AUDITORIA INFORMATICA

2012

UNIDAD IV

4.1 Generalidades de Seguridad Area Fisica

Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma. As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Tipos de Desastres No ser la primera vez que se mencione en este trabajo, que cada sistema es nico y por lo tanto la poltica de seguridad a implementar no ser nica. Este concepto vale, tambin, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarn pautas de aplicacin general y no procedimientos especficos. Para ejemplificar esto: valdr de poco tener en cuenta aqu, en Entre Ros, tcnicas de seguridad ante terremotos; pero s ser de mxima utilidad en Los Angeles, EE.UU. Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio fsico en que se encuentra ubicado el centro. Las principales amenazas que se prevn en la seguridad fsica son: Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre.

Disturbios, sabotajes internos y externos deliberados. No hace falta recurrir a pelculas de espionaje para sacar ideas de cmo obtener la mxima seguridad en un sistema informtico, adems de que la solucin sera extremadamente cara. A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas reas siguen siendo tcnicas vlidas en cualquier entorno. A continuacin se analizan los peligros ms importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de riesgos. Incendios Inundaciones Se las define como la invasin de agua por exceso de escurrimientos superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cmputos. Adems de las causas naturales de inundaciones, puede existir la posibilidad de una inundacin provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Condiciones Climatolgicas Seales de Radar La influencia de las seales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios aos.

Los resultados de las investigaciones ms recientes son que las seales muy fuertes de radar pueden inferir en el procesamiento electrnico de la informacin, pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algn momento, estuviera apuntando directamente hacia dicha ventana. Instalaciones Elctricas Ergometra Acciones Hostiles Robo Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma forma que lo estn las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de mquina. La informacin importante o confidencial puede ser fcilmente copiada. Muchas empresas invierten millones de dlares en programas y archivos de informacin, a los que dan menor proteccin que la que otorgan a una mquina de escribir o una calculadora. El software, es una propiedad muy fcilmente sustrable y las cintas y discos son fcilmente copiados sin dejar ningn rastro Fraude Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compaa, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que ms bien pierden en imgen, no se da ninguna publicidad a este tipo de situaciones.

Sabotaje El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Fsicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la informacin desaparece, aunque las cintas estn almacenadas en el interior de su funda de proteccin. Una habitacin llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Adems, suciedad, partculas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las lneas de comunicaciones y elctricas pueden ser cortadas, etc. Control de Accesos El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, rea o sector dentro de una empresa o institucin. Utilizacin de Guardias Utilizacin de Detectores de Metales El detector de metales es un elemento sumamente prctico para la revisin de personas, ofreciendo grandes ventajas sobre el sistema de palpacin manual. La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metlico mnimo, a partir del cual se activar la alarma. La utilizacin de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuar como elemento disuasivo. Utilizacin de Sistemas Biomtricos Verificacin Automtica de Firmas (VAF) En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque tambin podra encuadrarse dentro de las verificaciones biomtricas.

Mientras es posible para un falsificador producir una buena copia visual o facsmil, es extremadamente difcil reproducir las dinmicas de una persona: por ejemplo la firma genuina con exactitud. La VAF, usando emisiones acsticas toma datos del proceso dinmico de firmar o de escribir. La secuencia sonora de emisin acstica generada por el proceso de escribir constituye un patrn que es nico en cada individuo. El patrn contiene informacin extensa sobre la manera en que la escritura es ejecutada. El equipamiento de coleccin de firmas es inherentemente de bajo costo y robusto. Esencialmente, consta de un bloque de metal (o algn otro material con propiedades acsticas similares) y una computadora barata. Seguridad con Animales Sirven para grandes extensiones de terreno, y adems tienen rganos sensitivos mucho ms sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema. As mismo, este sistema posee la desventaja de que los animales pueden ser engaados para lograr el acceso deseado. Proteccin Electrnica

4.2 Seguridad Logica y Confidencial

La seguridad lgica se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como de controlar el mal uso de la informacin. La seguridad lgica se encarga de controlar y salvaguardar la informacin generada por los sistemas, por el software de desarrollo y por los programas en aplicacin.

Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especifico, de las redes y terminales. La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin: Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o informacin. Cdigo oculto en un programa Entrada de virus La seguridad lgica puede evitar una afectacin de perdida de registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas. Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a informacin confidencial. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computacin, por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad adecuada. El sistema integral de seguridad debe comprender: Elementos administrativos. Definicin de una poltica de seguridad. Organizacin y divisin de responsabilidades. Seguridad lgica Tipos de usuarios: Propietario. Es el dueo de la informacin, el responsable de sta, y puede realizar cualquier funcin. Es responsable de la seguridad lgica, en cuanto puede realizar cualquier accin y puede autorizar a otros usuarios de acuerdo con el nivel que desee darles. Administrador. Slo puede actualizar o modificar el software con la debida autorizacin, pero no puede modificar la informacin. Es responsable de la seguridad lgica y de la integridad de los datos.

Usuario principal. Est autorizado por el propietario para hacer modificaciones, cambios, lectura y utilizacin de los datos, pero no puede dar autorizacin para que otros usuarios entren. Usuario de explotacin. Puede leer la informacin y utilizarla para explotacin de la misma, principalmente para hacer reportes de diferente ndole. Usuario de auditora. Puede utilizar la informacin y rastrearla dentro del sistema para fines de auditoria. Los usuarios pueden ser mltiples, y pueden ser el resultado de la combinacin de los antes sealados. Se recomienda que exista slo un usuario propietario, y que el administrador sea una persona designada por la gerencia de informtica. Para conservar la integridad, confidencialidad y disponibilidad de los sistemas de informacin se debe tomar en cuenta lo siguiente: La integridad es la responsabilidad de los individuos autorizados para modificar datos o programas o de los usuarios a los que se otorgan acceso a aplicaciones de sistema o funciones fuera de sus responsabilidades normales de trabajo. La confidencialidad es responsabilidad de los individuos autorizados para consultar o para bajar archivos importantes para microcomputadoras. La responsabilidad es responsabilidad de individuos autorizados para alterar los parmetros de control de acceso al sistema operativo, al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones. La seguridad lgica abarca las siguientes reas: Rutas de acceso. Claves de acceso. Software de control de acceso. Encriptamiento. Rutas de acceso Cada uno de los sistemas de informacin tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema. Los tipos de restricciones de acceso son: Slo lectura

Slo consulta Lectura y consulta Lectura escritura para crear, actualizar, borrar, ejecutar o copiar El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema. El autor debe conocer las rutas de acceso para el evaluacin de los puntos de control apropiados. Claves de acceso Un rea importante en la seguridad lgica de las claves de acceso de los usuarios. Existen diferentes mtodos de identificacin para el usuario: Un password, cdigo o llaves de acceso. Las claves de acceso pueden ser usadas para controlar al acceso a la computadora, a sus recursos, as como definir nivel de acceso o funciones especficas. Las llaves de acceso deben tener las siguientes caractersticas: - El sistema debe verificar primero que el usuario tenga una llave de acceso vlida. - La llave de acceso debe ser de una longitud adecuada para ser un secreto. - La llave de acceso no debe ser desplegada cuando es tecleada. - Las llaves de acceso deben ser encintadas. - Las llaves de acceso deben de prohibir el uso de nombres, palabras o caracteres difciles de retener, adems el password no debe ser cambiado por un valor pasado. Se recomienda la combinacin de caracteres alfabticos y numricos. Una credencial con banda magntica. La banda magntica de las credenciales es frecuentemente usada para la entrada del sistema. Esta credencial es como una bancaria, pero se recomienda que tenga fotografa y firma. Algo especifico del usuario. Es un mtodo para identificacin del usuario, que es implantado con tecnologa biomtrica (caractersticas propias). Algunos de los dispositivos biomtricos son: - Las huellas dactilares. - La retina

- La geometra de la mano. - La firma. - La voz. Software de control de acceso El software de control de acceso, tiene las siguientes funciones: Definicin de usuarios. Definicin de las funciones del usuario despus de accesar el sistema. Jobs Establecimiento de auditora a travs del uso del sistema. La mayor ventaja del software de seguridad es la capacidad para proteger los recursos de acceso no autorizados, incluyendo los siguientes: Procesos en espera de modificacin por un programa de aplicacin. Accesos por editores en lnea. Accesos por utileras de software. Accesos a archivos de las bases de datos, a travs de un manejador de base de datos. Acceso de terminales o estaciones no autorizadas. Estos paquetes pueden restringir el acceso a los recursos, reduciendo as el riesgo de accesos no autorizados. Otra caracterstica de estos paquetes es que se pueden detectar las violaciones de seguridad, tomando las siguientes medidas: Terminaciones de procesos. Forzar a las terminales a apagarse. Desplegar mensajes de error. Escribir los riesgos para la auditora. Otros tipos de software de control de acceso

Algunos tipos de software son diseados con caractersticas que pueden ser usadas para proveerles seguridad. Sin embargo, es preferible usar un software de control de acceso para asegurar el ambiente total y completar las caractersticas de seguridad con u software especifico. a) Sistemas operativos. Se trata de una serie de programas que se encuentran dentro de los sistemas operativos, los cuales manejan los recursos de las computadoras y sirven como interfase entre software de aplicaciones y el hardware. Estos programas proporcionan seguridad ya que, internamente, dentro de los sistemas operativos manejan y controlan la ejecucin de programas de aplicacin y proveen los servicios que estos programas requieren, dependiendo del usuario y del sistema que est trabajando. b) Software manejador de base de datos. Es un software cuya finalidad es la de controlar, organizar y manipular los datos. Provee mltiples caminos para accesar los datos en una base de datos. Maneja la integridad de datos entre operaciones, funciones y tareas de la organizacin. c) Software de consolas o terminales maestras. El software de consolas o terminales maestras puede ser definido como varios programas del sistema operativo que proveen soporte y servicio para que las terminales en lnea acceden a los programas en aplicacin. d) Software de libreras. El software de libreras consta de datos y programas especficos escritos para ejecutar una funcin de la organizacin. Los programas en aplicacin pueden ser guardados en archivos en el sistema, y el acceso a estos programas puede ser controlado por medio del software usado para controlar el acceso a estos archivos. e) Software de utileras. Existen dos tipos de utileras. El primero es usado en los sistemas de desarrollo para proveer productividad. El desarrollo de programas y los editores en lnea son los ejemplos de este tipo de software. El segundo es usado para asistir en el manejo de operaciones de la computadora. Monitoreos, calendarios de trabajo, sistema manejador de disco y cinta son ejemplos de este de software.

4.3 Seguridad Personal

4.4 Clasificacion Controles de Seguridad

4.5 Seguridad de Datos y Software de Aplicacion

4.6 Controles para Evaluar Software de Aplicacion

4.7 Controles Para Prevenir Crmenes Y Fraudes Informaticos

4.8 Plan de Contingencia Seguros procedimientos de recuperacion de desastres

A medida que las empresas se han vuelto cada vez ms dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informticos se ha vuelto crucial. Actualmente, la mayora de las empresas necesitan un nivel alto de disponibilidad y algunas requiren incluso un nivel continuo de disponibilidad, ya que les resultara extremadamente difcil funcionar sin los recursos informticos. Los procedimientos manuales, si es que existen, slo seran prcticos por un corto periodo. En caso de un desastre, la interrupcin prolongada de los servicios de computacin puede llevar a prdidas financieras significativas, sobre todo si est implicada la responsabilidad de la gerencia de informtica. Lo ms grave es que se puede perder la credibilidad del pblico o los los clientes y, como consecuencia, la empresa puede terminar en un fracaso total. Cabe preguntarse Por se necesita un plan de contingencia para desastres si existe una pliza de seguro para esta eventualidad? La respuesta es que si bien el seguro puede cubrir los costos materiales de los activos de una organizacin en caso de una calamidad, no servir para recuperar el negocio. No ayudar a conservar a los clientes y, en la mayora de los casos, no proporcionar fondos por adelantado para mantener funcionando el negocio hasta que se haya recuperado. En un estudio realizado por la Universidad de Minnesota, se ha demostrado que ms del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperacin ya en funcionamiento, saldrn del negocio en dos o tres aos.

Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informticos, este porcentaje seguramente crecer. Por lo tanto, la capacidad para recuperarse xitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratgico de seguridad para una organizacin. Imagnese una situacin que interrumpa las operaciones de las computadoras durante una semana o un mes; imagine la prdida de todos los datos de la empresa, todas las unidades de respaldo del sitio y la destruccin de equipos vitales del sistema Cmo se manejara semejante catstrofe? Si Ud. se ve en esta situacin y lo nico que puede hacer es preguntarse Y ahora qu? ya es demasiado tarde! La nica manera efectiva de afrontar un desastre es tener una solucin completa y totalmente probada para recuperarse de los efectos del mismo.

4.9 Tecnicas Herramientas Relacionadas con Seguridad Fisica y del personal

Primera parte de: 4.10.-Auditoria de la seguridad de los datos y del software de aplicacin 1.-Controles internos sobre el anlisis, desarrollo e implementacin de sistemas 1.-Las actividades que se realizan para el anlisis, diseo, desarrollo e implementacin de sistemas de cualquier empresa son nicas y por lo tanto, no tienen parecido alguno con otras actividades. 2.-Por esta razn merecen un tratamiento ms especializado. 2.- Puntos bsicos 1.-Las consecuencias de un error (generalmente deben ser consideradas para cada campo en la informacin de entrada). 2.-Los puntos en el procesamiento de informacin en los cuales se puede introducir un error en sta. 2.-Puntos bsicos 1.-Lo adecuado de los controles introducidos para prevencin, deteccin y correccin de errores de entrada. 3.-Cmo pueden ocurrir errores en los datos de entrada?

1.-Pueden estar registrados incorrectamente en el punto de entrada. 2.-Pueden haber sido convertidos incorrectamente a forma legible por la mquina. 4.-Cmo pueden ocurrir errores en los datos de entrada? 1.-Pueden haber sido perdidos al manejarlos; 2.-Pueden haber sido incorrectamente procesados al ser ledos por el equipo del computador. 5.-El auditor debe investigar puntos tales como: 1.-Qu ocurre a la informacin de entrada en que se encuentran los errores? 2.-Qu sucede con una operacin no correspondida? 3.-Qu sucede si los totales de control no coinciden? 6.-Tipos de controles. 1.-Control de distribucin. 2.-Validacin de datos. 3.-Totales de control. 4.-Control de secuencia. 5.-Pruebas de consistencia y verosimilitud. 6.-Dgito de control. 7.-Control de distribucin 1.-La informacin de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no estn autorizados para recibirla. 8.-Validacin de datos 1.-Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer. 2.-Estas pruebas actan como filtros de la informacin.

9.-Validacin de datos 1.-Los datos que logran pasar el filtro se dice que estn validados. 2.-Aquellos que contienen errores son examinados, y una vez corregidos pasan de nuevo por el filtro. 10.-Totales de control 1.-Un sistema de validacin consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artculos de un archivo. 2.-El resultado se compara con el total de estos mismos obtenidos manualmente. 11.-Totales de control 1.-Si el total manual no coincide con el total de la computadora es seal de que se ha producido un error, esto es debido a que no estn escritos los datos correctamente, o se omita un registro, duplicar registros. 12.-Control de secuencia 1.-En datos como las facturas que estn foliadas, la computadora puede ejercer un control de secuencia sobre este nmero de folio, con lo cual se detectar si se omitieron o duplicaron registros. 13.-Control de secuencia 1.-Algunas veces se dan rangos de secuencia con vacos entre rango y rango, entonces la investigacin se hace dentro de los lmites de cada rango. 14.-Control de secuencia 1.-En la mayora de las veces el control de secuencia se produce sobre la clave de identificacin del artculo, pero en otras se incorpora un campo adicional al artculo en donde se inserta el nmero de orden que permita el control de secuencia. 15.-Pruebas de consistencia y verosimilitud 1.-Una prueba tpica de consistencia es ver si un campo de un registro al que hemos definido como numrico, efectivamente soporta informacin numrica. 16.-Dgito de control 1.-Dado que la clave de identificacin de los artculos de un registro, permite individualizar cada uno de los artculos.

2.-Es necesario asegurarse de que el contenido de la clave est correcto. 17.-Dgito de control 1.-Cuando se escribe un nmero es factible cometer ciertos errores ya tpicos: Error de omisin. Error de adicin. Error de transposicin. Error de repeticin. Error de transcripcin. Error aleatorio. 18.-Dgito de control 1.-Para detectar que el contenido de un campo de una clave es el correcto, lo que se hace es aadir una cifra ms, obtenida como una combinacin matemtica de las distintas cifras que integran el nmero de la clave de identificacin. 29.-Dgito de control 1.-Existen dos fases en el problema: -Asignar a cada nmero de la clave su correspondiente dgito de control de manera que desde este momento para cualquier transaccin el nmero de artculo tiene que aparecer acompaado de su dgito de control. 20.-Dgito de control .Validacin de cualquier movimiento o transaccin en que intervenga el artculo. Para ello se forma la parte que ser propiamente el nmero de clave, se calcula el dgito de control y se compara con el que aparece asociado en la clave. Segunda parte de: 4.10.- Auditora de la seguridad de los datos y del software de aplicacin 1.-PROTECCIN DE LOS REGISTROS Y DE LOS ARCHIVOS 1.1.formas en que se pueden perder los archivos:

1.1.1.Su presencia en un ambiente destructivo. 1.1.2 .Manejo indebido por parte del operador. 1.1.3 .Mal funcionamiento de la mquina. 2.-CONSIDERACIONES DE AUDITORA: 1.-El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que haya en los procedimientos para proteccin de registros y archivos y para su restitucin en caso de prdida. An cuando no ocurra una prdida, un sistema dbil pone en peligro los archivos. 3.-PLAN DE PRESERVACIN DE LA INFORMACIN 1.-DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado. 2.-ARCHIVO DE DISCOS: Una caracterstica del archivo de discos es que el registro anterior es destrudo, no produce una copia automticamente una copia en duplicado. 3.-VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel de impresin. Grado de confianza, satisfaccin y desempeo Grado de confianza, satisfaccin y desempeo 4.-OBJETIVOS DE LA AUDITORA DEL SOFTWARE DE APLICACIN 1.-VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES. Para satisfacer: La instalacin del software La operacin y seguridad del software. La administracin del software 2.-DETECTAR EL GRADO DE CONFIABILIDAD. Grado de confianza, satisfaccin y desempeo

5.-Investigar si existen polticas con relacin al software. 1.-Detectar si existen controles de seguridad. 2.-Verificar que sea software legalizado. 3.-Actualizacin del software de aplicacin. 6.-EVALUACIN DEL SOFTWARE El auditor debe evaluar qu software se encuentra instalado en la organizacin. Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. Tambin debe investigar las versiones de cada uno. 7.-ORGANIZACIN El auditor debe de verificar que existan polticas para: 1.-La evaluacin del software. 2.-Adquisicin o instalacin. 3.-Soporte a usuarios. 4.-Seguridad. 8.-INSTALACIN Y LEGALIZACIN 1.-Procedimientos para la instalacin del software. El auditor debe investigar si existen procedimientos que aseguren la oportuna instalacin del software. 2.-Actividades durante la instalacin. Por ejemplo: revisin de contenido del paquete, fecha de instalacin, nmero de mquina, responsable de instalacin, etc. 9.-Justificacin En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe formular una justificacin del porqu de esta adquisicin. 1.-Software legal

El auditor debe de investigar las polticas cuando se encuentra software instalado en mquinas sin licencias de uso. 10.-ENTRADA Y SALIDA DEL SOFTWARE Que el software que salga de la empresa sea: 1.-Revisado (contenido, cantidad, destino). 2.-Est registrado formalmente en la empresa. 3.-Justificada plenamente su salida. 4.-Aprobado por el responsable del rea de informtica. 10.1-ENTRADA Y SALIDA DEL SOFTWARE Que el software que salga de la empresa sea: 1.-Registrado en bitcora (quin y a qu hora lo sac) 2.-Devuelto en las mismas condiciones. 3.-El personal est comprometido a no hacer mal uso del mismo. 10.1.1ENTRADA Y SALIDA DEL SOFTWARE Que el software que ingrese a la empresa sea: Revisado (contenido, cantidad, procedencia). 1.-Aprobado por el responsable de informtica. 2.-Registrado (quin y a qu hora lo introdujo) 10.1.2ENTRADA Y SALIDA DEL SOFTWARE Que el software que ingrese a la empresa sea: 1.-Devuelto en tiempo (comparar con fecha estipulada de devolucin).

2.-Devuelto en las mismas condiciones. 3.-El personal est comprometido a no hacer mal uso del mismo.

4.10 Tacnicas y Herramientas Relacionadas con Seguridad de Datos y software de aplicacion

Primera parte de: 4.10.-Auditoria de la seguridad de los datos y del software de aplicacin 1.-Controles internos sobre el anlisis, desarrollo e implementacin de sistemas 1.-Las actividades que se realizan para el anlisis, diseo, desarrollo e implementacin de sistemas de cualquier empresa son nicas y por lo tanto, no tienen parecido alguno con otras actividades. 2.-Por esta razn merecen un tratamiento ms especializado. 2.- Puntos bsicos 1.-Las consecuencias de un error (generalmente deben ser consideradas para cada campo en la informacin de entrada). 2.-Los puntos en el procesamiento de informacin en los cuales se puede introducir un error en sta. 2.-Puntos bsicos 1.-Lo adecuado de los controles introducidos para prevencin, deteccin y correccin de errores de entrada. 3.-Cmo pueden ocurrir errores en los datos de entrada? 1.-Pueden estar registrados incorrectamente en el punto de entrada. 2.-Pueden haber sido convertidos incorrectamente a forma legible por la mquina. 4.-Cmo pueden ocurrir errores en los datos de entrada? 1.-Pueden haber sido perdidos al manejarlos; 2.-Pueden haber sido incorrectamente procesados al ser ledos por el equipo del computador.

5.-El auditor debe investigar puntos tales como: 1.-Qu ocurre a la informacin de entrada en que se encuentran los errores? 2.-Qu sucede con una operacin no correspondida? 3.-Qu sucede si los totales de control no coinciden? 6.-Tipos de controles. 1.-Control de distribucin. 2.-Validacin de datos. 3.-Totales de control. 4.-Control de secuencia. 5.-Pruebas de consistencia y verosimilitud. 6.-Dgito de control. 7.-Control de distribucin 1.-La informacin de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no estn autorizados para recibirla. 8.-Validacin de datos 1.-Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer. 2.-Estas pruebas actan como filtros de la informacin. 9.-Validacin de datos 1.-Los datos que logran pasar el filtro se dice que estn validados. 2.-Aquellos que contienen errores son examinados, y una vez corregidos pasan de nuevo por el filtro. 10.-Totales de control 1.-Un sistema de validacin consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artculos de un archivo.

2.-El resultado se compara con el total de estos mismos obtenidos manualmente. 11.-Totales de control 1.-Si el total manual no coincide con el total de la computadora es seal de que se ha producido un error, esto es debido a que no estn escritos los datos correctamente, o se omita un registro, duplicar registros. 12.-Control de secuencia 1.-En datos como las facturas que estn foliadas, la computadora puede ejercer un control de secuencia sobre este nmero de folio, con lo cual se detectar si se omitieron o duplicaron registros. 13.-Control de secuencia 1.-Algunas veces se dan rangos de secuencia con vacos entre rango y rango, entonces la investigacin se hace dentro de los lmites de cada rango. 14.-Control de secuencia 1.-En la mayora de las veces el control de secuencia se produce sobre la clave de identificacin del artculo, pero en otras se incorpora un campo adicional al artculo en donde se inserta el nmero de orden que permita el control de secuencia. 15.-Pruebas de consistencia y verosimilitud 1.-Una prueba tpica de consistencia es ver si un campo de un registro al que hemos definido como numrico, efectivamente soporta informacin numrica. 16.-Dgito de control 1.-Dado que la clave de identificacin de los artculos de un registro, permite individualizar cada uno de los artculos. 2.-Es necesario asegurarse de que el contenido de la clave est correcto. 17.-Dgito de control 1.-Cuando se escribe un nmero es factible cometer ciertos errores ya tpicos: Error de omisin. Error de adicin. Error de transposicin.

 Error de repeticin. Error de transcripcin. Error aleatorio. 18.-Dgito de control 1.-Para detectar que el contenido de un campo de una clave es el correcto, lo que se hace es aadir una cifra ms, obtenida como una combinacin matemtica de las distintas cifras que integran el nmero de la clave de identificacin. 29.-Dgito de control 1.-Existen dos fases en el problema: -Asignar a cada nmero de la clave su correspondiente dgito de control de manera que desde este momento para cualquier transaccin el nmero de artculo tiene que aparecer acompaado de su dgito de control. 20.-Dgito de control .Validacin de cualquier movimiento o transaccin en que intervenga el artculo. Para ello se forma la parte que ser propiamente el nmero de clave, se calcula el dgito de control y se compara con el que aparece asociado en la clave. Segunda parte de: 4.10.- Auditora de la seguridad de los datos y del software de aplicacin 1.-PROTECCIN DE LOS REGISTROS Y DE LOS ARCHIVOS 1.1.formas en que se pueden perder los archivos: 1.1.1.Su presencia en un ambiente destructivo. 1.1.2 .Manejo indebido por parte del operador. 1.1.3 .Mal funcionamiento de la mquina. 2.-CONSIDERACIONES DE AUDITORA: 1.-El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que haya en los procedimientos para proteccin de registros y archivos y para su restitucin en caso de prdida.

An cuando no ocurra una prdida, un sistema dbil pone en peligro los archivos. 3.-PLAN DE PRESERVACIN DE LA INFORMACIN 1.-DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado. 2.-ARCHIVO DE DISCOS: Una caracterstica del archivo de discos es que el registro anterior es destrudo, no produce una copia automticamente una copia en duplicado. 3.-VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel de impresin. Grado de confianza, satisfaccin y desempeo Grado de confianza, satisfaccin y desempeo 4.-OBJETIVOS DE LA AUDITORA DEL SOFTWARE DE APLICACIN 1.-VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES. Para satisfacer: La instalacin del software La operacin y seguridad del software. La administracin del software 2.-DETECTAR EL GRADO DE CONFIABILIDAD. Grado de confianza, satisfaccin y desempeo 5.-Investigar si existen polticas con relacin al software. 1.-Detectar si existen controles de seguridad. 2.-Verificar que sea software legalizado. 3.-Actualizacin del software de aplicacin. 6.-EVALUACIN DEL SOFTWARE

El auditor debe evaluar qu software se encuentra instalado en la organizacin. Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. Tambin debe investigar las versiones de cada uno. 7.-ORGANIZACIN El auditor debe de verificar que existan polticas para: 1.-La evaluacin del software. 2.-Adquisicin o instalacin. 3.-Soporte a usuarios. 4.-Seguridad. 8.-INSTALACIN Y LEGALIZACIN 1.-Procedimientos para la instalacin del software. El auditor debe investigar si existen procedimientos que aseguren la oportuna instalacin del software. 2.-Actividades durante la instalacin. Por ejemplo: revisin de contenido del paquete, fecha de instalacin, nmero de mquina, responsable de instalacin, etc. 9.-Justificacin En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe formular una justificacin del porqu de esta adquisicin. 1.-Software legal El auditor debe de investigar las polticas cuando se encuentra software instalado en mquinas sin licencias de uso. 10.-ENTRADA Y SALIDA DEL SOFTWARE Que el software que salga de la empresa sea: 1.-Revisado (contenido, cantidad, destino). 2.-Est registrado formalmente en la empresa.

3.-Justificada plenamente su salida. 4.-Aprobado por el responsable del rea de informtica. 10.1-ENTRADA Y SALIDA DEL SOFTWARE Que el software que salga de la empresa sea: 1.-Registrado en bitcora (quin y a qu hora lo sac) 2.-Devuelto en las mismas condiciones. 3.-El personal est comprometido a no hacer mal uso del mismo. 10.1.1ENTRADA Y SALIDA DEL SOFTWARE Que el software que ingrese a la empresa sea: Revisado (contenido, cantidad, procedencia). 1.-Aprobado por el responsable de informtica. 2.-Registrado (quin y a qu hora lo introdujo) 10.1.2ENTRADA Y SALIDA DEL SOFTWARE Que el software que ingrese a la empresa sea: 1.-Devuelto en tiempo (comparar con fecha estipulada de devolucin). 2.-Devuelto en las mismas condiciones. 3.-El personal est comprometido a no hacer mal uso del mismo.