AUDITORIA DE SISTEMAS

(SYC-32813)

Ingeniera de Sistemas

Lcda. Graciela Argelles (MSC)

Ing. Javier Coronado (MSC)

CONTENIDO
Elementos de la Auditora de Sistemas.

Mtodos de Auditora.
Proceso de Auditora.
Estndares de Documentos.
Auditora en Centros de Cmputos.

Seguridad en el rea de la Informtica.

UNIDAD 1
ASPECTOS CONCEPTUALES DE LA
AUDITORA DE SISTEMAS

ASPECTOS CONCEPTUALES
AUDITORA
La auditora puede definirse como el examen comprensivo y
constructivo de la estructura organizativa de una empresa,
institucin o departamento y de sus mtodos de control, medios
de operacin y empleo que d a sus recursos humanos y
materiales.
(Leonard, 2004)

Sirve para recoger propuestas que ayudan a avanzar en el

camino de la calidad.

TIPOS DE AUDITORA
Por el origen de quin hace su aplicacin:

TIPOS DE AUDITORA
Por el rea en donde se hacen:

TIPOS DE AUDITORA
Por el rea de especialidad:

OBJETIVOS GENERALES DE LA
AUDITORA DE SISTEMAS

CONOCIMIENTOS BASICOS DEL AUDITOR

DE SISTEMAS
Conocimientos sobre la organizacin
Conocimientos sobre la organizacin
actividad: misin, estrategia, polticas
actividad: misin, estrategia, polticas
funcionamiento
de de
la organizacin.
funcionamiento
la organizacin.

en la que desarrolla su
en la que desarrolla su
y objetivos, estructura y
y objetivos, estructura y

Manejo
con
profesional para
para lalaprctica
prcticadede
Manejo
consoltura
solturadel
del marco
marco profesional
la la
auditora:
modelos
y principios
de auditora,
y estndares
auditora:
modelos
y principios
de normas
auditora,
normas yque
regulan
la organizacin,
entre
otros.
estndares
que regulan
la organizacin,
entre otros.
Conocimientos
slidos
en materia
de tecnologas
de la informacin
Conocimientos
slidos
en materia
de tecnologas
de la y
de informacin
las comunicaciones:
infraestructura, desarrollo
e implementacin
y de las comunicaciones:
infraestructura,
desarrollo
de e sistemas
de informacin,
seguridad
de seguridad
los sistemas
implementacin
de sistemas de
informacin,
de los de
informacin
sistemas.de informacin.

PLANEACIN DE LA AUDITORA DE
SISTEMAS

ACTIVIDADES DE LA INVESTIGACIN
PRELIMINAR
* RECURSOS MATERIALES Y TECNICOS:
Solicitar documentos sobre los equipos, nmero de ellos, localizacin y
caractersticas:

- Estudios de viabilidad.
- Nmero de equipos, localizacin y las caractersticas (de los equipos
instalados y por instalar y programados)
- Fechas de instalacin de los equipos y planes de instalacin.
- Contratos vigentes de compra, alquiler y servicio de mantenimiento.
- Contratos de seguros.
- Convenios que se tienen con otras instalaciones.
- Configuracin de los equipos y capacidades actuales y mximas.
- Planes de expansin.
- Ubicacin general de los equipos.
- Polticas de operacin.
- Polticas de uso de los equipos.

ACTIVIDADES DE LA INVESTIGACIN
PRELIMINAR
* SISTEMAS:

Descripcin general de los sistemas instalados y de los que estn por

instalarse que contengan volmenes de informacin.
- Manual de formas.
- Manual de procedimientos de los sistemas.
- Descripcin genrica.
- Diagramas de entrada, archivos, salida.
- Salidas.
- Fecha de instalacin de los sistemas.
- Proyecto de instalacin de nuevos sistemas.

ACTIVIDADES DE LA INVESTIGACIN
PRELIMINAR

Criticar objetivamente y a fondo todos los informes y los datos

recabados.
* Investigar las causas, no los efectos.
* Atender razones, no excusas.
* No confiar en la memoria, preguntar constantemente.
* Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni
la informacin sin fundamento
*

UNIDAD 2
MTODOS DE AUDITORA

FASES BSICAS DE UN PROCESO DE

AUDITORA
Estudio Preliminar
Revisin y evaluacin de controles y seguridades
Examen detallado de reas crticas
Comunicacin de resultados

ESTUDIO PRELIMINAR

REVISIN Y EVALUACIN DE
CONTROLES Y SEGURIDADES

EXAMEN DETALLADO DE REAS

CRTICAS

COMUNICACIN DE RESULTADOS

Se elaborar el borrador del informe a ser discutido

con los ejecutivos de la empresa hasta llegar al
informe
definitivo,
el
cual
se
presentar
esquemticamente en forma de matriz, cuadros o
redaccin simple y concisa que destaque los
problemas encontrados, los efectos y las
recomendaciones de la Auditora.

DESARROLLO DE UN PROGRAMA DE
AUDITORA
Un programa de auditora es un conjunto documentado de
procedimientos diseados para alcanzar los objetivos de
auditora planificados. El esquema tpico de un programa de
auditora incluye lo siguiente:
Tema de auditora: Donde se identifica el rea a ser auditada.

Objetivos de auditora: Donde se indica el propsito del trabajo de auditora a

realizar.
Alcances de auditora: Aqu se identifica los sistemas especficos o unidades de
organizacin que se han de incluir en la revisin en un perodo de tiempo determinado.
Planificacin previa: Donde se identifica los recursos y destrezas que se necesitan
para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y
lugares fsicos o instalaciones donde se va auditar.

DESARROLLO DE UN PROGRAMA DE
AUDITORA
*

Procedimientos de auditora para:

- Recopilacin de datos.
- Identificacin de lista de personas a entrevistar.
- Identificacin y seleccin del enfoque del trabajo
- Identificacin y obtencin de polticas, normas y directivas.
- Desarrollo de herramientas y metodologa para probar y verificar los
controles existentes.
- Procedimientos para evaluar los resultados de las pruebas y
revisiones.
- Procedimientos de comunicacin con la gerencia.
- Procedimientos de seguimiento.

DESARROLLO DE UN PROGRAMA DE
AUDITORA
* Informe:
En esta etapa el Auditor se dedica a formalizar en un documento los resultados
a los cuales llegaron los auditores en la Auditora ejecutada y dems
verificaciones vinculadas con el trabajo realizado.
El informe parte de los resmenes de los temas y de las Actas de Notificacin
de los Resultados de Auditora (parciales) que se vayan elaborando y
analizando con los auditados, respectivamente, en el transcurso de la Auditora.
La elaboracin del informe final de Auditora es una de las fases ms
importante y compleja de la Auditora, por lo que requiere de extremo cuidado
en su confeccin.
El informe de Auditora debe tener un formato uniforme y estar dividido por
secciones para facilitar al lector una rpida ubicacin del contenido de cada una
de ellas.

DESARROLLO DE UN PROGRAMA DE
AUDITORA
* El informe de auditora debe cumplir con los principios siguientes:
Que se emita por el jefe de grupo de los auditores actuantes.

Por escrito.
Oportuno.
Que sea completo, exacto, objetivo y convincente, as como claro, conciso y
fcil de entender.
Que todo lo que se consigna est reflejado en los papeles de trabajo y que
responden a hallazgos relevantes con evidencias suficientes y competentes.

Que muestre la calificacin segn la evaluacin de los resultados de la

Auditora.

DESARROLLO DE UN PROGRAMA DE
AUDITORA
* Seguimiento:

En esta etapa se siguen, como dice la palabra, los

resultados de una Auditora, generalmente una
Auditoria evaluada de Deficiente o mal, as que pasado
un tiempo aproximado de seis meses o un ao se
vuelve a realizar otra Auditora de tipo recurrente para
comprobar el verdadero cumplimiento de las
deficiencias detectadas en la Auditoria.

UNIDAD 3
PROCESOS DE AUDITORA

DETERMINACIN DEL REA A

AUDITAR
* Se considera realizar una Auditoria de Sistemas cuando en una empresa
o algn departamento especifico se presente:
- Aumento considerado e injustificado del presupuesto del Departamento de
Procesamiento de Datos.
Desconocimiento en el nivel directivo de la situacin informtica de la
empresa.
- Falta total o parcial de las seguridades lgicas y fsicas que garanticen la
integridad del personal, equipos e informacin.
- Descubrimiento de fraudes efectuados con el computador.
- Falta de una planificacin informtica.
- Organizacin que no funciona correctamente, falta de polticas, correctivos,
normas, metodologa, asignacin de tareas y adecuada administracin del
recurso humano.
- Descontento general de los usuarios por incumplimientos de plazos y mala
calidad de los resultados.
- Falta de documentacin o documentacin incompleta de sistemas que revela
la dificultad de efectuar el mantenimientos de los sistemas en produccin.

RIESGOS Y CONTINGENCIAS MS
COMUNES
* RIESGO:
Situacin que puede propiciar la comisin de un delito, por ejemplo:
Avaricia.

Problemas financieros (deudas, enfermedades familiares, educacin, vivir por encima de los
propios medios, entre otros.)
Autogratificacin del ego (por el hecho de hacerlo)
Caridad o Sndrome de Robn Hood.
Omisiones o errores en los sistemas.

Mentalidad turbada.
Venganza por insatisfaccin personal (sub-empleo, ascensos negados, envidia, falta de
reconocimiento)

RIESGOS Y CONTINGENCIAS MS
COMUNES
* FRAUDE:

Es el delito cometido, intencional y premeditadamente. Ej.:

Falsificacin de datos de entrada.
Caballo de Troya.
Bomba de tiempo.
Puerta trasera.
Intercepcin electrnica de la comunicacin.

Rastreo / Filtracin de la informacin.

Simulacin y modelaje.

RIESGOS Y CONTINGENCIAS MS
COMUNES
Factores que han permitido el incremento de
delitos por computador:
*

Aumento de personas estudiando computacin.

Aumento en numero de empleados con acceso a equipos.
Facilidad en el uso de los equipos.
Incremento en la concentracin del numero de aplicaciones
y de la informacin en las empresas y organizaciones.

UNIDAD 4
ESTNDARES DE DOCUMENTOS

CAPTACIN DE LA INFORMACIN EN LA
AUDITORA
La informacin es la materia prima con la que trabaja el
auditor, esto da origen a preguntarse:

Qu informacin hay que buscar?

Dnde se encuentra?

Cmo darle una coherencia? Entre otras.

CAPTACIN DE LA INFORMACIN EN LA
AUDITORA
El auditor, antes de iniciar la recopilacin de informacin
necesita:

* Saber que informacin es significativa y cual no lo es.

* Tener un esquema conceptual con el que ordenarla y
clasificarla.
* Saber cuales son los medios para obtenerla.

TCNICAS PARA LA CAPTACIN DE

INFORMACIN
Tcnicas:
Cuestionario de Chequeo
Observacin directa
Entrevista
Cuestionarios Especficos
Pruebas de Verificacin
Es importante reconocer y entrevistarse con los responsables del rea
de sistemas de la empresa para conocer con mayor profundidad el
hardware y el software utilizado, en las entrevistas tambin se incluirn:
Director / Gerente / Lder de Informtica.
Analistas / Desarrolladores de sistemas.
Asistentes de Informticas.
Tcnicos de soporte externo.

PRESENTACIN DEL INFORME DE LOS

RESULTADOS DE LA AUDITORIA
Los resultados que surjan de la aplicacin de los procedimientos
de control y pruebas realizadas al sistema, se detallan de manera
clara y concisa todos los problemas detectados en un informe
borrador, el cual se le presentar al responsable del rea de
informtica, as como las soluciones recomendadas.

As mismo, en una reunin posterior se formaliza la entrega del

informe final a los directivos de la empresa, el cual dar a
conocer todos los puntos evaluados durante la auditoria,
resultados, conclusiones, puntaje y posibles soluciones.

AUDITORIA EN EL DESARROLLO DE LOS

SISTEMAS
Objetivos del Control de Diseo de Sistemas y Programacin:

* Etapa de Anlisis:
Identificar inexactitudes,
especificaciones.

ambigedades

* Etapa de Diseo:
Descubrir errores, debilidades,
codificacin.

omisiones

* Etapa de Programacin:
Buscar la claridad modularidad.
Verificar con base en las especificaciones.

omisiones

antes

de

en

las

iniciar

la

CONTROLES DE LA AUDITORA
Control de los Datos fuentes y manejo de cifras de control:

La mayora de los delitos por computadora son cometidos por

modificaciones de datos fuentes al:
Suprimir u omitir datos.
Adicionar datos.

Alterar datos.
Duplicar procesos.

CONTROLES DE LA AUDITORA
Control de Operacin:
La eficiencia y el costo de la operacin de un
sistema de computo se ven fuertemente afectados por
la calidad e integridad de la documentacin requerida
para el proceso en la computadora, es por ello que se
debe considerar el control para:
Datos de Entrada
Datos de Salida

CONTROLES DE LA AUDITORA
Control de Medios de Almacenamiento Masivo:
Una direccin de informtica bien administrada debe tener
perfectamente protegidos los dispositivos de almacenamiento,
adems de mantener registros sistemticos de la utilizacin de
estos archivos, de modo que sirvan de base a los programas de
limpieza (borrado de informacin), principalmente en el caso
de las cintas.

UNIDAD 5
AUDITORA DE CENTROS DE CMPUTO

CONTROLES DE SEGURIDAD DE UN
CENTRO DE CMPUTO
Los Controles son las medidas, normas y procedimientos que se
disponen para proteger los recursos contra las amenazas a que estn
expuestos y contra los riesgos que stas podran generar, sobre todo en
los Centros de Cmputos.
* Controles preventivos: para tratar de evitar el hecho, como un
software de seguridad que impida los accesos no autorizados al
sistema.
* Controles detectives: cuando fallan los preventivos, para tratar de
conocer cuanto antes el evento. Por ejemplo, el registro de intentos de
acceso no autorizados, el registro de la actividad diaria para detectar
errores u omisiones, etc.
* Controles correctivos: facilitan la vuelta a la normalidad cuando se
han producido incidencias. Por ejemplo, la recuperacin de un archivo
daado a partir de las copias de seguridad.

CONTROLES DE SEGURIDAD DE UN
CENTRO DE CMPUTO
Se evaluar la existencia y la aplicacin correcta de las polticas
de seguridad, emergencia y disaster recovery del centro de computo.
Se har una revisin de los manuales de poltica del centro de
computo, para verificar que los procedimientos de los mismos se
encuentren actualizados y que sean claros y que el personal los
entienda.
Debe existir un programa de seguridad, para la evaluacin de
los riesgos que puedan existir, respecto a la seguridad del
mantenimiento de los equipos, programas y datos.

UNIDAD 6
LA SEGURIDAD EN EL REA DE LA
INFRMATICA

CONSIDERACIONES GENERALES
Una Auditoria de Seguridad Informtica o Auditoria de
Seguridad de Sistemas de Informacin, es el estudio que
comprende el anlisis y gestin de sistemas llevado a cabo por
profesionales en Informtica para identificar, enumerar y
posteriormente describir las vulnerabilidades que pudieran
presentarse en una revisin exhaustiva de las estaciones de
trabajo, redes de comunicaciones o servidores.
Las Auditorias de Seguridad permiten conocer en el momento
de su realizacin cual es la situacin exacta de sus activos de
informacin en cuanto a proteccin, control y medidas de
seguridad.

FASES DE UNA AUDITORA DE SEGURIDAD

Los servicios de Auditorias de Seguridad constan de las siguientes
fases:
Enumeracin de redes, topologas y protocolos.
Identificacin de los sistemas operativos instalados.

Anlisis de servicios y aplicaciones.

Deteccin, comprobacin y evaluacin de vulnerabilidades.
Medidas especificas de correccin.
Recomendaciones sobre implantacin de medidas preventivas.

TIPOS DE AUDITORAS DE SEGURIDAD

INFORMTICA

Realizar auditorias con cierta frecuencia asegura la integridad de los

controles de seguridad aplicados a los sistemas de informacin. Acciones
como el constante cambio en las configuraciones, la instalacin de parches,
actualizacin de los softwares y la adquisicin de nuevo hardware, hacen
necesario que los sistemas estn continuamente verificados mediante
auditorias.

ESTNDARES DE AUDITORA
INFORMTICA Y SEGURIDAD
Una Auditoria se realiza con base a un patrn o conjunto de
directrices o buenas practicas sugeridas.

Existen estndares orientados a servir como base para auditorias

informticas, uno de ellos es COBIT (Objetivos de Control de las Tecnologas
de la Informacin), dentro de los objetivos definidos como parmetro, se
encuentra el Garantizar la seguridad de los sistemas.
Adicional a este estndar podemos encontrar el estndar ISO 27002, el
cual se conforma como un cdigo internacional de buenas practicas de
seguridad de la informacin, este puede constituirse como una directriz de
auditoria apoyndose de otros estndares de seguridad de la informacin
que definen los requisitos de auditoria y sistemas de gestin de seguridad.

UNIDAD 7
SEGURIDAD OPERACIONAL EN EL REA
DE INFORMTICA

SEGURIDAD OPERACIONAL
Aplicar controles operativos en un ambiente de Procesamiento de
Datos, la mxima autoridad del rea de Informtica de una empresa o
institucin debe implantar los siguientes controles que se agruparan de
la siguiente forma:
1.- Controles de Preinstalacin
2.- Controles de Organizacin y Planificacin
3.- Controles de Sistemas en Desarrollo y Produccin
4.- Controles de Procesamiento
5.- Controles de Operacin
6.- Controles de uso de Microcomputadores

CONTROLES OPERATIVOS
1.- Controles de Preinstalacin
Hacen referencia a procesos y actividades previas a la adquisicin e
instalacin de un equipo de computacin y obviamente a la automatizacin de
los sistemas existentes.
Objetivos:
Garantizar que el hardware y software se adquieran siempre y cuando tengan la
seguridad de que los sistemas computarizados proporcionaran mayores
beneficios que cualquier otra alternativa.
Garantizar la seleccin adecuada de equipos y sistemas de computacin
2.- Controles de organizacin y Planificacin
Se refiere a la definicin clara de funciones, lnea de autoridad y
responsabilidad de las diferentes unidades del rea PAD, en labores tales como:
- Disear un sistema
- Elaborar los programas
- Operar el sistema
- Control de calidad
Se debe evitar que una misma persona tenga el control de toda una operacin.

CONTROLES OPERATIVOS
3.Controles
de
Sistema
en
Desarrollo
y
Produccin
Se debe justificar que los sistemas han sido la mejor opcin para la
empresa, bajo una relacin costo-beneficio que proporcionen oportuna y
efectiva informacin, que los sistemas se han desarrollado bajo un
proceso planificado y se encuentren debidamente documentados.
5.- Controles de Operacin
Abarcan todo el ambiente de la operacin del equipo central de
computacin y dispositivos de almacenamiento, la administracin de la
cintoteca y la operacin de terminales y equipos de comunicacin por
parte de los usuarios de sistemas on line.

CONTROLES OPERATIVOS
6.- Controles en el uso del Microcomputador
Es la tarea ms difcil pues son equipos mas vulnerables, de fcil
acceso, de fcil explotacin pero los controles que se implanten
ayudaran a garantizar la integridad y confidencialidad de la informacin.

UNIDAD 8
SEGURIDAD FSICA EN EL REA DE
INFORMTICA

SEGURIDAD FSICA

DEFINICIN: aplicacin de barreras fsicas y procedimientos de

control como medidas de control y contramedidas contra las amenazas
fsicas a los recursos y la informacin confidencial.
Dos aspectos: prevencin + deteccin
En muchos casos: mas fcil aprovechar vulnerabilidades fsicas
(maquinas o dispositivos de almacenamiento accesibles, backups
antiguos olvidados, ...) que fallos lgicos (configuracin no adecuada,
agujeros del software, ...)
No solo ataques amenazan seguridad fsica: incendios, cadas,
robos, interferencias electromagnticas,...

AMENAZAS A LA SEGURIDAD FSICA

- Desastres naturales, incendios accidentales,
tormentas e inundaciones.
- Amenazas ocasionadas por el hombre.
- Disturbios, sabotajes internos y externos
deliberados.

AMENAZAS A LA SEGURIDAD FSICA

A veces basta recurrir al sentido comn para darse cuenta que
cerrar una puerta con llave o cortar la electricidad en ciertas reas
siguen siendo tcnicas vlidas en cualquier entorno.
A continuacin se analizan los peligros ms importantes que se corren
en un centro de procesamiento:
Inundaciones
Incendios
Condiciones climatolgicas
Seales de radar
Instalaciones elctricas
Ergometra

ACIONES HOSTILES CONTRA LA

SEGURIDAD FISICA

ROBOS

SABOTAJE

FRAUDES

CONTROLES DE ACCESO
UTILIZACION DE GUARDIAS
UTILIZACION DE DETECTORES DE METALES
UTILIZACION DE SISTEMAS BIOMETRICOS
VERIFICACIN DE FIRMAS
SEGURIDAD CON ANIMALES
PROTECCIN ELECTRNICA

UNIDAD 9
SEGURIDAD DE DATOS E INFORMACIN

SEGURIDAD DE DATOS E INFORMACION

Consiste en la "aplicacin de barreras y procedimientos
que resguarden el acceso a los datos y slo se permita
acceder a ellos a las personas autorizadas para hacerlo."
Existe un viejo dicho en la seguridad informtica que
dicta que "todo lo que no est permitido debe estar
prohibido" y esto es lo que debe asegurar la Seguridad
Lgica.

OBJETIVOS DE LA SEGURIDAD DE
DATOS E INFORMACIN
Los objetivos que se plantean sern:
Restringir el acceso a los programas y archivos.
Asegurar que los operadores puedan trabajar sin una supervisin
minuciosa y no puedan modificar los programas ni los archivos
que no correspondan.
Asegurar que se estn utilizados los datos, archivos y programas
correctos en y por el procedimiento correcto.
Que la informacin transmitida sea recibida slo por el
destinatario al cual ha sido enviada y no a otro.
Que la informacin recibida sea la misma que ha sido transmitida.
Que existan sistemas alternativos secundarios de transmisin
entre diferentes puntos.
Que se disponga de pasos alternativos de emergencia para la
transmisin de informacin.

CONTROLES PARA LA SEGURIDAD DE

DATOS E INFORMACION
IDENTIFICACIN Y AUTENTIFICACIN

ROLES
TRANSACCIONES

LIMITACIONES DE LOS SERVICIOS

MODALIDAD DE ACCESO
UBICACIN Y HORARIO

CONTROL DE ACCESO INTERNO Y EXTERNO

ADMINISTRACION

PROTECCIN DE DATOS
La seguridad fsica tambin incluye la proteccin
de la informacin soportada por el hardware:
la almacenada y la que se transmite entre equipos

Existen ataques/amenazas fsicas que pueden

dar lugar a la consecucin / destruccin de la
informacin almacenada.

POSIBLES AMENAZAS A LOS DATOS

Intercepcin / evaesdropping: un tercer agente intercepta informacin
(en claro o cifrada) no dirigida a el.
Sniffing consiste e la captura de tramas que circulan por al red, desde
una mquina conectada a ella o desde dispositivos especficos para
este ataque
Soluciones:
No permitir segmentos de red o tomas de fcil acceso y escaso
control, uso de tcnicas de cifrado (hardware o software)
Tambin puede ser fuente de informacin la intercepcin de datos
emitidos en forma de sonidos o ruido: pinchazos, informacin. sobre
pautas y momentos de uso de recursos, etc..

POSIBLES AMENAZAS A LOS DATOS

Proteccin de back-ups: necesidad de proteccin fsica de la
informacin. almacenada en los back-ups, mismas medidas que las
aplicadas sobre el sistema normal
Evitar mantener los dispositivos de back-up en la misma
sala/edificio que los dems
Evitar un etiquetado del almacenamiento de back-up que facilite la
explotacin de esas copias de seguridad (o indicar explcitamente los
ficheros que se contienen, usar algn esquema de etiquetado que no de
pistas)
Otros elementos: evitar otro tipo de soportes fsicos de datos fuera
de control: listados, facturas, manuales, etc.

AUDITORIA DE SISTEMAS
(SYC-32813)

Ingeniera de Sistemas

Lcda. Graciela Argelles (MSC)

Ing. Javier Coronado (MSC)