Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

Tabla de Contenido Pg.
I. Tipos de Auditora 2
II. Normas Gerenciales 7
III. Procedimientos Generales Informticos 9
IV. Procedimientos Especficos Informticos 10
V. Principales reas de la Auditora Informtica 12














Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE





I. Tipos de Auditora
Conceptualmente la auditora, toda y cualquier auditora, es la actividad
consistente en la emisin profesional sobre si el objeto sometido a anlisis
presenta adecuadamente la realidad que pretende reflejar y/o cumple las
condiciones que le han sido prescritas.
En todo caso es una funcin que se realiza a posteriori, en relacin con
actividades ya realizadas, sobre las que hay que emitir una opinin.
Internacionalmente las auditoras se clasifican atendiendo a:
La afiliacin del auditor: Estatal e Independiente o Privada
La relacin del trabajo: Externas e Internas
El objeto que se revisa: Estatal general, Estatal fiscal e Independiente
Los objetivos fundamentales que se persiguen: Gestin, Financiera,
Especial y Fiscal
El carcter interno de los rganos de Auditora de las empresas, hace que las
clasificaciones que ms se utilicen sean las Internas, que constituyen el control
que se desarrolla como instrumento de la propia administracin y consiste en una
valoracin independiente de sus actividades: examen de los sistemas de Control
Interno, de las operaciones contables - financieras y aplicacin de las
disposiciones administrativas y legales que corresponden, con la finalidad de
mejorar el control y grado de economa, eficiencia y eficacia en la utilizacin de los
recursos, prevenir el uso indebido de stos y coadyuvar al fortalecimiento de la
disciplina en general.
En trminos generales los tipos de auditora son:
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

Clase Contenido Objeto Finalidad
Financiera Opinin Cuentas Anuales Presentan realidad
Informtica Opinin
Sistemas de
Aplicacin, recursos
informticos, planes
de contingencia, etc.
Operatividad
eficiente y segn
normas
establecidas.
Gestin Opinin Direccin Eficacia, Eficiencia,
economicidad
Cumplimiento Opinin Normas
Establecidas
Las operaciones se
adecuan a estas
normas.
1. Objetivos auditora Interna
Revisin y evaluacin de controles contables, financieros y operativos
Determinacin de la utilidad de polticas, planes y procedimientos, as como
su nivel de cumplimiento
Custodia y contabilizacin de activos
Examen de la fiabilidad de los datos
Divulgacin de polticas y procedimientos establecidos.
Informacin exacta a la gerencia
2. Objetivos auditora Externa
Obtencin de elementos de juicio fundamentados en la naturaleza de los
hechos examinados
Medicin de la magnitud de un error ya conocido, deteccin de errores
supuestos o confirmacin de la ausencia de errores
Propuesta de sugerencias, en tono constructivo, para ayudar a la gerencia
Deteccin de los hechos importantes ocurridos tras el cierre del ejercicio
Control de las actividades de investigacin y desarrollo
3. Esquema de Metodologa Bsica de una Auditora
i. Toma de Contacto
Organizacin
Organigrama
Volumen
Situacin en el mercado
Estructura del departamento
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

Relaciones funcionales y jerrquicas
Recursos
Aplicaciones en desarrollo
Aplicaciones en produccin
Sistemas de explotacin
ii. Planificacin
Concentracin de objetivos
reas que cubrir
Personas de la organizacin que se involucrarn en el proceso de
auditora
Plan de trabajo
Tareas
Calendario
Resultados parciales
Presupuesto
Equipo auditor necesario
iii. Desarrollo de la Auditora
Entrevistas
Cuestionarios
Observacin de las situaciones deficientes
Observacin de los procedimientos

iv. Fase de Diagnstico
Meditacin sin contacto con la empresa auditada
Factor decisivo ser la experiencia del equipo auditor
Se deben definir los puntos dbiles y fuertes, los riesgos eventuales
y posibles tipos de solucin y mejora

v. Presentacin de Conclusiones
Se han de argumentar y documentar lo suficiente para que no
puedan ser refutadas durante la discusin
Es especialmente delicada por el rechazo que puede provocar en la
organizacin auditada. Se debe esmerar el tacto
En ocasiones sern necesarias tomar decisiones desagradables,
pero es misin del auditor informar a la direccin de la forma ms
objetiva posible.

Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

vi. Formacin del Plan de Mejoras
Resumen de las deficiencias encontradas
Recoger las recomendaciones encaminadas a paliar las deficiencias
detectadas
Medidas a corto plazo: mejoras en plazo, calidad, planificacin o formacin
Medidas a medio plazo: mayor necesidad de recursos, optimizacin de
programas o documentacin y aspectos de diseo
Medidas a largo plazo: cambios en polticas, medios y estructuras del
servicio
4. La Auditora Fsica en TI
Esta evala:
Antes
Durante
Despus

Alcance de la Auditoria

Organizacin y cualificacin del personal de Seguridad.
Remodelar el ambiente de trabajo.
Planes y procedimientos.
Sistemas tcnicos de Seguridad y Proteccin.

La seguridad fsica de los sistemas informticos consiste en la aplicacin de
barreras fsicas y procedimientos de control como medidas de prevencin y
contramedidas contra las amenazas a los recursos y la informacin
confidencial. Ms claramente, y particularizando para el caso de equipos Unix y
sus centros de operacin, por `seguridad fsica' podemos entender todas
aquellas mecanismos - generalmente de prevencin y deteccin - destinados a
proteger fsicamente cualquier recurso del sistema; estos recursos son desde
un simple teclado hasta una cinta de backup con toda la informacin que hay
en el sistema, pasando por la propia CPU de la mquina.
Desgraciadamente, la seguridad fsica es un aspecto olvidado con demasiada
frecuencia a la hora de hablar de seguridad informtica en general; en muchas
organizaciones se suelen tomar medidas para prevenir o detectar accesos no
autorizados o negaciones de servicio, pero rara vez para prevenir la accin de
un atacante que intenta acceder fsicamente a la sala de operaciones o al lugar
donde se depositan las impresiones del sistema. Esto motiva que en
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

determinadas situaciones un atacante se decline por aprovechar
vulnerabilidades fsicas en lugar de lgicas, ya que posiblemente le sea ms
fcil robar una cinta con una imagen completa del sistema que intentar acceder
a l mediante fallos en el software.
Hemos de ser conscientes de que la seguridad fsica es demasiado importante
como para ignorarla: un ladrn que roba un ordenador para venderlo, un
incendio o un pirata que accede sin problemas a la sala de operaciones nos
pueden hacer mucho ms dao que un intruso que intenta conectar
remotamente con una mquina no autorizada; no importa que utilicemos los
ms avanzados medios de cifrado para conectar a nuestros servidores, ni que
hayamos definido una poltica de firewalling muy restrictiva: si no tenemos en
cuenta factores fsicos, estos esfuerzos para proteger nuestra informacin no
van a servir de nada. Adems, en el caso de organismos con requerimientos
de seguridad medios, unas medidas de seguridad fsicas ejercen un efecto
disuasorio sobre la mayora de piratas: como casi todos los atacantes de los
equipos de estos entornos son casuales (esto es, no tienen inters especfico
sobre nuestros equipos, sino sobre cualquier equipo), si notan a travs de
medidas fsicas que nuestra organizacin est preocupada por la seguridad
probablemente abandonarn el ataque para lanzarlo contra otra red menos
protegida.
Riesgos Asociados al rea de TI:

Hardware:
Descuido o falta de proteccin: Condiciones inapropiadas, mal manejo, no
observancia de las normas.
Destruccin.
Software:
Uso o acceso,
Copia,
Modificacin,
Destruccin,
Hurto,
Errores u omisiones.
Archivos:
Usos o acceso,
Copia, modificacin, destruccin, hurto.
Organizacin:
Inadecuada: no funcional, sin divisin de funciones.
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

Falta de seguridad,
Falta de polticas y planes.
Infraestructura:
Acceso sin control
Divulgacin de tecnologa utilizada.
Falta de Suministro de Energa Elctrica
Climatizacin.
Materiales inflamables.
Incendio
5. Auditora Informtica
Es el conjunto de tcnicas, actividades y procedimientos, destinados a analizar,
evaluar, verificar y recomendar en asuntos relativos a la planificacin, control
eficacia, seguridad y adecuacin del servicio informtico en la empresa, por lo
que comprende un examen metdico, puntual y discontinuo del servicio
informtico, con vistas a mejorar en:
Rentabilidad
Seguridad
Eficacia
Requisitos auditora informtica
Debe seguir una metodologa preestablecida
Se realizar en una fecha precisa y fija
Ser personal extrao al servicio de informtica

II. Normas Gerenciales
1.1 Auditoria de Direccin
Siempre en una organizacin se dice que esta es un reflejo de las
caractersticas de su direccin, los modos y maneras de actuar de aquella
estn influenciados por la filosofa y personalidad del director.
Acciones de un Director:
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

Planificar. (este acorde al plan estratgico (conocimiento a evaluar
acciones a realizar)).
Lectura y anlisis de actas, acuerdos, etc.
Lectura y anlisis de informes gerenciales.
Entrevistas con el mismo director del departamento y con los
directores de otras reas.
Organizar y Controlar
Se va a realizar de acuerdo con lo planeado, el director debe
establecer los flujos de informacin para que no haya fallas.
El proceso de organizar consiste en estructurar recursos, los flujos
de informacin y los controles que permiten alcanzar los objetivos
marcados por la calificacin. Para poder evaluar y dar seguimiento a
estas funciones se establece un comit de informtica que afectan a
toda la empresa y permite a los usuarios como las actividades de la
organizacin no solo de su rea, se pueden fijar las prioridades.
Las enormes sumas de dinero que las empresas dedican a la tecnologa de la
informacin y de la dependencia de ests con los procesos de la organizacin
hacen necesaria una evaluacin independiente de la funcin que la gestiona
(dirige).
El auditor debe asegurarse que exista est comit y que cumpla su papel
adecuadamente.
Las acciones a realizar por el auditor son:
Verificar que exista una normativa interna donde se especifique las
funciones del comit.
Entrevistar a miembros de este para conocer por parte de ellos
funciones que realmente realizan.
Si existe comit de informtica
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

Normativa interna.
Entrevistas a los representantes de los usuarios para conocer si
entienden y si estn de acuerdo con el comit.
Entrevista con los miembros.
Criterio para asignar a los miembros del comit.
Verificar trabajo del comit
Lectura de actas de comit para comprobar que el comit cumple
efectivamente las funciones y que los acuerdos son tomados
correctamente tomando en cuenta la opinin de los miembros del
comit.

III. Procedimientos Generales Informticos
Los controles generales son aquellos que estn incrustados en los procesos y
servicios de TI. Algunos ejemplos son:
Desarrollo de sistemas
Administracin de cambios
Seguridad
Operacin del computador

Los controles incluidos en las aplicaciones del proceso de negocios se
conocen por lo general como controles de aplicacin.

Ejemplos:
Integridad (Completitud)
Precisin
Validez
Autorizacin
Segregacin de funciones

COBIT en sus ltimas versiones asume que el diseo e implementacin de los
controles de aplicacin automatizados son responsabilidad de TI, y estn
cubiertos en el dominio de Adquirir e Implementar, con base en los
requerimientos de negocio definidos, usando los criterios de informacin de
COBIT.

La responsabilidad operacional de administrar y controlar los controles de
aplicacin no es de TI, sino del propietario del proceso de negocio.

Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

TI entrega y da soporte a los servicios de las aplicaciones y a las bases de
datos e infraestructura de soporte.

Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de
TI, pero no los controles de las aplicaciones, debido a que son responsabilidad
de los dueos de los procesos del negocio, y como se describi anteriormente,
estn integrados en los procesos de negocio.

La siguiente lista ofrece un conjunto recomendado de objetivos de control de
las aplicaciones identificados por ACn, nmero de Control de Aplicacin (por
sus siglas en ingls):

Controles de origen de datos/ autorizacin
Controles de entrada de datos
Controles en el Procesamiento de datos
Controles de salida de datos
Controles de lmites


IV. Procedimientos Especficos Informticos
Controles de origen de datos/ autorizacin

AC1 Procedimientos de preparacin de datos
Los departamentos usuarios implementan y dan seguimiento a los
procedimientos de preparacin de datos. En este contexto, el diseo de los
formatos de entrada asegura que los errores y las omisiones se minimicen. Los
procedimientos de manejo de errores durante la generacin de los datos
aseguran de forma razonable que los errores y las irregularidades son
detectadas, reportadas y corregidas.

AC2 Procedimientos de autorizacin de documentos fuente
El personal autorizado, actuando dentro de su autoridad, prepara los
documentos fuente de forma adecuada y existe una segregacin de funciones
apropiada con respecto a la generacin y aprobacin de los documentos
fuente.

AC3 Recoleccin de datos de documentos fuente
Los procedimientos garantizan que todos los documentos fuente autorizados
son completos y precisos, debidamente justificados y transmitidos de manera
oportuna para su captura.

AC4 Manejo de errores en documentos fuente
Los procedimientos de manejo de errores durante la generacin de los datos
aseguran de forma razonable la deteccin, el reporte y la correccin de errores
e irregularidades.

AC5 Retencin de documentos fuente
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

Existen procedimientos para garantizar que los documentos fuente originales
son retenidos o pueden ser reproducidos por la organizacin durante un lapso
adecuado de tiempo para facilitar el acceso o reconstruccin de datos as
como para satisfacer los requerimientos legales.


Controles de entrada de datos
AC6 Procedimientos de autorizacin de captura de datos
Los procedimientos aseguran que solo el personal autorizado capture los datos
de entrada.

AC7 Verificaciones de precisin, integridad y autorizacin
Los datos de transacciones, ingresados para ser procesados (generados por
personas, por sistemas o entradas de interfases) estn sujetos a una variedad
de controles para verificar su precisin, integridad y validez. Los
procedimientos tambin garantizan que los datos de entrada son validados y
editados tan cerca del punto de origen como sea posible.

AC8 Manejo de errores en la entrada de datos
Existen y se siguen procedimientos para la correccin y re-captura de datos
que fueron ingresados de manera incorrecta.

Controles en el Procesamiento de datos
AC9 Integridad en el procesamiento de datos
Los procedimientos para el procesamiento de datos aseguran que la
separacin de funciones se mantiene y que el trabajo realizado de forma
rutinaria se verifica. Los procedimientos garantizan que existen controles de
actualizacin adecuados, tales como totales de control de corrida-a-corrida, y
controles de actualizacin de archivos maestros.

AC10 Validacin y edicin del procesamiento de datos
Los procedimientos garantizan que la validacin, la autenticacin y la edicin
del procesamiento de datos se realizan tan cerca como sea posible del punto
de generacin. Los individuos aprueban decisiones vitales que se basan en
sistemas de inteligencia artificial.

AC11 Manejo de errores en el procesamiento de datos
Los procedimientos de manejo de errores en el procesamiento de datos
permiten que las transacciones errneas sean identificadas sin ser procesadas
y sin una indebida interrupcin del procesamiento de otras transacciones
vlidas.

Controles de salida de datos
AC12 Manejo y retencin de salidas
El manejo y la retencin de salidas provenientes de aplicaciones de TI siguen
procedimientos definidos y tienen en cuenta los requerimientos de privacidad y
de seguridad.

AC13 Distribucin de salidas
Los procedimientos para la distribucin de las salidas de TI se definen, se
comunican y se les da seguimiento.
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE


AC14 Cuadre y conciliacin de salidas
Las salidas cuadran rutinariamente con los totales de control relevantes. Las
pistas de auditora facilitan el rastreo del procesamiento de las transacciones y
la conciliacin de datos alterados.

AC15 Revisin de salidas y manejo de errores
Los procedimientos garantizan que tanto el proveedor como los usuarios
relevantes revisan la precisin de los reportes de salida. Tambin existen
procedimientos para la identificacin y el manejo de errores contenidos en las
salidas.

AC16 Provisin de seguridad para reportes de salida
Existen procedimientos para garantizar que se mantiene la seguridad de los
reportes de salida, tanto para aquellos que esperan ser distribuidos como para
aquellos que ya estn entregados a los usuarios.

Controles de lmites
AC17 Autenticidad e integridad
Se verifica de forma apropiada la autenticidad e integridad de la informacin
generada fuera de la organizacin, ya sea que haya sido recibida por telfono,
por correo de voz, como documento en papel, fax o correo electrnico, antes
de que se tomen medidas potencialmente crticas.

AC18 Proteccin de informacin sensitiva durante su transmisin y transporte
Se proporciona una proteccin adecuada contra accesos no autorizados,
modificaciones y envos incorrectos de informacin sensitiva durante la
transmisin y el transporte.
V. Principales reas de la Auditora Informtica
1.2 Auditora de Software Bsico
La Ofimtica
Sistema automatizado que genera, procesa, almacena, recupera, comunica y
presenta datos relacionados con el funcionamiento de la oficina.
Escritorio virtual, trabajo en equipo (Lotus, Notes, grp, etc.), estaciones de
trabajo, aplicaciones, medidas de seguridad que tienen los usuarios, controles
de la ofimtica que se deben ocupar (economa, eficacia y eficiencia).

Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

Determinar si el inventario ofimtico de los equipos reflejan con
exactitud el nmero de equipos y aplicaciones reales.
Determinar y evaluar el procedimiento de adquisicin de equipos y
aplicaciones.
Determinar y evaluar la poltica de mantenimiento definida en la
organizacin.
Evaluar la calidad de las aplicaciones del entorno ofimtico desarrollado
por el propio personal de la organizacin.
Evaluar la correccin del procedimiento existente para la realizacin de
cambios de versiones y aplicaciones.
Determinar si los usuarios cuentan con suficiente informacin y la
documentacin de apoyo para la realizacin de sus actividades de un
modelo eficaz y eficiente.
Determinar si el sistema existe y si realmente cumple con las
necesidades de la organizacin.
Seguridad
Determinar si existen garantas suficientes para proteger los accesos no
autorizados a la informacin reservada a la empresa y a la integridad de la
misma.

1) Acceso por Medio de Contraseas

- Procedimiento para la asignacin de contraseas.
- Procedimiento para cambio peridico de contraseas.

2) Informacin Impresa.

- Accesos autorizados.
- Verificar que esta informacin se encuentra siempre en archivos.
- Maquinas que distribuyen los documentos obsoletos o confidenciales
habilitadas.

3) Verificar que la informacin de encuentre clasificada.
Determinar si el procedimiento de generacin de copias de respaldo es
fiable y garantiza la recuperacin de la informacin.
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

1) Que este especificado.
2) Que la periodicidad sea acorde a las condiciones ofimticas.
3) Que se cumpla el procedimiento.
4) Que la calidad del respaldo est garantizada (tomar un respaldo
verificar si realmente funciona y el procedimiento sea el adecuado).
5) Que realmente estn resguardados los respaldos en un rea segura.
Determinar si estn garantizados el funcionamiento ininterrumpido de
aplicaciones crticas.
1) Planta de luz alternativa.
2) Asignacin e responsabilidades en cadena para levantar el sistema.
Determinar el grado de exposicin ante la posibilidad de intrusos, de virus
(medida del riesgo para poder protegerse por la intrusin de virus por eso
es necesario tener antivirus).
1) Tener antivirus.
2) Checar actualizaciones de antivirus y que todas las maquinas lo
tengan.

1.3 Auditora Software de Teleprocesos

1.4 Auditora de Bases de datos
Puntos en los que debe centrarse el Auditor.
Confidencialidad.
- Identificar el archivo documento que listen los perfiles de usuarios.
- Verificar que el documento tenga el tiipo de acceso "ad hoc" al grupo de
usuarios.
- Realizar encuestas y aplicar cuestionarios para verificar que los perfiles
realmente hayan sido aplicados.
- Revisar los usuarios en el sistema manejador de base de datos y
canalizar los perfiles con el documento arriba mencionado.
- Control y seguridad de la base de datos (se tenga siempre una lista de
los usuarios as como tambin diferentes perfiles, tipos de usuarios,
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009

Ing. Fredis Dubal Medina, MAE

documentacin sobre cambios, accesos limitados, buscar e identificar
que cada uno est en su puesto, que administradores tienen acceso,
los programadores no deben tener acceso a la base real sino que debe
tener acceso a usuarios en la misma, que usuarios tienen acceso a toda
la base de datos en caso de que no tenga los perfiles el auditor debe de
identificarlos e identificar que cada persona est en su puesto),
diseo(identificar que realmente se deje una trayectoria o
documentacin sobre la base de datos, que tenga diccionario de base
de datos y cada uno tenga los datos adecuados, lista de los objetos.

- La investigacin de la arquitectura (se refiere al sistema operativo y el
software para crear una base de datos adems de que deban ser
compatible, checar estudio previo para escoger el software adecuado,
verificar que los componentes que se compren sean los adecuados
para la compatibilidad) el ciclo de vida de una base de datos (cunto
tiempo durar el sistema o base de datos que se diseo), estudio de la
informacin este realmente de acuerdo con la empresa que est
utilizando en este momento, si se cuenta con la documentacin de la
reingeniera aplicada, tener almacenados ciertos archivos que se
modifican, verificar que exista un oficio para poder hacer la modificacin
con las autorizaciones necesarias, verificar que exista registro de todo.

1.5 Auditora de Aplicaciones (Desarrollo / Mantenimiento)