AUDITORIA

DE
SISTEMAS
INTRODUCCION

• La vulnerabilidad acarreada
por los computadores
• Impacto de los computadores
sobre las tareas de auditoría
• La adecuación de las normas
de auditoría a un entorno
electrónico
Auditar

• Ejercer control sobre una

determinada acción

• Donde auditamos a menudo?

– A nivel personal
– A nivel laboral
– A nivel académico
Control

• Actividad/es o acción/es
realizadas por uno o varios
elementos de un sistema, que
tienen como finalidad la
prevención, detección y
corrección de errores que
afecten la homeostasis del
sistema
I/E Proceso C O/S
Tipos de Control
• Preventivo: limita la posibilidad de
que se concrete una desviación.

• Detectivo: limita los efectos de una

desviación que se presenta.

• Correctivo: orientado a recuperarse

ante una desviación sucedida.
Etimología – AUDITORIUS

• Latín: Auditor, que tiene la

virtud de oir
Diccionario – AUDITOR

• Revisor de cuentas colegiado

 Auditoria
• Es el examen de la información por
TERCERAS partes, distintas de quienes la
generan y quienes la utilizan
• Se produce con la intención de establecer su
suficiencia y adecuación a las normas.- Es
necesario poder medirlas, necesitamos un patrón

• Produce informes como resultado del

examen critico
• Su objetivo es: evaluar la eficiencia y
eficacia, determinar cursos de acción
alternativos y el logro de los objetivos
propuestos
• MEJORA CONTINUA!!!!
 Informática
• Ciencia del tratamiento sistemático
y eficaz de la información haciendo
uso de computadoras.
• La información como vehículo del
saber humano en los ámbitos:
Técnico-Económico y Social
• Ciencia de la política de la
Información
• Ciencia de los sistemas inteligentes
de información
Auditoria Informática
• Revisión, análisis y evaluación
independiente y objetiva de un
entorno informático
– Hardware
– Software
• Base
• Aplicación
– Comunicaciones
– Políticas y procedimientos
– Gestión de recursos informáticos
– RRR.HH.
Tipos de Auditoría

• Evaluación del sistema de

control interno
• De cumplimiento de políticas,
estándares y procedimientos
• De seguridad: física y lógica
• De operaciones/gestión
• Interna/Externa
Fuentes

• Todo tipo de fuente referido a:

– Hardware
– Software
– Instalaciones
– Procedimientos
– RR.HH
Check List
• Revisión del Hardware
– -
– -
• Revisión del Software
– -
– -
• Instalaciones
– -
– -
• Procedimientos
– -
– -
El Control
• Interno
– Creación de relaciones adecuadas entre las
diversas funciones del negocio y los
resultados finales de operación.
• Interno Electrónico
– Comportamiento de los circuitos
electrónicos. Ej. Transmisión de datos
• Interno Informático
– Verifica el cumplimiento de los
procedimientos, estándares y normas fijadas
por la dirección de informática, como así
también los requerimientos legales
 La seguridad de los
sistemas de información
La protección de los activos informáticos
Seguridad, algunos
conceptos
• Seguridad
– Protección contra perdidas
– Es un sistema seguro, impenetrable?
• Grados de seguridad Vs costo
– Naturaleza de las amenazas –
contingencias

• A que apuntan las medidas de

seguridad?
– Integridad, confidencialidad,
disponibilidad.
Integridad

• Completa y correcta
• Datos libres de errores
– Intencionales como no
intencionales
• No contradictorios!!!
• Opuesto: Modificación
Confidencialidad

• Proteger la información contra

la divulgación indebida
• Sólo debe ser conocida por
personas autorizadas.
• Opuesto: revelación.
Disponibilidad

• Siempre disponible.
• Adecuado nivel de
performance
• Recuperación rápida y segura
ante interrupciones.
• Opuesto:
Interrupción/destrucción
Identificación

• Declaración de ser una persona

o programa
– Numero ID
– T Magnética
– Registro de Voz
– Etc
Autenticar

• Es una prueba de identidad

• Debe ser secreto
• Ejemplos....LAS PASSWORDS
Autorización

• Función del sistema de control

• Es el QUIEN DEBE HACER
QUE...
• Debe ser especifica, no general
Contingencia
• Es una amenaza al conjunto de los
peligros a los que están expuestos
los recursos informáticos de una
organización
• Recursos:
– Personas
– Datos
– Hardware
– Software
– Instalaciones
– .....
Categorías de Contingencias:
Ambientales
• Ambientales naturales
– Inundación, incendio,
filtraciones, alta temperatura,
terremoto, derrumbe explosión,
corte de energía, disturbios, etc
• Ambientales operativas
– Caída o falla del procesador,
periféricos, comunicaciones,
software de base/aplicación, AC,
Sistema eléctrico, etc
Categorías de contingencias :
Humanas
• Humanas no intencionales
– Errores y/o omisiones en el
ingreso de datos, errores en
backup, falta de documentación
actualizada, en daños
accidentales...
• Humanas intencionales
– Fraude, daño intencional,
terrorismo, virus, hurto, robo,
etc.
Cuales son los desastres mas comunes
que pueden afectar los sistemas?

• Virus
• Fuego
• Inundaciones
• Cortes de electricidad
• Interferencias eléctricas
• Fallas mecánicas
• Sabotaje
• Empleados descontentos
• Uso indebido de recursos
Vulnerabilidad
• Debilidad que presenta un activo frente a
las contingencias que tienen lugar en el
entrono del procesamiento de datos.
• Falta de protección ante una contingencia
• Se da ante la falta de:
– Software de protección
– Responsables a cargo de la SI
– Planes de seguridad, contingencias
– Inadecuada/o:
• Selección y capacitación
• Diseño de sistemas, programación, operación
• Backups
• Auditorias I/E
Consecuencia
• Daño o perdida potencial ante la
ocurrencia de una contingencia
• Algunas consecuencias inmediatas:
– Imposibilidad de procesar
– Perdida de archivos y registros
– Lectura indebida
• Otras consecuencias mediatas:
– Legales
– Económicas/financieras
– Incidencia en otros sistemas
Que tipo de controles pueden
efectuarse para aumentar la
seguridad?

• Acceso Físico
• Acceso Lógico
Métodos de ctrl. de accesos

• Algo que conozco:

– Contraseña
• Algo que tengo:
– Tarjeta.
• Algo que soy:
– Iris del ojo.
Que es una pista de
auditoria?
• Huella o registro generado
automáticamente
• Orientado a un análisis
posterior
• Permite reconstruir el
procesamiento
• Es un CAMINO HACIA
ATRÁS...
Backups y recuperación

• Hardware
• Software
• Algunas preguntas frecuentes
– De que dependen?
– Como se manifiestan?
– Donde se realizan?
– Cada cuanto deben realizarse?