AUDITORIA DE SISTEMAS

CICLO I – 2020
LSI. ANGÉLICA CRUZ CHÓEZ

Correo:
angelica.cruzc@ug.edu.ec
 PRINCIPALES ÁREAS DE LA AUDITORIA
INFORMÁTICA

3.1 Auditoría de Seguridad Física y Lógica.

3.2 Auditoría Ofimática
3.3 Auditoría del Desarrollo de Proyectos.
3.4 Auditoría del Uso y Mantenimiento de
Hardware y Software
AUDITORIA FÍSICA
 LA SEGURIDAD FÍSICA
Garantiza la integridad de los activos humanos, lógicos y material de un CPD.
No están claras los límites , dominios y responsabilidades de los tres tipos de seguridad que a los
usuarios les interesa: seguridad lógica, seguridad física y seguridad de las comunicaciones
Se deben tener medidas para atender los riesgos de fallos, local o general.
Medidas…
Antes
Obtener y mantener un nivel adecuado de seguridad física sobre los activos
Durante
Ejecutar un plan de contingencia adecuado
Después
Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas, gastos o
responsabilidades que se puedan derivar una vez detectado y corregido el Fallo.
Antes
El nivel adecuado de seguridad física , o grado de seguridad, es un conjunto de
acciones utilizadas para evitar el fallo, o aminorar las consecuencias.

▪Ubicación del edificio

▪Ubicación del CPD
▪Compartimentación
▪Elementos de construcción
▪Potencia eléctrica
▪Sistemas contra incendios
▪Control de accesos
▪Selección del personal
▪Seguridad de los medios
▪Medidas de protección
▪Duplicación de los medios
Durante
Desastre: es cualquier evento , que cuando ocurre, tiene la capacidad de interrumpir e normal
proceso de una empresa. Se debe contar con los medios para afrontarlo cuando éste ocurra.
Los medios quedan definidos en el Plan de recuperación de desastres, junto con el centro alternativo
de proceso de datos, constituyen el Plan de Contingencia.
Plan de contingencia inexcusablemente debe:
Realizar un análisis de riesgos de sistemas críticos
Establecer un período crítico de recuperación
Realizar un análisis de las aplicaciones críticas estableciendo prioridades de proceso.
Establecer prioridades de procesos por días del año de las aplicaciones y orden de los procesos
Establecer objetivos de recuperación que determinen el período de tiempo (horas, días , semanas)
entre la declaración del desastre y el momento en que el centro alternativo puede procesar las
aplicaciones críticas.
Durante
• Designar , entre los distintos tipos existentes, un centro alternativo de proceso de datos.
• Asegurar la capacidad de las comunicaciones
• Asegurar la capacidad de los servicios de Back-up
Después

*De la gama de seguros pueden darse:

* Centro de proceso y equipamiento
* Reconstrucción de medios de software
* Gastos extra ( continuidad de las operaciones y permite compensar la ejecución del plan de
contingencia)
* Interrupción del negocio ( cubre pérdidas de beneficios netos causados por la caída de
sistemas)
* Documentos y registros valiosos
Después
* Errores y omisiones
* Cobertura de fidelidad
* Transporte de medios
* Contratos con proveedores y de mantenimiento
 ÁREAS DE LA SEGURIDAD FÍSICA
Edificio :
Debe encargarse a peritos especializados
Las áreas en que el auditor chequea directamente :
Organigrama de la empresa
Dependencias orgánicas, funcionales y jerárquicas.
Separación de funciones y rotación del personal
Da la primera y más amplia visión del Centro de Proceso
Auditoría Interna
Personal, planes de auditoria, historia de auditorias físicas
Administración de la seguridad
Director o responsable de la seguridad integral
Responsable de la seguridad informática
Administradores de redes
Administradores de Base de datos
Responsables de la seguridad activa y pasiva del entorno físico
Normas, procedimientos y planes existentes
 ÁREAS DE LA SEGURIDAD FÍSICA
Centro de proceso de datos e instalaciones
• Entorno en donde se encuentra el CPD
• Sala de Host
• Sala de operadores
• Sala de impresoras
• Cámara
• Oficinas
• Almacenes
• Instalaciones eléctricas
• Aire acondicionado

Equipos y comunicaciones
• Host, terminales, computadores personales, equipos de almacenamiento masivo de datos,
impresoras, medios y sistemas de telecomunicaciones.

Seguridad física del personal

• Accesos seguros
• Salidas seguras
• Medios y rutas de evacuación, extinción de incendios, sistemas de bloqueos de puertas y ventanas
• Normas y políticas emitidas y distribuidas al personal referente al uso de las instalaciones por el
personal
 FUENTES DE LA AUDITORÍA FÍSICA

Deben estar accesibles:

• Políticas , normas y planes de seguridad
• Auditorías anteriores, generales o parciales
• Contratos de seguros, de proveedores y de
mantenimiento
• Actas e informes de técnicos y consultores
• Informes de accesos y visitas
• Informes sobre pruebas de evacuación
• Políticas del personal
• Inventarios de soportes (back-up, procedimientos de
archivos, controles de salida y recuperación de soporte,
control de copias, etc.)
 TÉCNICAS Y HERRAMIENTAS DEL AUDITOR
Técnicas:
• Observación de las instalaciones, sistemas, cumplimiento de normas y procedimientos,
etc. ( tanto de espectador como actor)
• Revisión analítica de:
• Documentación sobre construcción y preinstalaciones
• Documentación sobre seguridad física
• Políticas y normas de actividad de sala
• Normas y procedimientos sobre seguridad física de los datos
• Contratos de seguros y de mantenimiento
• Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio)
• Consultas a técnicos y peritos que formen parte de la plantilla o independientes
Herramientas:
• Cuaderno de campo/ grabadora de audio
• Máquina fotográfica / cámara de video
• Su uso debe ser discreto y con autorización
FASES DE LA AUDITORÍA FÍSICA
Considerando la metodología de ISACA (Information Systems
Audit and Control Association)
• Fase 1 Alcance de la Auditoría
• Fase 2 Adquisición de Información general
• Fase 3 Administración y Planificación
• Fase 4 Plan de auditoría
• Fase 5 Resultados de las Pruebas
• Fase 6 Conclusiones y Comentarios
• Fase 7 Borrador del Informe
• Fase 8 Discusión con los Responsables de Área
• Fase 9 Informe Final
• Informe – anexo al informe – carpeta de evidencias
• Fase 10 Seguimiento de las modificaciones acordadas
 AUDITORIA DE LA RED LÓGICA

• Comprueba la asignación de contraseñas de acceso, el control de

los errores. Garantizar que en una transmisión, ésta solo sea
recibida por el destinatario. Para esto, regularmente se cambia la
ruta de acceso de la información a la red. Se encarga de
Registrar las actividades de los usuarios en la red. Encriptar la
información pertinente y evitar la importación y exportación de
datos.
LA SEGURIDAD DE LOS SISTEMAS
DE INFORMACIÓN

LA PROTECCIÓN DE LOS ACTIVOS INFORMÁTICOS

SEGURIDAD, ALGUNOS CONCEPTOS
• Seguridad
• Protección contra perdidas
• Es un sistema seguro, impenetrable?
• Grados de seguridad Vs costo
• Naturaleza de las amenazas – contingencias

• A que apuntan las medidas de seguridad?

• Integridad, confidencialidad, privacidad y continuidad
INTEGRIDAD

• Completa y correcta
• Datos libres de errores
• Intencionales como no intencionales

• No contradictorios!!!
CONFIDENCIALIDAD

• Proteger la información contra la divulgación indebida

PRIVACIDAD

• Tiene que ver con la persona

• Similar a intimidad
• Información que un individuo no desea tenga difusión generalizada
• Que sucede cuando el derecho de los individuos se contraponen con las
necesidades de las organizaciones privadas o publicas?
CONTINUIDAD
• Seguir Operando!!!!
SENSITIVIDAD

• Atributo que determina que la información deberá ser protegida

IDENTIFICACIÓN
• Declaración de ser una
persona o programa
• Numero ID
• T Magnética
• Registro de Voz
• Etc.
AUTENTICAR

• Es una prueba de identidad

• Debe ser secreto
• Ejemplos....LAS PASSWORDS
AUTORIZACIÓN

• Función del sistema de control

• Es el QUIEN DEBE HACER QUE...
• Debe ser especifica, no general
CONTINGENCIA

• Es una amenaza al conjunto de los peligros a los que están expuestos los
recursos informáticos de una organización
• Recursos:
• Personas
• Datos
• Hardware
• Software
• Instalaciones
• .....
 CATEGORÍAS DE CONTINGENCIAS AMBIENTALES

• Ambientales naturales
• Inundación, incendio, filtraciones, alta temperatura, terremoto, derrumbe explosión, corte
de energía, disturbios, etc.

• Ambientales operativas
• Caída o falla del procesador, periféricos, comunicaciones, software de base/aplicación,
AC, Sistema eléctrico, etc.
 CATEGORÍAS DE CONTINGENCIAS
HUMANAS

• Humanas no intencionales
• Errores y/o omisiones en el ingreso de datos, errores en backup, falta de conocimiento,
falta de documentación actualizada, en daños accidentales...

• Humanas intencionales
• Fraude, daño intencional, terrorismo, virus, hurto, robo, etc.
CUALES SON LOS DESASTRES MAS COMUNES QUE PUEDEN AFECTAR LOS
SISTEMAS?

• Virus
• Fuego
• Inundaciones
• Cortes de electricidad
• Interferencias eléctricas
• Fallas mecánicas
• Sabotaje
• Empleados descontentos
• Uso indebido de recursos
VULNERABILIDAD
• Debilidad que presenta una organización frente a las contingencias que tienen lugar en el
entrono del procesamiento de datos.
• Falta de protección ante una contingencia
• Se da ante la falta de:
• Software de protección
• Responsables a cargo de la SI
• Planes de seguridad, contingencias
• Inadecuada/o:
• Selección y capacitación
• Diseño de sistemas, programación, operación
• Backups
• Auditorias I/E
CONSECUENCIA

• Daño o perdida potencial ante la ocurrencia de una contingencia

• Algunas consecuencias inmediatas:
• Imposibilidad de procesar
• Perdida de archivos y registros
• Lectura indebida
• Otras consecuencias mediatas:
• Legales
• Económicas/financieras
• Incidencia en otros sistemas
 TIPOS DE MEDIDAS DE SEGURIDAD

• Preventivas
• Limitan la posibilidad de que se concreten las contingencias
• Detectivas
• Limitan los efectos de las contingencias presentadas
• Correctivas
• Orientadas a recuperar la capacidad de operación normal
QUE TIPO DE CONTROLES PUEDEN EFECTUARSE PARA AUMENTAR LA
SEGURIDAD?

•Acceso Físico
•Acceso Lógico
 MÉTODOS DE CONTROL DE ACCESOS
• Contraseñas
• Características, fuerzas y debilidades
• Otros medios de autenticación
• Impresiones digitales
• Medidas de geometría de las manos
• Iris del ojo
BACKUPS Y RECUPERACIÓN

• Hardware
• Software
• Algunas preguntas frecuentes
• De que dependen?
• Como se manifiestan?
• Donde se realizan?
• Cada cuanto deben realizarse?
QUE ES Y COMO CONTRIBUYE LA CRIPTOGRAFÍA A
LA SI?
• Ininteligibilidad a usuarios no autorizados
• Métodos de encriptación
• Valiosos para la protección de datos y redes
• Usan algoritmos matemáticos en función de cadenas validas o passwords
AUDITORIA DE LA
OFIMÁTICA
 OFIMÁTICA
Sistema informatizado que genera, procesa, almacena , recupera, comunica y presenta datos
relacionados con el funcionamiento de la oficina
Ejemplos:
Aplicaciones específicas de la gestión de tareas como Hojas de cálculo o Procesadores de
texto,
Herramientas para la gestión de documentos, como control de expedientes o sistemas de
almacenamiento óptico de información,
Agendas y bases de datos personales;
Sistemas de trabajo en grupo como el correo electrónico o el control de flujo de trabajo;

Este desarrollo de sistemas ofimáticos ha mantenido dos paradigmas fundamentales:

El escritorio virtual
El trabajo cooperativo (CSCW, computed Supported Cooperative Work)
Escritorio Virtual:
Un único panel representado por la pantalla del computador, que sustituya la mesa
de trabajo tradicional, y donde se encuentren disponibles todas las herramientas
necesarias para desarrollar las actividades del oficinista. La interfaz debe parecer
natural al usuario y debe ser fácil de aprender y utilizar.
El Trabajo Cooperativo:
Puede considerarse como una extensión del concepto de integración de
aplicaciones. Según Kraemer es como una multiplicidad de actividades coordinadas,
desarrolladas por un conjunto de participantes y soportadas por un sistema
informático. Lo anterior implica permitir intercambiar la información necesaria en los
diversos procesos de la organización y/o con otras organizaciones.
Controles de auditoría
Existen dos características peculiares de los entornos ofimáticos:
La distribución de las aplicaciones por los diferentes departamentos de la
organización en lugar de encontrarse en una única ubicación centralizada; y
El traslado de la responsabilidad sobre ciertos controles de los sistemas de
información a usuarios finales no dedicados profesionalmente a la informática, que
pueden no comprender de un modo adecuado la importancia de los mismos y la
forma de realizarlos
PROBLEMÁTICAS PROPIAS
• Adquisición poco planificada
• Desarrollos ineficaces e ineficientes
• Falta de conciencia de los usuarios acerca de la seguridad de la información
• Utilización de copias ilegales de aplicaciones
• Procedimientos de copias de seguridad deficientes
• Escasa formación del personal
• Ausencia de documentación suficiente
Los controles
Se presentan agrupados siguiendo criterios relacionados con aspectos de
economía, eficacia y eficiencia; seguridad y condicionantes legales, son los
suficientemente generales para servir de base en la elaboración del guion de
trabajo de la labor del equipo auditor
 ECONOMÍA, EFICACIA Y EFICIENCIA
Determinar si el inventario ofimático refleja con exactitud los equipos y
aplicaciones existentes en la organización:
Mecanismos para garantizar que los equipos adquiridos son
inventariados.
Realizar conciliación

Determinar y evaluar el procedimiento de adquisiciones de equipos y

aplicaciones
Políticas
Revisión cumplimiento de políticas
Consideración de otros mecanismos que optimicen el proceso actual de
adquisición
Determinar y evaluar la política de mantenimiento definida en la organización:
Revisión de contratos y si incluyen a todo el inventario
Garantías
Registro de incidencias producidas
Tiempo de atención de las incidencias y mecanismos

Evaluar la calidad de las aplicaciones del entorno ofimático desarrollada por personal de la propia
organización:
Responsables del desarrollo
Metodologías y test de pruebas
Ambiente de desarrollo vs ambiente explotación
Reporte de incidencias y seguimiento

Evaluar la corrección del procedimiento existente para la realización de los cambios de versiones y
aplicaciones:

Procedimientos y mecanismos formales para la autorización, aprobación, adquisición de nuevas

aplicaciones y cambios de versiones
Comprobación del cumplimiento sobre lo instalado en usuarios
AUDITORIA DEL DESARROLLO
DE PROYECTOS.
 Auditoría Informática de Desarrollo
Revisión del proceso completo de desarrollo de proyectos por parte de la empresa auditada. El análisis
se basa en cuatro aspectos fundamentales

1.- Revisión de las metodologías utilizadas:

Se analizaran estás, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la
Aplicación y el fácil mantenimiento de las mismas.

2.- Control Interno de las Aplicaciones:

Se deberán revisar las mismas fases que presuntamente han debido seguir el área correspondiente de
Desarrollo:

•Estudio de Vialidad de la Aplicación

•Definición Lógica de la Aplicación.

•Desarrollo Técnico de la Aplicación.

•Diseño de Programas.

•Métodos de Pruebas.
 3.- Satisfacción de usuarios:
Una Aplicación técnicamente eficiente y bien desarrollada, interfaz amigable, deberá
considerarse fracasada si no sirve a los intereses del usuario que la solicitó .

4.- Control de Procesos y Ejecuciones de Programas Críticos :

Se ha de comprobar la correspondencia biunívoca y exclusiva entre el programa
codificado y su compilación. Si los programas fuente y los programa módulo no
coincidieran podría provocar graves y altos costos de mantenimiento, hasta fraudes,
pasando por acciones de sabotaje, espionaje industrial informativo, etc.
 CONTROL INTERNO DE LAS APLICACIONES:
Se deberán revisar las mismas fases que presuntamente han debido seguir el área correspondiente de
Desarrollo:
▪ Estudio de Vialidad de la Aplicación. [importante para Aplicaciones largas, complejas y caras]
▪ Definición Lógica de la Aplicación. [se analizará que se han observado los postulados lógicos de actuación,
en función de la metodología elegida y la finalidad que persigue el proyecto]
▪ Desarrollo Técnico de la Aplicación. [Se verificará que éste es ordenado y correcto. Las herramientas técnicas
utilizadas en los diversos programas deberán ser compatibles]
▪ Diseño de Programas. [deberán poseer la máxima sencillez, modularidad y economía de recursos]
▪ Métodos de Pruebas. [ Se realizarán de acuerdo a las Normas de la Instalación. Se utilizarán juegos de
ensayo de datos, sin que sea permisible el uso de datos reales]
▪ Documentación. [cumplirá la Normativa establecida en la Instalación, tanto la de Desarrollo como la de
entrega de Aplicaciones a Explotación]
▪ Equipo de Programación. [Deben fijarse las tareas de análisis puro, de programación y las intermedias. En
Aplicaciones complejas se producirían variaciones en la composición del grupo, pero estos deberán estar
previstos]
AUDITORÍA MANTENIMIENTO DE HARDWARE Y
SOFTWARE
 EL PERSONAL DEL MANTENIMIENTO

• Verificar el área de personal

• Aclaraciones sobre el cálculo de rendimiento
MANTENIMIENTO PREVENTIVO Y CORRECTIVO
• Disminución del número de incidencias en el sistema.
• Aumento de la vida útil de los equipos.
• Disminución de costos de tiempo y económicos en reparaciones.
• Detección de los puntos débiles del sistema.
 FINES DE LA AUDITORIA EN EL ENTORNO
DE HARDWARE.
• El mantenimiento que se realice debe asegurar una vida útil para toda el área.
• Revisar los informes de la dirección sobre la utilización del hardware.
• Revisar si el equipo se utiliza por el personal autorizado.
• Examinar los estudios de adquisición, selección y evaluación del hardware.
• Comprobar las condiciones ambientales.
• Verificar los procedimientos de seguridad física.
• Examinar los controles de acceso físico.
• Revisar la seguridad física de los componentes de la red
 FINES DE LA AUDITORIA EN EL ENTORNO DE
SOFTWARE.
• Revisar las librerías utilizadas por los programadores.
• Examinar que los programas realizan lo que realmente se espera de ellos.
• Revisar el inventario de software.
• Comprobar la seguridad de datos y software.
• Examinar los controles sobre los datos.
• Revisar los controles de entrada y salida.
• Supervisar el uso de las herramientas potentes al servicio de los usuarios.
• Comprobar la seguridad e integridad de la base de datos.
 AUDITORÍA DE SISTEMAS DE
INFORMACIÓN
• Es el estudio que comprende el análisis y gestión de
sistemas llevado a cabo por profesionales para
identificar, enumerar y posteriormente describir las
diversas vulnerabilidades que pudieran presentarse en
una revisión exhaustiva de las estaciones de trabajo,
redes de comunicaciones o servidores.
 FASES DE UNA AUDITORIA
• Los servicios de auditoría constan de las siguientes fases:
• Enumeración de redes, topologías y protocolos
• Verificación del Cumplimiento de los estándares internacionales.
(ISO 27001)
• Identificación de los sistemas operativos instalados
• Análisis de servicios y aplicaciones
• Detección, comprobación y evaluación de vulnerabilidades
• Medidas específicas de corrección
• Recomendaciones sobre implantación de medidas preventivas.