Sunteți pe pagina 1din 41

Auditora de Sistemas

Las funciones de la auditora son:


Evalua (determina),verifica (evidencias) y disea los controles en las actividades y
recursos de cmputo de las empresas.
Promueve la automatizacin de las diferentes modalidades de la auditora.
Objetivos
1. Auditora a la Seguridad en el Centro de Cmputo
Riesgos Fsicos
Organizacin y Personal
Planes de Respaldo
2. Auditora en:
Sistema Operativo
Software Aplicativo
Archivos
3. Auditora a las Aplicaciones en Funcionamiento Entrada de Datos
Procesamiento
Archivos
Salidas
Utilitarios
4. Auditora al Desarrollo y/o modificaciones a las aplicaciones Solicitudes
Anlisis de factibilidad
Etapas de la metodologa adoptada
5. Auditora al Ambiente de Redes Seguridad
Perfiles de Usuarios
6. Auditora al ambiente de Microcomputadores Seguridad fsica
Utilizacin
Respaldo
Podemos expresar lo grficamente as:

Esquemticamente los horizontes a donde debemos apuntar las labores de seguridad y


de evaluacin de la misma en las tareas de Auditora son:

Controles de Continuidad: Pistas, backup, planes de contingencia, seguros


Controles de Privacidad y Confidencialidad: Derecho a la intimidad de la
informacin.
Diseo de Controles
Mximos controles no son controles ptimos
Pasos
1. Identificacin de riesgos
Mtodos ms usados:
- Lluvias de ideas. (Grupo Delphi). Riesgos macros hasta micros.
Segmentar sistema por reas, por operaciones, por recursos u otros conceptos.
- Agrupar causas y efectos de un mismo riesgo.
Redaccin en la forma ms clara y explcita del posible riesgo.
Se requiere conocimiento detallado del procedimiento.

2. Seleccin de riesgos crticos


" La eficiencia global de un sistema es inversamente proporcional a la cantidad de controles
existentes en el".
Se disean controles para los riesgos ms importantes.
Mtodo recomendado.
Comparacin por parejas.
- Anlisis cualitativo de efectos y probabilidad de ocurrencia.

3. Evaluar las implicaciones de costos, eficiencia, etc., si se decide controlar


4. La administracin decide: Asume el riesgo o controla la operacin
5. Se disea los controles detallados para aquellos riesgos que se decide controlar
Objetivo. Definir controles para riesgos crticos
Mtodo recomendado.
Descomponer riesgos en causas, efectos y formas de ocurrencia.
Examinar procedimientos para:
Eliminar causas
Detectar formas de ocurrencia
Reducir efectos
Estos controles deben ser: Prcticos, razonables, costo-efecto, oportunos, significativos,
apropiados, simples y operativos.
Grupo de diseo de controles.
Jefe del rea.
Personal involucrado
Administrativo
Auditor
6. Anlisis de efectividad de controles
Objetivo. Determinar si los controles propuestos son efectivos para los riesgos crticos.
Mtodo recomendado.
- Elaborar matriz riesgos-controles
Determinar y calificar la efectividad de cada control para el riesgo o los riesgos que se
aplican. Esta calificacin puede ser arbitraria, pero lo que se debe mantener es la forma
relativa que permita comparar el grado de proteccin que ofrece un control para un riesgo
determinado. Puede ser: Alto, Medio, Bajo, Nulo; 0,1,2 o Mal, Bien, Excelente.
- Analizar cada columna de la matriz (riesgo) para determinar el grado de proteccin global.
- Donde la proteccin no sea suficiente proponer nuevos controles.
- Analizar las filas (controles) para determinar si el control propuesto se justifica por su grado
de efectividad, para uno o varios riesgos. De lo contrario eliminarlo.
Notas.
Si para un riesgo crtico solo hay un control que lo minimice suficientemente, este es
candidato a seleccin.
Si hay un control que acte en forma excelente sobre varios riesgos crticos es candidato a
seleccin.
Si existen riesgos crticos que no han sido minimizados suficientemente, debo continuar la
bsqueda de controles que lo hagan.
Tener cuidado con la preseleccin de controles excluyentes.
7. Anlisis de eficiencia
8. Seleccin de controles.
Objetivo. Decidir si se invierte en el control para reducir la posibilidad de ocurrencia del
riesgo, o se acepta la probabilidad de perdidas asociadas al riesgo.
La implantacin de los controles no debe ser ms costosa que los recursos involucrados en
el riesgo.

9. Definir el punto ms adecuado de implantacin. La bsqueda del autocontrol, exige los


controles se involucren lo mas natural posible dentro de los procesos. Deben ser
procedimientos que interfieran lo menos posibles en las normales actividades, es mas, se
deben convertir en formas de actuar.
10. Disear procedimiento detallado de ejecucin del control
11. Documentacin. Garantizan el mantenimiento permanente de los controles implantados

Cap. 1 Conceptos Generales


Resumen
El trmino Polticas de Seguridad, en particular las de Informtica PSI, se usa de
muchas formas y dando connotaciones diferentes, lo cual en ocasiones hace que se
pierda, para muchos, una gran importancia en la tarea de la implementacin de la
seguridad en las empresas. Ac se presenta una visin integral de este problema y la
forma de enfrentar la ardua tarea de disear e implantar las PSI.
Introduccion
La Poltica de Seguridad se define de la siguiente manera: grupo de reglas y
regulaciones que dicta cmo una organizacin protege, maneja y distribuye informacin
sensible. En la prctica, es usual que la referencia a este trmino se haga teniendo en
mente unas cuantas directrices sobre claves de acceso y respaldo de informacin.
Pero las Polticas de Seguridad se deben enfocar desde una perspectiva de mayor
importancia, pues son pieza fundamental en el proyecto de plan de seguridad de una
instalacin. La forma adecuada para plantear la planificacin de la seguridad en una
organizacin debe partir siempre de la definicin de una Poltica de Seguridad que
determine el QU se quiere hacer en materia de seguridad en la organizacin para a
partir de ello decidir mediante un adecuado plan de implementacin el CMO se
alcanzarn en la practica los objetivos fijados.
Definir una Poltica de Seguridad de red significa elaborar procedimientos y planes que
salvaguarden los recursos de la red contra la prdida y dao" .
Poltica de Seguridad es un documento formal de reglas para todos los usuarios que
tienen acceso a los recursos, tecnologas e informacin de la organizacin.
No es una descripcin tcnica de mecanismos de seguridad, ni una expresin legal que
involucre sanciones a conductas de los empleados, es mas bien una descripcin de lo
que deseamos proteger y el por qu de ello.
Para lograr estos objetivos se debe pasar por una serie de pasos que involucran
muchos aspectos y personas. Se parte de la visin que se tenga de la seguridad, la
que se mueve entre dos posturas o enfoques:
1. Lo que no est expresamente permitido est prohibido
2. Lo que no est expresamente prohibido est permitido.

Como una forma de englobar todo lo planteado anteriormente y viendo este asunto
desde una ptica integral, como un proceso donde el documento formal es solo un
paso y entendiendo la seguridad informtica como los procedimientos y mecanismos
utilizados para garantizar un razonable grado de proteccin de los recursos
informticos, se presenta a continuacin una propuesta de metodologa que facilita
esta labor.
Etapas en el Diseo e Implementacin de una Poltica de Seguridad
Como se muestra en la figura 1, el disear una Poltica de Seguridad para su posterior
implementacin no puede ser un acto caprichoso, de momento, de moda; es un
proyecto completo que debe ser asumido con la mayor responsabilidad si se quiere
lograr el efecto buscado. Cada una de estas etapas cumple papel importante en el
exitoso final del proyecto.

Fig. 1. ETAPAS EN EL DISEO E IMPLEMENTACION DE UNA POLITICA DE SEGURIDAD

Recorriendo cada uno podemos ver que tareas en concreto se deben desarrollar y cual
es la razn para su inclusin en la propuesta metodolgica planteada.
Mercadeo del Proyecto
Vender un nuevo proyecto nunca es fcil y mas si se trata de asuntos relacionados con
la seguridad en sistemas, donde muchos consideran que no tienen riesgos o no son de
su inters y piensan que las Polticas de Seguridad basta con copiarlas de otras
instalaciones o usar el sentido comn para expedir un recetario de normas.
Como se aprecia en la figura 2, se pueden usar diferentes estrategias para involucrar a
la alta gerencia en el proyecto, sin la participacin de la cual jams se lograr llevarlo al
punto que se requiere.
Esta etapa enfrenta el poco inters de las altas directivas de la empresa, el
desconocimiento de la importancia de la seguridad informtica y el exceso de
tecnicismo de los expertos en seguridad. Para facilitar el trabajo de concientizacin es
bueno apoyarse en casos de fallos de seguridad ocurridos en negocios similares y los
efectos generados; hacer notar la responsabilidad que cabe a las empresas que no han
realizado los esfuerzos necesarios para minimizar los riesgos y que debido a ello

pueden infringir normas legales o afectar a otros; para finalizar se puede evaluar la
razn costo/beneficio de las medidas tendientes a enfrentar con seriedad los aspectos
relativos a seguridad y que el no hacerlo podra llevar a graves problemas de imagen y
prestigio de la organizacin

Fig. 2. ETAPA DE MERCADEO DEL PROYECTO

Inventario y Calificacin
Para saber que hay que proteger es necesario hacer un juicioso inventario de recursos
informticos (hardware, software y liveware), y de los servicios ofrecidos, donde se
determine la importancia para la organizacin y el grado de criticidad de cada uno. En
la figura 3 se aprecian estos elementos.

Fig. 3. ETAPA DE INVENTARIO Y CALIFICACION

Determinar los Objetivos

Estn asociados, como se aprecia en la figura 4, a los objetivos de la Seguridad


Informtica, orientados a proteger la organizacin contra amenazas que atenten contra:
1. La continuidad de las operaciones.
2. La confidencialidad y privacidad de la informacin manejada.
3. La confiabilidad y exactitud el sistema
4. La seguridad fsica.

Fig. 4. OBJETIVOS DE LA SEGURIDAD

Anlisis de Amenazas
En la figura 5 se aprecian algunas de las posibilidades que se tienen de conocer los
riesgos que se presentan para los diferentes recursos de la organizacin.

Fig. 5. METODOS DE ANALISIS DE AMENAZAS

La metodologa de Anlisis de Riesgos, desagrega la situacin de riesgo evaluada en


Escenarios de Riesgos . A partir de esto se procede a:
1. Elegir un Escenario de Riesgo E.R.
2. Determinar las Actividades Sujetas a Control (A.S.C.) asociadas al E.R.
3. Elegir una A.S.C.
4. Identificar amenazas relacionadas a la A.S.C. elegida.
5. Tomar una amenaza.
6. Preseleccionar la mezcla de controles para proteger la instalacin contra la amenaza
elegida
7. Repetir los pasos 3 a 6.
8. Escoger otro E.R. hasta que se hayan agotado y repetir desde paso 2.
9. Seleccionar los controles a recomendar.
Los formatos de calificacin recogen la informacin de cada recurso, la importancia
relativa que tiene, los tipos de usuarios asociados a situaciones indeseables, las
posibles amenazas y las medidas a implantar para proteger suficientemente los activos
contra esos riesgos.
Como otra forma, pero casi siempre acompaando algunos de los mtodos anteriores
se recurre a la opinin de expertos y a las vivencias de los usuarios del sistema, para
recolectar informacin de los probables riesgos y los efectos a que estn expuestos los
procesos o corrientes de informacin.
Polticas de Seguridad Informtica
Despus de los pasos previos y con los conocimientos ganados se procede a la
construccin del documento formal que incluir los diversos elementos y para lo
cual se deben tener en cuenta los aspectos mostrados en la figura 6. Debe
entenderse esta etapa como la del diseo de la Poltica de Seguridad y deben
quedar especificados los diferentes componentes que cubrir y la forma como se
aplicar la misma.
La Poltica de Seguridad tiene dos propsitos centrales:
Informar a todos los usuarios sobre las obligaciones que deben asumir respecto a la
seguridad asociada a los recursos de tecnologa de Informacin T.I y
dar las guas para actuar ante posibles amenazas y problemas presentados.
Para que pueda convertirse en esa lnea gua, es necesario involucrar a los
diferentes sectores en la organizacin: Alta gerencia, responsables de T.I., los
encargados de seguridad, los auditores, gerentes de las dependencias y
representantes de los usuarios.
El documento formal debe definir elementos asociados la adquisicin de hardware,
software y contratacin de servicios externos teniendo presente los aspectos
referentes a seguridad (outsourcing, mantenimiento a hardware y/o software,
desarrollo de aplicaciones, administracin de proyectos, etc.); las disposiciones
sobre privacidad y control de acceso incluidas las polticas de autenticacin; las
responsabilidades asociadas a las mtodos de actuacin y el manejo de incidentes.
Un aspecto importante es la declaracin de disponibilidad, entendida como el

compromiso que hace el rea de sistemas informticos sobre el mnimo nivel la


prestacin de servicios en trminos de tiempo y cobertura que se garantizar .
Un reto importante es lograr todo lo anterior emitiendo un documento sencillo y
claro, apoyado por la alta direccin, que permita la normal actuacin, haciendo de
las polticas procedimientos inmersos en los tareas cotidianas, enfocados a los
problemas relevantes, fcil de ajustar a los cambios permanentes, que garanticen
su cumplimiento apoyndose en herramientas de seguridad antes que orientado a
castigar a los infractores, lo cual no se descarta. Pero hay que resaltar algunas
caractersticas que hacen de ella una buena Poltica de Seguridad: La constante
actualizacin y el hacerla pblica y respaldada por los usuarios en la vida prctica.
Plan de Implementacin
Terminado el diseo, se procede a la fase de construccin. La figura 7 muestra a
grandes rasgos las tareas que se deben realizar.
Plan de Auditora
En un medio cambiante y en especial en las nuevas tecnologas informticas y de
comunicacin, no ha pasado mucho tiempo sin que las condiciones varen, esto puede
llevar a nuevos riesgos y debe actuarse proactivamente para lograr los sistemas
autocontrolados que tanto se pregonan.
La labor de auditora entendida como la evaluacin y anlisis de esa realidad, en forma
critica, objetiva e independiente, con el objeto de evaluar el grado de proteccin que
presenta una instalacin ante las amenazas a que est expuesta; es parte importante
del diseo e implantacin de Polticas de Seguridad. No basta con disear buenas
polticas es necesario llevarlas a la prctica en forma correcta y garantizar que se
adecuan a nuevas condiciones.
Retroalimentacin
La implementacin de Polticas de Seguridad, genera diferentes situaciones en los
negocios lo que obliga al manformacintenimiento constante. Los cambios deben
iniciarse con un nuevo anlisis de riesgos en el sistema de in o detectados en la labor
de auditora.
Conclusiones
La Poltica de Seguridad es una herramienta de gran valor para enfrentar el Plan de
Seguridad de una instalacin y debe entenderse como un proceso integral que parte de
la situacin real y se construye teniendo en cuenta los recursos y riesgos a que esta
expuesta la organizacin, convirtindola en una lnea gua de operacin y actuacin
para proteger los activos y garantizar la continuidad y calidad de los servicios ofrecidos.

CAP. 2 Tcnicas De Auditora Asistidas Por Computadoras


Tambin conocidas por su sigla en ingles como CAATs (Computer Assisted Audit
Techniques ).
Normas
Normas Internacionales de Auditoria emitidas por IFAC (International Federation of
Accountants) en la NIA (Norma Internacional de Auditoria o International Standards on
Auditing, ISA) 15 y 16, donde se contempla la necesidad de utilizar otras tcnicas
adems de las manuales.
Norma ISA 401, sobre Sistemas de Informacin por Computadora.
SAS No. 94 (The Effect of Information Technology on the Auditor's Consideration of
Internal Control in a Financial Statement audit) dice que en una organizacin que usa
Tecnologas de Informacin IT, se puede ver afectada en uno de los siguientes cinco
componentes del control interno:
1)
2)
3)
4)
5)

El ambiente de control,
evaluacion de riesgos,
actividades de control,
informacin,
comunicacin y monitoreo ademas de la forma en que se inicializan, registran,
procesan y reporta las transacciones.

La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted


Audit Techniques (CAATs) o Tcnicas de Auditoria Asistidas por Computador (TAACs),
plantea la importancia del uso de TAACs en auditoras en un entorno de sistemas de
informacin por computadora
Tcnicas Manuales
Inspeccin. De documentos, procedimientos, activos, para verificar su existencia, mas
que para determinar la forma en que se estn utilizando.
Observacin. De procesos o acciones
Investigacin o indagacin.
Confirmacin. Ratificar datos.
Clculo. Precisin matemtica
Revisin Analtica. Investigacin de fluctuaciones o partidas poco usuales.
Tcnicas de Auditora Asistidas por Computador (TAAC's)
Computer Assisted Audit Techniques. (CAAT).
SAP 1009 los define como programas de computador y datos que el auditor usa como
parte de los procedimientos de auditoria para procesar datos de significancia en un
sistema de informacin.
SAP 1009 describe los procedimientos de auditoria en que pueden ser usados las
TAACs :
1. Pruebas de detalles de transacciones y balances (Reclculos de intereses,
extraccin de ventas por encima de cierto valor, etc.)

2. Procedimientos analticos, por ejemplo identificacin de inconsistencias o


fluctuaciones significativas.
3. Pruebas de controles generales, tales como configuraciones en sistemas operativos,
procedimientos de acceso al sistema, comparacin de cdigos y versiones,
4. Programas de muestreo para extractar datos.
5. Pruebas de control en aplicaciones.
6. Reclculos.
Datos de Prueba
Se alimenta la aplicacin con datos preparados por el auditor y de los cuales conoce
los resultados luego de procesarlos. El objetivo es conocer que hace el programa y la
accin de los controles implementados su ausencia.
Uso: - Evaluacin de controles especficos.
- Verificacin de validaciones
- Prueba de perfiles de acceso
- Prueba a transacciones seleccionadas
Anotaciones:
- Un elemento de gran importancia en esta tcnica es el diseo de los datos de prueba,
lo que en ltimas determinara la efectividad de esta tcnica. Es recomendable
seleccionar datos normales, ilgicos, imposibles, con valores extremos, etc.
- Es necesario para el funcionamiento de la actividad normal, pues se corre el riesgo de
mezclar la informacin.
- Es sencillo su uso, pero debe tenerse claro su objetivo.
IFAC, en su SAP 1009, plantea:
Las tcnicas de datos de prueba se usan durante una auditora alimentando datos (por
ej., una muestra de transacciones) al sistema de computo de una entidad, y
comparando los resultados obtenidos con resultados predeterminados.

ITF (Integrated Test Facility). Prueba Integrada de Facilidad


Tambin conocida como prueba de mini compaa.
Su objetivo y uso es similar al caso anterior pero su gran diferencia principal radica en
su implementacin sin detener el funcionamiento normal de la instalacin, mezclando
los datos de prueba con los datos reales, en la misma aplicacin.

Simulacin Paralela
Programas independientes creados por la auditora para procesar datos reales y
simular proceso real.

Software de Auditora
Segn SAP1009, en su pargrafo 26: "El software de auditora consiste en programas
de computadora usados por el auditor, como parte de sus procedimientos de auditora,
para procesar datos de importancia de auditoria del sistema de contabilidad de la
entidad. Puede consistir en programas de paquete, programas escritos para un
propsito, programas de utileria o programas de administracin del sistema.
Independientemente de la fuente de los programas, el auditor deber verificar su
validez para fines de auditora antes de su uso".

SOFTWARE GENERAL DE AUDITORIA

SOFTWARE DE AUDITORIA A LA MEDIDA

Paquete de Auditora. Son programas generalizados de computadora diseados para


desempear funciones de procesamiento de datos que incluyen leer archivos de
computadora, seleccionar informacin, realizar clculos, crear archivos de datos e
imprimir
informes
en
un
formato
especificado
por
el
auditor".
Son usados para control de secuencias, bsquedas de registros, seleccin de datos,
revisin de operaciones lgicas y muestreo.
Software para un propsito especfico o diseado a la medida. "Son programas de
computadora diseados para desempear tareas de auditora en circunstancias
especficas. Estos programas pueden ser desarrollados por el auditor, por la entidad, o
por un programador externo contratado por el auditor. En algunos casos el auditor
puede usar programas existentes en la entidad en su estado original o modificado

porque puede ser ms eficiente que desarrollar programas independientes".


Si se desarrolla a la medida es posible aprovechar estos programas para aplicar otras
tcnicas.
Los programas de utilera. "Son usados por la entidad para desempear funciones
comunes de procesamiento de datos, como clasificacin, creacin e impresin de
archivos. Estos programas generalmente no estn diseados para propsitos de
auditora y, por lo tanto, pueden no contener caractersticas tales como conteo
automtico de registros o totales de control".
Los programas de administracin del sistema. "Son herramientas de productividad
sofisticadas que son tpicamente parte de los sistemas operativos sofisticados, por
ejemplo software para recuperacin de datos o software para comparacin de cdigos.
Como en el caso anterior estas herramientas no son especficamente diseadas para
usos de auditoria y deben ser utilizadas con cuidado".
Rutinas de Auditora embebidas en Programas de aplicacin. Mdulos especiales
de recoleccin de informacin incluidos en la aplicacin y diseados con fines
especficos. Segn SAP 1009, se incluyen en estas
SnapShots. Es una fotografa interna al sistema, es decir a la memoria, lo que permite
obtener resultados intermedios en diferentes momentos de un proceso o conseguir
valores temporales de una variable. Se activa mediante ciertas condiciones
preestablecidas. Permite al auditor rastrear los datos y evaluar los algoritmos aplicados
a los datos.

Archivo de revisin de auditora. Involucra mdulos incrustados en una aplicacin que


monitorea continuamente el sistema de transacciones. Recolecta la informacin en
archivos especiales que puede examinar el auditor

MODELOS EMBEBIDOS DE AUDITORIA

System control audit Review file


En resumen los paquetes de auditoria son usados para control de secuencias,
bsquedas de registros, seleccin de datos, revisin de operaciones lgicas y
muestreo.
Registros extendidos
Se incluye en algn tipo de registro informacin significativa sobre las transacciones o
el sistema, que luego pude ser consultada por el auditor.
Falta imagen
Tcnicas para analizar programas
Traceo.
Indica por donde paso el programa cada vez que se ejecuta una instruccin. Imprime o
muestra en la pantalla el valor de las variables, en una porcin o en todo el programa.

Mapeo.
Caracterstica del programa tales como tamao en bytes, localizacin en memoria,
fecha de ultima modificacin, etc

Comparacin de cdigo.
Involucra los cdigos fuentes y cdigos objetos.
Falta imagen
Job Accounting Software. Informe de Contabilidad del Sistema.
Utilitario del sistema operativo que provee el medio para acumular y registrar la
informacin necesaria para facturar a los usuarios y evaluar el uso del sistema

Consideraciones para el uso de TAAC's


El auditor debe considerar una combinacin apropiada de tcnicas de auditora
manuales y asistidas por computador.
Conocimiento del sistema sujeto a evaluacion.
Conocimiento, pericia y experiencia del auditor en sistemas de informacion.
Capacidad del auditor para usar la tecnica, tanto a nivel de planificacin, ejecucin y
uso de los resultados obntenidos.
Disponibilidad de TAACs e instalaciones adecuadas para su implementacion.
Poco practico de las pruebas manuales, por imposibilidad de rastros fisicos de las
entradas, procesamientos y salidas de las transacciones o por el alto volumen de
informacin manejado.
Efectividad y eficiencia. Su efectividad debido a la posibilidad de revisar un grueso
volumen de transacciones (o tal vez todas), la facil implementacion de la revision
analitica. La eficiencia de debe tener en cuenta en terminos de tiempo de
preparacin, de ejecucin y analisis de resultados, gastos adicionales, etc.
Oportunidad de evaluar datos e informacin en el momento en que esta disponible.
Pasos en la planificacin para el uso de TAAC's
Fijar el objetivo de la aplicacin de la TAAC.

Determinar la estructura (esquema), el contenido y la forma de acceso a los datos,


archivos o bases de datos.
Definir los tipos de situaciones a ser analizadas
Definir los procedimientos que se van a seguir.
Definir los requerimientos de salida o reportes.
Identificar el personal de auditora y de sistemas que participaran en el diseo y
aplicacin de la TAAC.
Calcular los estimados de costos y beneficios.
Participar en todas las fases relacionadas con el TAAC, para garantizar su control y
documentacin.
Definir actividades y recursos y determinar su disponibilidad.
Aplicacin de la TAAC.
Evaluar los resultados.
Es importante resaltar que las TAACs se apoyan en programas de computador, los
cuales deben ser desarrollados usando las metodologas de ingeniera de software.
Es responsabilidad del auditor garantizar el control sobre estos programas, mal
hara en confiar la recoleccin de evidencia a una herramienta o tcnica que
funciona errnea o deficientemente. Por lo anterior es su deber participar en todas
las fases del desarrollo (determinacin de erequerimientos, diseo, construccion,
prueba e implantacin). Debe el auditor mantener bajo su vigilancia estas
aplicaciones para evitar que sufran modificaciones no autorizadas.
Documentacin de las TAAC's
La Norma Internacional especifica que el estndar de papeles de trabajo es consistente
con el de la auditora como un todo (incluido en NIA 9, Documentacin). Puede ser
conveniente mantener los papeles tcnicos que se refieren al uso de la TAAC
separados de los otros papeles de trabajo de la auditora.
La documentacin cubre todas las fases:
Planeacin:
- Objetivos de la TAAC.
- TAAC a utilizar.
- Controles que se van a implementar.
- Personal involucrado, cronograma y costos.
Ejecucin:
- Procedimiento de preparacin y prueba de la TAAC.
- Detalles de las pruebas realizadas.
- Detalles de datos de entrada, procesamiento y datos de salida.
Evidencia de Auditora:
- Datos de salida proporcionados.
- Descripcin del trabajo de anlisis sobre salidas.
Otros:
- Conclusiones de auditoria.
- Recomendaciones.
Si es el caso, se incluyen sugerencias para mejoras a TAAC utilizada.

Cap. 3 Auditora a Sistemas de Bases de Datos


Los Sistemas de Gestin de Bases de Datos proveen mecanismos que garantizan la
seguridad, consistencia y reglas de integridad. Es de gran importancia para el auditor
de sistemas, conocerlos y apoyarse en ellos para verificar el ambiente de control
establecido en la instalacin.
Caractersticas que apoyan la seguridad en los Sistemas de Bases de Datos
Los tpicos que se incluyen tienen que ver con la exactitud, consistencia y confiabilidad
de la informacin y con la privacidad y confidencialidad de los datos. Las Bases de
Datos tienen dentro de sus caractersticas elementos que pueden ser utilizados para
garantizar la calidad de la informacin almacenada y procesada.
Claves Primarias
Esta definicin determina que para un valor llave primaria solo existir una tupla o
registro en la tabla. Esta situacin garantiza que no se tendr informacin repetida o
discordante para un valor de clave y puede ser usada como control, para evitar la
inclusin de informacin inconsistente o repetida en las tablas.
Dominio de los atributos
El dominio de un atributo define los valores posibles que puede tomar este atributo.
Adems de los dominios "naturales", usados como tipos de datos, el administrador del
sistema puede generar sus propios dominios definiendo el conjunto de valores
permitidos. Esta caracterstica, usada en forma correcta, se convierte en mecanismo de
control, restriccin y validacin de los datos a ingresar . Hay que resaltar que estas
restricciones siempre sern evaluadas en forma automtica por el DBMS.
Reglas de Integridad
Son restricciones que definen los estados de consistencia de la Base de Datos. Se
debe implementar en especial para verificaciones en cada actualizacin, para evitar
que se caiga en estados de inconsistencia. En particular se debe verificar que se
implementen correctamente la regla de la Entidad.(un atributo primo no puede ser nulo)
y reglas de Integridad Referencial, esta ultima garantiza que solo se puedan incluir
registros para valores previamente ingresados en otras tablas.
Algunos ejemplos de su uso pueden ser:
- Impedir incluir novedades de nomina a una persona que no exista como trabajador en
el archivo maestro
de empleados.
- Impedir facturar a un cliente que no est previamente creado en el archivo de clientes.
- Impedir borrar de la lista de clientes un registro cuyo cdigo est incluido en la
relacin de cuentas por cobrar.
Reglas de integridad del negocio
Cada negocio funciona en forma diferente y tiene reglas asociadas a su actividad que
pueden ser definidas como restricciones en la Base de Datos. Esto implicara que
cualquier operacin que se realice debe respetar estas limitantes. Por decir algo,
condicionar que solo se otorgan descuentos en ventas superiores a $400.000. Estas
son condiciones que la administracin coloca a la operacin y como principio en el
desarrollo de una aplicacin, deben ser respetadas por esta.
Vistas
Sirve como mecanismo de compartimentacin de la informacin almacenada,
permitiendo presentar a diferentes usuarios parte del universo, segn se considere
necesario. Segn las polticas de seguridad, es usual que gran parte de los usuarios
nunca tengan acceso directamente a las tablas completas, sino que lo hagan a travs
de las vistas, las cuales, por ser un objeto, son sujetas de otras medidas de seguridad.
Perfiles de usuario y Acceso a objetos de la Base de Datos

Asignacin de nombres de usuarios, con su respectiva clave de acceso (password) y


perfiles asociados. Pueden tambin ser creados roles que sern concedidos a los
usuarios segn sus funciones.
Auditora
En situaciones en que los datos sean crticos, se debe contar con el riesgo de violacin
de la seguridad por una persona no autorizada, adems de errores involuntarios que
igual pueden causar inconsistencias o falta de veracidad de la informacin. Para estos
casos es interesante mantener un archivo de auditora (logs), donde son registradas
todas las operaciones realizadas por los usuarios de las bases de datos. En caso de
sospecha de falla en la seguridad, este archivo puede ser consultado para conocer los
daos causados y/o identificar a los responsables de las operaciones irregulares.
Criptografa de Datos
Como recurso de seguridad, se puede mezclar o codificar los datos de modo que, al
momento de ser almacenados en disco duro o trasmitidos por alguna lnea de
comunicacin, no sean ms que bits ininteligibles para aquellos que los accedan por un
medio no oficial. La criptografa es de gran importancia en las bases de datos pues la
informacin esta almacenada por largos periodos de tiempo en medios de fcil acceso,
como discos duros.
Disparadores o Triggers
Siendo un Triggers o disparador una rutina asociada con una tabla o vista que
automticamente realiza una accin cuando una fila en la tabla o la vista se inserta
(INSERT), se actualiza (UPDATE), o borra (DELETE), permiten vigilar y registrar
acciones especificas segn las condiciones propias del negocio; permitiendo crear logs
de auditoria a la medida.
Como se puede apreciar los Sistemas de Bases de Datos ofrecen a desarrolladores,
administradores y usuarios una gama muy completa de herramientas que permiten
garantizar la integridad, consistencia, confidencialidad y en general seguridad de la
informacin almacenada y con un elemento muy importante a favor: Las lneas de
cdigo que se requieren por parte del implementador son muy pocas, en ocasiones
solo basta con una sencilla sentencia para obligar al DBMS a controlar y mantener las
restricciones necesarias.
Metodologa tradicional
Revisin del entorno y el estado actual de control apoyado en Checklist
Metodologa propuesta
1. Investigacin Preliminar. Obtener el inventario de recursos (Hardware, software,
orgware y liveware) y la informacin relevante para apoyar el examen que el equipo
de Auditora realizara. El resultado de esta recopilacin se organiza en un archivo
de papeles de trabajo denominado archivo permanentemente o expediente continuo
de Auditora.
a. Conocimiento del negocio y del Sistema.
Informacin sobre la empresa y su objeto social, sobre sus polticas y normas. Adems
toda la informacin referente al Sistema de Bases de Datos.
Informacin que se debe solicitar y analizar
1. Polticas y normas del negocio en relacin con las actividades apoyadas con el
Sistema de Bases de Datos.

2. Informacin de objetos de la Bases de Datos (tablas, vistas, procedimientos


almacenados, triggers, etc.).
3. Diagrama de sistema y de redes del servidor de bases de datos, servidores de
replicacin y servidores de aplicaciones. Todas las conexiones clientes a la base de
datos incluyendo interfaces de red, direcciones IP, conexiones LAN y WAN.
4. Listado de usuarios de la base de datos con sus roles y privilegios.
5. Documentacin de las aplicaciones sobre la base de datos
6. Cuadros organizacionales y descripcin de funciones y procedimientos del personal
que soporta las bases de datos
7. Polticas de administracin y procedimientos sobre la base de datos incluyendo
procedimientos de seguridad, programas de backup y procedimientos de recover o
restauracin.
8. Documentacin de pruebas de recovery o restauraciones.
9. Documentacin de espacio en disco, tablas de espacio y monitoreo.
10. Archivos de arranque de bases de datos.
11. Script de utilidades.
12. Archivos de configuracin
13. Listados a travs de sistema operativo de los directorios de la base de datos
mostrando propietarios y permisos hasta el nivel de archivos.
14. Listados a travs de sistema operativo de los directorios de programas de
aplicacin que accedan las bases de datos, mostrando propietarios y permisos hasta el
nivel de archivos.
15. Listado de archivos de usuarios y grupos de usuarios.
16. Listado de informacin de archivos de logs.
17. Listado de los servicios habilitados (especialmente en el caso de exposiciones a
Internet)
b. Importancia del SGBD en la empresa.
c. Alcance de auditora.
2. Definir grupos de riesgos
Escenarios de Riesgo Sistema de Bases de Datos
1. Objetos de la base de datos y reportes.
Permiso en SGBD
Permisos SO
Informacion fuera de tablas. Importac Export
Privacidad y Confidencialidad.
Informes a quien no son.
DBA
Acceso a los datos fuera de DBMS
Politicas de seguridad
2. Programas de aplicacion y utilitarios.
Acceso logico
Permiso en SGBD
Permisos SO
Datos en Programas
Modificaciones a Aplicaciones
Estandares de Desarrollo

Documentacoin Cambios
Autorizacion a cambios, pruebas y puesta en marcha.
Acceso a fuentes.
Copias de los nuevos programas.
Adiconar rutinas de auditoriia
3. Auditora y Seguimiento
Logs.
Riesgos: logs muy grandes.
Desconocimiento de la informacion contenida
4. Planes de Respaldo y Contingencia.
5. Metadatos.
6. Seguridad en la Red.
7. Acceso a traves de Internet.
8. Seguridad Instalaciones y acceso fisico.
9. Diseo de la Base de Datos.
LLaves Primarias logicas
Integridad Referencial o mecanismos
Normalizacion
Triggers mal diseados.
10. Eficiencia y economia de recursos.
11. Almacenamiento.
Cambios no afectan a programas
Agrupacin
a. Problemas por seguridad en instalaciones y acceso fsico.
b. Riesgos relacionados con el acceso lgico y la privacidad a las bases de datos.
c. Causados por la relacin Sistema Operativo - DBMS.
d. Riesgos asociados a las aplicaciones y utilitarios.
e. Problemas relacionados con el Diseo de la Base de Datos.
f. Asuntos concernientes al Diccionario de datos y documentacin
g. Problemas con el Respaldo y planes de contingencia
h. Riesgos por personal y organizacin.
i. Auditabilidad.
3. Evaluacin del estado de control existente (checklist)
Objetivos de la evaluacin para cada grupo de riesgos
Preguntar para cada objetivo gravedad, probabilidad, impacto, referencias
observaciones.
A continuacin se muestran algunos ejemplos.
a. Problemas por seguridad en instalaciones y acceso fsico.
Objetivos
i. Evaluar la seguridad de las instalaciones contra diferentes riesgos.
ii. Evaluar la existencia e planes de accin ante siniestros que involucren las
instalaciones.
iii. Evaluar las medidas existentes para el control de acceso fsico a las instalaciones.
Checklist

b. Riesgos relacionados con el acceso lgico y la privacidad a las bases de datos.


c. Causados por la relacin Sistema Operativo - DBMS.
d. Riesgos asociados a las aplicaciones y utilitarios.
j. Problemas relacionados con el Diseo de la Base de Datos.
Objetivos
i. Investigar sobre la metodologa de diseo usada.
ii. Evaluar la integridad y consistencia de los datos.
iii. Evaluar si el Sistema respeta y apoya las reglas del negocio.
e. Asuntos concernientes al Diccionario de datos y documentacin
f. Problemas con el Respaldo y planes de contingencia
g. Riesgos por personal y organizacin.
Objetivos
i. Evaluar las funciones del DBA
ii. Evaluar si el sistema respecta la segregacin de funciones
iii. Evaluar las condiciones del personal involucrado con el Sistema de Bases de Datos.
h. Auditabilidad.
Objetivos
i. Existencia de logs donde se registre las actividades relacionadas con la bases de
datos
ii. Evaluar el grado de uso de la informacin registrada en los logs si existen.
Checklist

Aplicacin de cuestionarios
Informes de emergencia
Diseo de pruebas de Auditora
Los pasos anteriores son base para determinar la naturaleza y extensin de las
pruebas de auditora que deban efectuarse.
Las pruebas de auditora, como se sabe, son de dos tipos: De cumplimiento y
sustantivas. Buscan obtener evidencia que los controles establecidos existen en
realidad y se utilizan y ejecutan correctamente.
Al conjunto de pruebas resultante se denomina Programa de auditora.
El modo en que se verific cada respuesta de los cuestionarios, debe ser incluida en
los checklist.
Es un trabajo de escritorio donde se especifica la instalacin a evaluar, el nmero de la
prueba, el objetivo de la misma, las tcnicas a emplear, el tipo de prueba (de
cumplimiento o sustantiva), los recursos necesarios para aplicarla, en cuanto a
informacin, software, hardware y personal. Se describe, adems el procedimiento a
emplear.
Ejecucin de pruebas
Su propsito es obtener evidencia sobre los controles establecidos, su utilizacin, y el
entendimiento y ejecucin de los mismos por parte de las personas. Para cada prueba
ejecutada deben adjuntarse los soportes correspondientes.
Anlisis de efectos de debilidades
a. Identificacin de debilidades
b. Impacto
- Costo de perdidas y adicionales
- Probabilidad de ocurrencia.
Diseo de controles
Determinar y evaluar medidas de seguridad adicionales
Informe final
Seguimiento
Procedimientos de Auditora

Anlisis de Riesgos
Propsito. Aprovechar el conocimiento de la relacin sistema operativo, aplicacin,
sistema de bases de datos para realizar una auditoria basada en riesgos.
1. Control del ambiente de login en Sistema Operativo
a. Asegrese que el usuario esta adecuadamente restringido por el programa de
aplicacin o por la seguridad de un men de opciones.
b. Asegrese que el usuario no puede escaparse del nivel del programa de
aplicacin y obtener acceso al sistema operativo a la base de datos.
c. Asegrese que el acceso al sistema de bases de datos (roles, privilegios) esta
limitado a los objetos de programas de aplicacin y el acceso a los objetos del
sistema esta restringido desde el identificador de la aplicacin de bases de datos.
2. Asegrese que cada usuario se autentica con la base de datos.
a. Asegrese que cada usuario esta propiamente restringido por el programa o por el
men de seguridad dentro de la aplicacin.
b. Asegrese que cada usuario esta restringido desde la administracin de bases de
datos y las herramientas de desarrollo, igualmente desde las herramientas de
consultas.
3. Si los usuarios se conectan a las bases de datos a travs de interfaces de
administracin o desarrollo
a. Asegrese que cada perfil de usuario en las tablas de usuarios es auditado.
b. Asegrese que los roles y privilegios son auditados usuario por usuario.
4. Realice una detallada revisin de los login, procesos de autenticacin, perfiles de
usuario y roles y privilegios.
5. Si un programa es una aplicacin Web a travs de http o Programas CGI en el
servidor:
a. Determine si el enrutador y/o firewall restringe el acceso a la Base de Datos.
b. Determine que son adecuados los controles de accesos al servidor web.
c. Que se realizan procesos de auditoria sobre los usuarios del sistema operativo y
de la base de datos.
Seguridad en el Sistema Operativo
Objetivo. Determinar si el acceso a la base datos a travs del sistema operativo es
seguro
1. Usuario de base de datos y sistema operativo.
a. verifique que todos los usuarios creados en el sistema operativo representan un
usuario valido.
b. Asegrese que las conexiones remotas estn controladas.

2. Seguridad de los archivos de bases de datos en el sistema operativo.


a. Asegrese que el propietario de todos los directorios y archivos de Bases de
datos es el usuario DBA
b. Asegrese que el grupo propietario es DBA
c. En el caso Unix asegrese que los permisos de los directorios son 755 o menores
y de los archivos ejecutables 750. (Esto es especialmente cierto para Oracle).
d. Para Unix que el parmetro umask este determinado para que los archivos log no
sean escribibles o lebles por todo el mundo.

e. En el caso de NT asegrese que los permisos de archivos sean restringidos para


que no sean de libre acceso para el grupo everyone.
3. Auditoria a la seguridad de la base de datos para propietarios y grupos.
a. Asegrese que la cuenta del dba, realmente es usada por el administrador de la
base de datos.
b. En el caso unix, asegrese que los miembros del grupo dba son limitados a los
usuarios de cuenta en la base de datos.
c. Asegrese que los permisos para los archivos de administracin de la base de
datos estn restringidos con acceso solo a la cuenta del administrador del sistema.
Procesos de Conexin y Autenticacin
Propsito. Asegurarse que todos los procesos y usuarios son autorizados y
autenticados en la base de datos y que los procesos de usuario son controlados.
1. Sobre las tablas de usuarios:
a. Determine que todos los usuarios representan un usuario valido y autenticado.
b. Prueba que el passwords por defecto en las cuentas de administracin del
sistema han sido cambiadas.
c. Verifique que estn definidos los procedimientos para cambios de claves
peridicamente y que los passwords son seguros.
d. En caso de conexiones con parmetros string, verifique que a travs de
comandos como ps, no es posible ver la clave del usuario.
e. Si la conexin a la base de datos se hace a travs de programas o utilidades,
asegrese que estn protegidos por permisos de archivos y directorios.
2. En una impresin de la bitcora de sesiones de usuarios:
a. Asegrese que todas los intentos de conexin no exitosos son almacenados,
revisados y se les hecho seguimiento.
b. En sistemas pequeos considere la posibilidad de auditar todas las conexiones,
tanto exitosas como no exitosas.
Control de acceso a la Base de Datos
1. Obtenga listado de todos los archivos de privilegios y roles de usuarios.
a. asegrese que los usuarios interactivos y en ambientes de produccin estn
restringidos solo al privilegio de select. Adems la informacin confidencial debe ser
restringida para los usuarios.
b. Identifique los procedimientos almacenados y asegrese que los privilegios para
estos estn limitados a select y execute a los usuarios que as lo requieran.
c. Asegrese que el privilegio de with grant option esta restringido solo al DBA.
2. Obtenga listado de los archivos de logs:
a. Asegrese que los comandos crticos sobre los objetos (create, alter, drop, etc) son
registrados, revisados y se les hace el seguimiento.
Disponibilidad, Respaldo y Recuperacin

Propsito. Examinar la disponibilidad de la base de datos para los usuarios y procesos


y las apropiadas medidas para limitar los efectos de las fallas en los elementos del
sistema.
1. Usando comandos similares a df:
a. Identifique espacios de almacenamientos crticos.
b. Verifique que los archivos de logs y los archivos de control son montados en
diferentes discos y de estos se tienen copias (ojal espejos)
c. Asegrese que cada disco usa un controlador independiente para minimizar le
efecto en una falla del controlador.
d. Asegrese que los requerimientos de espacio de almacenamiento, en el
momento del diseo tuvieron en cuenta las proyecciones a futuro.
2. Obtenga un listado de los procedimientos de backup de la base de datos,
cronogramas de backup y programas utilitarios de backup.
a. Asegrese que como mnimo un backup incremental se esta realizando todas
las noches (backup de objetos cambiados)
b. Asegrese que los backup lgicos (mientras la base de datos esta arriba) de la
base de datos son programados en la noche, cuando los usuarios estn fuera y los
procesos de lotes han finalizado.
c. verifique que cuando se hacen backup lgicos la base de datos se encuentra en
modo restringido (usuarios diferentes al dba no pueden conectarse).
d. Determine si se hace un backup lgico completo cada semana, para asegurarse
que la base de datos completa esta respaldada.
e. Asegrese que un completo backup al sistema esta siendo realizado por lo
menos cada mes.
3. Evaluar los medios de almacenamiento, los procedimientos usados, la revisin de
las copias, la correcta etiquetada (interna y externa), la seguridad del sitio de
almacenamiento y la correcta rotacin de las copias.
4. Obtenga y revise la documentacin de los procesos de pruebas de recuperacin.
Bases de Datos en Red
Propsito. Determinar que las bases de datos en red han sido diseadas para soportar
los requerimientos de disponibilidad y las necesidades de seguridad de las
aplicaciones.
1. Partiendo de un diagrama de red donde se especifique los servidores de bases de
datos y sus conexiones fsicas y lgicas al resto de la red:
a. Determine si los altos usos SQL entre componentes en la red (Servidor y
aplicaciones) estn soportados por canales alta velocidad y alto ancho de banda.
b. Asegrese que los enlaces redundantes son usados para soportar los sistemas de
requerimientos de disponibilidad.
c. Usando comandos o aplicaciones tipo netstat (protocolo, direccin remota y local y
estado) revise el ruteo y direccionamiento IP usado para los servidores de bases de
datos.
d. Asegrese que los dispositivos de control de acceso garantizan solo conexiones
autorizadas.

Cap. 4 Data Warehouse


Un Data Warehouse es un conjunto de datos integrados orientados a una materia, que
varan con el tiempo y que no son transitorios, los cuales soportan el proceso de toma
de decisiones de la administracin. (W.H. Inmon, considerado como el padre del data
warehouse) [Har96]. Esta orientada al manejo de grandes volmenes de datos,
provenientes de diversas fuentes, de muy diversos tipos. Estos datos cubren largos
perodos de tiempo, lo que trae consigo que se tengan diferentes esquemas de los
datos fuentes. La concentracin de esta informacin esta orientada a su anlisis para
apoyar la toma de decisiones oportunas y fundamentadas. Previo a su utilizacin se
debe aplicar procesos de anlisis, seleccin y transferencia de datos seleccionados
desde las fuentes
Componentes de un Data Warehouse

Como se puede observar en el esquema, cuando un auditor se enfrenta a un Sistema


de Bodega de Datos (Data Warehouse), su labor debe tener en cuenta muchos
elementos que influyen en la seguridad y buen funcionamiento.
En particular resaltamos:
Datos Antiguos: Tienen gran importancia en los procesos iniciales de poblacin de la
bodega de datos. Son datos de periodos anteriores. Pueden provenir de 20 aos atrs,
en algunos casos. La dificultad de ubicacin, recuperacin y transformacin a los
formatos requeridos (pueden estar incluso en documentos en papel) es uno de los
problemas mas usuales en proyectos de este tipo.

Datos Operacionales: Datos operativos actualizados por aplicaciones OLTP (On Line
Processing Transaction. Procesamiento de transacciones en lnea.). Estn
almacenados en las bases de datos en produccin.
Extractores de Datos: Encargados del copiado y distribucin de los datos de acuerdo
con el diseo. Se determinan los datos a copiar, desde donde y hacia donde, periodos
para las actualizaciones. Se determina si se realiza una regeneracin (copia de la
fuente de datos en su totalidad) o una actualizacin (solo se propagan los cambios).
Los datos externos son adecuados y limpiados antes de ser sumados a la bodega de
datos.
Son los enlaces entre los datos en produccin y el Data Warehouse (generalmente de
tipo relacional)
Bodega de Datos: El repositorio de datos actual. Organizadas orientada a intereses
concretos. Informacin histrica reflejando transacciones OLTP, acumuladas por aos o
en general por periodos largos. Se dice que son servidores de datos para apoyo de
decisiones, que aade valor a los datos procedentes de las fuentes en produccin.
Contienen informacin detallada y agregada.
Metadatos: Los metadatos llevan registros de los datos almacenados, integrados en la
misma base de datos. Describen el contenido de los objetos de la bodega de datos: las
tablas, ndices y el contenido de los datos. Los metadatos definen los formatos,
significado y origen de los datos y facilitan el acceso y administracin a los datos en la
bodega.
Contienen la informacin de la fuente antes de ingresar a la bodega, el mapeo de los
datos fuentes a datos en la bodega, historia de las extracciones, logica y algoritmos
usados para los procesos de datos (sumarizacion, organizacin, etc.) y la historia de
los cambios en la bodega.
Herramientas de Consultas y Extraccin de Informacin: Proveen la interfaz
humana con la bodega de datos. En el procesamiento de la informacin se pasa de
simples consultas SQL a OLAP y de esta a Minera de Datos.

Evaluacin del Sistema


Diseo e Implementacin
En esta fase se debe partir de los requerimientos funcionales de informacin, que
generen una ventaja competitiva para la empresa y faciliten la toma de decisiones por
parte de la administracin.
Riesgos.
No realizacin de riguroso anlisis de los sistemas previos, las necesidades
actuales y los requerimientos a futuro.
Optar por la arquitectura de data Warehouse que no se acomode al negocio
concretamente.
Definicin equivocada o mediocre de estructura y esquema eficiente: (granularidad,
ndices, esquemas de objetos)
Extraccin Inicial de Datos
Riesgos.
- Bajo conocimiento de sistemas anteriores para la extraccin de datos
- Ineficiente y/o errneo proceso de recuperacin y manipulacin de datos histricos.

- Poca calidad de los procesos de conversin a esquemas actuales.


- Manejo de ausencias, inconsistencia y/o duplicacin de datos.
Actualizaciones
Factores de Riesgos.
- Definicin incorrecta de los periodos para actualizacin.
- Mecanismo de actualizacin (hacia archivo o directamente hacia sistema).
- Herramientas para los cargues a la bodega de datos,
- Garanta de completitud de propagacin de cambios.
- Procesamiento de los campos de agregacin antes de la actualizacin en la bodega.
Extractor de Datos
Riesgos.
- Prdida o no extraccin de datos relevantes para el negocio.
- Prdida de fidelidad de los datos extrados.
- Poca efectividad y eficiencia en el proceso.
- Desactualizacin del extractor ante cambios de los sistemas en operacin.
- Acceso no restringido al software de extraccin.
- Falla en los procesos de extraccin (cada del sistema, inaccesibilidad de los datos,
etc.).
Bodega de Datos
- Desactualizacin de esquemas a nuevas necesidades del negocio.
- Acceso no restringido a objetos de Data Warehouese.
- Respaldo de los datos almacenados.
Metadatos
Riesgos.
- Prdida de representacin de las fuentes y de la bodega por los metadatos.
- Ineficiencia y/o inefectividad de los metadatos.
- Acceso no restringido.
- Nombramiento no estndar de los objetos en Data Warehouse.
- Falta de capacitacin a usuarios sobre el manejo de los metadatos.
- Respaldo de la informacin de los metadatos.
Herramientas de soporte a la toma de decisiones
Almacenar esta gran cantidad tiene como objetivo reportar informacin, e incluso
conocimiento, que permita actuar en condiciones de menor incertidumbre. Esto incluye
el descubrimiento de patrones y tendencias, que puedan ser extrapoladas e intentar
predecir comportamientos futuros. Estas tcnicas se basan en las matemticas,
estadstica, en la psicologa, algoritmos genticos, redes neuronales e incluso en la
experiencia.
Se debe evaluar si se ha realizado un anlisis serio de las necesidades de informacin
del negocio.
Verificar que las herramientas que se usan en esta fase son las correctas y se emplean
adecuadamente.

Disponibilidad de las herramientas de anlisis, acordes con los diferentes niveles de


requerimientos.
Si la informacin entregada por estos sistemas en correctamente interpretada y
destinadas a generar acciones.
Los cambios a programas que generan informacin deben ser autorizados y revisados
antes de ponerlos en produccin.
Entrenamiento de usuarios en las herramientas utilizadas, que le permita conseguir la
informacin esperada.
Adecuacin de los programas y herramientas a los cambios en los datos y metadatos.
Sistema Operativo
La bodega de datos se encuentra sobre la plataforma del sistema operativo. La
seguridad representada en la disponibilidad, confidencialidad y controles de accesos y
privilegios sobre las reas de almacenamiento y procesamiento estn en gran medida
dependientes de esta plataforma.
Riesgos.
- El Sistema operativo no apoya las polticas de acceso establecidas desde la
administracin de la bodega de datos.
- Los recursos requeridos par los procesos de actualizacin sean mal atendidos por el
sistema operativo.
- El sistema operativo permite que programas o usuarios ejecuten y utilicen recursos
protegidos desde la bodega de datos.
- El sistema operativo no otorga los recursos necesarios para la realizacin de
procesos de alto costo computacional.
Red
Es la infraestructura de comunicacin que permite que los diferentes componentes
intercambien informacin. La cantidad de datos contenidos en Data Warehouse
incrementa su importancia.
Riesgos.
- Acceso al sistema desde elementos externos sin autorizacin (aplicaciones, personas,
etc.).
- La red se convierta en un cuello de botella para lo operacin del sistema.
- La inexistencia de elementos que respalden un componente que falle.
Usuarios
Los diseadores del sistema Data Warehouse no conocen suficientemente el negocio
como para modelarlo correctamente.
Impericia de usuarios para la obtencin de informacin desde la bodega de datos.
No uso de la bodega de datos o mal empleo de la informacin producida por la misma.

Cap. 5 Auditora a Sistemas Operativos


El tpico de sistemas operativos ser el considerado en este capitulo, tiene especial
inters pues los sistemas operativos generan el ambiente de trabajo y la administracin
de los recursos en cualquier sistema de cmputo y se hace relevante como objeto de
estudio y punto de partida para abordar las dems reas ya mencionadas. En este
caso se busca desarrollar una metodologa general que permita auditar diversos

sistemas operativos, pero que pueda ser aplicada a un sistema operativo especfico
como Unix, Linux, Windows, Solaris, Netware, etc.
Metodologa propuesta
A continuacin se proponen y describen las principales etapas que se deben seguir al
momento de auditar un sistema operativo.
A. Investigacin Preliminar
B. Identificacin y Agrupacin de Riesgos
C. Evaluacin de la Seguridad en la empresa objeto de la Auditora
D. Diseo de Pruebas de Auditora
E. Ejecutar Pruebas de Auditora
F. Anlisis del Efecto de las debilidades de Seguridad
G. Diseo de Controles
H. Elaboracin de Informe de Auditora
I. Seguimiento
A. Investigacin Preliminar
Objetivos
Determinar los recursos de cmputo de la empresa y la estructura organizacional de
esta.
Evaluar la importancia del sistema de informacin para los procesos de negocio
objeto de la auditoria y el soporte que los recursos de cmputo dan a estos.
Conocer de manera global el sistema operativo sobre el cual se llevara a cabo la
auditoria, identificando los elementos que apoyan la seguridad y administracin.
Consideraciones
a. Conocimiento global de la empresa en cuanto a:
rea de Tecnologa de la Informacin (rea de sistemas)
Estructura organizacional y personal
Plataforma de hardware
Sistemas operativos
Sistemas de redes y comunicaciones
b. Conocimiento global del sistema operativo, evaluando las herramientas que
proporciona como apoyo a la seguridad y a la administracin.
Herramientas o Mecanismos para la realizacin de la Investigacin Preliminar
-

Entrevistas previas con el cliente (persona que solicita la realizacin de la auditoria).


Inspeccin de las instalaciones donde se llevar a cabo la auditoria y observacin
de operaciones.
Investigacin e indagacin con el personal involucrado en el proyecto de auditoria y
los funcionarios que administran y operan los sistemas a evaluar.
Revisin de documentacin proporcionada por la empresa.
Revisin de informes de auditorias anteriores, si se han realizado.
Estudio y evaluacin del sistema de control interno.

Documentos a solicitar para la Investigacin Preliminar - Listado de aplicaciones


en uso y directorio de datos.
- Listado de empleados activos y despedidos en el ltimo trimestre.

- Documento de autorizacin a cada usuario del sistema y aprobacin de derechos y


privilegios.
- Listados de monitoreo del sistema.
- Listado de utilidades importantes, con los usuarios y grupos que las acceden.
- Polticas de seguridad corporativa.
- Documento de configuracin inicial del sistema operativo y las autorizaciones para su
actualizacin o cambio.
- Documento de definicin de los roles en la administracin del sistema y la seguridad.
- Planes de capacitacin y entrenamiento.
- Contratos con entes externos relacionados con Tecnologas de la Informacin.
- Informes de auditora previos.
B. Identificacin y Agrupacin de Riesgos
Objetivo
Identificar y clasificar los riesgos a los que esta expuesto el sistema operativo objeto de
la auditoria, ya sean propios o generados por entidades externas (personas,
procedimientos, bases de datos, redes, etc.) que interactan con el sistema.
Para realizar este anlisis se pueden utilizar varios mtodos, entre los cuales se
proponen:
1. Escenarios de Riesgos
Los pasos a seguir con este mtodo son los siguientes:
- Determinar el sistema a evaluar
- Definir escenarios de riesgo (E-R). Se entiende por escenario de riesgo un punto o
actividad claramente ubicado dentro del sistema objeto de estudio.
- Para cada E-R se determinan actividades sujetas a control (A.S.C). Se
entiende por A.S.C., actividades que se realizan en un E-R concreto.
- Para cada A.S.C se encuentran las amenazas a que est expuesta
(situacin de riesgo S-R).
- Se califican estas amenazas.
- Para cada amenaza se proponen controles que minimicen estos riesgos y se califican
de acuerdo a su actuacin
2. Grupos de Riesgos
Los pasos a seguir con este mtodo son los siguientes:
- Identificar los grupos de riesgo. Se busca agrupar la amenazas de acuerdo a
operaciones o temtica similares, a criterio del auditor.
- Plantear la justificacin para cada grupo de riesgo identificado.
- Determinar los objetivos para cada grupo de riesgo. En los objetivos se plantean
aquellos aspectos que se quieren evaluar dentro del grupo de riesgo.
- Se disean instrumentos que permitan evaluar los aspectos planteados en los
objetivos.
- Se identifican las principales amenazas a las que est expuesto el sistema operativo.
Para su estudio se puede dividir los diferentes tpicos a abordar en la investigacin de
auditora:
Instalacin y Configuracin Inicial
Aspectos generales a considerar
- Polticas y estndares para el proceso de instalacin y configuracin inicial.
- Configuracin de servicios (correo, FTP, WWW, DNS). Eleccin, instalacin y
activacin.
- Configuracin de parmetros de seguridad.
- Sistemas de archivos.
- Realizacin y configuracin de particiones.

- Instalaciones por defecto.


- Software instalado (Paquetes)
Seguridad Fsica
Aspectos generales a considerar
- Acceso del personal al centro de informtica y salas de servidores.
- Sealizacin.
- Instalaciones elctricas.
- Estado UPS
- Almacenamiento de cintas, discos y documentacin
- Entorno (temperatura, humedad, ventilacin).
- Ubicacin de equipos.
- Aseo.
Seguridad Lgica
Aspectos generales a considerar
- Mecanismos de control de acceso a objetos del sistema.
- Archivos con permisos especiales.
- Mecanismos de identificacin y autenticacin.
- Administracin de usuarios y grupos (Creacin, modificacin, bloqueo y eliminacin)
- Administracin de cuentas. (Creacin, modificacin, bloqueo y eliminacin)
- Perfiles de usuario y grupos.
- Manejo de usuarios especiales.
- Manejo de cuentas especiales. (Cuentas sin contrasea, cuentas predeterminadas,
cuentas de invitados, Cuentas de acceso de comandos, cuentas de grupo).
- Proceso de logon/logoff
- Proceso de arranque del sistema.
- Cifrado de datos
- Acceso remoto.
Documentacin del Sistema
Aspectos generales a considerar
- Polticas y estndares de los procesos relacionados con el sistema operativo.
- Polticas de seguridad de la organizacin.
- Manuales del sistema operativo.
- Manuales de procedimientos.
- Manuales de usuario.
- Manuales de funciones.
- Documentacin de la instalacin y configuracin inicial.
- Plizas de seguros.
Mantenimiento y soporte
Aspectos generales a considerar
- Soporte del proveedor.
- Utilitarios para realizacin de tareas de mantenimiento.
- Planes de mantenimiento lgico y fsico.
- Contratacin de mantenimiento y soporte externo.
- Actualizaciones realizadas Hardware.
- Actualizaciones realizadas (parches, nuevas versiones).
Aspectos administrativos
Aspectos generales a considerar
- Estructura organizacional.
- Definicin y correspondencia de roles y funciones.
- Segregacin de funciones
- Seleccin y contratacin de personal

- Capacitacin y entrenamiento
- Ambiente laboral.
Monitoreo y Auditora
Aspectos generales a considerar
- Evaluacin de la funcin de auditora interna si existe o externa.
- Procedimientos de auditora realizados con relacin al sistema operativo.
- Existencia y utilizacin de herramientas de monitoreo y auditora.
- Procedimientos de monitoreo y ajuste (Tunning)
- Reportes de anlisis de logs del sistema (instalacin, operaciones).
- Logs
- Reportes de monitoreo y auditora.
- Software de auditora.
Planes de contingencia (Planes de respaldo y recuperacin)
Aspectos generales a considerar
- Existencia de un plan de contingencia.
- Conocimiento y divulgacin del plan de contingencias.
- Pruebas y ajustes al plan de contingencias.
- Planes de respaldo (a nivel de personal, software y hardware) y recuperacin.
- Elaboracin y gestin de copias de seguridad (Backups)
Administracin e implementacin de la seguridad
Aspectos generales a considerar
- Funcin encargada de la administracin de la seguridad.
- Roles y responsabilidades.
- Polticas y estndares.
- Entrenamiento y capacitacin en seguridad.
- Personal Asesor
- Procedimientos de administracin de la seguridad.
- Almacenamiento (Almacenamiento y Filesystem).
- Documentacin.
Servicios que soporta el sistema operativo (aplicaciones, web, correo, proxy,
DNS, Base de datos)
Aspectos generales a considerar
En este sentido es muy importante tener un grupo de riesgos asociados con los
servicios que el sistema operativo evaluado este soportando y la criticidad e
importancia que representen para la organizacin, pues estos pueden ser una puerta
de entrada al sistema.
Los aspectos a considerar estn estrechamente relacionados con el servicio especfico
y sera bastante extenso enumerar en este punto los aspectos a considerar, los cuales
quedan a criterio del auditor de acuerdo al previo que se ha dado hasta aqu.

Ejemplo de Aplicacin de la Metodologa


A continuacin se plantea un ejemplo completo de la aplicacin de las herramientas
anteriormente descritas. GRUPOS DE RIESGO
Nombre del grupo de riesgo:INSTALACIN Y CONFIGURACIN INICIAL
Justificacin: Durante el proceso de instalacin y configuracin del sistema operativo se
definen los parmetros que guiaran el funcionamiento y rendimiento de este, dicho

proceso debe realizarse cuidadosamente y se debe garantizar que la configuracin


final cumpla con lo requisitos funcionales y de seguridad del o los sistemas informticos
que soporta.
Objetivos:
- Verificar la existencia de polticas y estndares para la instalacin y configuracin del
sistema operativo y evaluarlas.
- Evaluar el nmero de particiones que se realizaron durante el proceso de instalacin y
el tamao y distribucin de estas.
- Verificar los servicios instalados, cuales se encuentran activos y cuales arrancan
automticamente.
- Evaluar la configuracin de opciones de montaje para los diferentes sistemas de
archivos.
- Evaluar que paquetes se encuentran instalados en el sistema operativo.
- Verificar y evaluar los parmetros de seguridad configurados.
- Evaluar si se ha realizado instalacin por defecto.

Cuestionario de Control (Instrumento de evaluacin)


ESCENARIOS DE RIESGO

C. Evaluacin de la Seguridad en la empresa objeto de la Auditora


Objetivos
Determinar si los controles existentes protegen apropiadamente la empresa contra los
riesgos identificados.
En este sentido cuatro mtodos pueden combinarse:
1)
2)
3)
4)

Anlisis de riesgos
Flujogramas de control
Cuestionarios de control
Matrices de control

D. Diseo de Pruebas de Auditoria


Objetivo
Definir Los procedimientos de Auditoria que permitan recolectar la evidencia que apoye
los hallazgos y recomendaciones.
Consideraciones
Una vez realizados los pasos anteriores en este punto se tienen las bases para disear
las pruebas de auditoria que se han de efectuar.
Este es un trabajo de escritorio donde se determina en trminos generales: el objetivo
de la prueba, se describe brevemente (procedimientos a emplear), tipo de la prueba,
tcnicas a utilizar, recursos requeridos en cuanto a informacin, hardware, software y
personal.
Tipos de pruebas
Pruebas de cumplimiento: Busca determinar si existe el control para el riesgo
identificado .
Pruebas sustantivas: Busca conocer la forma en que esta implementado el control, en
caso de que este exista.
Tcnicas comnmente usadas para el Diseo y Ejecucin de Pruebas de
Auditora
- Observacin
- Indagacin
- Conciliacin (cruce de informacin con persona o documentos)
- Inspeccin
- Investigacin analtica: Evaluar tendencias
- Confirmacin
- TAAC'S: Tcnicas de Auditoria Asistidas por Computador.
E. Ejecutar Pruebas de Auditora
Objetivo
Obtener evidencia sobre los controles establecidos, su utilizacin, y el entendimiento y
ejecucin de los mismos por parte de las personas.
Consideraciones
Se ejecutan las pruebas de auditoria diseadas en el anterior paso, adjuntndose para
cada prueba ejecutada los soportes correspondientes.

F. Anlisis del Efecto de las debilidades de Seguridad


Consiste en dos pasos:
- Identificar las debilidades
- Determinar el impacto ms probable que tendr cada debilidad.
G. Diseo de Controles
Este tema fue tratado en capitulo anterior.

H. Elaboracin de Informe de Auditora


Objetivos
Comunicar a las personas o entes involucrados en la organizacin con los sistemas
los resultados de la auditoria, para que ellos hagan la gestin necesaria para
implementar los controles que cubran aquellas situaciones de riesgo de mayor
relevancia, y mantengan y optimicen los que funcionan eficientemente.
Servir de apoyo en la toma de decisiones, gracias a la informacin que proveen.
Hacer parte de la documentacin para futuras auditoras.
Consideraciones
Por ser informacin que de cierta manera puede afectar la imagen de la empresa si
sale a la luz pblica, debe ser de carcter confidencial.
La elaboracin del informe debe ser cuidadosa e en cuanto a la informacin que
contiene, no debe dar lugar a ambigedades, y los hallazgos y recomendaciones
deben ser claramente descritos.
El informe debe estar documentado: informacin provista por la empresa y
principalmente las pruebas de auditora; Pues esto es el sustento de los hallazgos,
conclusiones y recomendaciones.
I. Seguimiento
Objetivo La empresa debe tomar las recomendaciones consignadas en los informes
de auditoria y dar inicio a un proceso de implementacin de mejoras basado en dichas
recomendaciones
Consideraciones
El implementar nuevos controles y tener en cuenta las recomendaciones generadas
por la auditoria es responsabilidad de la empresa que contrat la auditoria.
El auditor puede participar en el nuevo proceso aportando su conocimiento y
experiencia, pero bajo otros trminos contractuales.
En que consiste el Seguimiento
Esta es la etapa final del proceso de auditoria, pero tambin es la etapa inicial de un
proceso de retroalimentacin que lleva a la mejora de los sistemas, el trabajo del
auditor llega hasta la entrega de los respectivos informes, de aqu en adelante es

decisin de la empresa implementar las recomendaciones e involucrar al antes auditor


en el nuevo proceso. Este es el punto neurlgico de la auditoria, ya que de nada vale
hacer un estudio minucioso si una empresa no est dispuesta a implementar las
medidas o controles recomendados, por esta razn debe medirse el impacto costo beneficio de las recomendaciones, ya que ninguna organizacin est dispuesta a pagar
por la seguridad de algo ms de lo que este vale

Cap. 6 Auditora Redes Locales


Los auditores de sistemas deben, en las empresas actuales, obligatoriamente enfrentar
su labor profesional en Redes de Computadores, por donde se transporta informacin
sensitiva y vital para las organizaciones. etc.
Objeto de estudio
Dividir los diferentes escenarios en grupo y para cada uno evaluar los riesgos a que
esta expuesto el sistema.
1. Diseo e implementacin de la red
a. Analisis de necesidades
b. Diseo y escogencia de la arquitectura.
Revisar el procedimiento seguido en la seleccin, adquisicin e instalacin de
la red LAN.
Evaluar los estndares soportados en la arquitectura seleccionada
2. Documentacin de la Red
a. Revisar los manuales de diseo.
b. Verificar que exista un plano de las instalaciones correctamente
documentados los centros de cableado, los servidores y los puntos de red.
3. Mantenimiento y adecuacin de la Red
a. Verificar que se evalu la calidad de la red en cuanto a disponibilidad,
fiabilidad y velocidad de acuerdo a las aplicaciones y usuarios que soporta.
b. Evaluar si los cambios funcionales de la organizacin se ven reflejados en
modificaciones de la LAN.
c. Conocer si se realiza mantenimiento a la red y si quienes lo hacen son
idneos en estas actividades.
d. Evaluar si las labores de mantenimiento no han generados problemas con
informacin o funcionamiento de la red.
4. Estado actual
a. Polticas de seguridad
Evaluar si existen polticas de seguridad.
Si existen, si son acordes con la organizacin.
Si son conocidas por el personal.
b. Controles Fsicos
c. Controles lgicos

d. Deteccin de usuarios no autorizados


i. Calidad de contraseas
iii. Intentos de intromisin
iv. Deteccion de intrusos
e. Controles de personal
f. Usuarios del sistema
i. Perfiles de usuario
ii. Capacitacin
e. Controles de Estaciones
f. Controles del Servidor
i. Sistema operativo de soporte
ii. Objetos en el servidor
iii. Servicios activos
g. Hardware de comunicaciones.
5. Proteccion de recursos.
a. Soporte a los usuarios
Evaluar si existe una persona capacitada para dar soporte a los usuarios de
la red y que se encargue de tareas como las siguientes:
i.
Capacitar a los usuarios para el buen uso de los recursos
ii. Explicar sobre las polticas de seguridad a que estn sujetos
iii. Garantizar los recursos de hardware y software que estos requieren para
el cumplimiento de sus labores.
b. Respaldo.
Este respaldo debe ser entendido en todas las facetas:
Hardware:
Servidores
Equipos de Comunicacin de datos
Medios de transmisin:
Canales de comunicacin
Software:
En particular se debe evaluar la existencia de un mtodo de hacer las copias
de respaldo de la informacin de la empresa.
Verificar que:
- Se cumpla.
- Que se hagan copias en diferentes medios.
- Que estn claramente etiquetados los medios.
- Que se realicen pruebas de los medios.
c. Proteccin de aplicaciones y programas
d. Verificar si se tiene instalado programa antivirus o en su defecto se han
tomado las medidas de seguridad para evitar la contaminacin.
e. Corroborar que los accesos a Internet estn aislado de los sistemas que
manejen informacin sensitiva.
f. Software no autorizado
Evaluar si se tienen claras polticas y son de conocimiento de los usuarios
sobre el software a instalar.
Verificar que se realizan revisiones peridicas del software licenciado.
g. Planes de contingencia.
Revisar la existencia de planes de contingencia.
Si existen corroborar que:
Sean conocidos por todos.
Que se hayan realizado simulacros.

Que se tengan convenios por escrito para los casos que se requieran
recursos extra-empresa

S-ar putea să vă placă și