DIRECCION DE ESTRUCTURAS ADMINISTRATIVAS

Y
SISTEMAS DE INFORMACIN

DEPARTAMENTO DE SISTEMAS DE INFORMACION

NORMAS BASICAS DE

AUDITORIA DE SISTEMAS

INDICE
INTRODUCCIN
Objetivos
Control Interno
Normas Bsicas de Auditora de Sistemas
CRITERIOS DE EVALUACION

De la organizacin del rea de sistemas de informacin

Documentacin exigible

Seguridad lgica

Sistemas aplicativos y Registro de movimientos

Teleprocesamiento y Telecomunicaciones. Redes y accesos remotos

Seguridad fsica

Poltica de backups

Derechos del usuario

CONCLUSIONES
APENDICE
Fuentes bibliogrficas - Direcciones en la Web

INTRODUCCIN
Objetivos
El objetivo de esta obra es definir los criterios de auditora de sistemas a utilizar en nuestro
trabajo especfico sobre el Gobierno de la Ciudad de Buenos Aires (G.C.B.A). Planteamos,
como primer paso, utilizar criterios bsicos y generar normas que permitan alcanzar un
estado inicial de seguridad y auditabilidad en los sistemas de informacin y las tecnologas
asociadas.
El objeto a auditar, los sistemas de informacin y las tecnologas de la informacin en el
G.C.B.A., es tan amplio y heterogneo que invalida el uso de recetas y/o soluciones rgidas.
En consecuencia, estas normas debern aplicarse teniendo en cuenta las particularidades y
las caractersticas de cada rea, el valor de la informacin y la finalidad de la misma.
Se intenta establecer criterios de auditoria exigibles y alcanzables. Entendiendo que, si bien
constituyen una herramienta para el auditor de sistemas, tambin son muy importantes para
el auditado ya que le permiten conocer por anticipado las reglas con las que ser
examinado. Por otra parte manejar lineamientos ms o menos homogneos con otros
organismos de control, en la medida que esto no comprometa nuestra independencia,
homogeneizar y simplificar la tarea de los auditados ahorrando esfuerzos. Consideramos
que esta tarea debe realizarse entre todos los funcionarios y agentes comprometidos en el
manejo de la informacin, y no slo con aquellos que estn a cargo de las reas
informticas.
Esta TRINIDAD est compuesta por 3 partes. Una vez aprobadas estas normas y en base a
las mismas definiremos la metodologa en forma de una Gua de Auditora que usaremos
como herramienta de campo en la A.G.C.B.A., con sus pasos, productos e informes. La
tercera parte est constituida especficamente por los listados de control.

Presupuestos bsicos
La informacin es un activo y el GCBA debe considerarla como tal. Tambin es un
componente indispensable de la gestin de gobierno. El crecimiento de los procesos
automatizados para el manejo de la informacin aumentan la importancia y la necesidad de
preservarla con los deberes y el cuidado propios de un activo relevante.
Control Interno.
El entorno de control interno en un organismo est dado, segn las Normas Bsicas de
Auditora Externa de la AGCBA, por los procedimientos que ayudan a :

La eficacia y eficiencia de las operaciones

La confiabilidad de los datos

La salvaguardia de los activos

El cumplimiento de las normas

El auditor deber observar el ambiente de control en los organismos, y aplicar los criterios
dentro de la Administracin de un modo integral. Estos controles internos deben
comprender a todos los elementos que intervienen en el procesamiento de la informacin
(recursos, sistemas, procesos, estructura, cultura de trabajo, tareas y datos).
Debe observar tambin que las medidas de control existan en todos los niveles de la
estructura, mediante la combinacin de mecanismos tales como aprobacin, autorizacin,
verificacin y segregacin de funciones.
Los criterios ms generales de control interno, orientados a la confiabilidad de los datos y
que deben verificarse en el flujo interno de la informacin dentro de un organismo son:

Independencia del rea de sistemas en la estructura del organismo.

Independencia del responsable de seguridad de los sistemas de informacin con

relacin al rea de sistemas.

Controles por oposicin en las tareas.

Separacin lgica de ambientes entre reas de carga, control y modificacin.

Separacin fsica de operaciones y desarrollo.

Registro automatizado de las modificaciones realizadas en el sistema (logs).

El auditor debe evaluar el grado en que el no cumplimiento de estas normas bsicas

aumenta la vulnerabilidad de la informacin ante los riesgos de amenazas potenciales,
imprevistos, accidentes, daos o cualquier acto o evento con efectos adversos.
Se denominan amenazas a los riesgos que afectan a los sistemas, la informacin y los
procesos. La no existencia de mecanismos de control interno aumenta fuertemente la
posibilidad de que se concreten amenazas.
Algunos riesgos son:

Acceso no permitido, puede darse por falta de confidencialidad en la clave de uso

y/o por uso indebido de puestos de trabajo, uso indebido de recursos o
modificaciones no autorizadas

Prdida o destruccin de informacin, por falta de resguardo fsico y poltica de

backups

Fraude, entendido como la alteracin o eliminacin de informacin con carcter

doloso

Falsificacin, cambiar datos originales

Ataques externos y/o internos

Robo de la informacin, para su venta o divulgacin

Con las comunicaciones se agregan otros riesgos como la negacin de servicio y ms

peligroso, el uso de las propias instalaciones como plataforma de ataque o
enmascaramiento de penetracin o ataque hacia otra red. En este contexto el control de los
virus, macros, gusanos y troyanos debe ser considerado como una prctica obligatoria y
permanente.
Normas Bsicas de Auditora de Sistemas de Informacin
Reproducimos aqu el prrafo de las Normas Bsicas de Auditora Externa de la Auditora
General de la Ciudad (http://www.agcba.gov.ar) aprobadas en octubre de 2000 que dice:
CONCEPTO DE AUDITORIA EXTERNA
La auditora externa es un examen global, total e integrado, que tiende al control
de la gestin pblica desde una perspectiva externa a su propio proceso y que, a diferencia
de los otros tipos de control de gestin, est orientada fundamentalmente a promover la
mejora de las operaciones de gobierno - en trminos de economa, eficacia y eficiencia - y a
fortalecer la capacidad sistmica del estado de rendir cuentas de su gestin a la sociedad.
La Constitucin de la Ciudad de Buenos Aires establece un sistema integral de
control. Tambin la propia Constitucin la ley 70 y la ley 325 hablan de aspectos
econmicos, financieros, patrimoniales, de gestin, de sistemas de informacin y legalidad.
Auditora de Sistemas Informticos
Es el examen que consiste en realizar los procedimientos de verificacin del
correcto funcionamiento de los procesos sistemas de informacin. Se seleccionan distintos
procedimientos de auditora para controlar la forma en que funcionan las aplicaciones
informticas. Se trata de un examen que se torna imprescindible dado la significativa
participacin que tiene la informtica en la organizacin de una entidad.

CRITERIOS DE AUDITORIA
A los fines de las presentes normas, se definen los siguientes criterios de
auditoria:
a) Economa: Se refiere a la adquisicin de la cantidad y calidad apropiada de
recursos financieros como humanos, materiales, informticos, tecnolgicos, etc. con
oportunidad y al ms bajo costo y al grado en que los servicios y bienes producidos
satisfacen las necesidades para las cuales fueron dirigidos.
b) Eficacia: Corresponde al logro de las metas previstas en planes, programas,
proyectos, operaciones y actividades, as como la adecuacin de los mismos a los
objetivos del organismo auditado.
c) Eficiencia: Se refiere al uso productivo de los recursos tendiendo a maximizar el
producto por recurso utilizado o minimizar los recursos empleados por cantidad y
calidad de producto obtenido.
En los programas de auditora debern considerarse los criterios de tica pblica,
equidad y el impacto ambiental que pudiera configurarse.
A los conceptos anteriores del las Normas Bsicas de Auditora de la AGCBA sugerimos
incorporar las siguientes precisiones:
AUDITORIA DE SISTEMAS.
Conjunto de procedimientos que deben llevarse a cabo para verificar el
cumplimiento de los criterios de auditora correspondientes a los procesos de
sistemas de informacin y las tecnologas asociadas a ellas. Deben estar
diseados guardando relacin con el logro de los objetivos de la organizacin y
los recursos aplicados para este fin.

CRITERIOS: En los sistemas de informacin deben observarse que se cumplan los

siguientes criterios esenciales
-Confidencialidad: Condicin de salvaguarda de la informacin a fin de evitar su
disponibilidad para personas y/o procesos no autorizados.
-Integridad: Condicin en que la informacin es creada, modificada o eliminada solo por
el personal y en las condiciones fijadas por la organizacin.
-Disponibilidad: Condicin en que la informacin esta en el lugar momento y forma en
que es requerido por el usuario autorizado.

-Cumplimiento: Debe darse al cumplimiento a las normas internas y a todas las leyes y
reglamentaciones a las que estn sujetas las organizaciones pblicas.
-Confiabilidad: Los sistemas deben brindar informacin correcta para ser utilizada en la
operatoria de la organizacin y en la presentacin de informes contables y financieros a los
usuarios internos , a la Auditora General del G.C.B.A. y dems organismos de control.
-Autenticidad: determinacin de quien esta autorizado y quien es el responsable de las
autorizaciones.
-Transparencia: La resultante de la aplicacin de estos criterios en el manejo de la
informacin lleva a la trasparencia de la gestin, al mejor cumplimiento de los fines de
gobierno y a preservar los derechos de los ciudadanos.
Corrientes ms modernas de la auditora de sistemas de informacin y tecnologas
asociadas incluyen cmo criterio la ergonoma y la ecologa del entorno en que se
desarrollan tareas informticas intensivas y centros de cmputos. Estos conceptos fueron
incluidos en nuestras normas generales al mencionarse el impacto ambiental.

CRITERIOS BASICOS DE EVALUACIN

DE LA ORGANIZACION DEL REA DE SISTEMAS DE INFORMACIN.
El auditor debe identificar en que lugar dentro de la estructura organizacional est ubicada
el rea de Sistemas de Informacin la que deber depender funcionalmente de un nivel tal
que permita garantizar su independencia tanto de las reas usuarias como de
Administracin. Concretamente se debe verificar que ningn rea de usuarios tenga
autoridad para modificar los datos sin pasar por los responsables de sistemas.
Debe observar si existe un plan de Sistemas formal contenga un cronograma de las
actividades del rea, asignacin de prioridades, recursos, sectores involucrados y la
totalidad de las tareas a llevarse a cabo durante un perodo mnimo de 1 ao, que permita
una supervisin continua y directa de las tareas que realizan los distintos sectores.
Se debe constatar que el rea presenta una clara delimitacin de las tareas entre desarrollo
(si lo hubiera) y mantenimiento de sistemas, Administracin de Bases de Datos,
operaciones, carga de datos, soporte tcnico y supervisin, de manera que se garantice una
adecuada segregacin de funciones y fomente un control por oposicin de intereses.
Asimismo debe verificar si existen polticas generales para el rea con una clara definicin
de las misiones y funciones de todos los puestos de trabajo (responsabilidad, dependencia,
funciones que supervisa. etc.), estndares y procedimientos escritos que sean la base de la
planificacin, el control y la evaluacin gerencial.

DOCUMENTACIN EXIGIBLE
Debe solicitar la documentacin detallada sobre el equipamiento informtico, que incluya
diagramas y distribucin fsica de las instalaciones , inventario de 'hardware" y 'software"
completos, diagramas topolgicos y lgicos de las redes, flujo de la informacin por la red,
tipos de vnculos y ubicacin de nodos.
El auditor debe observar si existen manuales con estndares de metodologa para el diseo,
desarrollo y mantenimiento de los sistemas aplicativos. Su aplicacin debe regir para todos
los nuevos sistemas que se desarrollen y para las modificaciones.
Debe solicitar y controlar la documentacin de: los sistemas aplicativos, la operacin de los
procesos informticos, los procesos de recuperacin de datos y archivos, los procesos de
copias y resguardo de datos, la administracin de la red de telecomunicaciones, los
procedimientos para la puesta en marcha de programas en produccin, el tratamiento de los
requerimientos de usuarios, los manuales de usuario y los procedimientos de transferencias
de informacin y toda otra tarea significativa de la Direccin o Gerencia.
Esta informacin comprende tanto al centro de procesamiento de datos principal como a los
secundarios, las redes departamentales y al centro alternativo para contingencias.
SEGURIDAD LOGICA
Dentro de la estructura de la organizacin deber comprobar si existe una funcin para la
administracin y control de la seguridad de acceso a los datos, un responsable de seguridad
que sea independiente del rea de Sistemas de Informacin y que se reporte al mximo
nivel de autoridad.
Debe observar si existe una poltica formal de seguridad informtica, en la que se detallen
como mnimo los siguientes aspectos: nivel de confidencialidad de los datos, procedimiento
de otorgamiento de claves de usuarios para el ingreso a los sistemas, y estndares fijados
para el acceso de usuarios.
El auditor debe determinar si las claves son personales y secretas. Debe verificar la
existencia de un procedimiento de inhabilitacin automtica de claves de usuarios que no
hagan uso de la misma por un perodo predeterminado y si existe un procedimiento formal
para la baja de usuarios que dejen de pertenecer al sector o reparticin.
El auditor controlar que el sistema de seguridad mantenga los archivos de claves o
"passwords encriptadas , generar reportes de auditora sobre intentos de violaciones, el uso
de utilitarios sensitivos y las actividades de los usuarios con atributos de administracin y
accesos especiales, los que debern mantenerse en archivo durante el tiempo que fijan las
normas para cada caso, utilizando para ello soportes de almacenamiento (papel, CD, disco
ptico u otras tecnologas de esa caractersticas).

Debe verificar la existencia de una adecuada planificacin y documentacin escrita y

actualizada de las actividades que se desarrollan normalmente en el centro de
procesamiento de informacin, que deber incluir como mnimo el detalle de los procesos a
realizar, los controles que se efectan, los mecanismos de registracin de los procesos y sus
problemas, los procedimientos sobre cancelaciones y reprocesos , las relaciones con otras
reas y los mecanismos de distribucin de informacin.
Debe constatarse la existencia de procedimientos de control para garantizar la
efectivizacin correcta de cambios cuando corresponda, tales como: cambios de programas
en bibliotecas de produccin, en los archivos, cambios en las definiciones de diccionarios
de datos, en las rdenes de corrida de programas , etc.
En los casos en que existan distintos centros de procesamiento debe considerar si existen
responsables del control centralizado de las operaciones y procesos que se realicen en cada
uno de ellos.
Debe verificar, si es necesario con pruebas, que los sistemas de informacin
computarizados tengan incorporados en su aplicacin, validaciones y controles mnimos
para asegurar la integridad y validez de la informacin que procesan. Deben existir

procedimientos de control formales que aseguren la integridad de la informacin que

se ingresa y procesa en los sistemas.
Debe comprobar que se dispone de equipamiento alternativo (propio o por convenios
formales con terceros ) para el procesamiento y las telecomunicaciones, a efectos de poder
superar posibles fallas o interrupciones de las actividades en sus equipos habituales. Deber
estar localizado en un edificio ubicado a una distancia razonable del centro de
procesamiento.
SISTEMAS APLICATIVOS y REGISTRO DE MOVIMIENTOS.
Se debe verificar la existencia de un archivo en soporte magntico, con todas las
transacciones y mensajes del sistema, para uso de los responsables del control y auditoria.
Este archivo debe reunir todas las condiciones de seguridad e integridad con el fin de
garantizar su confiabilidad y mantenerse disponible durante los aos que fijan las normas
correspondientes.
El auditor debe verificar que las operaciones que afecten a informacin sensible o crtica se
registra, administra y procesa en los sistemas aplicativos correspondientes, no pudiendo
registrarse o administrarse ninguna operacin en forma manual, en planillas de clculo u
otro "software" utilitario. Debe comprobar que existan circuitos alternativos frente a
posibles interrupciones del servicio.
Por cada sistema aplicativo, se deber observar si se
mantiene actualizada la
documentacin tcnica que contenga, como mnimo: Objetivos, alcances, diagrama del
sistema, registro de modificaciones, lenguaje de programacin, propiedad de los programas
fuentes, problemas o limitaciones conocidas, descripcin del "hardware" y software

utilizados, descripcin de las estructuras de datos, descripcin de los mdulos y procesos,

descripcin de las salidas impresas, descripcin de las pantallas que permiten la
modificacin directa de los datos de produccin (cambio de parmetros, formulas, datos,
etc.) y su interrelacin con las redes de telecomunicaciones.
TELEPROCESAMIENTO Y TELECOMUNICACIONES. REDES Y ACCESOS
REMOTOS
Deber observar si los sistemas que se utilicen para la transferencia de datos cumplen con
los requisitos mnimos de controles internos establecidos en los puntos anteriores y todo lo
que se refiera a la seguridad fsica, lgica y operacin de los equipos, as como que existan
circuitos alternativos frente a posibles interrupciones del servicio.
Se debern verificar los mecanismos de proteccin de datos que se usan en la transmisin
por la red de telecomunicaciones, si existen tcnicas adecuadas de encriptacin por
"hardware" y/o "software".
ENCRIPTACIN
Se deber insistir en la necesidad de contar, dentro de las redes de telecomunicaciones, con
un "software debidamente administrado, a fin de proveer una adecuada seguridad para los
accesos a las redes, los cambios a su sistema operativo y el monitoreo de la actividad que se
desarrolla en ellas.
Debe verificar que no existan usuarios con atributos similares de ingreso,
verificacin y/o envo de informacin, a fin de poder asegurar el adecuado control
por oposicin de intereses. Se debern designar responsables individuales por
cada uno de los atributos mencionados.

El auditor verificar las restricciones segn los dominios, sus configuraciones, programas y
aplicativos autorizados y los perfiles de usuarios. Debe comprobar que existan protecciones
de distinto tipo, preventivas y de deteccin de ataques por acceso remoto o correo
electrnico.
Debe describir en su informe:

Tipo de red y conexiones

Informacin transmitida, transferencia de archivos y controles existentes

Programas y aplicaciones con acceso remoto

Uso o no de cifrado

Tipos de transacciones internas y externas

10

Tipos de terminales

Medidas de seguridad en las terminales y puestos de trabajo

Como se separan Intranet e Internet, dominios, contrafuegos, proxys, etc

Seguridad en el correo electrnico (PGP u otros controles)

Proteccin de la informacin y de las aplicaciones

Como se controla la pgina Web, intentos de accesos, modificaciones, permisos,

procedimientos ante ataques.

Si existen archivos logs de accesos realizados a otras redes, por usuario y fecha,
informacin transferida y poltica de control antivirus de las transacciones.

SEGURIDAD FISICA
La seguridad es un factor de suma importancia en los centros de cmputo instalados o a
instalar. Esta consideracin se refleja en la eleccin de las normas a considerar para la
ubicacin del procesador, materiales utilizados para su construccin, equipo de detectores y
proteccin contra incendios, sistema de aire acondicionado, instalacin elctrica, sistema de
control de acceso y el entrenamiento al personal u operadores. El auditor deber controlar
detalladamente:
1. SITUACIN DEL AREA DEL CENTRO DE COMPUTOS
2. ALMACENAMIENTO DE LA INFORMACIN
3. EQUIPOS CONTRA INCENDIOS
4. SUMINISTRO DE ENERGIA ELECTRICA
5. SEGURIDAD EN EL ACCESO DEL PERSONAL
6. SEGURIDAD CONTRA INUNDACIONES
7. SEGURIDAD PARA EL ACCESO DE PERSONAS AL CENTRO DE
CMPUTO
8. POLTICA DE BACKUPS
9. CONTROL AMBIENTAL

11

DERECHOS Y RESPONSABILIDAD DEL USUARIO.

El auditor deber exigir documentos firmados por los usuarios con detalle de sus derechos,
obligaciones y compromisos de uso de la red y de los puestos de trabajo y donde el GCBA
se compromete a no utilizar la informacin privada de los agentes y ciudadanos ms all de
los fines del logro de sus objetivos no admitindose su uso para otros propsitos ni su
difusin no autorizada.
Debe verificarse que los usuarios que procesan informacin de personas cumplan con
siguientes principios de buena prctica:

Procesamiento de acuerdo a las leyes

procesamiento para fines especficos

La informacin que se procesa debe ser adecuada, relevante y no excesiva
La informacin procesada debe ser exacta y confiable
No guardar la informacin ms all de lo necesario
La informacin debe ser procesada resguardando los derechos individuales
La informacin procesada debe ser segura
La informacin no debe ser transferida a otros organismos que no cuenten con
adecuadas medidas de seguridad.

El concepto de procesamiento incluye la obtencin, el mantenimiento y el revelar la

informacin.
CONCLUSIONES:
El auditor debe orientar el objetivo de su informe en conseguir un mejoramiento de las
condiciones esenciales para alcanzar el estado inicial de seguridad y de auditabilidad.
Bsicamente estn implicados los siguientes tems:
I. Definir y Documentar las polticas de seguridad de cada rea.
Definir lo que hay que proteger y porque, sirve de gua para la aplicacin de las
medidas de proteccin necesarias.
II. Asignacin de funciones y responsabilidades de seguridad.
El monitoreo de la seguridad en los procesos dentro de la Administracin es una
tarea permanente. Los cambios tecnolgicos facilitan los accesos a la
informacin y como contrapartida incrementan el riesgo. Se debe definir y
establecer una adecuada misin de control segn las caractersticas del rea.
III.

Responsabilidad del usuario en el acceso al sistema.

Cada usuario debe firmar un documento que refleje un compromiso de mantener en

secreto su clave de acceso y de responsabilizarse de los cambios que se
12

produzcan con ella. Debe recibir esta clave de forma segura y poder
administrarla a su criterio.
IV.

Educacin y formacin en seguridad.

Todos los usuarios deben tener una capacitacin general sobre los riesgos del
sistema en el que estn trabajando.
V.

Manual de procedimientos ante incidentes de seguridad.

Debe verificar la elaboracin en detalle de como se debe proceder ante los

distintos incidentes detectados , como neutralizarlos e informarlo. Procurar una
relacin directa con Arcert para los casos de ataque externo.
VI.

Controles fsicos de la seguridad.

Debe verificar como est contemplado todo aquello que hace a factores externos
que puedan interrumpir el servicio.
VII.

Gestin de la seguridad en el equipamiento.

Debe verificar la existencia de seguros sobre el equipamiento.

VIII. Cumplimiento de la normativa vigente.
Debe detallar las normas y dems documentos que rigen el rea.
IX.

Proteccin, transporte y destruccin de la informacin.

Verificar que no se guarde la informacin ms de lo necesario ni se manejen ms

datos personales que los imprescindibles para cada proceso.

Bibliografa y Organismos de Control

Este trabajo se basa en las normas y criterios de las siguientes publicaciones y organismos
de control:

COSO
http://www.coso.org

COBIT
http://www.isaca.org

Orange Book
13

http://www.multics.demon.uk/orange/index.htm

British Standard 7799

http://www.itsec.gov.uk

MAGERIT
http://www.map.es/csi/pg5m21.htm

SIGEN
http://www.sigen.gov.ar

AGN
http://www.agn.gov.ar

BCRA
http://www.bcra.gov.ar/

14