Ejemplo Auditoria de La Tec

Confederacin Alemana de Cooperativas
DGRV
AUDITORA DE LA TECNOLOGA DE IN OR!ACI"N # CO!UNICACI"N DE CAC$%

I. INTRODUCCIN....................................................................................................3 II. OBJETIVO.............................................................................................................. 5 III. CONCEPTOS GENERALES...............................................................................6 A. AUDITORIA DE SISTEMAS...............................................................................6 B. ADMINISTRACIN INFORMTICA.................................................................6 C. CONTROL INTERNO...........................................................................................6 D. RIESGO................................................................................................................. 7 E. RIESGOS DE NEGOCIO RELACIONADOS CON LA INFORMTICA...........7 1. Riesgos de Integridad...................................................................................7 2. Riesgos de relacin.......................................................................................8 3. Riesgos de acceso.........................................................................................9 4. Riesgos de utilidad.......................................................................................9 5. Riesgos en la infraestructura......................................................................10 6. Riesgos de seguridad general.....................................................................11 F. LA SEGURIDAD INFORMTICA Y SUS OBJETIVOS..................................11 1. Estrategias y polticas................................................................................12 2. Administracin de la organi acin.............................................................12 3. !onitori acin de e"entos..........................................................................1# 4. $ecnologa inform%tica...............................................................................1# IV. EL PROCESO DE LA AUDITORIA DE TECNOLOGA DE INFORMACIN ..................................................................................................................................... 15 A. PLANEACIN DE LA AUDITORIA.................................................................15 1. &onocimiento general de la &A&...............................................................1' 2. &onocimiento del %rea de Inform%tica.......................................................1( 3. !emorando de )laneacin.........................................................................1( B. EJECUCIN........................................................................................................17 1. E"aluacin del *istema de &ontrol Interno +&,-I$..................................17 2. E"aluacin de las polticas de seguridad inform%tica +I*, 17799............20 C. INFORME..........................................................................................................21 V. TCNICAS DE AUDITORIA DE TECNOLOGA DE INFORMACIN........23 A. B. PRUEBAS DE CUMPLIMIENTO................................................................23 PRUEBAS SUSTANTIVAS...........................................................................23 1
T CNICAS DE AUDITORIA ASISTIDAS POR COMPUTADOR...............24 1. )ara pro/ar controles en aplicaciones.......................................................20 2. )ara auditar centros de procesamiento de informacin.............................2' VI. INDICADORES DE GESTIN..........................................................................25
C.
DGRV
VII. ANEXOS............................................................................................................. 27 NO. 1. AUDITORIA A LAS APLICACIONES.........................................................27 NO. 2. AUDITORIA AL CENTRO DE COMPUTO.................................................3! NO. 3. AUDITORIA A NUEVOS DESARROLLOS................................................34 NO. 4. T CNICAS PARA AUDITAR BASES DE DATOS......................................35 NO. 5. POL"TICAS PARA LA ADMINISTRACIN DE LOS RECURSOS TECNOLGICOS DE UNA CAC...........................................................................41 NO. 6. AUDITORIA A LOS MICROCOMPUTADORES Y REDES LAN..............45
DGRV
I& INTRODUCCI"N
Para mantenerse competitivos y prestar cada vez mejores servicios a sus asociados, las Cooperativas de ahorro y crdito (CACs) destinan gran parte de sus recursos financieros al fortalecimiento de sus sistemas de informacin Por lo anterior, las directivas como las mismas !reas de tecnolog"a de las CACs, re#uieren de herramientas #ue les permitan evaluar su gestin frente a la adecuada planeacin, uso y aprovechamiento #ue est!n dando a los recursos de tecnolog"a inform!tica, como determinar si las !reas de tecnolog"a est!n cumpliendo con su misin y contri$uyendo a los o$jetivos de la CAC A%C Consultor"a y Auditor"a &mpresarial (entidad cooperativa colom$iana) prepar este documento, con el propsito de proporcionar a la 'erencia, a la Auditor"a (interna o e(terna) como a los directores de tecnolog"a de la CACs, una gu"a de evaluacin de su gestin so$re los recursos de tecnolog"a, con el !nimo de propender por un mejor control so$re la administracin de los recursos tecnolgicos de sus entidades, $asados en las tcnicas de la Auditor"a de )istemas &ste documento se apoya en el modelo internacional C*+,- (*$jetivos de Control para la ,nformacin y -ecnolog"as afines, preparado por la Asociacin de Auditor"a y Control en )istemas de ,nformacin ,)ACA) y en la norma ,)*.,&C /0011, Cdigo de $uenas pr!cticas de la 'estin de la )eguridad de la ,nformacin, desarrollado por la *rganizacin ,nternacional de 2ormalizacin ,)* y la Comisin &lectrnica ,nternacional ,&C), los cuales son complementarios y no e(cl uyentes
'
C*+,- ha sido desarrollado como un est!ndar generalmente aplica$le y aceptado para mejorar las pr!cticas de control y seguridad de las -ecnolog"as de ,nformacin (-,), proveyendo un marco de referencia para la Administracin, 3suarios y Auditores )e fundamenta en la identificacin de procesos de tecnolog"a de informacin y sus o$jetivos de control relacionados C*+,- est! orientado a ser la herramienta de administracin de tecnolog"as de informacin #ue ayude al entendimiento y a la administracin de riesgos asociados con tecnolog"a de informacin y con tecnolog"as relacionadas 4a norma ,)*.,&C /0011 en una normativa de car!cter internacional, considerada como una $uena gu"a para las empresas #ue pretenden mantener de forma segura sus activos, se fundamenta en /5 !reas de control #ue ser!n a$ordadas a lo largo de este documento
DGRV
2ota de los autores/6 con este documento no se pretende agotar el tema de C*+,- y la ,)*.,&C /0011, solo sirvieron de apoyo para resaltar algunos aspectos #ue de acuerdo con nuestra e(periencia, se consideran vitales para las CACs, en la administracin y control de la -,
Barn M., Csar Antonio, socio auditor de sistemas de A&C, y Ramrez B., Luis Humberto, socio gerente genera de A&C. Co ombia.
1
DGRV
II& O()ETIVO
&l presente documento tiene como o$jetivo proveer una gu"a r!pida y concisa para evaluar los procesos relacionados con la automatizacin de las CACs ,lustra so$re los aspectos #ue contempla el tra$ajo de la Auditor"a de sistemas, como son6 (i) la Planeacin de la Auditor"a, (ii) la &jecucin, donde se determina la forma de evaluar los procesos relacionados con la sistematizacin de las CACs mediante la identificacin de los controles y riesgos asociados y (iii) las tcnicas de auditor"a de sistemas llamadas CAA-7s Puesto #ue el tama8o y complejidad de la tecnolog"a utilizada por las CAC7s puede ser variada, este documento est! desarrollado de manera general, por lo tanto, puede #ue algunos aspectos no apli#uen al momento de realizar su evaluacin, u otros aspectos re#uieran de apoyo en la documentacin sugerida al final del documento Como apoyo adicional, al final del presente documento se ane(an algunos cuestionarios y listas de che#ueo, #ue pueden aplicarse de manera general a cual#uier CAC, esperando #ue sirvan de apoyo en el propsito de evaluar si se administra y controla adecuadamente la tecnolog"a inform!tica de las entidades
DGRV
III&CONCE*TO% GENERALE%
Para una mejor comprensin del tema, se incluir!n algunos conceptos $!sicos necesarios para realizar una adecuada evaluacin de los riesgos y controles de la tecnolog"a inform!tica6 A& AUDITORIA DE %I%TE!A% 6
&s el e(amen o$jetivo, cr"tico, sistem!tico, posterior y selectivo #ue se hace a la administracin inform!tica de una organizacin, con el fin de emitir una opinin acerca de6 # la eficiencia en la ad#uisicin y utilizacin de los recursos inform!ticos, # la confia$ilidad, la integridad, la seguridad y oportunidad de la informacin, y # la efectividad de los controles en los sistemas de informacin &l alcance de la auditor"a estar! determinado de acuerdo con el o$jeto a auditar, el cual est! compuesto $!sicamente por todos los recursos inform!ticos (personas, e#uipos, aplicaciones, capacitacin, etc ), la informacin y los controles B. AD!INI%TRACI"N IN OR!+TICA Comprende la aplicacin del proceso administrativo, en trminos de planeacin, organizacin, direccin y control, e(presados en hard9are, soft9are, datos, factor humano y otros recursos asociados a la automatizacin las actividades operativas de las organizaciones C. CONTROL INTERNO &l sistema de control interno: es un proceso realizado por el consejo de administracin (junta directiva o junta de directores), los administradores y dem!s personal de una entidad, dise8ado para proporcionar seguridad razona$le en la $;s#ueda del cumplimiento de los siguientes o$jetivos6 -Efectividad y Eficiencia de las Opera ciones: es decir, en cuanto al cumplimiento de los o$jetivos estratgicos de la organizacin (sean estos
"e#inicin contenida en e documento $nterna Contro % $ntegrated &rame'or(, issued by t)e Committe o# *+onsoring ,rganizations o# t)e -read'ay Comisin. -raducida a es+a.o +or *amue A berto Manti a y editada +or /coe /diciones. *egunda edicin, marzo de !000.
!
DGRV
comerciales, sociales, de renta$ilidad y financieros) y la salvaguarda o proteccin de sus recursos y los $ienes de terceros #ue se encuentran en su poder de la entidad, -Suficiencia y Confiabilidad de la Informacin financiera y la #ue se produce para uso interno, as" como de la preparacin de los estados financieros con destino a terceros, y -Cumplimiento de la Regulacin en general las disposiciones #ue afectan el desarrollo institucional, tales como las leyes, normas del go$ierno, los estatutos, los reglamentos, las circulares o instrucciones internas
6
&n otras pala$ras un sistema de control interno efectivo proporciona razona$le seguridad de alcanzar esos tres (<) grandes o$jetivos =a con anterioridad se e(plic por #u no $rinda seguridad a$soluta D. RIE%GO &s la incertidum$re de #ue ocurra un acontecimiento #ue pudiera pueda afectar el logro de los o$jetivos -am$in se define como la posi$ilidad de #ue suceda algo #ue tendr! impacto en los o$jetivos )e mide en trminos de consecuencia y posi$ilidad de ocurrencia E. RIE%GO% DE NEGOCIO RELACIONADO% CON LA IN OR!+TICA 4os principales riesgos inform!ticos de los negocios son los siguientes6 1.
Riesgos de Integridad
A$arca todos los riesgos asociados con la autorizacin, completitud y e(actitud de la entrada, procesamiento y reportes de las aplicaciones utilizadas en una organizacin &stos riesgos aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y est!n presentes en m;ltiples lugares, y en m;ltiples momentos en todas las partes de las aplicaciones> no o$stante estos riesgos se manifiestan en los siguientes componentes de un sistema6
?
Interfaz del usuario: 4os riesgos en esta !rea generalmente se relacionan con las restricciones, so$re las individualidades de una organizacin y su autorizacin de ejecutar funciones negocio.sistema> teniendo en cuenta $
sus necesidades de tra$ajo y una razona$le segregacin de funciones *tros riesgos en esta !rea se relacionan con
DGRV
controles #ue aseguren la validez y completitud de la informacin introducida dentro de un sistema # Procesamiento: 4os riesgos en esta !rea generalmente se relacionan con el adecuado $alance de los controles de deteccin (#ue son e( post) y preventivos #ue aseguran #ue el procesamiento de la informacin ha sido completado &sta !rea de riesgos tam$in a$arca los riesgos asociados con la e(actitud e integridad de los reportes usados para resumir resultados y tomar decisiones de negocio Procesamiento de errores: 4os riesgos en esta !rea generalmente se relacionan con los mtodos #ue aseguren #ue cual#uier entrada.proceso de informacin de errores ( e ceptions! sean capturados adecuadamente, corregidos y reprocesados con e(actitud completamente Interfaz: 4os riesgos en esta !rea generalmente se relacionan con controles preventivos y de deteccin #ue aseguran #ue la informacin ha sido procesada y transmitida adecuadamente por las aplicaciones "dministracin de cambios: 4os riesgos en esta !rea pueden ser generalmente considerados como parte de la infraestructura de riesgos y el impacto de los cam$ios en las aplicaciones &stos riesgos est!n asociados con la administracin inadecuada de procesos de cam$ios organizacionales #ue incluyen6 Compromisos y entrenamiento de los usuarios a los cam$ios de los procesos, y la forma de comunicarlos e i m plementarlos Informacin: 4os riesgos en esta !rea pueden ser generalmente considerados como parte de la infraestructura de las aplicaciones &stos riesgos est!n asociados con la administracin inadecuada de controles, incluyendo la integridad de la seguridad de la informacin procesada y la administracin efectiva de los sistemas de $ases de datos y de estructuras de datos 4a integridad puede perderse por6 errores de programacin (buena informacin es procesada por pro gramas ma# construidos!, procesam iento de errores (transacciones incorrectamente procesadas! o administracin y procesamiento de errores (administracin pobre de# mantenimiento de sistemas!$ Riesgos de relacin
2.
1!
4os riesgos de relacin se refieren al uso oportuno de la informacin creada por una aplicacin &stos riesgos se relacionan directamente a la
11
DGRV
informacin de toma de decisiones ( informacin y datos correctos de una persona %proceso% sistema en el tiempo preciso permiten tomar decisiones correctas!$
3. Riesgos de acceso
&stos riesgos se enfocan al inapropiado acceso a sistemas, datos e informacin &stos riesgos a$arcan6 los de segregacin inapropiada de tra$ajo, los asociados con la integridad de la informacin de sistemas de $ases de datos y los asociados con la confidencialidad de la informacin 4os riesgos de acceso pueden ocurrir en los siguientes niveles de la estructura de la seguridad de la informacin6 # Procesos de negocio: 4as decisiones organizacionales de$en separar tra$ajo incompati$le de la organizacin y proveer el nivel correcto de ejecucin de funciones "plicacin: 4a aplicacin interna de mecanismos de seguridad #ue provee a los usuarios las funciones necesarias para ejecutar su tra$ajo "dministracin de la informacin: &l mecanismo provee a los usuarios acceso a la informacin espec"fica del entorno Entorno de procesamiento: &stos riesgos en esta !rea est!n manejados por el acceso inapropiado al entorno de programas e informacin Redes: &n esta !rea se refiere al acceso inapropiado al entorno de red y su procesamiento &ivel f'sico: Proteccin f"sica de dispositivos y un apropiado acceso a ellos
4. Riesgos de utilidad
# # #
# #
&stos riesgos se enfocan en tres diferentes niveles de riesgo6 # # 4os riesgos pueden ser enfrentados por el direccionamiento de sistemas antes de #ue los pro$lemas ocurran -cnicas de recuperacin . restauracin usadas para minimizar la 12
ruptura de los sistemas
13

?
DGRV
+ac@ups y planes de contingencia controlan desastres en el procesamiento de la informacin Riesgos en la infraestructura
5.
&stos riesgos se refieren a #ue en las organizaciones no e(iste una estructura informacin tecnolgica efectiva ((ard)are* soft)are* redes* personas y procesos! para soportar adecuadamente las necesidades futuras y presentes de los negocios con un costo eficiente &stos riesgos est!n asociados con los procesos de la informacin tecnolgica #ue definen, desarrollan, mantienen y operan un entorno de procesamiento de informacin y las aplicaciones asociadas (servicio al cliente* pago de cuentas* etc$! &stos riesgos se consideran en el conte(to de los siguientes procesos inform!ticos6
)
Planeacin organizacional: 4os procesos en esta !rea aseguran la definicin del impacto, definicin y verificacin de la tecnolog"a inform!tica en el negocio Adem!s, verifica si e(iste una adecuada organizacin (gente y procesos!* asegura #ue los esfuerzos de la tecnolog"a inform!tica sea e(itosa +efinicin de las aplicaciones: 4os procesos en esta !rea aseguran #ue las aplicaciones satisfagan las necesidades del usuario y soporten el conte(to de los procesos de negocio &stos procesos a$arcan6 la determinacin de comprar una aplicacin ya e(istente o desarrollar soluciones a la medida &stos procesos tam$in aseguran #ue cual#uier cam$io a las aplicaciones (compradas o desarrolladas! sigue un proceso definido #ue confirma #ue los puntos cr"ticos de proceso.control son consistentes (todos los cambios son e aminados por usuarios antes de la implementacin!$ "dministracin de seguridad: 4os procesos en esta !rea aseguran #ue la organizacin est! adecuadamente orientada a esta$lecer, mantener y monitorizar un sistema interno de seguridad, #ue tenga pol"ticas de administracin con respecto a la integridad y confidencialidad de la informacin de la organizacin, y a la reduccin de fraudes a niveles acepta$les Operaciones de red y computacionales: 4os procesos en esta !rea aseguran #ue los sistemas de informacin y entornos de red est!n operados en un es#uema seguro y protegido, y #ue las responsa$ilidades de procesamiento de informacin son ejecutados por personal operativo definido, medido y monitoreado -am$in aseguran 14
DGRV
#ue los sistemas son consistentes y est!n disponi$les a los usuarios a un nivel de ejecucin satisfactorio
)
"dministracin de sistemas de bases de datos: 4os procesos en esta !rea est!n dise8ados para asegurar #ue las $ases de datos usadas para soportar aplicaciones cr"ticas y reportes tengan consistencia de definicin, correspondan con los re#uerimientos y reduzcan el potencial de redundancia Informacin % &egocio: 4os proceso en esta !rea est!n dise8ados para asegurar #ue e(iste un plan adecuado para asegurar #ue la tecnolog"a inform!tica estar! disponi$le a los usuarios cuando ellos la necesitan Riesgos de seguridad general
6.
)e pueden catalogar como a#uellos a los #ue est! e(puesto cual#uier de los elementos de tecnolog"a, #ue se minimizan cumpliendo con los est!ndares proporcionados por la ,&C.1A5 so$re los re#uisitos de dise8o para lograr una seguridad general y #ue disminuyen el riesgo6 Riesgos de c(o,ue de el-ctrico: niveles altos de voltaje Riesgos de incendio: inflama$ilidad de materiales Riesgos de niveles inadecuados de energ'a el-ctrica$ Riesgos de radiaciones: ondas de ruido, de l!ser y ultrasnicas Riesgos mec.nicos: inesta$ilidad de las piezas elctricas
) ) ) )
& LA %EGURIDAD IN OR!+TICA # %U% O()ETIVO% 4a amplia utilizacin de los sistemas inform!ticos en las organizaciones, ha incrementado la necesidad de adoptar toda serie de herramientas y procedimientos para proteger sus sistemas de informacin, lo #ue ha puesto en vigencia la importancia de la seguridad inform!tica &l o$jetivo principal de la seguridad inform!tica es proteger los recursos inform!ticos del da8o, la alteracin, el ro$o y la prdida &sto incluye los e#uipos, los medios de almacenamiento, el soft9are, los listados de impresora y en general, los datos 3na efectiva estructura de seguridad inform!tica se $asa en cuatro tcnicas de administracin de riesgos, mostradas en el siguiente diagrama6
15
DGRV
Bigura 2o / &structura de la seguridad inform!tica 1. Estrategias y polticas &strategias de administracin para seguridad inform!tica y pol"ticas, est!ndares, gu"as o directivas usadas para comunicar estas estrategias a la organizacin 2. Administracin de la organi acin
Procesos #ue se dirigen hacia pol"ticas profesionales y programas de capacitacin, administracin de cam$ios y control, administracin de seguridad y otras actividades necesarias
16
DGRV
3.
!onitori acin de e"entos
Procesos reactivos #ue permite a la administracin medir correctamente la implementacin de pol"ticas e identificar en #u momento las pol"ticas necesitan cam$ios
4. #ecnologa inform$tica
&s la tecnolog"a necesaria para proveer la apropiada proteccin y soporte en los distintos procesos involucrados en la organizacin 4a seguridad inform!tica a$arca un amplio rango de estrategias y soluciones, tales como6
)
Control de acceso: 3na de las l"neas de defensa m!s importantes contra los intrusos indeseados es el control de acceso +!sicamente, el papel del control de acceso es identificar la persona #ue desea acceder al sistema y a sus datos, y verificar la identidad de dicha persona 4a manera ha$itual de controlar el acceso a un sistema es restringir la entrada a cual#uiera #ue no tenga un nom$re de usuario y una contrase8a v!lidos 4as contrase8as son un ejemplo de una forma simple pero efectiva de control de acceso &l control de acceso es efectivo para mantener a las personas desautorizadas fuera del sistema )in em$argo, una vez #ue alguien est! dentro, la persona no de$er"a tener acceso li$re a todos los programas, archivos e informacin e(istente en el sistema &l control de acceso discrecional, se realiza en muchos sistemas, y es una parte importante de cual#uier acceso donde el acceso a los archivos y programas se concede en funcin de la clase de permisos otorgados a un usuario o un perfil de usuarios &s discrecional en tanto #ue un administrador puede especificar la clase de acceso #ue decide dar a otros usuarios del sistema
/irus inform.ticos: 4a prevencin y control de los efectos producidos por las diferentes clases de virus y programas destructivos #ue e(isten Planificacin y administracin del sistema: Planificacin, organizacin y administracin de los servicios relacionados con la inform!tica , as" como pol"ticas y procedimientos para garantizar la seguridad de los recursos de la organizacin Cifrado: 4a encriptacin y la desencriptacin de la informacin manipulada, de forma #ue slo las personas autorizadas pueden acceder a ella
17
DGRV
) )
Seguridad de la red y de comunicaciones: Controlar pro$lemas de seguridad a travs de las redes y los sistemas de telecomunicaciones Seguridad f'sica: *tro aspecto importante de la seguridad inform!tica es la seguridad f"sica de sus servicios, e#uipos inform!ticos y medios de datos reales> para evitar pro$lemas #ue pueden tener como resultado6 Prdida de la productividad, prdida de ventaja competitiva y sa$otajes intencionados Algunos de los mtodos para prevenir el acceso ilegal a los servicios inform!ticos incluyen6 Claves y contrase8as para permitir el acceso a los e#uipos 3so de cerrojos y llaves Bichas o tarjetas inteligentes Cispositivos $iomtricos (identificacin de huellas dactilares, lectores de huellas de manos, patrones de voz, firma.escritura digital, an!lisis de pulsaciones y esc!ner de retina, entre otros)
// // // //
DGRV
IV& EL *ROCE%O DE LA AUDITORIA DE TECNOLOGA DE IN OR!ACI"N

4a realizacin de la evaluacin planteada en este documento, contempla las mismas fases #ue sigue una auditor"a de sistemas o de tecnolog"a de informacin, a sa$er6 (i) planeacin, (ii) ejecucin e (iii) informe )e plantea de esta forma para #ue los administradores y auditores de la tecnolog"a, de manera o$jetiva, apoyados en esta herramienta, eval;en la gestin en la administracin de los recursos tecnolgicos de las CAC7s A& *LANEACI"N DE LA AUDITORIA 4a auditor"a de sistemas re#uiere de una adecuada planeacin, con el fin de definir claramente los o$jetivos y el alcance del tra$ajo, las tcnicas y herramientas a utilizar, los recursos humanos, financieros y tcnicos #ue se emplear!n, as" como los plazo para realizar la evaluacin (cronograma) &l o$jetivo de la planeacin es el de proveer al auditor de un conocimiento general de los procesos sistematizados de la organizacin, una evaluacin preliminar de las fortalezas y de$ilidades y una lista de materias relacionadas con el !rea #ue sean de potencial importancia para ser e(aminadas en la fase 1$
de ejecucin 4a fase de planeacin $!sicamente comprende6 # Conocimiento general de la CAC # Conocimiento del !rea de inform!tica # Programa de tra$ajo 1. %onocimiento general de la %A%
&sta etapa permite conocer y estudiar en forma general la entidad y el desarrollo tecnolgico en el !rea de inform!tica, para lo cual es necesario o$tener informacin relacionada con la organizacin #ue a criterio del auditor sea suficiente para conocer sus o$jetivos, reglamentos, normas, funciones, los sistemas de informacin automatizados, la ar#uitectura de red, las aplicaciones e(istentes, etc 4a evaluacin de este punto, como parte de la administracin de la CAC, permite concluir si se cuenta con documentacin actualizada #ue de manera r!pida y precisa permita presentar la entidad a personas #ue se vinculen y a entidades #ue deseen conocerla, ya sea para esta$lecer relaciones
1%
DGRV
2.
comerciales o para ejercer vigilancia y control en el caso de las )uperintendencias y los mismos auditores DEu tanto conocemos nuestra entidadF
%onocimiento del $rea de Inform$tica
&ste conocimiento se enfoca a determinar #u tan adecuadamente se tiene documentada la informacin del !rea ,nform!tica como del sistema de informacin, verificando si tienen identificadas las de$ilidades y fortalezas, como todas las relaciones del !rea con el entorno Para planear la evaluacin de manera efectiva, se de$e determinar la documentacin con #ue se cuenta, calificando su actualizacin y vigencia, so$re los siguientes aspectos6 # *rganizacin6 organigrama donde se u$i#ue el !rea de tecnolog"a dentro de la organizacin y el detalle de su estructura, con n;mero de personas por unidad y, en lo posi$le, los nom$res de los cola$oradores #ue pertenecen a cada una de ellas, su perfil tcnico, funciones, persona a cargo (si las tiene) y responsa$ilidades Procedimientos tcnicos y administrativos Pol"ticas de seguridad, compras, administracin de recursos, capacitacin y contratacin Cistri$ucin f"sica de los e#uipos, sistemas de seguridad y !reas usuarias ,nventario inform!tico, costos de los recursos inform!ticos y dem!s informacin #ue se considere relevante para el !rea
# # # #
)e espera #ue terminada la evaluacin, la informacin #ue detalla cada uno de los aspectos #ue involucran la tecnolog"a inform!tica de la CAC, estar! actualizada y totalmente documentada &l grado de documentacin depender! de la complejidad y alcance #ue se defina tener en cada CAC
3. !emorando de &laneacin
4os programas #ue se e(presan como planes de tra$ajo y conforman el memorando de planeacin, contienen, cuando menos, lo siguiente6 # la definicin de las actividades o aspectos a cu$rir en la fase de ejecucin, las cuales se determinan de acuerdo con las de$ilidades #ue se identifican durante de las dos etapas anteriores, priorizando a#uellos aspectos #ue se o$serven de mayor riesgo, de $ajo control y #ue estn soportando los procesos cr"ticos de la CAC 2o o$stante y con el apoyo de las listas de che#ueo generales (#ue se incluyen en de este 2!
documento), se podr"an identificar aspectos #ue a primera vista se
21
DGRV
# #
consideren adecuadamente administrados y controlados, pudieran no estarlo tanto y hacer #ue se reenfo#ue el tra$ajo planeado y su alcance la disposicin de tiempo, modo y lugar de los recursos necesarios y su justificacin para llevar a ca$o la auditor"a
(& E)ECUCI"N &sta fase consiste en ejecutar los programas de tra$ajo esta$lecidos en el memorando de planeacin, mediante6 # la evaluacin del sistema de control interno del !rea de inform!tica (incluye la seguridad inform!tica), # la evaluacin de la gestin de la entidad en la administracin de los recursos de tecnolgicos de informacin, y # la realizacin de prue$as para tener un concepto o$jetivo del estado actual del sistema de control interno de la CAC 1. E"aluacin del 'istema de %ontrol Interno (%)*I#+
)e de$e identificar y evaluar #ue los controles implementados permitan prevenir y detectar oportunamente los acontecimientos #ue impidan el ca$al cumplimiento de las pol"ticas, procedimientos, planes, y o$jetivos de la entidad y #ue tengan directa relacin con la informacin tecnolgica y de sistemas )e de$e evaluar si el control cumple con los principios de6 # Efectividad, )e refiere a #ue la informacin relevante sea pertinente para el proceso de la CAC, as" como a #ue su entrega sea oportuna, correcta, consistente y de manera utiliza$le Eficiencia, )e refiere a la provisin de informacin a travs del ptimo (m!s productivo y econmico) uso de los recursos Confidencialidad, Gelativa a la proteccin de la informacin sensitiva de su revelacin no autorizada Inte-ridad, )e refiere a la e(actitud y suficiencia de la informacin, as" como su validez, en concordancia con los valores y e(pectativas de la entidad Disponi.ilidad, )e refiere a #ue la informacin de$e estar disponi$le cuando sea re#uerida por los procesos de la entidad ahora y en el 22
# # #
futuro ,nvolucra la salvaguarda de los recursos y sus capacidades asociadas # C/mplimiento, )e refiere a cumplir con las leyes, regulaciones y acuerdos contractuales, a los #ue est!n sujetos los procesos de la entidad Confia.ilidad, )e refiere a la provisin de la informacin apropiada a la alta gerencia, para operar la entidad, tomar decisiones y evaluar la gestin realizada *laneacin, Eue las decisiones tomadas so$re la ad#uisicin e implantacin de recursos inform!ticos o$edezca a las pol"ticas de la entidad y se encuentren enmarcados dentro de un plan estratgico
4os recursos #ue de$en ser evaluados en el cumplimiento de los anteriores principios se han identificado como6 # # # # # Datos6 4os elementos de datos internos, e(ternos, estructurados, no estructurados, gr!ficos, sonidos, etc Aplicaciones, &s la suma de procedimientos manuales y programados Tecnolo-0a, Cu$re hard9are, soft9are, sistemas operativos, sistemas de administracin de $ase de datos, redes, multimedia, etc Instalaciones, Gecursos para alojar y dar soporte a los sistemas de informacin *ersonal, Ha$ilidades del personal, conocimientos, conciencia y productividad para planear, organizar, ad#uirir, entregar, soportar, y monitorear servicios y sistemas de informacin
3na vez finalizada la fase de evaluacin del )istema de Control ,nterno, se revisa el memorando de planeacin, de manera #ue puedan incluirse ajustes a las siguientes fases de la ejecucin de la auditor"a, de ser necesario para incluir otras !reas cr"ticas identificadas 4as !reas de influencia (dominios) a tener en cuenta en el proceso de evaluacin son6 # *laneacin 1 Or-ani2acin, )e de$en evaluar los controles e(istentes para la ejecucin del plan estratgico, la ar#uitectura de la informacin, administracin de los sistemas de informacin, direccin y
23
DGRV
#
administracin del !rea de sistemas, administracin de proyectos, administracin del recurso humano Ad3/isicin e implementacin, )e refiere a a#uellos procedimientos implementados por la entidad para hacer m!s efectiva, eficiente y econmica la ad#uisicin de recursos tecnolgicos de sistemas )e de$en identificar los controles e(istentes para los contratos de ad# uisicin de soft9are (apl icaciones, l icencias, sistemas operativos, correo electrnico, ,nternet, etc ), y hard9are (e#uipos, redes, etc) # Entre-a de servicios 1 soporte, )e eval;an los controles #ue tiene la entidad para garantizar #ue se cumpla con el o$jeto de los contratos de outsourcing (tercerizacin) y servicios prestados )e eval;an los programas de capacitacin de los usuarios, la atencin a los usuarios, la administracin de la configuracin, de los datos, de las instalaciones, operaciones # !onitoreo, )e refiere a la evaluacin de los procedimientos implementados para hacer un seguimiento y una auditor"a interna de todos los procesos relacionados con la inform!tica, $ien sea d"a a d"a o en forma peridica para verificar su efectividad ,gualmente a los procedimientos #ue se han incorporado a los sistemas de informacin tecnolgica para hacer un seguimiento de las actividades realizadas por los usuarios 4os controles pueden estar incluidos, de un modo intr"nseco, en las actividades recurrentes de una entidad o consistir en una evaluacin peridica independiente, llevada a ca$o normalmente por la direccin 4a frecuencia de estas evaluaciones depende del juicio de la direccin Iediante estos controles podremos detectar errores significativos y realizar un control continuo de la fia$ilidad y de la eficacia de los procesos inform!ticos # Doc/mentacin, 4a &ntidad de$e tener pol"ticas claras y por escrito so$re la documentacin del !rea de sistemas y el plan estratgico de sistemas de informacin 4os sistemas de aplicacin, los programas del sistema operativo, los e#uipos de cmputo, las redes de datos, los perifricos, las funciones y responsa$ilidades, la operacin del centro de cmputo, las decisiones de cam$ios de e#uipos y aplicaciones, los est!ndares para el dise8o y desarrollo, entre otras, de$en estar 24
suficientemente documentadas para la comprensin completa y e(acta
25
DGRV
2.
de las actividades de sistemas de informacin automatizados y su impacto en los usuarios E"aluacin de las polticas de seguridad inform$tica (I') 1,,--+
Como complemento de la evaluacin del control interno y como un punto de referencia, se de$e tener en cuenta durante la evaluacin a realizar, las diez !reas de control propuestas por la norma internacional ,)* /0011, a efecto de diagnosticar el sistema de seguridad frente a los est!ndares aceptados internacionalmente, si en alg;n momento se #uisiera certificar el aspecto de seguridad en la CAC # *ol0tica de se-/ridad, )e necesita una pol"tica #ue refleje las e(pectativas de la organizacin en materia de seguridad con el fin de suministrar administracin con direccin y soporte, la cual tam$in se puede utilizar como $ase para el estudio y evaluacin en curso Or-ani2acin de la se-/ridad, )ugiere dise8ar una estructura de administracin #ue esta$lezca la responsa$ilidad de los grupos en ciertas !reas de la seguridad y un proceso para el manejo de respuesta a incidentes Control 1 clasificacin de los rec/rsos de informacin, 2ecesita un inventario de los recursos de informacin de la organizacin y con $ase en este conocimiento, asegurar #ue se $rinde un nivel adecuado de proteccin %e-/ridad del personal, &sta$lece la necesidad de educar e informar a los empleados actuales y potenciales so$re lo #ue se espera de ellos en materia de seguridad y asuntos de confidencialidad -am$in determina cmo incide el papel #ue desempe8an los empleados en materia de seguridad en el funcionamiento general de la CAC )e de$e implementar un plan para reportar los incidentes %e-/ridad f0sica 1 am.iental, Gesponde a la necesidad de proteger las !reas, el e#uipo y los controles generales 26
!ane4o de las com/nicaciones 1 las operaciones, 4os o$jetivos de esta seccin son6
27
DGRV
# # # # # # # #
Asegurar el funcionamiento correcto y seguro de las instalaciones de procesamiento de la informacin Iinimizar el riesgo de falla de los sistemas Proteger la integridad del soft9are y la informacin Conservar la integridad y disponi$ilidad del procesamiento y la comunicacin de la informacin 'arantizar la proteccin de la informacin en las redes y de la infraestructura de soporte &vitar da8os a los recursos de informacin e interrupciones en las actividades de la compa8"a &vitar la prdida, modificacin o uso inde$ido de la informacin #ue intercam$ian las organizaciones
Control de acceso, &sta$lece la importancia de monitorear y controlar el acceso a la red y los recursos de aplicacin para proteger contra los a$usos internos e intrusos e(ternos Desarrollo 1 mantenimiento de los sistemas, Gecuerda #ue en toda la$or de la tecnolog"a de la informacin, se de$e implementar y mantener la seguridad mediante el uso de controles de seguridad en todas las etapas del proceso !ane4o de la contin/idad de la empresa, Aconseja estar preparado para contrarrestar las interrupciones en las actividades de la empresa y para proteger los procesos importantes, en caso de una falla grave o desastre C/mplimiento, ,mparte instrucciones para #ue se verifi#ue si el cumplimiento con la norma tcnica ,)* /0011 concuerda con otros re#uisitos jur"dicos &sta seccin tam$in re#uiere una revisin a las pol"ticas de seguridad, al cumplimiento y consideraciones tcnicas #ue se de$en hacer en relacin con el proceso de auditor"a del sistema a fin de garantizar #ue las empresas o$tengan el m!(imo $eneficio
C& IN OR!E Gesultado de la evaluacin, se de$e preparar un informe el cual, adem!s de ser claro, preciso, conciso, veraz, o$jetivo y de presentar hechos reales 2$
de$idamente sustentados, de$e dar las pautas para un plan de mejoramiento de los controles y seguridades esta$lecidas dentro del sistema de informacin )irve adem!s para fortalecer la administracin de la tecnolog"a inform!tica de las CAC, se constituyen en otra herramienta para soportar las inversiones necesarias en
2%
DGRV
tecnolog"a ante la alta gerencia y afrontar de manera satisfactoria las auditorias #ue se realicen al !rea de tecnolog"a de nuestras CAC
DGRV
V& T5CNICA% DE AUDITORIA DE TECNOLOGA DE IN OR!ACI"N

4os procedimientos en auditor"a re#uieren de tcnicas #ue ayuden a esta$lecer la eficiencia en la ad#uisicin y utilizacin de los recursos inform!ticos, la consistencia, integridad y oportunidad de la informacin y la efectividad de los controles 4as prue$as de auditor"a constituyen la $ase con #ue el auditor o$tiene evidencias adecuadas #ue le permiten estructurar los hallazgos, los cuales fundamentan las conclusiones de la ejecucin de la auditor"a 4os hallazgos, sin descartar otros aspectos, son las de$ilidades (u oportunidades de mejoramiento) #ue se de$en tomar en cuenta para fortalecer el sistema de control interno 4as prue$as #ue se pueden realizar so$re los sistemas son prue$as sustantivas y prue$as de cumplimiento, tal como se define a continuacin6 A& *RUE(A% DE CU!*LI!IENTO )e usan para determinar si un procedimiento de control, previamente esta$lecido, est! funcionando efectivamente, y consisten en verificar6 # # # # 4a aplicacin de leyes o reglamentos y de los procedimientos esta$lecidos en los manuales y #ue stos se encuentren actualizados &l conocimiento por parte del personal, de los manuales y de las pol"ticas del am$iente inform!tico 4a e(istencia del plan estratgico de sistemas, informes o memorandos preparados por el Cepartamento de ,nform!tica )i han sido implantadas las recomendaciones emitidas por auditorias anteriores 3!
(& *RUE(A% %U%TANTIVA%
)e usan para determinar #ue e(iste una seguridad razona$le so$re la validez de la informacin producida &l desarrollo de las prue$as es logrado mediante la aplicacin de una o varias tcnicas de auditor"a, ya sea simult!nea o sucesivamente, tales como6 # # # Analizar registros Hacer operaciones Com parar arch ivos
31
DGRV
# # # # # # # #
&stratificar archivos )eleccionar una muestra aleatoria Gesumir informacin 'enerar reportes Construir archivos de prue$a &(traer informacin de un archivo Gealizar an!lisis estad"sticos )imular parte del sistema o el sistema completo
C& T5CNICA% DE AUDITORIA A%I%TIDA% *OR CO!*UTADOR 3nas de las herramientas m!s ;tiles para adelantar prue$as de cumplimiento y sustantivas, son las #ue se conocen como tcnicas de auditor"a asistidas por computador (-AAC), las cuales se orientan hacia los datos, las aplicaciones, los e#uipos y programas, y permiten seleccionar y procesar la informacin necesaria para fines espec"ficos de la auditor"a, facilitando la aplicacin de mtodos de muestreo estad"stico, aumentar el alcance de las prue$as y verificar la integridad de los datos en la po$lacin auditada 4as -AAC sirven para6 # pro$ar controles en aplicaciones, # seleccionar y monitorear transacciones, # verificar datos, # analizar programas de las aplicaciones, # auditar centros de procesamiento de informacin, y # auditar el desarrollo de aplicaciones
1. &ara pro.ar controles en aplicaciones
3tilizadas para evaluar los controles en aplicaciones sistematizadas y para pro$ar el cumplimiento de los controles e(istentes en las aplicaciones, a sa$er6 # Eval/acin del caso .ase, &la$orar archivo de prue$a y verificar la e(actitud de los procesos )e realiza la prue$a en todo el ciclo del sistema 32
# Operacin paralela6 +usca verificar el $uen desempe8o de nuevas aplicaciones, identificar resultados no esperados, comparar lo antiguo con lo nuevo operando conjuntamente
33
DGRV
# *r/e.a inte-rada, &sta tcnica implica tener, como m"nimo, la misma capacidad tecnolgica en la cual est! la aplicacin en produccin )e de$en procesar archivos de prue$a en aplicaciones en produccin y comparar los resultados reales versus los esperados # %im/lacin paralela, Codificar rutinas #ue simulen la lgica del programa real, se de$e considerar el porcentaje de error en los resultados de la simulacin )e emplea generalmente soft9are generalizado de auditor"a y programas a la medida
2. &ara auditar centros de procesamiento de informacin
)e de$e hacer un an!lisis de datos del J*+ accounting, verificar si e(iste un plan de contingencia y si e(isten las suficientes medidas de seguridad para salvaguardar y proteger los recursos tecnolgicos de inform!tica Para realizar la evaluacin del sistema de informacin tecnolgica se propone hacerlo mediante la utilizacin de las listas de che#ueo ane(as al presente documento, las cuales se han desarrollado teniendo en cuenta los tipos de control )e aclara #ue estas listas de che#ueo son generales, no son e(cluyentes, ni e(haustivas> por tanto, se de$en considerar como una gu"a en el proceso de evaluacin y la profundidad de la evaluacin depender! de la complejidad de la tecnolog"a utilizada por cada CAC, lo #ue conducir"a a depurarlas y actualizarlas, en caso de #ue se utilicen de manera peridica, de tal forma #ue nunca pierdan vigencia
VI& INDICADORE% DE GE%TI"N

K4o #ue no es medi$le no es gerencia$le, ya #ue el control se ejerce a travs de hechos y datosL Partiendo de la premisa anterior, es necesario identificar de #u manera se est! midiendo la gestin de inform!tica dentro de la CAC &s por esto #ue en este punto ponemos a su consideracin el uso de esta herramienta de administracin, #ue tiene entre otras las siguientes funciones6 # Permiten la realizacin de una evaluacin del impacto de la gestin realizada )on utilizados para comparar un plan esta$lecido contra unos valores reales 34
)eguimiento y rendimiento de cuentas )irven como instrumento de regulacin, como $ase para toma de decisiones, transferencias presupustales y pol"ticas E4emplos, A continuacin se enuncian algunos de los indicadores de gestin #ue se pueden implementar en el !rea de tecnolog"a6 # #
DGRV
NO!(RE
CALCULO
2o actividades desarrolladas 2o Actividades planeadas (pesi) 2o aplicativos documentados -otal aplicativos 2o puntos de red 2o e#uipos 2o de computadores en uso -otal de computadores 2o Iicrocomputadores 2o funcionarios #ue necesitan computador 2o de licencias ad#uiridas 2o de aplicativos instalados 2o de licencias por soft9are 2o e#uipos en #ue est! instalado 2o de usuarios capacitados -otal de usuarios 2o Puntos de red ( /55 2o computadores
RE%ULTADO
&valuar el cumplimiento del Plan &stratgico de )istemas (P&),) ,dentifica si e(iste una adecuada documentacin Cu$rimiento de la red Merifica la productividad de los e#uipos )e mide teniendo en cuenta los aplicativos Merifica la adecuada distri$ucin de los recursos Merifica #ue el soft9are instalado cuente con la licencia )e puede esta$lecer si el soft9are est! de$idamente licenciado Cetermina la efectividad en la capacitacin Cetermina el porcentaje de cu$rimiento de las redes de datos
&ficacia en la gestin &fectividad de documentaci Cu$rimiento &ficiencia de los recursos tecnolgicos &ficiencia en la distri$ucin del recurso tecnolgico 4egalidad 4egalidad Capacitacin Conectividad de recursos compartidos
DGRV
VII& ANE6O%
No& 7& AUDITORIA A LA% A*LICACIONE% 7& *OLTICA% # *ROCEDI!IENTO%
4F,
Gevisin de los manuales y procedimientos #ue documentan la aplicacin &ntrevistas a los usuarios y al personal de sistemas usando los diagramas de flujo de datos para documentar las operaciones #ue se descri$an
4F,
35
8& E%T+NDARE% DE DE%ARROLLO # *RODUCCI"N

4F,
4F,
&valuacin del procedimiento de actualizacin de los est!ndares Merificar #ue los mantenimientos efectuados a la aplicacin se ajusten a los est!ndares de desarrollo Gevisar el cumplimiento de las pol"ticas de $ac@ups Comparacin de la descripcin de archivos, campos y programas con los #ue recomienda el est!ndar Gevisar la $it!cora de operacin, verificando #ue todos los procesos #ue se corren #ueden registrados Merificar #ue los procesos de almacenamiento y restauracin de datos cumplen con los est!ndares de produccin Merificar #ue la codificacin de la aplicacin se ajusta al est!ndar de procedimientos y comandos de produccin Gevisar los documentos fuente #ue utilice el pa#uete verificando su consistencia e integridad en la informacin Aspectos a revisar como los siguientes6
4F,
4F,
4F,
4F,
4F,
9& DATO% DE ENTRADA

4F,
.1. 4egi$ilidad de la informacin .2. Ianejo de errores en el documento fuente .3. Pol"ticas de retencin de los documentos .4. Control de los documentos confidenciales .5. Almacenamiento de los documentos no diligenciados .6. )istema de control so$re documento digitado .7. )istema de control de lotes o grupos de documentos procesados .$. Conservacin del consecutivo del documento .%. Merificar separacin de funciones entre #uien prepara el documento fuente y
#uien lo captura en el sistema
:& *ROCEDI!IENTO% DE CA*TURA
4F,
Merificar la validacin de los datos #ue son capturados, mediante prue$as en l"nea y en am$ientes paralelos a los programas respectivos
36

/N/
DGRV
&(aminar la metodolog"a de correccin de errores #ue tienen los programas en su codificacin interna Gevisar los procedimientos de manejo de errores #ue son descu$iertos durante la captura
/N/
/N/
5. *ROCEDI!IENTO # ACTUALI;ACI"N DE IN OR!ACI"N &jecucin

de prue$as a los programas correspondientes a la aplicacin
/N/
/N/
/N/
/N/
)uministro de datos reales y de prue$a, verificando a la salida (informes o reportes por pantalla y listados) la consistencia de la informacin Gevisin anal "tica de los programas fuente para los programas m!s cr"ticos Merificar la accin de las cifras de control en los programas y procesos #ue las posean Merificar la consistencia de los campos descritos en los archivos con la informacin #ue de$e ser almacenada en ellos *$servar el mtodo de actualizacin #ue evidencian los archivos Analizar los cam$ios y mantenimientos a los programas verificando las de$idas autorizaciones Gevisar la estructura de los informes de computador utilizando la matriz de an!lisis Analizar el origen y destino final de los informes &valuar el sistema de archivo y retencin de los informes de computador
/N/
/N/
6. IN OR!E% DE CO!*UTADOR
/N/
/N/
/N/
/N/
Analizar los procedimientos de manejo de error en los listados Merificar el $orrado de los archivos magnticos de impresin luego de ser listados &valuar la informacin de salida a la luz del sistema de informacin re#uerido por la gerencia
/N/
/N/
7. DOCU!ENTACI"N
/N/
/N/
Gevisar las carpetas fuente de los programas seleccionados a fin de determinar la documentacin correspondiente a los est!ndares de desarrollo &valuar la e(istencia de manuales de sistemas, tcnicos y de usuario de la aplicacin Analizar la documentacin #ue soporta las modificaciones #ue evidencian los programas &valuar el sistema de seguridad lgico a travs del archivo de seguridad y los archivos de usuarios con privilegios Analizar el per"odo de modificacin de los pass9ord propios de la aplicacin Merificacin en el log del sistema de los accesos #ue o$servan los programas y archivos m!s cr"ticos
/N/
$. %EGURIDAD
/N/
/N/
/N/
37
%. *ROCEDI!IENTO% DE RE%*ALDO
3$

t,
DGRV
t,
&valuar el plan de contingencias de la aplicacin y el conocimiento de la misma por parte de los usuarios &valuar el sistema de $ac@ups utilizado para los archivos de datos
7<& CA*ACITACI"N # %O*ORTE A U%UARIO%

t,
t,
t,
DGRV
l
Merificar el conocimiento #ue tienen los usuarios del manejo de los mdulos propios de la aplicacin Gevisar los procedimientos de capacitacin #ue son utilizados para la instruccin de los usuarios Analizar la respuesta #ue tienen los usuarios a sus pro$lemas tanto de hard9are como de programas
No& 8& AUDITORIA AL CENTRO DE CO!*UTO
1. *REGUNTA% CLAVE%&
Procedimientos escritos #ue se manejan Ianuales por aplicacin (sistemas y operacin) Ged instalada en la &mpresa 2;mero de servidores 3$icacin de los servidores 2;mero de terminales conectadas 2;mero de usuarios conectados al servidor Configuracin de memoria y discos de los servidores Protocolos instalados y servicios Molumen de produccin mensual de registros de cada aplicacin ,nterfases #ue manejan Geci$en y.o env"an archivos a entidades e(ternas Principales proveedores de tecnolog"a )istemas de seguridad electrnica instalados Actualmente se tiene auditor"a de sistemas Planes de contingencia para el !rea de inform!tica Proyectos futuros
2. CUIDADO DE LA% IN%TALACIONE%

U.icacin Cel centro de cmputo -echos, ma#uinarias especiales -ipo de estanter"a 3$icacin de la luz
l l l
3%
&(iste un procedimiento claro de limpieza y aseo para los computadores y el centro de cmputoF Electricidad Hay corriente regulada identificadaF -ienen reguladores de voltajeF &(isten prue$as funcionamiento de la 3P) 4as fases de$en estar $alanceadasF &(iste plano elctrico de la &mpresaF (preferi$lemente en medio magntico) )e hace revisin peridica de los circuitos elctricosF )e cuenta con planta elctricaF )e tienen procedimientos claros para su uso y mantenimientoF
l l l l l l
Aire Acondicionado Hay sistema de aire acondicionadoF Merificar si es independiente al de las personas Hay sistema de reserva energtica para el aire acondicionadoF &s suficiente para el !rea del centro de computoF Controla la humedad del aireF
l l l l
DGR V
& l l l l
)e tiene sistema redundante de aire acondicionadoF
*roteccin contra incendios -ienen sistema de proteccin contra incendiosF Gevisar si es manual o autom!tico )e hizo capacitacin al personal del !rea para el manejo de los e(tintores y se ha pro$ado Eu tipo de sustancias tienen los e(tintores Procedimientos de emergencia &(isten normas o actividades ante un desastreF &(isten estrategias para la evacuacinF
l l
%e-/ros Gevisar el sitio de u$icacin del $ien &valuar los procedimientos para el manejo de los seguros Gevisar el inventario de e#uipos de cmputo de la empresa y a la aseguradora
l l l
=ard>are -ienen seguros todos los computadoresF )e aseguran las cintas y otros dispositivos para almacenamientoF Merificar los amparos a los computadoresF
l l
%oft>are )e aseguran las patentes licenciasF Hay seguro para horas hom$re en recuperacin de la informacinF
l l
*li2as de mane4o& Hay plizas de manejo Cual es su co$erturaF Euienes est!n incluidosF
l
3. O*ERACI"N DE LOS SERVIDORES
4!
Re-istro o de operaciones& &valuar el manejo de $it!coras manuales en el centro de cmputo Hay registro autom!ticoF Cada cu!nto se realizan y #ue acciones se tomanF Euin las revisaF
l l l
*rocedimientos del operador& -ienen manual de funcionesF )us actividades est!n $asadas en normas claras Hay procedimientos para6 ' Prender el )ervidor ' Apagar el )ervidor ' *torgar permisos en el sistema
l l
*ro-ramacin de actividades& )on programadas las actividades del operadorF

l
41

l
DGRV
Ianejan cronogramas, planes de tra$ajo y.o acuerdos de servicioF
!antenimiento de arc?ivos maestros& Che#ueo y.o revisin de las ta$las principales del sistema conta$le y las aplicaciones de misin cr"tica &valuar la frecuencia de depuracin de los archivos maestros Gevisar los procedimientos de depuracin de archivos maestros
l l l
4. CONTROL DE ENTRADA% # %ALIDA%&

Entradas A #u horas y en #ue fecha se reci$enF Eu control hay so$re el documento #ue se reci$eF
l l
%alidas &(isten hoja de ruta de los informesF )e comparan los informes contra los documentos de entradaF
l l
Reconciliacin de salidas& Con #u frecuencia de realizan contra documentos de tercerosF

l
5. %EGURIDAD EN IN%TALACIONE%&
Administracin -eneral de la se-/ridad &valuar los criterios de seguridad #ue tiene el !rea de inform!tica Gevisar los sistemas de vigilancia *$servar las garant"as de seguridad del sitio donde est! u$icado el centro de cmputo
l l l
%e-/ridad E@terna &valuar los controles de acceso autom!tico

l
%e-/ridad Interna )on independientes las !reas de tra$ajoF 4os computadores est!n u$icados en sitios segurosF )e protegen los e#uipos con co$ertores pl!sticosF Hay canaletas, iluminacin y ergonom"a en el !reaF
l l l
6. ORGANI;ACI"N # *ER%ONAL
Or-ani2acin 1 personal& &valuar criterios de administracin Gevisar los per"odos vacacionales Hay rotacin de analistas en su cargoF Cu!les son las estrategias de promocinF Gevisar los par!metros de ascenso esta$lecidos
l l l l l
42
%e-re-acin de f/nciones& )e detecta concentracin de funciones en alg;n empleadoF

l
43

l,
DGRV
l,
&valuar los criterios del !rea para difundir o multiplicar conocimientos 4a capacitacin esta relacionada con los proyectos del !reaF
A& *LANE% DE CONTINGENCIA&
Creacin del *lan &(isten planes de contingenciasF &st!n documentadosF Merificar el personal #ue participa en la definicin del plan de contingencias
l, l, l,
Tpicos =ard>are &#uipo de soporte Acuerdos con otras compa8"as Acuerdos con los proveedores Cispositivos claves
l, l,
l,
l,
%oft>are Procedimientos manuales #ue garanticen la continuidad del servicio Personal &(iste matriz de sustitutos O Euien reemplaza a #uienF Cifusin del plan Planes de difusin y entrenamiento Prue$as de simulacin
l, l, l, l, l,
l,
44
DGRV
No& 9& AUDITORIA A NUEVO% DE%ARROLLO%
&n Cada punto se enuncia las preguntas a realizar se en cada etapa del desarrollo planeado
1. *LANEACI"N # AN+LI%I% DEL *RO#ECTO

*$jetivo del proyecto Personal involucrado Cronograma de tra$ajo Presupuesto &#uipos y aplicaciones asociados Participacin y aceptacin por parte del usuario Aplicacin de la metodolog"a de desarrollo
l l l l l l l
2. EN LA ETA*A DE DI%EBO
l
Gevisin del cumplimiento de normas legales, pol"ticas, procedimientos, normas conta$les y tri$utarias Per"odos de retencin de archivos, $ac@up, procedimientos de recuperacin Gevisin al plan de prue$as y.o conversin de programas Gevisin al plan de migracin de datos Gevisar la matriz de acceso a la aplicacin Proponer ta$lasOauditor para datos cr"ticos, previa discusin con el usuario )ugerir cifras de control para los datos Cise8ar y proponer al grupo reportes y consultas de control
l
3. CON%TRUCCI"N # *RUE(A%
l l l
l l
Gevisin a la implantacin de controles Gevisin a la documentacin referida en los est!ndares Gevisin al cumplimiento del presupuesto Gevisin a la participacin y apro$acin del usuario en las prue$as de aplicaciones y prue$as de conversin y.o migracin de programas y datos Participacin en prue$as a programas Gevisin al cumplimiento de los planes de entrenamiento Pro$ar los controles autom!ticos recomendados Gevisin al plan de contingencias de la aplicacin
l
4. EN CONVER%I"N E IN%TALACI"N
Gevisin al proceso de conversin Gevisin final de los procedimientos Merificar la creacin de controles recomendados Merificar la completa aceptacin del usuario Merificar la ejecucin de prue$as completas antes de instalarse en produccin ,nformar cumplimiento de los presupuestos iniciales
l l l l l
45
2ota6 &(isten otros aspectos #ue la CAC y la e(periencia invitar!n a incluir en este documento
DGRV
No& :& T5CNICA% *ARA AUDITAR (A%E% DE DATO%
A continuacin se enuncian algunos criterios para auditar las $ases de datos Para facilitar la comprensin de los aspectos referidos, se toman a manera de ejemplo algunos comandos de seguridad del sistema operacional 32,P y del sistema manejador de $ases de datos ,2B*GI,P )eg;n las herramientas #ue cada CAC posea, podr! emular los comandos #ue cumplan similar funcin Para efectuar auditor"a a $ases de datos, se propone iniciar desde la recopilacin de informacin, y la ejecucin de varias prue$as relacionadas con el tratamiento de la informacin en la $ase de datos, el uso de comandos cr"ticos tanto en 32,P como en ,2B*GI,P y la utilizacin de los est!ndares de desarrollo definidos para cuarta generacin
7& ACTIVIDADE% *RELI!INARE%
Consiste en la la$ores de documentacin #ue de$e adelantar el auditor luego de planear el programa de auditor"a, participar al usuario de la actividades de revisin #ue se van a efectuar 4as actividades aplican de igual manera tanto para auditar aplicaciones #ue ya est!n en funcionamiento como para a#uellas en las cuales la participacin de auditor"a es simult!nea al desarrollo de la aplicacin )e recomienda hacer acopio de dicha informacin mediante el desarrollo de los siguientes pasos6
# #
*$tener los procedimientos y pol"ticas #ue soporten las operaciones del !rea motivo de estudio ,dentificar para la $ase de datos, cu!les funcionarios la administran o tienen responsa$ilidad directa con los datos, #uines proveen el servicio tcnico de mantenimiento o soporte y #u personas son usuarias actuales *$tener los formatos de an!lisis de seguridad de la aplicacin Ad#uirir la relacin del soft9are propio del manejador de la $ase de datos utilizado en la entidad Gecopilar la lista de aplicaciones de la CAC #ue ingresan o son ingresadas por la $ase de datos ,dentificar las interfaz de la aplicacin con otros sistemas operacionales diferentes tales como Q,2C*Q) )&GM&G :555, 32,P, *) R555, etc *$tener para la aplicacin #ue se est! analizando, la siguiente informacin6 +ases de datos utilizadas
t, t,
# # # # #
t,
t,
-a$las #ue conforman la $ase de datos Mistas definidas Sndices definidos para las ta$las de la $ase de datos
46

l,
DGRV
l,
4i$rer"as propias del manejador de la $ase de datos y de la aplicacin motivo de estudio Cat!logo de sistema manejador o dise8ado por los analistas Ciccionarios de datos del sistema
l,
&n relacin a procedimientos de seguridad, de$e ad#uirirse6 Procedimientos de recuperacin ante ca"das de la aplicacin Acuerdos de soporte en procesamiento con otras empresas Pol"ticas de contingencias esta$lecidas para las $ases de datos
l, l, l,
Copiar en un am$iente de prue$a paralelo un segmento de las $ases de datos #ue van a ser analizadas y los programas seleccionados para la revisin
8& *RUE(A% A E)ECUTAR
4as prue$as a ejecutar se adelantaran de acuerdo a los mdulos de procedimientos y pol"ticas, seguridad, desarrollo, participacin de usuario, documentacin y procedimientos de respaldo y recuperacin
Procedimientos y pol"ticas6 4os procedimientos actuales ser!n revisados teniendo presente la vigencia, cumplimiento, eficiencia y relacin con las dem!s !reas de la CAC )eguridad &valuar los derechos de acceso #ue tienen los usuarios de la aplicacin Para ello de$e revisarse en el cat!logo de seguridad de ,nformi( los archivos )=)3)&G), )=)-A+A3-H = )=)C*4A3-H &n )=)3)&G) se verifica la razona$ilidad de los accesos de usuarios a la $ase de datos &n )=)-A+A3-H se analizan los derechos de los usuarios para acceder las diferentes ta$las de la $ase de datos &n )=)C*4A3-H se de$en verificar los derechos de los usuarios a determinados atri$utos de una ta$la espec"fica de la $ase de datos Para la anterior evaluacin de$en compararse los formatos de Kan!lisis de seguridadL ela$orados durante el dise8o de la aplicacin con la estructura de derechos #ue o$serva la misma en produccin &l formato mencionado de$e evidenciar la autorizacin del Jefe de Trea usuaria asignada para otorgar los permisos respecto de la aplicacin -ales verificaciones se complementar!n con prue$as de l"nea so$re la $ase de datos conjuntamente con el usuario responsa$le &n el 4og del sistema, se de$e verificar la razona$ilidad en la utilizacin de los comandos 'GA2- = G&M*U&, por parte de los usuarios y personal de sistemas involucrados con la ejecucin de programas y manipulacin de las $ases de datos ,nstrucciones motivo de an!lisis por parte de auditor"a son las afines con 'GA2- C*22&C- -*, 'GA2- C+A -*, G&M*U& A44
#
l,
l,
47
DGRV
&I
BG*I, etc &stas permiten esta$lecer los derechos asignados y retirados durante un per"odo de tiempo
4os derechos de ejecucin de programas, lectura y escritura de archivos #ue sean creados desde el sistema operacional 32,P tam$in de$en ser evaluados Ce$e ser motivo de evaluacin peridica el log del sistema para efectuarle seguimiento al uso de los siguientes comandos6 CHI*C6 Cam$ios en la estructura de los permisos ya esta$lecidos CH*Q26 Cam$ios de propietarios en las ta$las de la $ase de datos CG=P-6 Cefinicin de pass9ords para la ejecucin de algunos programas Ce$e tenerse presente #ue el uso de los comandos CHI*C = CH*Q2 solo pueden ejecutarse por parte del KsuperusuarioL y por el creador del archivo ejecuta$le )i las $ases de datos creadas tiene 4*' -GA2)AC-,*2 o A3C,- -GA,4, de$e revisarse las caracter"sticas de las actual izaciones en la $ase de datos Adicionalmente el estado de estos archivos o$servando el n;mero total de registros y la ;ltima fecha de actualizacin Gevisar la revocacin del acceso del analista de sistemas si la aplicacin ya ha sido entregada a produccin Merificar #ue las $ases de datos de prue$a est!n aisladas de las !reas de produccin y sean removidas totalmente al momento de terminar la implantacin de la aplicacin )i el usuario posee control por hora y terminal, evaluar en el log los accesos en atencin a la restriccin definida Merificar la revocacin de todos los permisos a nivel de ta$la para los usuarios cuando se hace la asignacin de derechos Pro$ar mediante edicin de los cat!logos de seguridad
l,
l,
l,
l,
l,
&st!ndares de Cesarrollo &valuar las estrategias de inde(acin aplicados a las ta$las de las $ases de datos creadas
l, l,
l,
&fectuar compilaciones a los programas fuentes para determinar los llamados a )E4 incluidos Gevisar el documento de dise8o para la aplicacin y esta$lecer las ta$las propuestas y programas definidos Posteriormente de$en ser listadas las ta$las y programas #ue se encuentran productivos para identificar la coincidencia en am$os documentos Merificar #ue los programas, mdulos, varia$les de programa, funciones, reportes, ta$las y $ases de datos de la aplicacin son documentadas de acuerdo a los est!ndares de desarrollo definidos para cuarta generacin Merificar #ue las pantallas dise8adas en la aplicacin cumplen con los patrones esta$lecidos en los est!ndares de desarrollo de la empresa Gevisar el diccionario de datos verificando la descripcin e integridad de los mismos Comparar el cat!logo )=)-A+4&) con las ta$las seleccionadas para determinar la actualizacin peridica del mismo &valuar el modo de aplicacin de la instruccin 4*' -A+4& cuando se asignen
l,
l,
l,
l,
l,
4$
privilegios a nivel de ta$la
4%
DGRV
#
l,
Participacin del usuario Gevisar las vistas sugeridas por el usuario, los prototipos definidos y compararlos con las formas y reportes construidos a travs de la herramienta )I+C utilizada &n este aspecto la auditor"a evaluar! mediante la participacin activa, la completa satisfaccin del usuario frente a la forma como re#uiere ser presentada su informacin 4as reuniones y entrevistas con el usuario dar!n un adecuado apoyo a esta evaluacin Cocumentacin Gevisar la $it!cora de la $ase de datos a fin de esta$lecer eventos de inters #ue incidan en la estructura de la $ase de datos, tales como insercin de nuevos campos, prdida de datos o "ndices, ca"das del sistema, etc Comparar el soft9are propietario del )I+C descrito en los manuales con una impresin de los archivos #ue se encuentran en los directorios de produccin Gespaldo y recuperacin Ceterminar la frecuencia de respaldos #ue tiene la $ase de datos comparando este resultado con la pol"tica de $ac@ups esta$lecida &valuar los mecanismos de recuperacin ante las contingencias #ue puedan evidenciar la $ase de datos
l,
#
l,
l,
l,
G&C*I&2CAC,*2&) C& )&'3G,CAC AC,C,*2A4&) PAGA AI+,&2-&) C& C3AG-A '&2&GAC,V2 4as recomendaciones de seguridad a la informacin #ue se relacionan a continuacin #ue descri$en algunos par!metros a ser tenidos en cuenta cuando son implantados sistemas de informacin o cuando es re#uerido un mantenimiento a aplicaciones #ue se encuentren en funcionamiento / )eguridad 4as especificaciones iniciales de seguridad en relacin con los accesos de los usuarios a las aplicaciones se efectuar!n durante la fase del dise8o lgico del ciclo de vida de sistemas -al especificacin de$e ser definida por el Jefe de Trea o funcionario responsa$le de esta actividad 4a creacin o modificacin de los accesos a $ases de datos, ta$las, vistas o campos particulares es funcin del C+A o funcionario responsa$le de la administracin de los datos de la compa8"a &sta actividad tendr! como soporte el formato K)olicitud de AccesoL y #ue de$e ser diligenciado por el !rea usuaria en el dise8o de la aplicacin o mediante actualizaciones re#ueridas Para cada $ase de datos o ta$la #ue se cree, de$er! definirse con el usuario si se re#uiere un K4og transaccionL o Kaudit trailL 4a determinacin se har! con $ase en la criticidad de la informacin #ue se maneje
l, l, l,
5!

l,
DGRV
l,
Al momento de entregarse una aplicacin en $ases de datos a produccin, de$er! ser revocada la propiedad #ue tiene el analista so$re la $ase de datos y asignar los derechos propios de los usuarios de la aplicacin 4a asignacin de frecuencias autom!ticas en los cam$ios de los pass9ords la har! el jefe del Area 3suaria, indicando este dato en el formato de K)olicitud de claves de accesoL 4a gestin de actualizacin a la seguridad lgica de los datos de la CAC se adelantar!n por medio de una $ase de datos en la cual se consignen los usuarios de la $ase de datos con los respectivos derechos a nivel de $ases, ta$las y campos relacionados A esta $ase de datos tendr!n acceso los jefes de !rea para consultar informacin relacionada con los privilegios #ue evidencian los datos antes de proceder a autorizar nuevos derechos de accesos sol icitados internamente o desde otras !reas usuarias 4a asignacin de seguridad para las $ases de datos, para las ta$las y para campos de$er! hacerse solo desde el sistema manejador de $ases de datos -odos los datos contenidos en las $ases de datos de$en tener un per"odo de retencin definidos, para efectos de programar depuraciones y almacenar solo la informacin realmente necesaria &sta definicin es esta$lecida por parte de los usuarios administradores de dicha informacin conforme a las normas de la compa8"a y a las disposiciones legales 4os procesos desarrollados en la $ase de datos ser!n registrados en una $it!cora en la cual se detallen las operaciones de inters tales como copias de seguridad, reorganizacin de "ndices, reinicios del sistema, aplicacin de programas diagnstico o utilitarios, etc
l,
l,
l,
l,
2. Produccin
l,
l,
l,
4as $ases de datos e(istentes en la compa8"a tendr!n un per"odo de retencin definido -al retencin permitir! depuraciones peridicas de las ta$las en produccin como en dispositivos de $ac@ups &l procesamiento en $ases de datos dispondr! de e#uipos de respaldo fuera de la CAC mediante convenios con otras compa8"as afines en el hard9are #ue se tenga instalado 4as $ases de datos de$er!n ser sometidas a depuraciones peridicas por parte de los usuarios responsa$les
3. Cesarrollo
l,
l,
4as aplicaciones desarrolladas en la empresa tendr!n un diccionario de datos en el cual se detallen los elementos de las ta$las con $ase en los diccionarios de datos #ue generan los anal istas durante el dise8o de la informacin 4as aplicaciones desarrolladas en am$ientes de cuarta generacin de$er!n poseer carpetas de programas, manuales de usuario, operador y tcnico, conserv!ndose copia magntica en el centro de documentacin (li$rer"a o
51
$i$lioteca) de sistemas
52
DGRV
A
DGRV
4a distri$ucin de las $ases de datos de una aplicacin en los vol;menes disponi$les ser! previamente definidas por el funcionario encargado de la administracin de los datos de la compa8"a
No& C& *OLTICA% *ARA LA AD!INI%TRACI"N DE LO% RECUR%O% TECNOL"GICO% DE UNA CAC
4as pol"ticas son la $ase fundamental de todo esfuerzo enfocado a la seguridad de la informacin Con el fin de ser efectivo, el proceso para fortalecer la seguridad de la informacin de$e tener un conjunto de pol"ticas #ue $rinden instrucciones claras y esta$lezcan el soporte de la alta gerencia 4as pol"ticas son usadas como punto de referencia para un sinn;mero de actividades relacionadas con la seguridad de la informacin tales como6 Cise8o de controles en los sistemas de informacin, controles de acceso, an!lisis de riesgos, investigaciones de cr"menes por computadora, y sanciones disciplinarias de funcionarios por violaciones en la seguridad Como las pol"ticas de seguridad tienen un impacto muy alto en la organizacin, es muy importante #ue estas sean claras, concisas y #ue respondan al am$iente donde se pretenden implementar 4as pol"ticas de$en ser revisadas peridicamente para asegurar su aplica$ilidad en la organizacin &l propsito de esta directriz es asesorar a los funcionarios #ue est!n desarrollando las pol"ticas por primera vez o revis!ndolas A continuacin se ofrece una gu"a pr!ctica y puntual al complejo proceso de desarrollar pol"ticas de seguridad en inform!tica
Nota, &ntre otras cosas dentro de este proceso se de$e o$tener la apro$acin de la alta gerencia, divulgarlas y generar controles #ue permitan hacer seguimiento a su efectividad y aplicacin A%*ECTO% A TENER EN CUENTA 7& ORGANI;ACI"N Pol "ticas6
Ce$e e(istir un comit de sistemas (inform!tica), conformado por funcionarios de !reas de administracin, #ue ser! el encargado de avalar los re#uerimientos de hard9are o soft9are de la CAC )e de$e asignar presupuesto por !rea, para todo lo #ue tiene #ue ver con recursos de inform!tica
ComprasD cam.ios o eliminaciones de elementos de soft>are o ?ard>are&
53
Pol "ticas6
# # #
&l comit de sistemas ser! el encargado de la administracin de recursos de hard9are y soft9are -odo re#uerimiento de hard9are o soft9are de$e pasar a estudio por el comit de sistemas -oda compra de hard9are o soft9are de$e estar soportada por lo menos de tres (<) cotizaciones, $ajo los mismos trminos de referencia
54
DGRV
# # #
-oda eliminacin de recursos de inform!tica, de$e ser reportada por el director de !rea y pasar a comit de sistemas -oda compra de$e estar soportada por plizas de cumplimiento -odo elemento de soft9are o hard9are de$e tener contrato de mantenimiento
Las 4/stificaciones de n/evas ad3/isiciones& Pol "ticas6
# #
-odo re#uerimiento de hard9are o soft9are de$e tener adjunto, los trminos de referencia a evaluar )e de$e contar con el presupuesto asignado para recursos de inform!tica
Alternativas man/ales 3/e -aranticen normal desempeEo& Pol "ticas6
# # # # #
Ce$e e(istir plan de capacitacin a funcionarios del !rea de inform!tica Ce$en e(istir manuales de procedimientos para cada proceso de la CAC Ce$e e(istir manual de operacin para cada uno de los aplicativos de la com pa8 "a )e de$e contar con formatos prenumerados #ue garanticen el desarrollo manual de cual#uier actividad )e de$en realizar inventarios generales de elementos de hard9are y soft9are de manera peridica
Dif/sin de pol0ticas& Pol "ticas6
# #
&l documento #ue contiene la pol"tica de seguridad de$e ser difundido a todo el personal de la CAC -oda pol"tica de$e seguir un proceso de actualizacin y seguimiento
Respaldo tFcnico 1 -arant0a tecnol-ica& Pol "ticas6
# # # #
-odo contrato, ya sea de ad#uisicin o mantenimiento de elementos de inform!tica, se de$e llevar a ca$o con compa8"as de$idamente legalizadas )e de$e contar con cronograma de mantenimiento a dispositivos de la red )e de$e contar con plan de copias de seguridad ($ac@ups) -odo soft9are o hard9are de$e contar con sus respectivos manuales tcnicos
La capacitacin 1 entrenamiento a /s/arios de comp/tadores& Pol "ticas6
)e de$e contar con plan de capacitacin en nuevas tecnolog"as a funcionarios de sistemas
55
)e de$e contar con planes de capacitacin a nuevas versiones del soft9are instalado en la CAC
56
DGRV
# #
)e de$e contar por lo menos con un Help Ces@ dentro de la compa8"a -oda capacitacin patrocinada por la CAC de$e ser retroalimentada a las !reas #ue lo ameriten
8& %O TGARE *ropiedad Intelect/al Pol "ticas6
# # # #
-odo programa ad#uirido por la CAC ser! propiedad de esta y mantendr! los derechos de propiedad intelectual #ue este posea &l departamento de inform!tica es el responsa$le de realizar revisiones peridicas a los e#uipos para #ue solo e(ista soft9are licenciado en las instalaciones de la compa8"a Corresponde a la direccin de inform!tica autorizar cual#uier compra o actualizacin del soft9are -odo soft9are de dominio p;$lico vendr! de sitios seguros
Desarrollo de soft>are de ac/erdo a la metodolo-0a de desarrollo e@istente& Pol "ticas6
# # #
&l !rea de inform!tica emitir! las normas y procedimientos para instalacin de soft9are $!sico en todo tipo de e#uipo &l !rea de inform!tica ser! la responsa$le de $rindar asesor"a y supervisin para la instalacin de nuevo soft9are -odo soft9are #ue desde el punto de vista del !rea de inform!tica colo#ue en riesgo los recursos de la compa8"a no es permitido
Desarrollos de sistemas soportados en micros 1 s/ doc/mentacin& Pol "ticas6
# # #
-odo procedimiento #ue en $uen uso de la informacin se desarrolle $ajo soft9are ofim!tico de$e estar de$idamente documentado &s responsa$ilidad de cada !rea informar al departamento de inform!tica so$re rutinas o desarrollos #ue se generen en el !rea )e de$en respetar los derechos de autor para cada desarrollo en particular #ue ayude al normal funcionamiento de sus la$ores
Revisin de A/ditor0a Pol "ticas6
# #
&l !rea de auditor"a de$e ser la responsa$le de dar ca$al cumplimiento a cada una de las pol"ticas esta$lecidas &l comit de sistemas de$e contar con la participacin activa de un funcionario de auditor"a
57
)e de$er! dar cumplimiento a cada uno de los re#uerimientos #ue plantee la auditor"a
DGRV
9& =ARDGARE Pol "ticas6
# # # # # #
Criterios de compati$ilidad con la $ase instalada de e#uipos de la CAC Compartir al m!(imo los recursos, definiendo restricciones de seguridad ,nventario peridico Cam$ios de local izacin, apertura y mantenimiento de e#uipos 3so de e#uipos especiales )olicitud de dis#uetes, cintas, CC o medios afines
:& U%UARIO Pol "ticas6
# # # # # #
-oda solicitud de programas o e#uipos de acuerdo con los procedimientos de compras de la empresa Gesponsa$ilidad de la correcta administracin de la informacin #ue utilice, previendo las acciones de seguridad y confidencialidad identificador individual de acceso &spacio en disco duro del servidor ,nvasin de !reas de disco asignadas a otros usuarios Trea del disco servidor destinada para el sistema operacional, programas de aplicacin o utilitarios Prohi$icin al uso de cual#uier tipo de soft9are #ue no est autorizado por la CAC
C& +REA DE %I%TE!A% Pol "ticas6
# # # #
Atencin a usuarios de manera continua y segura Continuidad en el procesamiento y la reduccin de tiempos &spacio en disco necesario para almacenamiento de datos 'arantizar la permanencia fiel de los datos #ue residan en discos del servidor
DGRV
5$
No& H& AUDITORIA A LO% !ICROCO!*UTADORE% # REDE% LAN
)e relacionan a continuacin algunas preguntas #ue son pertinentes al momento auditar una red de microcomputadores )e eval;an los siguientes aspectos6
1. Pol"ticas administrativas 2. Ad#uisicin de hard9are 3. Ad#uisicin y desarrollo de soft9are 4. Cocumentacin 5. Comunicaciones 6. &ntrenamiento y soporte a usuarios 7. Iantenimiento $. )eguros %. )eguridad 1!. Procedimientos de respaldo
*RUE(A% A REALI;AR *OR CADA A%*ECTO 7& *OLTICA% AD!INI%TRATIVA%,
#
WF, WF,
WF,
WF,
Merificar la e(istencia de pol"ticas administrativas escritas para6 Ad#uisicin de microcomputadores 3so de microcomputadores Merificar si se mantiene una lista actualizada de todos los usuarios de microcomputadores Merificar la e(istencia de un grupo de tra$ajo o comit para coordinar los proyectos desarrol lados en micros &valuar los medios de difusin peridica de nuevos desarrollos Merificar la e(istencia o respaldo, con an!lisis de costoO$eneficio, de las solicitudes de compra de e#uipos por parte del usuario &valuar la documentacin e(istente para el hard9are )e hace una planeacin del sitio en #ue se instalaron los e#uipos para garantizar6 Proteccin antimagntica )ervicio elctrico regulado Cone(in a la red )eguridad f"sica
WF, WF, WF, WF,
# # # #
8& ADIUI%ICI"N DE =ARDGARE
# # #
&valuar la memoria GAI del servidor, frente al n;mero de usuarios #ue posee &valuar la capacidad del disco duro del servidor, con relacin al n;mero de usuarios Gevisar el registro de uso de microcomputadores para cada !rea usuaria
5%
DGRV
9& ADIUI%ICI"N DE %O TGARE
# # # # #
Merificar la e(istencia de pol"ticas para uso y ad#uisicin de soft9are *$tener una lista de las versiones de pa#uetes en uso, en los diferentes micros Merificar #ue sean copias originales y licenciadas por la CAC Merificar la e(istencia de alternativas manuales, para llevar a ca$o las tareas #ue actualmente se procesan en micros Gevisin de archivos en el disco del servidor Merificar la e(istencia de un plan general so$re los desarrollos propuestos por los usuarios
:& DOCU!ENTACI"N
# # #
Merificar la e(istencia de un cat!logo actualizado del soft9are aplicativo, desarrollado y ad#uirido por la CAC Merificar la e(istencia de una metodolog"a de desarrollo para micros &valuar la documentacin re#uerida para aplicaciones desarrolladas en microcom putadores
C& CO!UNICACIONE% -omando como $ase los 0 niveles de red de la ,)* verificar6 Nivel 7& 0sico
# &valuar el plano de la red, con $ase en los siguientes aspectos6

Cispositivos adjuntos Ciagramas del ca$leado Cocumentacin Actualizacin
4F, 4F, 4F,
4F,
# # #
Merificar la e(istencia de procedimientos para mantenimiento peridico Analizar el soporte de proveedores alternos, si el proveedor falla Merificar la e(istencia de procedimientos para recuperacin de fallas
Nivel 8, De enlace de datos
# Merificar si e(iste un monitoreo de transmisiones y determinar si6

&s continuo o espor!dico &(isten tasas de estad"sticas de errores )e investigan altas tasas de error
4F, 4F,
4F,
Nivel 9, De redes
# Merificar las estrategias para monitoreo de las tasas de tr!fico de la red

4F,
4F,
Merificar la e(istencia de ta$las de ruta de la red &fectuar revisin a estad"sticas de tr!fico Merificar el aprovechamiento de las herramientas #ue provee el sistema operativo6 &jemplo en Qindo9s :555
4F,
6!
O Ionitor de eventos O &ventMie9er Ianejo de su tama8o, copias O Ionitor del sistema X Programas, procesos y desempe8o
DGRV
4F,
O *ptimizacin del desempe8o 3so de contadores de uso de memoria, procesador O 3so de alertas O Ianejo de espacio en disco O )ervicios instalados del servidor Merificar la conectividad a ,nternet en cuanto a6 O Controles de acceso a ,nternet O Bire9all O Pro(y O C2) O CHCP 3so de correo electrnico, administracin del servicio, definicin de usuarios etc, tama8os de adjuntos Administracin del Antivirus
4F,
4F,
Nivel :, De transporte
# &sta$lecer los actuales procedimientos para iniciar la red despus de6

,nstalacin inicial Balla o modificacin *peracin diaria
4F, 4F,
4F,
#
4F,
4F,
4F,
&videnciar la capacidad para detectar errores y corregirlos en transmisiones fin a fin6 Ionitoreo &stad "sticas ,nvestigacin de alzas &sta$lecer si son adecuados los controles de acceso a las ta$las del sistema operacional de la red Merificar la e(istencia de un registro autom!tico diario o huella de Auditor"a para los cam$ios a las ta$las Merificar la e(istencia de $ac@ups de las ta$las del sistema operacional
# # #
Nivel C, De sesin Merificar para cada estacin de tra$ajo y para el servidor de la red si6
# #
4F, 4F,
)e puede acceder el sistema operacional 4as claves de acceso son6 3sadas adecuadamente Compartidas Cam$iadas peridicamente Cam$iadas cuando el personal es transferido
4F,
4F,
4F,
61
Ge#ueridas para todas las estaciones de la red Ge#ueridas por el sistema operacional de la red
4F,
# #
&sta$lecer si e(iste un procedimiento para recuperacin de claves de acceso Merificar si e(iste un procedimiento de control para claves de acceso, a la red de microcom putadores
62
DGRV
#
/N/
/N/
Ceterminar si el sistema operacional de la red o cual#uier programa monitor controla6 4as actividades realizadas en cada estacin de tra$ajo 4as violaciones de acceso realizadas por estacin de tra$ajo Ceterminar si los controles de acceso para ta$las de seguridad son adecuados Merificar #ue las ta$las de seguridad sean respaldadas frecuentemente y almacenadas fuera del sistema Merificar si e(iste una huella de Auditor"a o un registro autom!tico diario, para todos los cam$ios hechos so$re las ta$las de seguridad
# # #
Nivel H, De presentacin
# O Ceterminar si e(iste criptograf"a y esta$lecer6

/N/
/N/
)i es por soft9are )i es por hard9are Cuantas claves se usan )i suministran seguridad apropiada )i las claves son cam$iadas y con #u frecuencia
/N/ /N/ /N/
Nivel A, De aplicacin
Prue$as para diagnstico de la seguridad6 &sta$lecer si las aplicaciones son individualmente seguras Merificar la e(istencia de limitaciones por clase de transaccin, para determinados usuarios Merificar las restricciones esta$lecidas para cada nivel de acceso diferente &sta$lecer si e(iste alg;n seguimiento para actividades inv!lidas &sta$lecer si el analista de la red es avisado de la violacin y si ste avisa a los usuarios involucrados &sta$lecer si se hace seguimiento al caso anterior &sta$lecer si se usan archivos para pistas de Auditor"a, disco o servidor para respaldo &sta$lecer si e(iste un procedimiento para ayudar a los usuarios en la recuperacin &sta$lecer si hay alguien m!s responsa$le para el respaldo del servidor &sta$lecer si e(iste un procedimiento definido para $ac@ups
/N/ /N/ /N/ /N/ /N/ /N/ /N/ /N/ /N/ /N/ /N/
/N/
/N/
/N/
Prue$as para diagnstico de las aplicaciones6 Merificar la revisin del soft9are, antes de instalarse definitivamente en las Treas de Produccin Gevisar los sitios de almacenamiento de la documentacin sensi$le, cuando no est! en uso Merificar si son usadas versiones de red (actualizadas) de programas de apl icacin Merificar si hay violacin de !rea entre los usuarios
H& ENTRENA!IENTO # %O*ORTE A U%UARIO%
63
Merificar la e(istencia de un programa de capacitacin definido, para los usuarios en hard9are y soft9are
64
DGRV
# # #
Merificar la e(istencia de material para auto estudio &sta$lecer si se incluye en la capacitacin a los usuarios, la difusin de normas y pol"ticas esta$lecidas por la empresa con respecto a los micros &sta$lecer si se efectuaron an!lisis de necesidades de capacitacin de los usuarios
A& !ANTENI!IENTO
# # # # # # # # #
&valuaciones de los contratos de mantenimiento actuales Merificar la e(istencia de un programa para el mantenimiento preventivo y si e(iste, averiguar si lo conocen los usuarios y cmo se controla &sta$lecer si e(iste un control #ue relacione los n;meros de serie de las partes de los e#uipos #ue son llevados a mantenimiento a otras empresas &sta$lecer si e(iste un procedimiento a seguir en caso de da8o de un e#uipo y si e(iste, verificar si lo conocen los usuarios &sta$lecer si se ha dado instrucciones al personal de limpieza, cuando ste se encuentra en un !rea de micros &sta$lecer #u tipo de interventor"a tiene la gestin de los contratistas &sta$lecer si se protegen con forros pl!sticos el teclado, la pantalla y CP3 Gevisar cu!l es el tipo de mantenimiento &sta$lecer si e(iste un programa de las actividades del mantenimiento preventivo del contratista Merificar si se tienen plizas de seguros #ue amparen los microcomputadores Merificar si las estipulaciones de las cl!usulas corresponden con las instalaciones f"sicas de los micros (tarjetas, velocidad, valor, etc ) Gevisar los procedimientos de reporte a la aseguradora con respecto a los eventos ocurridos con los e#uipos )eguridad del hard9are6 Merificar si se tiene un registro de todos los n;meros seriales de los e#uipos perifricos y sus partes m!s relevantes (tarjetas especiales) Merificar si se hacen comparaciones peridicas entre el inventario f"sico y el registro Merificar si est!n los microcomputadores u$icados en !reas de tr!fico limitado Confirmar si se tiene seguridad, para verificar cuando un e#uipo ha sido destapado sin autorizacin )eguridad del soft9are6 Merificar si se tiene esta$lecido el procedimiento para autorizacin de nuevos usuarios
J& %EGURO%
# # #
K& %EGURIDAD
#
4F,
4F,
4F,
4F,
#
4F,
65
Merificar si se tienen identificados los archivos de datos confidenciales Merificar si se registra el acceso y uso de los e#uipos
4F,
4F,
66

A
DGRV
Merificar si se tienen identificados, para cada aplicacin, los archivos #ue de$en mantenerse residentes en el disco duro
7<& RE%*ALDO DE EIUI*O% # *ERI 5RICO%
# # # #
Merificar si e(isten procedimientos definidos para el uso de otros e#uipos, en caso de fallas prolongadas Merificar si se tienen procedimientos manuales documentados, en caso de #ue el procedimiento no pueda ser realizado en el microcomputador Merificar si se tienen identificadas las prioridades a seguir, en caso de da8os en los e#uipos Gevisar si se utilizan programas de utilidad apro$ados, para recuperar datos en medios destruidos
67

Ejemplo Auditoria de La Tec

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ejemplo Auditoria de La Tec

Uploaded by

Copyright:

Available Formats

Confederacin Alemana de Cooperativas

AUDITORA DE LA TECNOLOGA DE IN OR!ACI"N # CO!UNICACI"N DE CAC$%

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

ruptura de los sistemas

Confederacin Alemana de Cooperativas

+ac@ups y planes de contingencia controlan desastres en el procesamiento de la informacin Riesgos en la infraestructura

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

!onitori acin de e"entos

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

IV& EL *ROCE%O DE LA AUDITORIA DE TECNOLOGA DE IN OR!ACI"N

Confederacin Alemana de Cooperativas

documento), se podr"an identificar aspectos #ue a primera vista se

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

suficientemente documentadas para la comprensin completa y e(acta

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

V& T5CNICA% DE AUDITORIA DE TECNOLOGA DE IN OR!ACI"N

(& *RUE(A% %U%TANTIVA%

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

VI& INDICADORE% DE GE%TI"N

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

8& E%T+NDARE% DE DE%ARROLLO # *RODUCCI"N

9& DATO% DE ENTRADA

Confederacin Alemana de Cooperativas

5. *ROCEDI!IENTO # ACTUALI;ACI"N DE IN OR!ACI"N &jecucin

Confederacin Alemana de Cooperativas

7<& CA*ACITACI"N # %O*ORTE A U%UARIO%

Confederacin Alemana de Cooperativas

No& 8& AUDITORIA AL CENTRO DE CO!*UTO

2. CUIDADO DE LA% IN%TALACIONE%

)e tiene sistema redundante de aire acondicionadoF

3. O*ERACI"N DE LOS SERVIDORES

*ro-ramacin de actividades& )on programadas las actividades del operadorF

Confederacin Alemana de Cooperativas

Ianejan cronogramas, planes de tra$ajo y.o acuerdos de servicioF

4. CONTROL DE ENTRADA% # %ALIDA%&

Reconciliacin de salidas& Con #u frecuencia de realizan contra documentos de tercerosF

%e-/ridad E@terna &valuar los controles de acceso autom!tico

%e-re-acin de f/nciones& )e detecta concentracin de funciones en alg;n empleadoF

Confederacin Alemana de Cooperativas

Confederacin Alemana de Cooperativas

No& 9& AUDITORIA A NUEVO% DE%ARROLLO%

1. *LANEACI"N # AN+LI%I% DEL *RO#ECTO

Confederacin Alemana de Cooperativas

No& :& T5CNICA% *ARA AUDITAR (A%E% DE DATO%

Confederacin Alemana de Cooperativas

8& *RUE(A% A E)ECUTAR

Confederacin Alemana de Cooperativas

privilegios a nivel de ta$la

7<& CAACITACI"N # %OORTE A U%UARIO%

1. LANEACI"N # AN+LI%I% DEL RO#ECTO

7<& RE%ALDO DE EIUIO% # *ERI 5RICO%