Auditoría Informática

Anuncio
Auditoría Computacional
Modulo 4 : Tipos y Clases de
Auditorías Informáticas
www.inacap.cl
4.1 Areas Generales y Especificas
de la Auditoría Informática
• 4.1.1 Areas Generales de la Auditoría
Informática.
• 4.1.2 Areas Específicas de la Auditoría
Informatica.
www.inacap.cl
4.1 Areas Generales y Especificas
de la Auditoría Informática
Áreas Generales
Dirección
Usuario
Interna
Seguridad
Explotación
Seguridad
Desarrollo
Comunicaciones
Áreas Específicas
Sistemas
www.inacap.cl
4.1.1 Areas Generales de la
Auditoría Informática
Áreas Generales
Interna
Usuario
Dirección
Seguridad
En esta área de
la Auditoria, se
realiza el
análisis de la
actividad
informática
cotidiana real.
En esta área, el
Departamento
de Informática,
a pesar de
tener sus
actividades
dentro de la
misma
empresa,
trabaja como si
fuera una
entidad
independiente.
En esta área, se
realiza el
control de las
actividades del
departamento
de informática
con el exterior;
esto permite
entender las
necesidades
que tiene la
empresa.
En esta área, se
realiza el
análisis y
control de los
conceptos de
seguridad
físico y lógico
del ámbito
informático.
www.inacap.cl
4.1.2 Areas Específicas de la
Auditoría Informática
Auditoría de
Explotación
Auditoría de
Seguridad
Auditoría de
Desarrollo
Auditoría de
Comunicaciones
Auditoría de
Sistemas
www.inacap.cl
4.1.2 Areas Específicas de la
Auditoría Informática
Los criterios que se aplican para cada área específica en una
auditoría son:
Los criterios que se han
Desde su propio funcionamiento interno
mencionado pueden ser
ampliados,
y
establecidos
Desde el apoyo que recibe de la Dirección y, en sentido
ascendente,
del grado de cumplimiento
las directrices de ésta
de acuerdo
a ladereal
necesidad
de
la
empresa
Desde la perspectiva de los usuarios, destinatarios reales de la
auditadainformática.
y a sus
caracteristicas
Desde el punto de vista de la seguridad que ofrece la
Informática en general o la rama auditada.
www.inacap.cl
4.2 Auditoría Informática de
Explotación
• 4.2.1 Área de Explotación Informática
• 4.2.2 Control de Entrada de Datos.
• 4.2.3 Planificación y Recepción de
Aplicaciones.
• 4.2.4 Centro de Control y Seguimiento de
Trabajos.
• 4.2.5 Sala de Servidores.
• 4.2.6 Centro de Control de Red y
Monitoreo.
www.inacap.cl
4.2.1 Área de Explotación
Informática
La Explotación Informática se ocupa de
producir
resultados
informáticos
de todo
Auditar
Explotación
consiste
en tipo:
informes auditar
impresos,
archivosquesoportados
las secciones
la
magnéticamente
otros informáticos,
componen ypara
sus interrelaciones.
ordenes automatizadas para lanzar o modificar
procesos
La Explotación
industriales,
Informática
etc. La seexplotación
divide
informática
se puedeáreas:
considerar
como una
en tres grandes
Planificación,
fabrica
con ciertas
peculiaridades
que
Producción
y Soporte
Técnico, en
la la
distinguen de las reales. Para realizar la
que cada cual tiene varios grupos.
Explotación Informática se dispone de una
materia prima, los Datos, que es necesario
transformar, y que se someten previamente a
controles de integridad y calidad. La
transformación se realiza por medio del
Proceso informático, el cual está gobernado
por programas. Obtenido el producto final, los
resultados son sometidos a varios controles
de calidad y, finalmente, son distribuidos al
cliente, al usuario.
www.inacap.cl
4.2.2 Control de Entrada de
Datos
La información obtenida será analizada para su
compatibilidad con los sistemas, se debe tomar en
cuenta los plazos establecidos para la entrega de los
datos y la correcta entrega de la información a los
entornos diferentes. También se tomará en cuenta que
estos procedimientos se realicen de acuerdo a las
normas vigentes.
www.inacap.cl
4.2.3 Planificación y Recepción
de Aplicaciones
Las normas de entrega de Aplicaciones por parte de desarrollo
serán auditadas, comprobando su cumplimiento y su calidad.
Una forma de evaluar la información también es escogiendo una
serie de muestras representativas de la documentación de las
aplicaciones en explotación. Se hará las investigaciones pertinentes
a fin de determinar sobre la anticipación de contactos con desarrollo
para la planificación a medio y largo plazo.
www.inacap.cl
4.2.4 Centro de Control y
Seguimiento de Trabajos
Se analizará cómo se prepara, se lanza y se sigue la producción diaria.
Básicamente, la explotación Informática ejecuta procesos por cadenas o
lotes sucesivos (Batch), o en tiempo real. Mientras que las Aplicaciones
de Teleproceso están permanentemente activas y la función de
Explotación se limita a vigilar y recuperar incidencias, el trabajo Batch
absorbe una buena parte de los efectivos de Explotación. Este grupo
determina el éxito de la explotación, en cuanto que es uno de los
factores más importantes en el mantenimiento de la producción.
www.inacap.cl
4.2.5 Sala de Servidores
Las relaciones que unen a las personas y la conexión lógica que existe de cargos y
salarios serán estudiadas, también se verá si es que la distribución de turnos es
equitativa. Cada turno de trabajo estará bajo el cargo de un responsable de sala.
Los Manuales de Operación son importantes, así como su utilización, también los
comandos y su grado de automatización serán analizados con el fin de despejar
dudas acerca de su buen funcionamiento. Los planes de formación deben ser
analizados, además estos deben ser cumplidos también es importante que se
cumpla el tiempo transcurrido para cada operador, desde el tiempo en que recibió
el último curso.
Se verificarán los montajes diarios y por horas
de cintas o cartridge, luego el tiempo que
transcurre a solicitud de montaje por parte del
sistema hasta el montaje real. Serán
verificadas las líneas de papel impresas día a
día y en las horas de impresión, así también la
manipulación de papel que este implica.
www.inacap.cl
4.2.6 Centro de Control de Red
y Monitoreo.
Existe un centro de control de red, el cual se encuentra siempre ubicado
dentro del área de producción Explotación. Este centro dedica sus
funciones exclusivamente al entorno de las comunicaciones, se
relaciona mucho con el Software de Comunicaciones de Técnicas de
Sistemas. La fluidez en cuanto a la relación y el grado de coordinación
entre ambos debe ser analizado. La existencia de un punto equidistante
será estudiada, desde donde sean perceptibles todas las líneas que se
encuentren asociadas al sistema.
En cuanto al Centro de Diagnostico, aquí se atienden
llamadas de los usuarios clientes, quienes se ha averiado o
han sufrido alguna incidencia, tanto en Software como en
Hardware. Este centro es para informáticos grandes con
usuarios dispersos en un territorio amplio.
El Centro de Diagnostico es uno de los que más ayuda a
disponer la configuración de la imagen de la informática de
la empresa. La auditoría debe tomar este punto de vista.
Desde el punto de eficacia y eficiencia del usuario en
cuanto al servicio que recibe. La verificación de la eficiencia
técnica del centro no es suficiente, por que será necesario
un análisis simultáneo, en el entorno del usuario.
www.inacap.cl
4.3 Auditoría Informática de
Desarrollo de Proyectos
•
•
•
•
•
4.3.1 Área de Desarrollo de Proyectos
4.3.2 Revisión de Metodologías usadas.
4.3.3 Control Interno de las Aplicaciones.
4.3.4 Satisfacción de Usuarios.
4.3.5 Seguridad de Procesos y Ejecución
de Programas.
www.inacap.cl
4.3.1 Área de Desarrollo de
Proyectos
La función de Desarrollo es una evolución del
llamado Análisis y Programación de Sistemas y
Aplicaciones. A su vez, engloba muchas áreas, tantas
como sectores informatizados tiene la empresa. De
manera resumida, una Aplicación recorre las
siguientes fases:
• Prerequisitos del Usuario
• Análisis funcional
• Diseño
• Análisis
orgánico
(Preprogramación
y
Programación)
• Pruebas
• Entrega a Explotación y alta para el Proceso.
Estas fases deben estar sometidas a un exigente
control interno, caso contrario, además del aumento
de los costos, podrá producirse la insatisfacción del
usuario. Finalmente, la auditoría deberá comprobar la
seguridad de los programas en el sentido de
garantizar que los ejecutados por la maquina sean
exactamente los previstos y no otros.
www.inacap.cl
4.3.2 Revisión de Metodologías
usadas
Una revisión obligada de las metodologías utilizadas,
es decir estas serán analizadas, para así asegurar la
modularidad de las nuevas ampliaciones de
aplicación, así como también su mantenimiento.
www.inacap.cl
4.3.3 Control Interno de las
Aplicaciones
Dentro del control interno se revisarán las mismas fases, las
mismas que han debido continuar en el área correspondiente de
desarrollo :
Cuando la aplicaciones son grandes, caras y complejas es
importante un análisis de su aplicación
Las aplicaciones deberán ser definidas de acuerdo a una lógica. Se
observan los postulados, en función de la metodología que se aplica y los
objetivos que el proyecto persigue.
El Desarrollo Técnico de la Aplicación. Es importante que este desarrollo
técnico sea ordenado y correcto. Deberán ser compatibles las herramientas
técnicas que se usen ya que la diversidad de programas así lo requiere.
Diseño de Programas, deben ser muy sencillos, serán también
económicos y tendrán modularidad, es decir regulable.
www.inacap.cl
4.3.3 Control Interno de las
Aplicaciones
Dentro del control interno se revisarán las mismas fases, las
mismas que han debido continuar en el área correspondiente de
desarrollo :
Debe haber un periodo de pruebas y para eso se debe utilizar un
método, el cual será realizado de acuerdo a las normas de instalación. Se
harán pruebas de ensayo de datos, para mayor seguridad y los datos
reales no serán permitidos.
Documentación. Toda actividad realizada será documentada y deberá
cumplir la normativa establecida en la instalación.
Habrá un equipo de programación. Debido a que hay tareas
que deben ser observadas, estas son tareas de análisis puro, de
programación e intermedias
www.inacap.cl
4.3.4 Satisfacción de Usuarios
Los usuarios cumplen un rol importante debido a que las
aplicaciones que se encuentren técnicamente eficientes y
bien desarrolladas, que no satisfagan los requerimientos de
estos mismos, serán vistas como fracasadas, la aceptación
por parte del usuario otorga ventajas, debido a que se podrán
evitar nuevas programaciones, ahorrando en mantenimiento
de la aplicación.
www.inacap.cl
4.3.5 Seguridad de Procesos y
Ejecución de Programas
Otro punto son los programas críticos a quienes hay que mantener un
control de procesos y ejecuciones: entonces el Auditor debe tener la
posibilidad de ejecutar un módulo el cual no corresponde con el programa
fuente que desarrollo, codificó y probó en el área de Desarrollo de
Aplicaciones. La compilación debe corresponder al programa codificado,
de no ser así podrían provocar graves daños y altos costos de
mantenimiento, lo que también puede suceder es que se prestaría para
fraudes y sabotajes, etc.
Cuando un programa se da por bueno entonces se sujeta
a ciertas normas que determinan el ser entregados a
explotación con el fin de copiar el programa fuente en la
librería de fuentes de explotación, ha esta librería nadie
más tiene acceso. Después la compilación y el montaje
del programa poniéndolo en la librería de módulos de
explotación, a esta tampoco nadie tiene acceso, y por
último hacer una copia de los programas fuente que se
soliciten para modificarlos o en todo caso para ser
arreglados una vez hecho esto es necesario volver a
verificar todo.
www.inacap.cl
4.4 Auditoría informática de
Sistemas
•
•
•
•
•
•
•
•
4.4.1 Área de Sistemas
4.4.2 Sistemas Operativos.
4.4.3 Software Básico.
4.4.4 Software de teleproceso (On line Tiempo real).
4.4.5 Tunning.
4.4.6 Optimización de los Sistemas.
4.4.7 Administración de Bases de Datos.
4.4.8 Investigación y Desarrollo.
www.inacap.cl
4.4.1 Área de Sistemas
La auditoria informática de Sistemas, se
ocupa de analizar la actividad que se
conoce como Técnica de Sistemas en
todas sus facetas.
Hoy, la importancia creciente de las
telecomunicaciones ha propiciado que las
Comunicaciones, Líneas y Redes de las
instalaciones informáticas, se auditen por
separado, aunque formen parte del entorno
general de Sistemas.
www.inacap.cl
4.4.2 Sistemas Operativos
Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en
primer lugar que los Sistemas están actualizados con las últimas versiones del
fabricante, indagando las causas de las omisiones si las hubiera. El análisis de las
versiones de los Sistemas Operativos permite descubrir las posibles
incompatibilidades entre otros productos de Software Básico adquiridos por la
instalación y determinadas versiones de aquellas. Deben revisarse los parámetros
variables de las Librerías más importantes de los Sistemas, por si difieren de los
valores habituales aconsejados por el constructor.
www.inacap.cl
4.4.3 Software Básico
Es fundamental para el auditor conocer los productos de software básico que han
sido facturados aparte de la propia computadora. Esto, por razones económicas y
por razones de comprobación de que la computadora podría funcionar sin el
producto adquirido por el cliente. En cuanto al Software desarrollado por el
personal informático de la empresa, el auditor debe verificar que éste no ataque,
vulnere ni condicione al Sistema. Igualmente, debe considerar el esfuerzo realizado
en términos de costes, por si hubiera alternativas más económicas.
www.inacap.cl
4.4.4 Software de teleproceso
(On line - Tiempo real)
Un sistema de tiempo real es aquel en el que para que las operaciones
computacionales estén correctas no depende solo de que la lógica e
implementación de los programas computacionales sea correcto, sino también en
el tiempo en el que dicha operación entregó su resultado. Si las restricciones de
tiempo no son respetadas el sistema se dice que ha fallado.
Los sistemas de tiempo real, no se incluyen en Software Básico por su especialidad
e importancia. Las consideraciones anteriores son válidas para éste también
www.inacap.cl
4.4.5 Tunning
Es el conjunto de técnicas de observación y de
medidas
encaminadas
a la evaluación del
comportamiento de los Subsistemas y del Sistema en
su conjunto. Las acciones de tunning deben
diferenciarse de los controles habituales que realiza el
personal de Técnica de Sistemas. El tunning posee
una naturaleza más revisora, estableciéndose
previamente planes y programas de actuación según
los síntomas observados. Se pueden realizar:
•Cuando existe sospecha
de deterioro del
comportamiento parcial o general del Sistema.
•De modo sistemático y periódico, por ejemplo
cada 6 meses. En este caso sus acciones son
repetitivas y están planificados y organizados de
antemano.
El auditor deberá conocer el número de Tunning
realizados en el último año, así como sus resultados.
Deberá analizar los modelos de carga utilizados y los
niveles e índices de confianza de las observaciones.
www.inacap.cl
4.4.6 Optimización de los
Sistemas
Técnica de Sistemas debe realizar acciones permanentes de optimización
como consecuencia de la realización de tunnings preprogramados o
específicos. El auditor verificará que las acciones de optimización fueron
efectivas y no comprometieron la Operatividad de los Sistemas ni el plan
crítico de producción diaria de Explotación.
www.inacap.cl
4.4.7 Administración de Bases
de Datos
El diseño de las Bases de Datos, sean relaciones o
jerárquicas, se ha convertido en una actividad muy
compleja y sofisticada, por lo general desarrollada en
el ámbito de Técnica de Sistemas, y de acuerdo con
las áreas de Desarrollo y usuarios de la empresa. Al
conocer el diseño y arquitectura de éstas por parte
de Sistemas, se les encomienda también su
administración. Los auditores de Sistemas han
observado algunas problemas derivados de la debil
experiencia que el área de Sistemas tiene sobre la
problemática general de los usuarios de Bases de
Datos.
La administración tendría que estar a cargo de Explotación. El auditor de Base de
Datos debería asegurarse que Explotación conoce suficientemente las que son
accedidas por los Procedimientos que ella ejecuta. Analizará los Sistemas de
salvaguarda existentes, que competen igualmente a Explotación. Revisará
finalmente la integridad y consistencia de los datos, así como la ausencia de
redundancias entre ellos.
www.inacap.cl
4.4.8 Investigación y Desarrollo
Las empresas de hoy necesitan de
informáticas desarrolladas, y saben que su
propio personal desarrolla aplicaciones y
ganancias que, pensadas inicialmente
para su utilización interna, pueden ser
susceptibles de otras empresas, creando
una competencia a las compañías del
ramo. La auditoria informática debe tener
cuidado que la Investigación y el
Desarrollo no sea una actividad que
estorbe a otras actividades internas de la
empresa.
www.inacap.cl
4.5 Auditoría informática de
Comunicaciones y Redes
• 4.5.1 Área de Comunicaciones y Redes.
• 4.5.2 Soporte fisico-lógico del tiempo
real.
• 4.5.3 Zonas comunes con la auditoria de
Explotación.
• 4.5.4 Polifacetismo del Centro de Control
de Red.
www.inacap.cl
4.5.1 Área de Comunicaciones y
Redes
Este tipo de auditoria se enfoca en las
redes, líneas, concentradores, etc. Así
pues, la Auditoria Informática ha de
analizar situaciones y hechos algunas
veces alejados entre sí, y está
condicionada a la participación de la
empresa telefónica que provee el servicio.
Para este tipo de auditoria se requiere un
equipo de especialistas y expertos en
comunicaciones y redes.
El auditor informático deberá inquirir sobre
los índices de utilización de las líneas
contratadas, solicitar información sobre
tiempos de desuso; deberá proveerse de la
topología de la red de comunicaciones
actualizada.
www.inacap.cl
4.5.2 Soporte físico-lógico del
tiempo real
• Áreas controladas para los equipos de comunicaciones,
previniendo los accesos inadecuados.
• Protección y tendido adecuado de cables para evitar
accesos físicos.
• Prioridad de recuperación del sistema
• Controles específicos en caso de que se utilicen líneas de
acceso normales con acceso a la red de datos para prevenir
accesos no autorizados a los sistemas o la red.
Tanto el informático como el auditor, las Redes
Nodales, Concentradores, Redes Locales,
Líneas, Multiplexores conforman lo que ellos
conocen como la estructura
del soporte
físico• Debe tener contraseñas
y otros procedimientos
para limitar y detectar cualquier intento de acceso
lógico del
Tiempo Real
no autorizado.
• Detectar errores de transmisión.
• Asegurar que las transmisiones van solo a
usuarios autorizados
• Registros de actividad de la red, para reconstruir
incidencias y detectar accesos no autorizados.
• Técnicas de cifrado de datos.
www.inacap.cl
4.5.3 Zonas comunes con la
auditoria de Explotación
Las debilidades más frecuentes o importantes se encuentran en las deficiencias
organizativas que son comunes a las que se presentan en la auditoria de
explotación . La contratación e instalación de líneas va asociada a la instalación de
los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales,
Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas
actividades deben estar muy coordinadas y a ser posible, dependientes de una sola
organización
Se debe Tener:
• Una gerencia de comunicaciones con autoridad para establecer procedimientos
y normativa.
• Vigilancia del uso de la red de comunicaciones, ajustes de rendimiento y
resolución de problemas.
• Procedimientos para el seguimiento del costo de las comunicaciones y su
reparto a las personas o unidades apropiadas.
• Gestión de la red, inventario de equipamiento y normativa de conectividad
• Monitorización de las comunicaciones, registro y resolución de problemas.
• Revisión de costos y su asignación de proveedores
www.inacap.cl
4.5.4 Polifacetismo del Centro
de Control de Red
La auditoria de este sector requiere un
equipo de especialistas, expertos
simultáneamente en Comunicaciones y
en Redes Locales, que permita
enfrentar las deficiencias técnicas del
entorno, debido a que debe realizar un
estudio
profundo
de
todas
las
actividades,
siendo
partícipe
de
situaciones y hechos alejados entre sí,
encontrándose inserto en la gestión de
quienes provean el servicio de soporte.
www.inacap.cl
4.6 Auditoría de la Seguridad
informática
• 4.6.1 Área de Seguridad Informática.
• 4.6.2 Soporte físico-lógico de la auditoria
de seguridad informática.
• 4.6.3 Seguridad general y específica de la
auditoria informática.
www.inacap.cl
4.6.1 Área de Seguridad
Informática.
La gestión del área de la seguridad
consiste en la realización de las
tareas necesarias para garantizar
los niveles de seguridad exigibles
en una Organización.
Ejemplo de Composición de una
area de Seguridad Informática:
www.inacap.cl
4.6.1 Área de Seguridad
Informática.
Descripcion de los componentes del área
Jefe de Seguridad Informática: Es el responsable de
mantener el área de seguridad informática.
ABM Usuarios: Se dedica al alta/baja/modificación de
usuarios, contraseñas dentro de los sistemas
operativos y aplicaciones de toda la Empresa.
Revisión, evaluación y mantenimiento: Se dedica a
revisar la seguridad informática de la red de la
Empresa, de los sistemas que se están utilizando, se
encarga de realizar pruebas de productos de seguridad
informática y del mantenimiento de la seguridad
informática activa en todos los sectores.
Participación en proyectos: Se dedica a participar en
todos los proyectos de informática de la Empresa, para
que desde el inicio se cuente con un diseño e
implementación de los nuevos sistemas en un entorno
seguro.
www.inacap.cl
4.6.1 Área de Seguridad
Informática.
Funciones del área de Seguridad Informática
• Proteger los sistemas informáticos de la Empresa ante posibles
amenazas.
• Mantenimiento de las políticas y estándares de seguridad de la
información.
• Mantenimiento de los usuarios, contraseñas y accesos a los
sistemas por parte de los usuarios de la Empresa.
• Desarrollo e implementación del Plan de Seguridad.
•Monitoreo del día a día de la implementación y uso de los
mecanismos de seguridad de la información.
• Coordinar investigaciones de incidentes de seguridad
informática.
• Revisión de logs de auditoría y sistemas de detección de
intrusiones.
• Participar en los proyectos informáticos de la Empresa
agregando todas las consideraciones de seguridad informática.
www.inacap.cl
4.6.2 Soporte fisico-lógico de la
auditoria de seguridad informática
La seguridad en la informática abarca los conceptos de seguridad
física y seguridad lógica. La seguridad física se refiere a la
protección del Hardware y de los soportes de datos, así como a la
de los edificios e instalaciones que los albergan. Contempla las
situaciones de incendios, sabotajes, robos, catástrofes naturales,
etc.
La seguridad lógica se refiere a la seguridad de uso del software, a
la protección de los datos, procesos y programas, así como la del
ordenado y autorizado acceso de los usuarios a la información.
www.inacap.cl
4.6.3 Seguridad general y específica
de la auditoría informática
La seguridad informática se la
Con el incremento de agresiones a
puede dividir como Area General y
instalaciones informáticas en los
como Area Especifica (seguridad de
últimos años, se han ido originando
Explotación, seguridad de las
acciones para mejorar la Seguridad
Aplicaciones, etc.). Así, se podrán
Informática a nivel físico. Los
efectuar auditorias de la Seguridad
accesos y conexiones indebidos a
Global
de
una
Instalación
través
de
las
Redes
de
Informática -Seguridad General- y
Comunicaciones, han acelerado el
auditorias de la Seguridad de un
desarrollo
de
productos
de
área informática determinada –
Seguridad lógica y la utilización de
Seguridad Especifica -.
sofisticados medios criptográficos.
www.inacap.cl
4.6.3 Seguridad general y específica
de la auditoría informática
El sistema integral de seguridad debe comprender:
Elementos
administrativos
Elementos técnicos y
procedimientos
Definición de una política
de seguridad
Sistemas de seguridad de
equipos y de sistemas
Organización y división de
responsabilidades
Aplicación de los
sistemas de seguridad
Seguridad física y contra
catástrofes
El papel de los auditores,
internos como externos
Prácticas de seguridad del
personal
Planeación de programas de
desastre y su prueba
www.inacap.cl
¿ PREGUNTAS ?
www.inacap.cl
Descargar