Auditoría Computacional Modulo 4 : Tipos y Clases de Auditorías Informáticas www.inacap.cl 4.1 Areas Generales y Especificas de la Auditoría Informática • 4.1.1 Areas Generales de la Auditoría Informática. • 4.1.2 Areas Específicas de la Auditoría Informatica. www.inacap.cl 4.1 Areas Generales y Especificas de la Auditoría Informática Áreas Generales Dirección Usuario Interna Seguridad Explotación Seguridad Desarrollo Comunicaciones Áreas Específicas Sistemas www.inacap.cl 4.1.1 Areas Generales de la Auditoría Informática Áreas Generales Interna Usuario Dirección Seguridad En esta área de la Auditoria, se realiza el análisis de la actividad informática cotidiana real. En esta área, el Departamento de Informática, a pesar de tener sus actividades dentro de la misma empresa, trabaja como si fuera una entidad independiente. En esta área, se realiza el control de las actividades del departamento de informática con el exterior; esto permite entender las necesidades que tiene la empresa. En esta área, se realiza el análisis y control de los conceptos de seguridad físico y lógico del ámbito informático. www.inacap.cl 4.1.2 Areas Específicas de la Auditoría Informática Auditoría de Explotación Auditoría de Seguridad Auditoría de Desarrollo Auditoría de Comunicaciones Auditoría de Sistemas www.inacap.cl 4.1.2 Areas Específicas de la Auditoría Informática Los criterios que se aplican para cada área específica en una auditoría son: Los criterios que se han Desde su propio funcionamiento interno mencionado pueden ser ampliados, y establecidos Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento las directrices de ésta de acuerdo a ladereal necesidad de la empresa Desde la perspectiva de los usuarios, destinatarios reales de la auditadainformática. y a sus caracteristicas Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada. www.inacap.cl 4.2 Auditoría Informática de Explotación • 4.2.1 Área de Explotación Informática • 4.2.2 Control de Entrada de Datos. • 4.2.3 Planificación y Recepción de Aplicaciones. • 4.2.4 Centro de Control y Seguimiento de Trabajos. • 4.2.5 Sala de Servidores. • 4.2.6 Centro de Control de Red y Monitoreo. www.inacap.cl 4.2.1 Área de Explotación Informática La Explotación Informática se ocupa de producir resultados informáticos de todo Auditar Explotación consiste en tipo: informes auditar impresos, archivosquesoportados las secciones la magnéticamente otros informáticos, componen ypara sus interrelaciones. ordenes automatizadas para lanzar o modificar procesos La Explotación industriales, Informática etc. La seexplotación divide informática se puedeáreas: considerar como una en tres grandes Planificación, fabrica con ciertas peculiaridades que Producción y Soporte Técnico, en la la distinguen de las reales. Para realizar la que cada cual tiene varios grupos. Explotación Informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. La transformación se realiza por medio del Proceso informático, el cual está gobernado por programas. Obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario. www.inacap.cl 4.2.2 Control de Entrada de Datos La información obtenida será analizada para su compatibilidad con los sistemas, se debe tomar en cuenta los plazos establecidos para la entrega de los datos y la correcta entrega de la información a los entornos diferentes. También se tomará en cuenta que estos procedimientos se realicen de acuerdo a las normas vigentes. www.inacap.cl 4.2.3 Planificación y Recepción de Aplicaciones Las normas de entrega de Aplicaciones por parte de desarrollo serán auditadas, comprobando su cumplimiento y su calidad. Una forma de evaluar la información también es escogiendo una serie de muestras representativas de la documentación de las aplicaciones en explotación. Se hará las investigaciones pertinentes a fin de determinar sobre la anticipación de contactos con desarrollo para la planificación a medio y largo plazo. www.inacap.cl 4.2.4 Centro de Control y Seguimiento de Trabajos Se analizará cómo se prepara, se lanza y se sigue la producción diaria. Básicamente, la explotación Informática ejecuta procesos por cadenas o lotes sucesivos (Batch), o en tiempo real. Mientras que las Aplicaciones de Teleproceso están permanentemente activas y la función de Explotación se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una buena parte de los efectivos de Explotación. Este grupo determina el éxito de la explotación, en cuanto que es uno de los factores más importantes en el mantenimiento de la producción. www.inacap.cl 4.2.5 Sala de Servidores Las relaciones que unen a las personas y la conexión lógica que existe de cargos y salarios serán estudiadas, también se verá si es que la distribución de turnos es equitativa. Cada turno de trabajo estará bajo el cargo de un responsable de sala. Los Manuales de Operación son importantes, así como su utilización, también los comandos y su grado de automatización serán analizados con el fin de despejar dudas acerca de su buen funcionamiento. Los planes de formación deben ser analizados, además estos deben ser cumplidos también es importante que se cumpla el tiempo transcurrido para cada operador, desde el tiempo en que recibió el último curso. Se verificarán los montajes diarios y por horas de cintas o cartridge, luego el tiempo que transcurre a solicitud de montaje por parte del sistema hasta el montaje real. Serán verificadas las líneas de papel impresas día a día y en las horas de impresión, así también la manipulación de papel que este implica. www.inacap.cl 4.2.6 Centro de Control de Red y Monitoreo. Existe un centro de control de red, el cual se encuentra siempre ubicado dentro del área de producción Explotación. Este centro dedica sus funciones exclusivamente al entorno de las comunicaciones, se relaciona mucho con el Software de Comunicaciones de Técnicas de Sistemas. La fluidez en cuanto a la relación y el grado de coordinación entre ambos debe ser analizado. La existencia de un punto equidistante será estudiada, desde donde sean perceptibles todas las líneas que se encuentren asociadas al sistema. En cuanto al Centro de Diagnostico, aquí se atienden llamadas de los usuarios clientes, quienes se ha averiado o han sufrido alguna incidencia, tanto en Software como en Hardware. Este centro es para informáticos grandes con usuarios dispersos en un territorio amplio. El Centro de Diagnostico es uno de los que más ayuda a disponer la configuración de la imagen de la informática de la empresa. La auditoría debe tomar este punto de vista. Desde el punto de eficacia y eficiencia del usuario en cuanto al servicio que recibe. La verificación de la eficiencia técnica del centro no es suficiente, por que será necesario un análisis simultáneo, en el entorno del usuario. www.inacap.cl 4.3 Auditoría Informática de Desarrollo de Proyectos • • • • • 4.3.1 Área de Desarrollo de Proyectos 4.3.2 Revisión de Metodologías usadas. 4.3.3 Control Interno de las Aplicaciones. 4.3.4 Satisfacción de Usuarios. 4.3.5 Seguridad de Procesos y Ejecución de Programas. www.inacap.cl 4.3.1 Área de Desarrollo de Proyectos La función de Desarrollo es una evolución del llamado Análisis y Programación de Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores informatizados tiene la empresa. De manera resumida, una Aplicación recorre las siguientes fases: • Prerequisitos del Usuario • Análisis funcional • Diseño • Análisis orgánico (Preprogramación y Programación) • Pruebas • Entrega a Explotación y alta para el Proceso. Estas fases deben estar sometidas a un exigente control interno, caso contrario, además del aumento de los costos, podrá producirse la insatisfacción del usuario. Finalmente, la auditoría deberá comprobar la seguridad de los programas en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros. www.inacap.cl 4.3.2 Revisión de Metodologías usadas Una revisión obligada de las metodologías utilizadas, es decir estas serán analizadas, para así asegurar la modularidad de las nuevas ampliaciones de aplicación, así como también su mantenimiento. www.inacap.cl 4.3.3 Control Interno de las Aplicaciones Dentro del control interno se revisarán las mismas fases, las mismas que han debido continuar en el área correspondiente de desarrollo : Cuando la aplicaciones son grandes, caras y complejas es importante un análisis de su aplicación Las aplicaciones deberán ser definidas de acuerdo a una lógica. Se observan los postulados, en función de la metodología que se aplica y los objetivos que el proyecto persigue. El Desarrollo Técnico de la Aplicación. Es importante que este desarrollo técnico sea ordenado y correcto. Deberán ser compatibles las herramientas técnicas que se usen ya que la diversidad de programas así lo requiere. Diseño de Programas, deben ser muy sencillos, serán también económicos y tendrán modularidad, es decir regulable. www.inacap.cl 4.3.3 Control Interno de las Aplicaciones Dentro del control interno se revisarán las mismas fases, las mismas que han debido continuar en el área correspondiente de desarrollo : Debe haber un periodo de pruebas y para eso se debe utilizar un método, el cual será realizado de acuerdo a las normas de instalación. Se harán pruebas de ensayo de datos, para mayor seguridad y los datos reales no serán permitidos. Documentación. Toda actividad realizada será documentada y deberá cumplir la normativa establecida en la instalación. Habrá un equipo de programación. Debido a que hay tareas que deben ser observadas, estas son tareas de análisis puro, de programación e intermedias www.inacap.cl 4.3.4 Satisfacción de Usuarios Los usuarios cumplen un rol importante debido a que las aplicaciones que se encuentren técnicamente eficientes y bien desarrolladas, que no satisfagan los requerimientos de estos mismos, serán vistas como fracasadas, la aceptación por parte del usuario otorga ventajas, debido a que se podrán evitar nuevas programaciones, ahorrando en mantenimiento de la aplicación. www.inacap.cl 4.3.5 Seguridad de Procesos y Ejecución de Programas Otro punto son los programas críticos a quienes hay que mantener un control de procesos y ejecuciones: entonces el Auditor debe tener la posibilidad de ejecutar un módulo el cual no corresponde con el programa fuente que desarrollo, codificó y probó en el área de Desarrollo de Aplicaciones. La compilación debe corresponder al programa codificado, de no ser así podrían provocar graves daños y altos costos de mantenimiento, lo que también puede suceder es que se prestaría para fraudes y sabotajes, etc. Cuando un programa se da por bueno entonces se sujeta a ciertas normas que determinan el ser entregados a explotación con el fin de copiar el programa fuente en la librería de fuentes de explotación, ha esta librería nadie más tiene acceso. Después la compilación y el montaje del programa poniéndolo en la librería de módulos de explotación, a esta tampoco nadie tiene acceso, y por último hacer una copia de los programas fuente que se soliciten para modificarlos o en todo caso para ser arreglados una vez hecho esto es necesario volver a verificar todo. www.inacap.cl 4.4 Auditoría informática de Sistemas • • • • • • • • 4.4.1 Área de Sistemas 4.4.2 Sistemas Operativos. 4.4.3 Software Básico. 4.4.4 Software de teleproceso (On line Tiempo real). 4.4.5 Tunning. 4.4.6 Optimización de los Sistemas. 4.4.7 Administración de Bases de Datos. 4.4.8 Investigación y Desarrollo. www.inacap.cl 4.4.1 Área de Sistemas La auditoria informática de Sistemas, se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de Sistemas. www.inacap.cl 4.4.2 Sistemas Operativos Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si las hubiera. El análisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Básico adquiridos por la instalación y determinadas versiones de aquellas. Deben revisarse los parámetros variables de las Librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor. www.inacap.cl 4.4.3 Software Básico Es fundamental para el auditor conocer los productos de software básico que han sido facturados aparte de la propia computadora. Esto, por razones económicas y por razones de comprobación de que la computadora podría funcionar sin el producto adquirido por el cliente. En cuanto al Software desarrollado por el personal informático de la empresa, el auditor debe verificar que éste no ataque, vulnere ni condicione al Sistema. Igualmente, debe considerar el esfuerzo realizado en términos de costes, por si hubiera alternativas más económicas. www.inacap.cl 4.4.4 Software de teleproceso (On line - Tiempo real) Un sistema de tiempo real es aquel en el que para que las operaciones computacionales estén correctas no depende solo de que la lógica e implementación de los programas computacionales sea correcto, sino también en el tiempo en el que dicha operación entregó su resultado. Si las restricciones de tiempo no son respetadas el sistema se dice que ha fallado. Los sistemas de tiempo real, no se incluyen en Software Básico por su especialidad e importancia. Las consideraciones anteriores son válidas para éste también www.inacap.cl 4.4.5 Tunning Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto. Las acciones de tunning deben diferenciarse de los controles habituales que realiza el personal de Técnica de Sistemas. El tunning posee una naturaleza más revisora, estableciéndose previamente planes y programas de actuación según los síntomas observados. Se pueden realizar: •Cuando existe sospecha de deterioro del comportamiento parcial o general del Sistema. •De modo sistemático y periódico, por ejemplo cada 6 meses. En este caso sus acciones son repetitivas y están planificados y organizados de antemano. El auditor deberá conocer el número de Tunning realizados en el último año, así como sus resultados. Deberá analizar los modelos de carga utilizados y los niveles e índices de confianza de las observaciones. www.inacap.cl 4.4.6 Optimización de los Sistemas Técnica de Sistemas debe realizar acciones permanentes de optimización como consecuencia de la realización de tunnings preprogramados o específicos. El auditor verificará que las acciones de optimización fueron efectivas y no comprometieron la Operatividad de los Sistemas ni el plan crítico de producción diaria de Explotación. www.inacap.cl 4.4.7 Administración de Bases de Datos El diseño de las Bases de Datos, sean relaciones o jerárquicas, se ha convertido en una actividad muy compleja y sofisticada, por lo general desarrollada en el ámbito de Técnica de Sistemas, y de acuerdo con las áreas de Desarrollo y usuarios de la empresa. Al conocer el diseño y arquitectura de éstas por parte de Sistemas, se les encomienda también su administración. Los auditores de Sistemas han observado algunas problemas derivados de la debil experiencia que el área de Sistemas tiene sobre la problemática general de los usuarios de Bases de Datos. La administración tendría que estar a cargo de Explotación. El auditor de Base de Datos debería asegurarse que Explotación conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizará los Sistemas de salvaguarda existentes, que competen igualmente a Explotación. Revisará finalmente la integridad y consistencia de los datos, así como la ausencia de redundancias entre ellos. www.inacap.cl 4.4.8 Investigación y Desarrollo Las empresas de hoy necesitan de informáticas desarrolladas, y saben que su propio personal desarrolla aplicaciones y ganancias que, pensadas inicialmente para su utilización interna, pueden ser susceptibles de otras empresas, creando una competencia a las compañías del ramo. La auditoria informática debe tener cuidado que la Investigación y el Desarrollo no sea una actividad que estorbe a otras actividades internas de la empresa. www.inacap.cl 4.5 Auditoría informática de Comunicaciones y Redes • 4.5.1 Área de Comunicaciones y Redes. • 4.5.2 Soporte fisico-lógico del tiempo real. • 4.5.3 Zonas comunes con la auditoria de Explotación. • 4.5.4 Polifacetismo del Centro de Control de Red. www.inacap.cl 4.5.1 Área de Comunicaciones y Redes Este tipo de auditoria se enfoca en las redes, líneas, concentradores, etc. Así pues, la Auditoria Informática ha de analizar situaciones y hechos algunas veces alejados entre sí, y está condicionada a la participación de la empresa telefónica que provee el servicio. Para este tipo de auditoria se requiere un equipo de especialistas y expertos en comunicaciones y redes. El auditor informático deberá inquirir sobre los índices de utilización de las líneas contratadas, solicitar información sobre tiempos de desuso; deberá proveerse de la topología de la red de comunicaciones actualizada. www.inacap.cl 4.5.2 Soporte físico-lógico del tiempo real • Áreas controladas para los equipos de comunicaciones, previniendo los accesos inadecuados. • Protección y tendido adecuado de cables para evitar accesos físicos. • Prioridad de recuperación del sistema • Controles específicos en caso de que se utilicen líneas de acceso normales con acceso a la red de datos para prevenir accesos no autorizados a los sistemas o la red. Tanto el informático como el auditor, las Redes Nodales, Concentradores, Redes Locales, Líneas, Multiplexores conforman lo que ellos conocen como la estructura del soporte físico• Debe tener contraseñas y otros procedimientos para limitar y detectar cualquier intento de acceso lógico del Tiempo Real no autorizado. • Detectar errores de transmisión. • Asegurar que las transmisiones van solo a usuarios autorizados • Registros de actividad de la red, para reconstruir incidencias y detectar accesos no autorizados. • Técnicas de cifrado de datos. www.inacap.cl 4.5.3 Zonas comunes con la auditoria de Explotación Las debilidades más frecuentes o importantes se encuentran en las deficiencias organizativas que son comunes a las que se presentan en la auditoria de explotación . La contratación e instalación de líneas va asociada a la instalación de los Puestos de Trabajo correspondientes (Pantallas, Servidores de Redes Locales, Computadoras con tarjetas de Comunicaciones, impresoras, etc.). Todas estas actividades deben estar muy coordinadas y a ser posible, dependientes de una sola organización Se debe Tener: • Una gerencia de comunicaciones con autoridad para establecer procedimientos y normativa. • Vigilancia del uso de la red de comunicaciones, ajustes de rendimiento y resolución de problemas. • Procedimientos para el seguimiento del costo de las comunicaciones y su reparto a las personas o unidades apropiadas. • Gestión de la red, inventario de equipamiento y normativa de conectividad • Monitorización de las comunicaciones, registro y resolución de problemas. • Revisión de costos y su asignación de proveedores www.inacap.cl 4.5.4 Polifacetismo del Centro de Control de Red La auditoria de este sector requiere un equipo de especialistas, expertos simultáneamente en Comunicaciones y en Redes Locales, que permita enfrentar las deficiencias técnicas del entorno, debido a que debe realizar un estudio profundo de todas las actividades, siendo partícipe de situaciones y hechos alejados entre sí, encontrándose inserto en la gestión de quienes provean el servicio de soporte. www.inacap.cl 4.6 Auditoría de la Seguridad informática • 4.6.1 Área de Seguridad Informática. • 4.6.2 Soporte físico-lógico de la auditoria de seguridad informática. • 4.6.3 Seguridad general y específica de la auditoria informática. www.inacap.cl 4.6.1 Área de Seguridad Informática. La gestión del área de la seguridad consiste en la realización de las tareas necesarias para garantizar los niveles de seguridad exigibles en una Organización. Ejemplo de Composición de una area de Seguridad Informática: www.inacap.cl 4.6.1 Área de Seguridad Informática. Descripcion de los componentes del área Jefe de Seguridad Informática: Es el responsable de mantener el área de seguridad informática. ABM Usuarios: Se dedica al alta/baja/modificación de usuarios, contraseñas dentro de los sistemas operativos y aplicaciones de toda la Empresa. Revisión, evaluación y mantenimiento: Se dedica a revisar la seguridad informática de la red de la Empresa, de los sistemas que se están utilizando, se encarga de realizar pruebas de productos de seguridad informática y del mantenimiento de la seguridad informática activa en todos los sectores. Participación en proyectos: Se dedica a participar en todos los proyectos de informática de la Empresa, para que desde el inicio se cuente con un diseño e implementación de los nuevos sistemas en un entorno seguro. www.inacap.cl 4.6.1 Área de Seguridad Informática. Funciones del área de Seguridad Informática • Proteger los sistemas informáticos de la Empresa ante posibles amenazas. • Mantenimiento de las políticas y estándares de seguridad de la información. • Mantenimiento de los usuarios, contraseñas y accesos a los sistemas por parte de los usuarios de la Empresa. • Desarrollo e implementación del Plan de Seguridad. •Monitoreo del día a día de la implementación y uso de los mecanismos de seguridad de la información. • Coordinar investigaciones de incidentes de seguridad informática. • Revisión de logs de auditoría y sistemas de detección de intrusiones. • Participar en los proyectos informáticos de la Empresa agregando todas las consideraciones de seguridad informática. www.inacap.cl 4.6.2 Soporte fisico-lógico de la auditoria de seguridad informática La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. www.inacap.cl 4.6.3 Seguridad general y específica de la auditoría informática La seguridad informática se la Con el incremento de agresiones a puede dividir como Area General y instalaciones informáticas en los como Area Especifica (seguridad de últimos años, se han ido originando Explotación, seguridad de las acciones para mejorar la Seguridad Aplicaciones, etc.). Así, se podrán Informática a nivel físico. Los efectuar auditorias de la Seguridad accesos y conexiones indebidos a Global de una Instalación través de las Redes de Informática -Seguridad General- y Comunicaciones, han acelerado el auditorias de la Seguridad de un desarrollo de productos de área informática determinada – Seguridad lógica y la utilización de Seguridad Especifica -. sofisticados medios criptográficos. www.inacap.cl 4.6.3 Seguridad general y específica de la auditoría informática El sistema integral de seguridad debe comprender: Elementos administrativos Elementos técnicos y procedimientos Definición de una política de seguridad Sistemas de seguridad de equipos y de sistemas Organización y división de responsabilidades Aplicación de los sistemas de seguridad Seguridad física y contra catástrofes El papel de los auditores, internos como externos Prácticas de seguridad del personal Planeación de programas de desastre y su prueba www.inacap.cl ¿ PREGUNTAS ? www.inacap.cl