POLITICAS DE SEGURIDAD Y AUDITORIA FORENSE

JUAN PABLO NIETO JARAMILLO

DOCENTE: INGENIERO CARLOS HERNAN GOMEZ

ASIGNATURA: AUDITORIA INFORMATICA

INGENIERIA EN SISTEMAS Y COMPUTACION

FACULTAD DE INGENIERIA

UNIVERSIDAD DE CALDAS

MANIZALES

Contenido INTRODUCCION ............................................................................................................................. 3

DEFINICIÓN DE TÉRMINOS ............................................................................................................ 4

Mejor practica ........................................................................................................................... 4

Procedimiento ........................................................................................................................... 4

Guía ........................................................................................................................................... 4

Estándar .................................................................................................................................... 4

ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD ............................................................................ 5

ETAPAS DE DESARROLLO ............................................................................................................... 6

Etapa 1 Creación ....................................................................................................................... 7

Etapa 1 Revisión ........................................................................................................................ 7

Etapa 3 Aprobación ................................................................................................................... 7

Etapa 4 Difundir la política ........................................................................................................ 8

Etapa 5 Cumplimiento ............................................................................................................... 8

Etapa 6 Excepciones .................................................................................................................. 8

Etapa 7 Concienciación ............................................................................................................. 8

Etapa 8 Monitoreo .................................................................................................................... 9

Etapa 9 Garantía de cumplimiento ........................................................................................... 9

Etapa 10 Mantenimiento .......................................................................................................... 9

Etapa 11 Retiro ........................................................................................................................ 10

PRÁCTICAS RECOMENDADAS PARA ESCRIBIR UNA POLÍTICA ..................................................... 11

AUDITORIA FORENSE .................................................................................................................. 12

Objetivo de la auditoria forense ............................................................................................. 12

GUÍA DE AUDITORIA .................................................................................................................... 13

Programa de auditoria ............................................................................................................ 13

Fase 1: Planeación ............................................................................................................... 13

Fase 2: Ejecución ................................................................................................................. 13

Fase 3: Comunicación de resultados ................................................................................... 13

Fase 4: Seguimiento ............................................................................................................ 13

Guía auditoria Políticas de seguridad .................................................................................. 14

Guía auditoria forense......................................................................................................... 15

INTRODUCCION

Se entiende como una política de seguridad informática a la forma de comunicación

con los usuarios, ya que las mismas establecen un canal formal de actuación del

personal, en relación con los recursos y servicios informáticos de la organización.

No se puede considerar que una política de seguridad informática es una descripción

técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de

los empleados, es más bien una descripción de los que deseamos proteger y él por qué

de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros

a reconocer la información como uno de sus principales activos así como, un motor de

intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de

seguridad deben concluir en una posición consciente y vigilante del personal por el uso

y limitaciones de los recursos y servicios informáticos.

Las políticas se elaboran con el fin de que tengan aplicación a largo plazo y guíen el

desarrollo de reglas y criterios más específicos, que aborden situaciones concretas. Las

políticas son desplegadas y soportadas por estándares, mejores prácticas,

procedimientos y guías.

DEFINICIÓN DE TÉRMINOS

Mejor practica

Es una regla de seguridad específica a una plataforma que es aceptada a través de la

industria al proporcionar el enfoque más efectivo a una implementación de seguridad

concreta. Las mejores prácticas son establecidas para asegurar que las características

de seguridad de sistemas utilizados con regularidad estén configurados y

administrados de manera uniforme, garantizando un nivel consistente de seguridad a

través de la organización.

Procedimiento

Los procedimientos definen específicamente cómo las políticas, estándares, mejores

prácticas y guías serán implementados en una situación dada. Los procedimientos son

dependientes de la tecnología o de los procesos y se refieren a plataformas,

aplicaciones o procesos específicos.

Son utilizados para delinear los pasos que deben ser seguidos por una dependencia

para implementar la seguridad relacionada a dicho proceso o sistema específico.

Generalmente los procedimientos son desarrollados, implementados y supervisados

por el dueño del proceso o del sistema. Los procedimientos seguirán las políticas de la

organización, los estándares, las mejores prácticas y las guías tan cerca como les sea

posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos

establecidos dentro de la dependencia donde ellos se aplican.

Guía

Una guía es una declaración general utilizada para recomendar o sugerir un enfoque

para implementar políticas, estándares y buenas prácticas. Las guías son,

esencialmente, recomendaciones que deben considerarse al implementar la

seguridad. Aunque no son obligatorias, serán seguidas a menos que existan

argumentos documentados y aprobados para no hacerlo.

Estándar

Regla que especifica una acción o respuesta que se debe seguir a una situación dada.

Los estándares son orientaciones obligatorias que buscan hacer cumplir las políticas.

Los estándares sirven como especificaciones para la implementación de las

políticas: son diseñados para promover la implementación de las políticas de alto

nivel de la organización antes que crear nuevas políticas.

ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD

Las Políticas de Seguridad Informática deben considerar principalmente los siguientes

elementos:

- Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la

cual aplica.

- Objetivos de la política y descripción clara de los elementos involucrados en su

definición.

- Responsabilidades por cada uno de los servicios y recursos informáticos

aplicado a todos los niveles de la organización.

- Requerimientos mínimos para configuración de la seguridad de los sistemas

que abarca el alcance de la política.

- Definición de violaciones y sanciones por no cumplir con las políticas.

- Responsabilidades de los usuarios con respecto a la información a la que tiene

acceso.

Las políticas de seguridad informática, también deben ofrecer explicaciones

comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la

importancia de los recursos. Igualmente, deberán establecer las expectativas de la

organización en relación con la seguridad y especificar la autoridad responsable de

aplicar los correctivos o sanciones.

Otro punto importante, es que las políticas de seguridad deben redactarse en un

lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan

una comprensión clara de las mismas, sacrificar su precisión.

Las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a

los cambios organizacionales relevantes, como son: el aumento de personal, cambios

en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos

servicios, regionalización de la empresa, cambio o diversificación del área de negocio,

etc.

Una Política de Seguridad presenta un nivel alto de definición de pa

seguridad de la información

imagen:

Son 11 etapas que se deben

1. Fase de desarrollo: Durante esta fase la política es cread

2. Fase de implementación

cumplida por alguna excepción).

3. Fase de mantenimiento:

política, su cumplimiento debe se

se le debe dar mantenimiento (actualizarla).

4. Fase de eliminación: La política se retira cuando no se requiera más.

ETAPAS DE DESARROLLO

Una Política de Seguridad presenta un nivel alto de definición de pautas en cuanto a la

seguridad de la información, las etapas de desarrollo se presentan en la siguiente

Son 11 etapas que se deben realizar. Estas 11 etapas están agrupadas en 4 fases.

: Durante esta fase la política es creada, revisada y aprobada.

2. Fase de implementación: En esta fase la política es comunicada y acatada (o no

cumplida por alguna excepción).

3. Fase de mantenimiento: Los usuarios deben ser conscientes de la importancia de la

política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y

se le debe dar mantenimiento (actualizarla).

La política se retira cuando no se requiera más.

utas en cuanto a la

, las etapas de desarrollo se presentan en la siguiente

agrupadas en 4 fases.

a, revisada y aprobada.

: En esta fase la política es comunicada y acatada (o no

Los usuarios deben ser conscientes de la importancia de la

r monitoreado, se debe garantizar su cumplimiento y

La política se retira cuando no se requiera más.

Etapa 1 Creación

La primer medida que toma en la fase de desarrollo de una política es la planificación,

la investigación y la redacción de la política o, tomado todo junto, la creación. La

creación de una política implica identificar por qué se necesita la política; determinar

el alcance y la aplicabilidad de la política, los roles y las responsabilidades inherentes a

la aplicación de la política y garantizar la factibilidad de su implementación. La creación

de una política también incluye la investigación para determinar los requerimientos

organizacionales para desarrollar las políticas (es decir, que autoridades deben

aprobarla, con quién se debe coordinar el desarrollo y estándares del formato de

redacción), y la investigación de las mejores prácticas en la industria para su

aplicabilidad a las necesidades organizacionales actuales. De esta etapa se tendrá

como resultado la documentación de la política de acuerdo con los procedimientos y

estándares de la universidad, al igual que la coordinación con entidades internas y

externas que la política afectará, para obtener información y su aceptación.

Etapa 2 Revisión

La segunda etapa corresponde a la fase de desarrollo del ciclo de vida. Una vez la

documentación de la política ha sido creada y la coordinación inicial ha sido iniciada,

esta debe ser remitida a un grupo (o un individuo) independiente para su evaluación

antes de su aprobación final. Hay varios beneficios de la revisión independiente: una

política más viable a través del escrutinio de individuos que tienen una perspectiva

diferente o más vasta que la persona que redactó la política; apoyo más amplio para la

política a través de un incremento en el número de involucrados; aumento de

credibilidad en la política gracias a la información recibida de diferentes especialistas

del grupo de revisión. Propio de esta etapa es la presentación de la política a los

revisores, ya sea de manera formal o informal, exponiendo cualquier punto que

puede ser importante para la revisión, explicando su objetivo, el contexto y los

beneficios potenciales de la política y justificando por qué es necesaria. Como parte de

esta función, se espera que el creador de la política recopile los comentarios y las

recomendaciones para realizar cambios en la política y efectuar todos los ajustes y las

revisiones necesarias para obtener una versión final de la política lista para la

aprobación por las directivas.

Etapa 3 Aprobación

Es la parte final de la fase de desarrollo. El objetivo de esta etapa es obtener el apoyo

de la administración, a través de la firma de una persona ubicada en una posición de

autoridad.

La aprobación permite iniciar la implementación de la política. Requiere que el

proponente de la política haga una selección adecuada de la autoridad de aprobación,

que coordine con dicho funcionario, presente las recomendaciones emitidas durante la

etapa de revisión y haga el esfuerzo para que sea aceptada por la administración.

Puede ocurrir que por incertidumbre de la autoridad de aprobación sea necesaria una

aprobación temporal.

Etapa 4 Difundir la política

Es la primera parte de la fase de implementación. La comunicación de la política es la

primera etapa que se realiza en esta fase. La política debe ser inicialmente difundida a

quienes sean afectados directamente por la política (contratistas, proveedores,

usuarios de cierto servicio, etc.). Esta etapa implica determinar el alcance y el método

inicial de distribución de la política. Debe planificarse esta etapa con el fin de

determinar los recursos necesarios y el enfoque que debe ser seguido para mejorar la

visibilidad de la política.

Etapa 5 Cumplimiento

La etapa de cumplimiento incluye actividades relacionadas con la ejecución de la

política. Implica trabajar con otras personas de la organización para interpretar cuál es

la mejor manera de implementar la política en diversas situaciones y oficinas;

asegurando que la política es entendida por aquellos que requieren implementarla,

monitorearla, hacerle seguimiento, reportar regularmente su cumplimiento y medir

el impacto inmediato de la política en las actividades operativas. Dentro de estas

actividades está la elaboración de informes a la administración del estado de la

implementación de la política.

Etapa 6 Excepciones

Debido a problemas de coordinación, falta de personal y otros requerimientos

operacionales, no todas las políticas pueden ser cumplidas de la manera que se pensó

al comienzo. Por esto, cuando los casos lo ameriten, es probable que se requieran

excepciones a la política para permitir a ciertas oficinas o personas el no

cumplimiento de la política. Debe establecerse un proceso para garantizar que las

solicitudes de excepciones son registradas, seguidas, evaluadas, enviadas para

aprobación o desaprobación, documentadas y vigiladas a través del periodo de

tiempo establecido para la excepción. El proceso también debe permitir excepciones

permanentes a la política al igual que la no aplicación temporal por circunstancias de

corta duración.

Etapa 7 Concienciación

La etapa de concienciación de la fase de mantenimiento comprende los esfuerzos

continuos realizados para garantizar que las personas están consientes de la política y

buscan facilitar su cumplimiento. Esto es hecho al definir las necesidades de

concienciación de los diversos grupos de audiencia dentro de la organización

(directivos, jefes de dependencias, usuarios, etc.); en relación con la adherencia a la

política, determinar los métodos de concienciación más efectivos para cada grupo de

audiencia (es decir, reuniones informativas, cursos de entrenamiento, mensajes de

correo, etcétera); y desarrollo y difusión de material de concienciación

(presentaciones, afiches, circulares, etc.). La etapa de concienciación también

incluye esfuerzos para integrar el cumplimiento de la política y retroalimentación

sobre el control realizado para su cumplimiento.

Etapa 8 Monitoreo

Durante la fase de mantenimiento, la etapa de monitoreo es realizada para seguir y

reportar la efectividad de los esfuerzos en el cumplimiento de la política. Esta

información se obtiene de la observación de empleados y los cargos de supervisión,

mediante auditorias formales, evaluaciones, inspecciones, revisiones y análisis de los

reportes de contravenciones y de las actividades realizadas en respuesta a los

incidentes.

Esta etapa incluye actividades continuas para monitorear el cumplimiento o no de la

política a través de métodos formales e informales y el reporte de las deficiencias

encontradas a las autoridades apropiadas.

Etapa 9 Garantía de cumplimiento

La etapa de garantía de cumplimiento de las políticas incluye las respuestas de la

administración a actos u omisiones que tengan como resultado contravenciones de la

política con el fin de prevenir que sigan ocurriendo. Esto significa que una vez una

contravención sea identificada, la acción correctiva debe ser determinada y aplicada a

los procesos (revisión del proceso y mejoramiento), a la tecnología (actualización) y a

las personas (acción disciplinaria) involucrados en la contravención con el fin de

reducir la probabilidad de que vuelva a ocurrir.

Etapa 10 Mantenimiento

La etapa de mantenimiento está relacionada con el proceso de garantizar la vigencia y

la integridad de la política. Esto incluye hacer seguimiento a las tendencias de cambios

(cambios en la tecnología, en los procesos, en las personas, en la organización, en el

enfoque del negocio, etc.) que puede afectar la política; recomendando y coordinando

modificaciones resultado de estos cambios, documentándolos en la política y

registrando las actividades de cambio. Esta etapa también garantiza la disponibilidad

continuada de la política para todas las partes afectadas por ella, al igual que el

mantenimiento de la integridad de la política a través de un control de versiones

efectivo. Cuando se requieran cambios a la política, las etapas realizadas antes deben

ser re-visitadas, en particular las etapas de revisión, aprobación, comunicación y

garantía de cumplimiento.

Etapa 11 Retiro

Cuando un política ha cumplido con su finalidad y no es necesaria (por ejemplo, la

empresa cambió la tecnología a la cual aplicaba o se creó una nueva política que la

reemplazó) entonces debe ser retirada. La etapa de retiro corresponde a la fase de

eliminación del ciclo de vida de la política, y es la etapa final del ciclo. Esta función

implica retirar una política superflua del inventario de políticas activas para evitar

confusión, archivarla para futuras referencias y documentar la información sobre la

decisión de retirar la política (es decir, la justificación, quién autorizó, la fecha,

etcétera).

PRÁCTICAS RECOMENDADAS PARA ESCRIBIR UNA POLÍTICA

Sin importar que una política se enuncie formal o informalmente, esta debe incluir 12

tópicos:

1. La declaración de la política (cuál es la posición de la administración o qué es lo que

se desea regular).

2. Nombre y cargo de quien autoriza o aprueba la política.

3. Nombre de la dependencia, del grupo o de la persona que es el autor o el

proponente de la política.

4. Debe especificarse quién debe acatar la política (es decir, a quién está dirigida) y

quién es el responsable de garantizar su cumplimiento.

5. Indicadores para saber si se cumple o no la política.

6. Referencias a otras políticas y regulaciones en las cuales se soporta o con las cuales

tiene relación.

7. Enunciar el proceso para solicitar excepciones.

8. Describir los pasos para solicitar cambios o actualizaciones a la política.

9. Explicar qué acciones se seguirán en caso de contravenir la política.

10. Fecha a partir de la cual tiene vigencia la política.

11. Fecha cuando se revisará la conveniencia y la obsolescencia de la política.

12. Incluir la dirección de correo electrónico, la página web y el teléfono de la persona

o personas que se pueden contactar en caso de preguntas o sugerencias.

AUDITORIA FORENSE

La auditoria forense procede dentro del contexto de un conflicto real o de una acción

legal con una pérdida financiera significativa, donde el auditor forense ofrece sus

servicios basados en la aplicación del conocimiento relacionado con los dominios de lo

contable (como información financiera, contabilidad, finanzas, auditoría y control) y

del conocimiento relacionado con Investigación financiera, cuantificación de pérdidas

y ciertos aspectos de ley.

Un compromiso de auditoría forense involucra por lo menos: análisis, cuantificación de

pérdidas, investigaciones, recolección de evidencia, mediación, arbitramento y

testimonio como un testigo experto.

Cuando se actúa en calidad de auditores forenses dentro de una investigación, se pone

en práctica toda la experiencia en contabilidad, auditoria e investigación. Como

también la capacidad del auditor para transmitir información financiera en forma clara

y concisa ante un tribunal. Los auditores forenses están entrenados para investigar

más allá de las cifras presentadas y manejar la realidad comercial del momento.

La auditoría forense es una alternativa porque permite que un experto emita ante los

jueces conceptos y opiniones de valor técnico, que le permiten a la justicia actuar con

mayor certeza, especialmente en lo relativo a la vigilancia de la gestión fiscal.

Objetivo de la auditoria forense

Los principales objetivos de la Auditoría Forense son los siguientes:

- Luchar contra la corrupción y el fraude, para el cumplimiento de este objetivo

busca identificar a los supuestos responsables de cada acción a efectos de

informar a las entidades competentes las violaciones detectadas.

- Evitar la impunidad, para ello proporciona los medios técnicos validos que

faciliten a la justicia actuar con mayor certeza, especialmente en estos tiempos

en los cuales el crimen organizado utiliza medios más sofisticados para lavar

dinero, financiar operaciones ilícitas y ocultar diversos delitos.

- Disuadir, en los individuos, las prácticas deshonestas, promoviendo la

responsabilidad y transparencia en los negocios.

- Credibilidad de los funcionarios e instituciones públicas, al exigir a los

funcionarios corruptos la rendición de cuentas ante una autoridad superior, de

los fondos y bienes del Estado que se encuentran a su cargo.

GUÍA DE AUDITORIA

Programa de auditoria

Fase 1: Planeación

Con esta auditoría se quiere verificar la suficiencia y cumplimiento de los controles

establecidos en las políticas de seguridad y controles financieros de la empresa

Auditextiles.

Se pretende alcanzar los siguientes objetivos:

- Identificar las áreas de riesgo en la empresa.

- Comunicar a la alta gerencia la existencia de riesgos.

- Recomendar procedimientos para la mitigación de los riesgos.

Fase 2: Ejecución

Para el cumplimiento del procedimiento de auditoría se utilizaran las siguientes

técnicas y herramientas:

- Lista de verificación

- Cuestionario

Fase 3: Comunicación de resultados

Se elaborara el informe de auditoría, el cual será comunicado a los directivos de la

compañía con el fin de llegar a un acuerdo para alcanzar los objetivos propuestos.

Fase 4: Seguimiento

Después de la entrega del informe final de auditoría, se procederá a realizar un

seguimiento periódico cada tres (3) meses para verificar el cumplimiento y suficiencia

de los controles internos en la compañía.

CH AUDITORIA CONSULTORES EMPRESA: AUDITEXTILES

REFERENCIA Actividad a ser evaluada

Procedimiento Herramientas a utilizar

Observaciones

Políticas de seguridad

Verificar el establecimiento, cumplimiento y control de políticas

Conocer el entorno de la entidad y verificar que los procesos y reportes

Listas de verificación, cuestionarios.

de seguridad de la empresa Auditextiles

coincidan con la realidad, y con los parámetros legales.

Auditoria Forense

Verificar el funcionamiento interno del área financiera de la empresa Auditextiles

Solicitar información referente a reportes y los extractos financieros, facturas, ingresos, egresos, nominas, y revisar regularidad y transparencia en los mismos.

Listas de verificación, cuestionarios.

Guía auditoria Políticas de seguridad

Listas de verificación

Nro. Pregunta Si NO N/A

1 ¿Se tiene conciencia de la importancia de implementar políticas de seguridad en la organización?

2 ¿Existe un documento donde se establezcan las políticas de seguridad que debe seguir la compañía?

3 ¿Las políticas de seguridad existentes están basadas en algún estándar internacional?

4 ¿En las políticas de seguridad se reconocen los riesgos que rodean la organización?

5 ¿En las políticas de seguridad se definen roles y responsabilidades para los procesos del negocio?

6 ¿En las políticas de seguridad se clasifica el nivel de los riesgos existentes?

7 ¿En las políticas de seguridad se definen procedimientos para la seguridad de la información?

8 ¿En las políticas de seguridad se definen procedimientos para la seguridad de los recursos humanos?

9 ¿Hay cámaras de seguridad conectadas a las autoridades públicas (policía, seguridad privada)?

Preguntas abiertas

¿Quién es el encargado de revisar permisos y políticas de seguridad para la gestión de

los datos?

¿Qué procesos, procedimientos o medidas son tomados en caso de detectar un fraude

en la organización?

¿Se garantiza la confidencialidad de los datos en la organización? ¿Cómo?

¿Cuentan con procedimientos y políticas de seguridad definidas dentro de la gerencia

de sistemas?

¿Manejan altos niveles de seguridad para evitar el riesgo de fraude (vulnerabilidad) en

la organización? ¿Cuáles?

¿Cuentan en la organización con un alto personal calificado para realizar con éxito una

auditoría interna, en caso de necesitarlo en un momento dado?

¿Cómo identifican indicadores de fraude en su organización?

¿Qué piensa de la seguridad en el manejo de la información proporcionada por el

sistema que utiliza?

Nula ________

Riesgosa _______

Satisfactoria _______

Excelente _________

Lo desconoce_______

¿Por qué?____________________________________________

Guía auditoria forense

Listas de verificación

Nro. Pregunta Si NO N/A

1 ¿Se presentan reportes financieros con un periodo de tiempo definido?

2 ¿Existe documentación que soporte todos los movimientos financieros?

3 ¿Se lleva un control estricto de viáticos y auxilios concedidos?

4 ¿A parte del área de contabilidad y el área de gerencia, alguien más tiene acceso a la información financiera?

5 ¿Se cuenta con sistemas de información que almacenen información financiera y reportes de la

empresa?

Preguntas abiertas

¿Cuántas personas están a cargo del área de contabilidad?

¿Se realizan auditorías internas, a los reportes financieros? ¿Cada cuanto tiempo?

¿Qué acciones se toman con los documentos y reportes antiguos?

¿Cómo se controlan los documentos de facturación, reportes ingresos, egresos,

internos y externos?

¿Hay alguien que revise y apruebe los documentos de facturación? ¿Quién?

¿Qué técnicas o metodologías, se utilizan para e el control de reportes en el área

financiera?

¿Cuál es el proceso a seguir en la aprobación de cualquier presupuesto?

¿Con que frecuencia se presentan irregularidades en el cuadre de presupuesto?

¿Cómo se otorgan las bonificaciones, y de acuerdo a que criterios?

¿Se hacen cambios sobre las políticas financieras y de contabilidad?

¿La empresa ha incursionado en mercados diferentes a los que suele dedicarse?

¿Cómo han sido los ingresos recaudados en esta nueva actividad?

Existen retrasos en el pago de nóminas, o inconformidades (reclamos) por parte de los

empleados?

¿Actualmente la empresa cuenta con créditos con alguna entidad?

¿Existen posibilidades de crédito interno para los empleados? ¿Bajo qué políticas se

otorgan estos préstamos?