Indice1. Introducción 2. Conceptos Básicos 3. Herramientas de control 4. Formularios de control 5. Conclusiones y recomendaciones 6. Bibliografía
En un mundo que depende cada día mas de los servicios proporcionados por las computadoras, es vital definir procedimientos en caso de una posible falla o siniestro. Cuando ocurra una contingencia, es esencial que se conozca el detalle, el motivo que la origino y el daño causado, lo que permitirá recuperar en el menor tiempo posible el proceso perdido. También se debe analizar el impacto futuro en el organización y prevenir cualquier implicación negativa. En todas las actividades relacionadas con las ciencias de la computación, existe un riesgo aceptable, y es necesario analizar y entender estos factores para establecer los procedimientos que permitirán analizarlos al máximo y en caso que ocurran, poder reparar el daño y reanudar la operación lo mas rápidamente posible. En una situación ideal, se deberían elaborar planes para manejar cualquier contingencia que se presente. Evidentemente, ante todo debe existir en la empresa una política abierta y decidida en materia de seguridad, impulsada por la propia dirección. En este afán es que se trata de evaluar estas situaciones mediante la aplicación de los formularios de controles generales.
Auditoria informática Conceptualmente la auditoria, toda y cualquier auditoria, es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. En un ambiente donde la informática esta encabezando el trabajo en las diferentes oficinas e instituciones, el almacenamiento, ejecución y procesamiento de los datos se esta haciendo vía computadoras, por lo tanto en el trabajo de la auditoria también es algo indispensable. Aunque en el ambiente de la informática la computadora es el medio principal para auditar pero no hay que olvidar que es a la persona junto a la información la cual estamos auditando y no la computadora en si, no se cambio el espirito de la auditoria tradicional, solamente se cambio el método. El seleccionar la metodología de trabajo implica estudiar varias para así determinar cuál es la más adecuada.
Clases de auditoria y procedimientos El Objeto y la Finalidad distinguen el tipo o clase de auditoria de que se trata. El objeto sometido a estudio, sea cual sea su soporte, por una parte, y la finalidad con que se realiza el estudio, definen el tipo de auditoria de que se trata. La opinión profesional, elemento esencial de la auditoria, se fundamenta y justifica por medio de unos procedimientos específicos tendentes a proporcionar una seguridad razonable de lo que se afirma. Como es natural, cada una de las clases o tipos de auditoria posee sus propios procedimientos para alcanzar el fin previsto aun cuando en muchos casos puedan coincidir. El alcance de la auditoria, concepto de vital importancia, nos viene dado por los procedimientos. La amplitud y profundidad de los procedimientos que se apliquen nos definen su alcance. Se pretende garantizar que se toman en consideración todos los aspectos, áreas, elementos, operaciones, circunstancias etc. que sean significativas. Para ello se establecen unas Normas y Procedimientos que en cuanto a la ejecución de la auditoria se resumen en que:
- El trabajo se planificará apropiadamente y se supervisará adecuadamente.
- Se estudiará y evaluará el sistema de control interno.
- Se obtendrá evidencia suficiente y adecuada
Para concluir se establece que la evidencia obtenida deberá recogerse en los papeles de trabajo del auditor como justificación y soporte del trabajo efectuado y la opinión expresada.
3. Herramientas de control
Definición. Características En la tecnología de la seguridad informática que se ve envuelta en los controles, existe tecnología de hardware (como los cifradores) y de software. Las herramientas de control son elementos software que por sus características funcionales permiten vertebrar un control de una manera mas actual y mas automatizada. Pero a no olvidar que la herramienta de control en si misma no es nada. Las áreas de control mas comunes son:
- De organización
- De operación
- De Seguridad lógica del sistema
- De Seguridad física del sistema
- De planes de contingencia
- De cambios a programas y/o sistemas
4. Formularios de control
Formularios mas utilizados Una de las herramientas mas utilizadas por los auditores son los formularios, que sirven como guía para indagar acerca del desempeño de las áreas a ser analizadas. Estos formularios se hacen de tal manera a cubrir la mayor parte de las situaciones que deban ser verificadas a fin de tener un completo panorama del status actual del departamento auditado. Estos formularios abarcan las áreas como ser:
- Gerencia Informática
- Operación
Para la Gerencia informática se establecen a su vez otras áreas como ser:
- Organización
- Planes de contingencia
- Cambios a programas y/o sistemas
Para el área Operativa se establecen a su vez otras áreas como ser:
- Operación
- Seguridad física
- Seguridad lógica
Referencia: Cliente: Fecha: Título: Formulario de controles generales*
I- Controles de Organización | SI | NO | N. A. | Referencia |
1- Existen normas y procedimientos escritos sobre el funcionamiento del CPD? | ||||
2- El CPD esta separado del resto de los departamentos? | ||||
3- Es adecuada la segregación de funciones entre el CPD y los departamentos usuarios? | ||||
4- Existe organigrama del funcionamiento del CPD? | ||||
5- Se describen con detalles las funciones y responsabilidades del personal? | ||||
6- Es posible que los operadores accedan a programas y datos no necesarios para su trabajo? | ||||
7- Se rotan la asignaciones de trabajo de los operadores? | ||||
8- Existe personal con conocimiento y experiencia suficiente para organizar el trabajo? | ||||
9- Se aprueba por personal autorizado las solicitudes de nuevas aplicaciones? | ||||
10- Existen procedimientos adecuados para mantener la documentación al día? | ||||
11- Tienen manuales todas las aplicaciones? | ||||
12- Se aprueban los programas nuevos? | ||||
13- Se revisan antes de ponerlos en funcionamiento? |
Referencia: Cliente: Fecha: Título: Formulario de controles generales*
I- Controles de Operación | SI | NO | N. A. | Referencia |
1- Existen procedimientos normales para la operación del Centro de Cómputos? | ||||
2- Están actualizados los procedimientos? | ||||
3- Existen ordenes de proceso para cada corrida de la computadora? | ||||
4- Existe un control que asegure la justificación de los procesos en el computador? | ||||
5- Como programan los operadores los trabajos dentro del departamento de cómputos? | ||||
6- Los retrasos o incumplimiento con el programa de operación diaria, se revisa y analiza? | ||||
7- Existen procedimientos escritos para la recuperación del sistema en caso de falla? | ||||
8- Existen instrucciones especificas para cada proceso, con las indicaciones pertinentes? | ||||
9- Puede el operador modificar los datos de entrada? | ||||
10- Se prohibe a analistas o programadores la operación del sistema que analizo o programo? | ||||
11- Se prohibe al operador modificar información de archivos o bibliotecas de programas? | ||||
12- El operador realiza mantenimiento diario en dispositivos que así lo requieran? |
Referencia: Cliente: Fecha: Título: Formulario de controles generales
I- Controles de Operación | SI | NO | N. A. | Referencia |
13- Se tiene un control adecuado sobre los sistemas y programas que están en operación? | ||||
14- Existen procedimientos para evitar la corrida de programas no autorizados? | ||||
15- Se controla estrictamente el acceso a la documentación de programas o de aplicaciones rutinarias? | ||||
16- Existen procedimientos formales que se deban observar antes de que sean aceptados en operación, sistemas nuevos o modificaciones? | ||||
17- Estos procedimientos incluyen a las corridas en paralelo con los sistemas anteriores? | ||||
18- Se tiene inventario actualizado de los equipos y terminales con su localización? | ||||
Esta sección fue dejada en blanco en forma intencional
| ||||
Referencia: Cliente: Fecha: Título: Formulario de controles generales*
I- Controles de Seguridad Física | SI | NO | N. A. | Referencia |
1- Existe vigilancia a la entrada del CPD? | ||||
2- Se ha instruido a estas personas en caso de que alguien pretenda ingresar sin autorización? | ||||
3- El edificio donde se encuentra el CPD esta a salvo de terremotos, incendios, inundación, sabotaje? | ||||
4- El CPD tiene salida directa al exterior? | ||||
5- Son controladas las visitas en el CPD? | ||||
6- Existen alarmas detectoras de incendios? | ||||
7- Estas alarmas son perfectamente audibles? | ||||
8- Existen extintores de fuego? | ||||
9- El personal ha sido adiestrado en su uso? | ||||
10- Se verifica periódicamente el funcionamiento de los extintores? | ||||
11- Los interruptores de energía están debidamente protegidos, etiquetados y al alcance? | ||||
12- Sabe que hacer el personal en caso de incendio? | ||||
13- Existe salida de emergencia? | ||||
14- Se prohibe fumar, comer y beber en el CPD? | ||||
15- Existen carteles indicativos? | ||||
16- El personal esta adiestrado para casos de emergencia? |
Referencia: Cliente: Fecha: Título: Formulario de controles generales
I- Controles de Seguridad Lógica | SI | NO | N. A. | Referencia |
1- Se cuenta con copias de los archivos en lugar distinto al de la computadora? | ||||
2- Se tienen procedimientos de actualización para estas copias? | ||||
3- Existe Departamento de Auditoria Interna? | ||||
4- Se auditan los sistemas en operación? | ||||
5- Si se tienen terminales conectadas, se han establecidos procedimientos de operación? | ||||
6- Se ha establecido que información puede ser accesada y por que persona? | ||||
7- Se ha establecido un numero máximo de violaciones en sucesión para que sea inhabilitada la terminal? | ||||
8- Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar tendencias mayores? | ||||
9- Se exige a los usuarios que cambien sus contraseñas periódicamente? | ||||
10- Estas contraseñas son de longitud mínima? | ||||
11- El sistema restringe a los usuarios cuyas cuentas están inactivas por determinado tiempo? | ||||
12- Se tienen identificados los archivos con información confidencial y se cuentan con claves de acceso? |
Referencia: Cliente: Fecha: Título: Formulario de controles generales*
I- Controles de Planes de Contingencia | SI | NO | N. A. | Referencia |
1- Existen procedimientos de restauración y repetición de procesos? | ||||
2- Los operadores cuentan con documentación acerca de estos procedimientos? | ||||
3- Existen planes de contingencia en casos de estragos (incendios, sabotajes, etc.)? | ||||
4- Se cuenta con personal alternativo en caso de que los responsables del área no estén disponibles? | ||||
5- Se cuenta con fuentes de energía ininterrumpible UPS’s? | ||||
6- Los teléfonos de emergencia (policía, bomberos, etc.) están ubicados en lugares visibles? | ||||
7- Se cuenta con los teléfonos de los responsables del área? | ||||
8- Se cuenta con los teléfonos de los proveedores? | ||||
9- El personal esta entrenado para los casos de emergencia? | ||||
10- El personal sabe a quien recurrir en caso de emergencia? | ||||
11- El plan de contingencia tiene la aprobación de los superiores? | ||||
12- Tiene revisión periódica? |
Referencia: Cliente: Fecha: Título: Formulario de controles generales
I- Controles de Cambios de Programas/Sistemas | SI | NO | N. A. | Referencia |
1- La solicitud de modificaciones a los programas se hace en forma escrita? | ||||
2- Una vez efectuadas las modificaciones se presentan las pruebas a los interesados? | ||||
3- Existe control estricto en las modificaciones? | ||||
4- Las correcciones están debidamente autorizadas? | ||||
5- Las correcciones están debidamente documentadas? | ||||
6- Las correcciones están debidamente probadas? | ||||
7- Cuando se efectúan modificaciones a los programas a iniciativa de quien se hacen?
| ||||
8- Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado? | ||||
Esta sección fue dejada en blanco en forma intencional | ||||
5. Conclusiones y recomendaciones
Evidentemente el control de las actividades relacionadas al Area de Informática afecta sobremanera la forma de en como estas serán realizadas. Permitirá una mejor utilización y desempeño de programas, sistemas y demás recursos, con mejores prestaciones en cuanto a fiabilidad, seguridad, conceptos tan importantes hoy en día. Sin duda los formularios que utilice el auditor serán de suma utilidad y ayuda en la tarea. Le permitirá un mejor control de las áreas a ser verificadas y podrá enfocar mejor los objetivos de la auditoria y su alcance.
– PIATTINI, Mario G y Del PESO, Emilio. Auditoria Informática. Un enfoque practico. RA-MA, Madrid. 1998
Trabajo preparado por: Magno Ayala
Analista de Sistemas. 2001