Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
Tabla de Contenido Pg. I. Tipos de Auditora 2 II. Normas Gerenciales 7 III. Procedimientos Generales Informticos 9 IV. Procedimientos Especficos Informticos 10 V. Principales reas de la Auditora Informtica 12
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
I. Tipos de Auditora Conceptualmente la auditora, toda y cualquier auditora, es la actividad consistente en la emisin profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. En todo caso es una funcin que se realiza a posteriori, en relacin con actividades ya realizadas, sobre las que hay que emitir una opinin. Internacionalmente las auditoras se clasifican atendiendo a: La afiliacin del auditor: Estatal e Independiente o Privada La relacin del trabajo: Externas e Internas El objeto que se revisa: Estatal general, Estatal fiscal e Independiente Los objetivos fundamentales que se persiguen: Gestin, Financiera, Especial y Fiscal El carcter interno de los rganos de Auditora de las empresas, hace que las clasificaciones que ms se utilicen sean las Internas, que constituyen el control que se desarrolla como instrumento de la propia administracin y consiste en una valoracin independiente de sus actividades: examen de los sistemas de Control Interno, de las operaciones contables - financieras y aplicacin de las disposiciones administrativas y legales que corresponden, con la finalidad de mejorar el control y grado de economa, eficiencia y eficacia en la utilizacin de los recursos, prevenir el uso indebido de stos y coadyuvar al fortalecimiento de la disciplina en general. En trminos generales los tipos de auditora son: Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
Clase Contenido Objeto Finalidad Financiera Opinin Cuentas Anuales Presentan realidad Informtica Opinin Sistemas de Aplicacin, recursos informticos, planes de contingencia, etc. Operatividad eficiente y segn normas establecidas. Gestin Opinin Direccin Eficacia, Eficiencia, economicidad Cumplimiento Opinin Normas Establecidas Las operaciones se adecuan a estas normas. 1. Objetivos auditora Interna Revisin y evaluacin de controles contables, financieros y operativos Determinacin de la utilidad de polticas, planes y procedimientos, as como su nivel de cumplimiento Custodia y contabilizacin de activos Examen de la fiabilidad de los datos Divulgacin de polticas y procedimientos establecidos. Informacin exacta a la gerencia 2. Objetivos auditora Externa Obtencin de elementos de juicio fundamentados en la naturaleza de los hechos examinados Medicin de la magnitud de un error ya conocido, deteccin de errores supuestos o confirmacin de la ausencia de errores Propuesta de sugerencias, en tono constructivo, para ayudar a la gerencia Deteccin de los hechos importantes ocurridos tras el cierre del ejercicio Control de las actividades de investigacin y desarrollo 3. Esquema de Metodologa Bsica de una Auditora i. Toma de Contacto Organizacin Organigrama Volumen Situacin en el mercado Estructura del departamento Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
Relaciones funcionales y jerrquicas Recursos Aplicaciones en desarrollo Aplicaciones en produccin Sistemas de explotacin ii. Planificacin Concentracin de objetivos reas que cubrir Personas de la organizacin que se involucrarn en el proceso de auditora Plan de trabajo Tareas Calendario Resultados parciales Presupuesto Equipo auditor necesario iii. Desarrollo de la Auditora Entrevistas Cuestionarios Observacin de las situaciones deficientes Observacin de los procedimientos
iv. Fase de Diagnstico Meditacin sin contacto con la empresa auditada Factor decisivo ser la experiencia del equipo auditor Se deben definir los puntos dbiles y fuertes, los riesgos eventuales y posibles tipos de solucin y mejora
v. Presentacin de Conclusiones Se han de argumentar y documentar lo suficiente para que no puedan ser refutadas durante la discusin Es especialmente delicada por el rechazo que puede provocar en la organizacin auditada. Se debe esmerar el tacto En ocasiones sern necesarias tomar decisiones desagradables, pero es misin del auditor informar a la direccin de la forma ms objetiva posible.
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
vi. Formacin del Plan de Mejoras Resumen de las deficiencias encontradas Recoger las recomendaciones encaminadas a paliar las deficiencias detectadas Medidas a corto plazo: mejoras en plazo, calidad, planificacin o formacin Medidas a medio plazo: mayor necesidad de recursos, optimizacin de programas o documentacin y aspectos de diseo Medidas a largo plazo: cambios en polticas, medios y estructuras del servicio 4. La Auditora Fsica en TI Esta evala: Antes Durante Despus
Alcance de la Auditoria
Organizacin y cualificacin del personal de Seguridad. Remodelar el ambiente de trabajo. Planes y procedimientos. Sistemas tcnicos de Seguridad y Proteccin.
La seguridad fsica de los sistemas informticos consiste en la aplicacin de barreras fsicas y procedimientos de control como medidas de prevencin y contramedidas contra las amenazas a los recursos y la informacin confidencial. Ms claramente, y particularizando para el caso de equipos Unix y sus centros de operacin, por `seguridad fsica' podemos entender todas aquellas mecanismos - generalmente de prevencin y deteccin - destinados a proteger fsicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la informacin que hay en el sistema, pasando por la propia CPU de la mquina. Desgraciadamente, la seguridad fsica es un aspecto olvidado con demasiada frecuencia a la hora de hablar de seguridad informtica en general; en muchas organizaciones se suelen tomar medidas para prevenir o detectar accesos no autorizados o negaciones de servicio, pero rara vez para prevenir la accin de un atacante que intenta acceder fsicamente a la sala de operaciones o al lugar donde se depositan las impresiones del sistema. Esto motiva que en Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
determinadas situaciones un atacante se decline por aprovechar vulnerabilidades fsicas en lugar de lgicas, ya que posiblemente le sea ms fcil robar una cinta con una imagen completa del sistema que intentar acceder a l mediante fallos en el software. Hemos de ser conscientes de que la seguridad fsica es demasiado importante como para ignorarla: un ladrn que roba un ordenador para venderlo, un incendio o un pirata que accede sin problemas a la sala de operaciones nos pueden hacer mucho ms dao que un intruso que intenta conectar remotamente con una mquina no autorizada; no importa que utilicemos los ms avanzados medios de cifrado para conectar a nuestros servidores, ni que hayamos definido una poltica de firewalling muy restrictiva: si no tenemos en cuenta factores fsicos, estos esfuerzos para proteger nuestra informacin no van a servir de nada. Adems, en el caso de organismos con requerimientos de seguridad medios, unas medidas de seguridad fsicas ejercen un efecto disuasorio sobre la mayora de piratas: como casi todos los atacantes de los equipos de estos entornos son casuales (esto es, no tienen inters especfico sobre nuestros equipos, sino sobre cualquier equipo), si notan a travs de medidas fsicas que nuestra organizacin est preocupada por la seguridad probablemente abandonarn el ataque para lanzarlo contra otra red menos protegida. Riesgos Asociados al rea de TI:
Hardware: Descuido o falta de proteccin: Condiciones inapropiadas, mal manejo, no observancia de las normas. Destruccin. Software: Uso o acceso, Copia, Modificacin, Destruccin, Hurto, Errores u omisiones. Archivos: Usos o acceso, Copia, modificacin, destruccin, hurto. Organizacin: Inadecuada: no funcional, sin divisin de funciones. Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
Falta de seguridad, Falta de polticas y planes. Infraestructura: Acceso sin control Divulgacin de tecnologa utilizada. Falta de Suministro de Energa Elctrica Climatizacin. Materiales inflamables. Incendio 5. Auditora Informtica Es el conjunto de tcnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificacin, control eficacia, seguridad y adecuacin del servicio informtico en la empresa, por lo que comprende un examen metdico, puntual y discontinuo del servicio informtico, con vistas a mejorar en: Rentabilidad Seguridad Eficacia Requisitos auditora informtica Debe seguir una metodologa preestablecida Se realizar en una fecha precisa y fija Ser personal extrao al servicio de informtica
II. Normas Gerenciales 1.1 Auditoria de Direccin Siempre en una organizacin se dice que esta es un reflejo de las caractersticas de su direccin, los modos y maneras de actuar de aquella estn influenciados por la filosofa y personalidad del director. Acciones de un Director: Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
Planificar. (este acorde al plan estratgico (conocimiento a evaluar acciones a realizar)). Lectura y anlisis de actas, acuerdos, etc. Lectura y anlisis de informes gerenciales. Entrevistas con el mismo director del departamento y con los directores de otras reas. Organizar y Controlar Se va a realizar de acuerdo con lo planeado, el director debe establecer los flujos de informacin para que no haya fallas. El proceso de organizar consiste en estructurar recursos, los flujos de informacin y los controles que permiten alcanzar los objetivos marcados por la calificacin. Para poder evaluar y dar seguimiento a estas funciones se establece un comit de informtica que afectan a toda la empresa y permite a los usuarios como las actividades de la organizacin no solo de su rea, se pueden fijar las prioridades. Las enormes sumas de dinero que las empresas dedican a la tecnologa de la informacin y de la dependencia de ests con los procesos de la organizacin hacen necesaria una evaluacin independiente de la funcin que la gestiona (dirige). El auditor debe asegurarse que exista est comit y que cumpla su papel adecuadamente. Las acciones a realizar por el auditor son: Verificar que exista una normativa interna donde se especifique las funciones del comit. Entrevistar a miembros de este para conocer por parte de ellos funciones que realmente realizan. Si existe comit de informtica Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
Normativa interna. Entrevistas a los representantes de los usuarios para conocer si entienden y si estn de acuerdo con el comit. Entrevista con los miembros. Criterio para asignar a los miembros del comit. Verificar trabajo del comit Lectura de actas de comit para comprobar que el comit cumple efectivamente las funciones y que los acuerdos son tomados correctamente tomando en cuenta la opinin de los miembros del comit.
III. Procedimientos Generales Informticos Los controles generales son aquellos que estn incrustados en los procesos y servicios de TI. Algunos ejemplos son: Desarrollo de sistemas Administracin de cambios Seguridad Operacin del computador
Los controles incluidos en las aplicaciones del proceso de negocios se conocen por lo general como controles de aplicacin.
Ejemplos: Integridad (Completitud) Precisin Validez Autorizacin Segregacin de funciones
COBIT en sus ltimas versiones asume que el diseo e implementacin de los controles de aplicacin automatizados son responsabilidad de TI, y estn cubiertos en el dominio de Adquirir e Implementar, con base en los requerimientos de negocio definidos, usando los criterios de informacin de COBIT.
La responsabilidad operacional de administrar y controlar los controles de aplicacin no es de TI, sino del propietario del proceso de negocio.
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
TI entrega y da soporte a los servicios de las aplicaciones y a las bases de datos e infraestructura de soporte.
Por lo tanto, los procesos de TI de COBIT abarcan a los controles generales de TI, pero no los controles de las aplicaciones, debido a que son responsabilidad de los dueos de los procesos del negocio, y como se describi anteriormente, estn integrados en los procesos de negocio.
La siguiente lista ofrece un conjunto recomendado de objetivos de control de las aplicaciones identificados por ACn, nmero de Control de Aplicacin (por sus siglas en ingls):
Controles de origen de datos/ autorizacin Controles de entrada de datos Controles en el Procesamiento de datos Controles de salida de datos Controles de lmites
IV. Procedimientos Especficos Informticos Controles de origen de datos/ autorizacin
AC1 Procedimientos de preparacin de datos Los departamentos usuarios implementan y dan seguimiento a los procedimientos de preparacin de datos. En este contexto, el diseo de los formatos de entrada asegura que los errores y las omisiones se minimicen. Los procedimientos de manejo de errores durante la generacin de los datos aseguran de forma razonable que los errores y las irregularidades son detectadas, reportadas y corregidas.
AC2 Procedimientos de autorizacin de documentos fuente El personal autorizado, actuando dentro de su autoridad, prepara los documentos fuente de forma adecuada y existe una segregacin de funciones apropiada con respecto a la generacin y aprobacin de los documentos fuente.
AC3 Recoleccin de datos de documentos fuente Los procedimientos garantizan que todos los documentos fuente autorizados son completos y precisos, debidamente justificados y transmitidos de manera oportuna para su captura.
AC4 Manejo de errores en documentos fuente Los procedimientos de manejo de errores durante la generacin de los datos aseguran de forma razonable la deteccin, el reporte y la correccin de errores e irregularidades.
AC5 Retencin de documentos fuente Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
Existen procedimientos para garantizar que los documentos fuente originales son retenidos o pueden ser reproducidos por la organizacin durante un lapso adecuado de tiempo para facilitar el acceso o reconstruccin de datos as como para satisfacer los requerimientos legales.
Controles de entrada de datos AC6 Procedimientos de autorizacin de captura de datos Los procedimientos aseguran que solo el personal autorizado capture los datos de entrada.
AC7 Verificaciones de precisin, integridad y autorizacin Los datos de transacciones, ingresados para ser procesados (generados por personas, por sistemas o entradas de interfases) estn sujetos a una variedad de controles para verificar su precisin, integridad y validez. Los procedimientos tambin garantizan que los datos de entrada son validados y editados tan cerca del punto de origen como sea posible.
AC8 Manejo de errores en la entrada de datos Existen y se siguen procedimientos para la correccin y re-captura de datos que fueron ingresados de manera incorrecta.
Controles en el Procesamiento de datos AC9 Integridad en el procesamiento de datos Los procedimientos para el procesamiento de datos aseguran que la separacin de funciones se mantiene y que el trabajo realizado de forma rutinaria se verifica. Los procedimientos garantizan que existen controles de actualizacin adecuados, tales como totales de control de corrida-a-corrida, y controles de actualizacin de archivos maestros.
AC10 Validacin y edicin del procesamiento de datos Los procedimientos garantizan que la validacin, la autenticacin y la edicin del procesamiento de datos se realizan tan cerca como sea posible del punto de generacin. Los individuos aprueban decisiones vitales que se basan en sistemas de inteligencia artificial.
AC11 Manejo de errores en el procesamiento de datos Los procedimientos de manejo de errores en el procesamiento de datos permiten que las transacciones errneas sean identificadas sin ser procesadas y sin una indebida interrupcin del procesamiento de otras transacciones vlidas.
Controles de salida de datos AC12 Manejo y retencin de salidas El manejo y la retencin de salidas provenientes de aplicaciones de TI siguen procedimientos definidos y tienen en cuenta los requerimientos de privacidad y de seguridad.
AC13 Distribucin de salidas Los procedimientos para la distribucin de las salidas de TI se definen, se comunican y se les da seguimiento. Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
AC14 Cuadre y conciliacin de salidas Las salidas cuadran rutinariamente con los totales de control relevantes. Las pistas de auditora facilitan el rastreo del procesamiento de las transacciones y la conciliacin de datos alterados.
AC15 Revisin de salidas y manejo de errores Los procedimientos garantizan que tanto el proveedor como los usuarios relevantes revisan la precisin de los reportes de salida. Tambin existen procedimientos para la identificacin y el manejo de errores contenidos en las salidas.
AC16 Provisin de seguridad para reportes de salida Existen procedimientos para garantizar que se mantiene la seguridad de los reportes de salida, tanto para aquellos que esperan ser distribuidos como para aquellos que ya estn entregados a los usuarios.
Controles de lmites AC17 Autenticidad e integridad Se verifica de forma apropiada la autenticidad e integridad de la informacin generada fuera de la organizacin, ya sea que haya sido recibida por telfono, por correo de voz, como documento en papel, fax o correo electrnico, antes de que se tomen medidas potencialmente crticas.
AC18 Proteccin de informacin sensitiva durante su transmisin y transporte Se proporciona una proteccin adecuada contra accesos no autorizados, modificaciones y envos incorrectos de informacin sensitiva durante la transmisin y el transporte. V. Principales reas de la Auditora Informtica 1.2 Auditora de Software Bsico La Ofimtica Sistema automatizado que genera, procesa, almacena, recupera, comunica y presenta datos relacionados con el funcionamiento de la oficina. Escritorio virtual, trabajo en equipo (Lotus, Notes, grp, etc.), estaciones de trabajo, aplicaciones, medidas de seguridad que tienen los usuarios, controles de la ofimtica que se deben ocupar (economa, eficacia y eficiencia).
Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
Determinar si el inventario ofimtico de los equipos reflejan con exactitud el nmero de equipos y aplicaciones reales. Determinar y evaluar el procedimiento de adquisicin de equipos y aplicaciones. Determinar y evaluar la poltica de mantenimiento definida en la organizacin. Evaluar la calidad de las aplicaciones del entorno ofimtico desarrollado por el propio personal de la organizacin. Evaluar la correccin del procedimiento existente para la realizacin de cambios de versiones y aplicaciones. Determinar si los usuarios cuentan con suficiente informacin y la documentacin de apoyo para la realizacin de sus actividades de un modelo eficaz y eficiente. Determinar si el sistema existe y si realmente cumple con las necesidades de la organizacin. Seguridad Determinar si existen garantas suficientes para proteger los accesos no autorizados a la informacin reservada a la empresa y a la integridad de la misma.
1) Acceso por Medio de Contraseas
- Procedimiento para la asignacin de contraseas. - Procedimiento para cambio peridico de contraseas.
2) Informacin Impresa.
- Accesos autorizados. - Verificar que esta informacin se encuentra siempre en archivos. - Maquinas que distribuyen los documentos obsoletos o confidenciales habilitadas.
3) Verificar que la informacin de encuentre clasificada. Determinar si el procedimiento de generacin de copias de respaldo es fiable y garantiza la recuperacin de la informacin. Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
1) Que este especificado. 2) Que la periodicidad sea acorde a las condiciones ofimticas. 3) Que se cumpla el procedimiento. 4) Que la calidad del respaldo est garantizada (tomar un respaldo verificar si realmente funciona y el procedimiento sea el adecuado). 5) Que realmente estn resguardados los respaldos en un rea segura. Determinar si estn garantizados el funcionamiento ininterrumpido de aplicaciones crticas. 1) Planta de luz alternativa. 2) Asignacin e responsabilidades en cadena para levantar el sistema. Determinar el grado de exposicin ante la posibilidad de intrusos, de virus (medida del riesgo para poder protegerse por la intrusin de virus por eso es necesario tener antivirus). 1) Tener antivirus. 2) Checar actualizaciones de antivirus y que todas las maquinas lo tengan.
1.3 Auditora Software de Teleprocesos
1.4 Auditora de Bases de datos Puntos en los que debe centrarse el Auditor. Confidencialidad. - Identificar el archivo documento que listen los perfiles de usuarios. - Verificar que el documento tenga el tiipo de acceso "ad hoc" al grupo de usuarios. - Realizar encuestas y aplicar cuestionarios para verificar que los perfiles realmente hayan sido aplicados. - Revisar los usuarios en el sistema manejador de base de datos y canalizar los perfiles con el documento arriba mencionado. - Control y seguridad de la base de datos (se tenga siempre una lista de los usuarios as como tambin diferentes perfiles, tipos de usuarios, Gua de Estudio: Auditora y Seguridad de Sistemas, UTH II-2009
Ing. Fredis Dubal Medina, MAE
documentacin sobre cambios, accesos limitados, buscar e identificar que cada uno est en su puesto, que administradores tienen acceso, los programadores no deben tener acceso a la base real sino que debe tener acceso a usuarios en la misma, que usuarios tienen acceso a toda la base de datos en caso de que no tenga los perfiles el auditor debe de identificarlos e identificar que cada persona est en su puesto), diseo(identificar que realmente se deje una trayectoria o documentacin sobre la base de datos, que tenga diccionario de base de datos y cada uno tenga los datos adecuados, lista de los objetos.
- La investigacin de la arquitectura (se refiere al sistema operativo y el software para crear una base de datos adems de que deban ser compatible, checar estudio previo para escoger el software adecuado, verificar que los componentes que se compren sean los adecuados para la compatibilidad) el ciclo de vida de una base de datos (cunto tiempo durar el sistema o base de datos que se diseo), estudio de la informacin este realmente de acuerdo con la empresa que est utilizando en este momento, si se cuenta con la documentacin de la reingeniera aplicada, tener almacenados ciertos archivos que se modifican, verificar que exista un oficio para poder hacer la modificacin con las autorizaciones necesarias, verificar que exista registro de todo.
1.5 Auditora de Aplicaciones (Desarrollo / Mantenimiento)