: Segmento 8, Seguridad Física. Secciones Peso Puntos Sección 1. Datos 6 57,5% Sección 2. Control de Accesos 4 62,5% Sección 3. Equipos (Centro de Cálculo) 5 70% Sección 4. Documentos 3 52,5% Sección 5. Suministros 2 47,2% Conocidas los promedios y los pesos de las cinco Secciones, se procede a calcular y ponderar el Segmento 8 de Seguridad Física: Seg. 8 = PromedioSección1 * peso + PromedioSecc2 * peso + PromSecc3 * peso + PromSecc4 * peso + PromSecc5 * peso / (peso1 + peso2 + peso3 + peso4 + peso5) ó Seg. 8 = (57,5 * 6) + (62,5 * 4) + (70 * 5) + (52,5 * 3) + (47,2 * 2) / 20 Seg. 8 = 59,85% Solution’s System´s | “Piensa Limpio, Piensa Verde” 16
  • 17. A continuación, la evaluación final de los demás Segmentos del ciclo de Seguridad: Ciclo de Seguridad. Evaluación y pesos de Segmentos Segmentos Pesos Evaluación Seg1. Normas y Estándares 10 61% Seg2. Sistema Operativo 10 90% Seg3. Software Básico 12 72% Seg4. Comunicaciones 12 55% Seg5. Bases de Datos 12 77,5% Seg6. Procesos 14 51,2% Seg7. Aplicaciones 16 50,5% Seg8. Seguridad Física 14 59,8% Promedio Total Área de 100 63,3% Seguridad Sistemática seguida para el cálculo y evaluación del Ciclo de Seguridad: a. Valoración de las respuestas a las preguntas específicas realizadas en las entrevistas y a los cuestionarios formulados por escrito. b. Cálculo matemático de todas las subsecciones de cada sección, como media aritmética (promedio final) de las preguntas específicas. Recuérdese que las subsecciones no se ponderan. c. Cálculo matemático de la Sección, como media aritmética (promedio final) de sus Subsecciones. La Sección calculada tiene su peso correspondiente. d. Cálculo matemático del Segmento. Cada una de las Secciones que lo componen se afecta por su peso correspondiente. El resultado es el valor del Segmento, el cual, a su vez, tiene asignado su peso. e. Cálculo matemático de la auditoría. Se multiplica cada valor de los Segmentos por sus pesos correspondientes, la suma total obtenida se divide por el valor fijo asignado a priori a la suma de los pesos de los segmentos. Finalmente, se procede a mostrar las áreas auditadas con gráficos de barras, exponiéndose primero los Segmentos, luego las Secciones y por último las Subsecciones. En todos los casos sé referenciarán respecto a tres zonas: roja, amarilla y verde. La zona roja corresponde a una situación de debilidad que requiere acciones a corto plazo. Serán las más prioritarias, tanto en la exposición del Informe como en la toma de medidas para la corrección. La zona amarilla corresponde a una situación discreta que requiere acciones a medio plazo, figurando a continuación de las contenidas en la zona roja. Solution’s System´s | “Piensa Limpio, Piensa Verde” 17
  • 18. La zona verde requiere solamente alguna acción de mantenimiento a largo plazo. Nula Pobre Insufici Suf Adecu bue Exc ente ic. ado na el. Confección del Informe del Ciclo de Seguridad Confección del informe del ciclo de seguridad 1. Preparación de borrador de informe y Recomendaciones. 2. Discusión del borrador con el cliente. 3. Entrega del Informe y Carta de Introducción. Ha de resaltarse la importancia de la discusión de los borradores parciales con el cliente. La referencia al cliente debe entenderse como a los responsables directos de los segmentos. Es de destacar que si hubiese acuerdo, es posible que el auditado redacte un contrainforme del punto cuestionado. Este acta se incorporará al Informe Final. Las Recomendaciones del Informe son de tres tipos: Solution’s System´s | “Piensa Limpio, Piensa Verde” 18
  • 19. 1. Recomendaciones correspondientes a la zona roja. Serán muy detalladas e irán en primer lugar, con la máxima prioridad. La redacción de las recomendaciones se hará de modo que sea simple verificar el cumplimiento de la misma por parte del cliente. 2. Recomendaciones correspondientes a la zona amarilla. Son las que deben observarse a medio plazo, e igualmente irán priorizadas. 3. Recomendaciones correspondientes a la zona verde. Suelen referirse a medidas de mantenimiento. Pueden ser omitidas. Puede detallarse alguna de este tipo cuando una acción sencilla y económica pueda originar beneficios importantes. Solution’s System´s | “Piensa Limpio, Piensa Verde” 19