DAYALIA PORTUGAL 9-743-357

OMAR ADAMES 8-893-573

RESUMEN DE EVALUACION Y AUDITORIA DE SISTEMA

CONTROL INTERNO INFORMÁTICO

El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados.

OBJETIVOS PRINCIPALES:

Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoría Informática

interna/externa.

Tipos:

Controles manuales: aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.

Controles Automáticos: son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación.

Los controles según su finalidad se clasifican en:

Controles Preventivos: para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.

Controles Detectivos: tratan de descubrir a posterior errores o fraudes que no haya sido posible evitarlos con controles preventivos.

Controles Correctivos: tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.

CONTROL INTERNO INFORMÁTICO (FUNCIÓN)

El Control Interno Informático es una función del departamento de Informática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de información automatizados se realicen cumpliendo las normas, estándares, procedimientos y disposiciones legales establecidas interna y externamente. Entre sus funciones específicas están:

Difundir y controlar el cumplimiento de las normas, estándares y procedimientos al personal de programadores, técnicos y operadores.

Diseñar la estructura del Sistema de Control Interno de la Dirección de Informática en los siguientes aspectos:

Desarrollo y mantenimiento del software de aplicación. Explotación de servidores principales Software de Base Redes de Computación Seguridad Informática

CONTROL INTERNO INFORMÁTICO (SISTEMA)

Un Sistema de Control Interno Informático debe asegurar la integridad, disponibilidad y eficacia de los sistemas informáticos a través de mecanismos o actividades de control.

Para conocer la configuración del sistema se deberá documentar:

Entorno de Red: esquema, configuración del hardware y software de comunicaciones y esquema de seguridad de la red.

Productos y herramientas: software de programación diseño y documentación, software de gestión de biblioteca.

Auditoría Informática Interna: revisará periódicamente la estructura de control interno tanto en su diseño como en su

cumplimiento por parte de cada una de las áreas definidas en él y de acuerdo al nivel de riesgo.

CONTROL INTERNO INFORMÁTICO (ÁREAS DE APLICACIÓN)

CONTROLES GENERALES ORGANIZATIVOS:

Son la base para la planificación, control y evaluación por la Dirección General de las actividades del Departamento de Informática, y debe contener la siguiente planificación:

Plan Estratégico de Información realizado por el Comité de Informática.

Plan General de Seguridad (física y lógica).

CONTROLES DE DESARROLLO Y MANTENIMIENTO DE SISTEMAS DE INFORMACION

Permiten alcanzar la eficacia del sistema, economía, eficiencia, integridad de datos, protección de recursos y cumplimiento con las leyes y regulaciones a través de metodologías como la del Ciclo de Vida de Desarrollo de aplicaciones.

CONTROLES DE EXPLOTACION DE SISTEMAS DE INFORMACION

Tienen que ver con la gestión de los recursos tanto a nivel de planificación, adquisición y uso del hardware así como los procedimientos de, instalación y ejecución del software.

CONTROLES EN APLICACIONES

Toda aplicación debe llevar controles incorporados para garantizar la entrada, actualización, salida, validez y mantenimiento completos y exactos de los datos.

CONTROLES EN SISTEMAS DE GESTION DE BASE DE DATOS

Tienen que ver con la administración de los datos para asegurar su integridad, disponibilidad y seguridad.

CONTROLES INFORMATICOS SOBRE REDES

Tienen que ver sobre el diseño, instalación, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organización sean estas centrales y/o distribuidas.

CONTROLES SOBRE COMPUTADORES Y REDES DE AREA LOCAL

Se relacionan a las políticas de adquisición, instalación y soporte técnico, tanto del hardware como del software de usuario, así como la seguridad de los datos que en ellos se procesan.

ADMINISTRACIÓN DE CENTROS DE CÓMPUTO

¿Qué es un Centro de Cómputo?

Un centro de cómputo representa una entidad dentro de la organización, la cual tiene como objetivo satisfacer las necesidades de información de la empresa, de manera veraz y oportuna. Su función primordial es apoyar la labor administrativa para hacerla más segura, fluida, y así simplificarla.

Planeación de los Servicios de Cómputo:

Estructura Organizacional y Control Administrativo. Reclutamiento, Promoción y Evaluación de Personal. Presupuesto, Gastos y Análisis Financiero.

La Administración de Redes es un conjunto de técnicas tendientes a mantener una red operativa, eficiente, segura, constantemente monitoreada y con una planeación adecuada y propiamente documentada.

Sus objetivos son:

Mejorar la continuidad en la operación de la red con mecanismos adecuados de control y monitoreo, de resolución de problemas y de suministro de recursos.

Hacer uso eficiente de la red y utilizar mejor los recursos, como por ejemplo, el ancho de banda.

Reducir costos por medio del control de gastos y de mejores mecanismos de cobro.

La administración de la red se vuelve más importante y difícil si se considera que las redes actuales comprendan lo siguiente:

Mezclas de diversas señales, como voz, datos, imagen y gráficas.

Interconexión de varios tipos de redes, como WAN, LAN y MAN. El uso de múltiples medios de comunicación, como par trenzado,

cable coaxial, fibra óptica, satélite, láser, infrarrojo y microondas.

Criterios de evaluación sistema de información en uso:

Navegación. La sobrecarga informativa en la memoria del usuario a la hora de consultar la base de datos debe minimizarse. Siempre es mucho mejor reconocer que recordar. Un sistema de navegación bien diseñado facilita la recuperación de información en estas bases de datos.

Ayuda en línea. El sistema debe incorporar mecanismos para reconocer, diagnosticar y solucionar errores.

Funcionalidad. Las funciones de uso deben recogerse de manera explícita en un apartado de descripción de la base de datos: lenguas con las que trabaja, perfiles de usuario a los que se dirige, ámbitos temáticos que abarca.

EVALUACION DE LA SEGURIDAD

Hardware Aplicaciones del software Plan de contingencias y de recuperación

Objetivos:

Verificar que existan los planes, políticas y procedimientos relativos a la seguridad dentro de la organización.

Asegurar la disponibilidad y continuidad del equipo de cómputo el tiempo que requieran los usuarios para el procesamiento oportuno de sus aplicaciones.

METODOLOGÍA PARA LA EVALUACIÓN DE LAS BASES DE DATOS:

Consistencia, Cobertura / alcance, Tasa error / exactitud, Rendimiento, Respaldo y entrenamiento al cliente, Accesibilidad / facilidad de uso, Actualidad, Integración, documentación, y Tasa valor/costo.

EVALUACION DE LA RED

Estructura de las redes:

El Software de Aplicaciones, programas que se comunican con los usuarios de la red y permiten compartir información (como archivos, gráficos o vídeos) y recursos (como impresoras o unidades de disco).

El software de Red, programas que establecen protocolos para que los ordenadores se comuniquen entre sí.

El Hardware de Red, formado por los componentes materiales que unen los ordenadores.

Tipos de Redes:

Redes Compartidas: aquellas a las que se une un gran número de usuarios, compartiendo todas las necesidades de transmisión e incluso con transmisiones de otra naturaleza.

Redes exclusivas: aquellas que por motivo de seguridad, velocidad o ausencia de otro tipo de red, conectan dos o más puntos de forma exclusiva.

Otro tipo se analiza en cuanto a la propiedad a la que pertenezcan dichas estructuras, en este caso se clasifican en:

Redes privadas: aquellas que son gestionadas por personas particulares, empresa u organizaciones de índole privado, en este tipo de red solo tienen acceso los terminales de los propietarios.

Redes públicas: aquellas que pertenecen a organismos estatales y se encuentran abiertas a cualquier usuario que lo solicite mediante el correspondiente contrato.

Otra clasificación, la más conocida, es según la cobertura del servicio en este caso pueden ser:

Redes LAN (Local Area Network), redes MAN (Metropolitan Area Network), redes WAN (Wide Area Network), redes internet y las redes inalámbricas.

Topologías de Red: Cuando se menciona la topología de redes, se hace referencia a la forma geométrica en que están distribuidas las estaciones de trabajo y los cables que las conectan.

Dentro de las topologías que existen, las más comunes son:

Aunque no son las más comunes también existen otras topologías generadas por las combinaciones entre las ya mencionadas anteriormente como es el caso de:

Protocolo de Redes: Los protocolo de red son una o más normas standard que especifican el método para enviar y recibir datos entre varios ordenadores.

Dentro de la familia de protocolos se pueden distinguir:

Protocolos de transporte: ATP (Apple Talk Transaction Protocol), NetBios/NetBEUI, TCP (Transmission Control Protocol).

Protocolos de red: DDP (Delivery Datagram Protocol), IP (Internet Protocol).

Protocolos de aplicación: AFP (Appletalk File Protocol), FTP (File Transfer Protocol.

Servicios de una Red:

Acceso, este servicios de acceso a la red comprenden tanto la verificación de la identidad del usuario para determinar cuáles son los recursos de la misma que puede utilizar, como servicios para permitir la conexión de usuarios de la red desde lugares remotos.

Ficheros, el servicio de ficheros consiste en ofrecer a la red grandes capacidades de almacenamiento para descargar o

eliminar los discos de las estaciones. Una red de computadoras posibilita:

Conclusiones:

Mayor facilidad en la comunicación entre usuarios. Reducción en el presupuesto para software y hardware. Organización de los grupos de trabajo que la conforman.

Investigación Preliminar

La investigación preliminar debe cumplir con los siguientes cinco objetivos:

Entender la naturaleza del problema: Es el primer objetivo de la investigación preliminar.

Definir el alcance y las restricciones o limitaciones del sistema: El alcance del proyecto es la extensión del proyecto o del sistema, o sea, hasta dónde se debe llegar.

Identificar los beneficios que se obtendrían si el sistema propuesto es completado: Se debe identificar los beneficios tangibles e intangibles que se esperan como resultado del “system request”.

Especificar un estimado de tiempo y costo para las próximas fases de desarrollo: Se debe presentar un estimado del tiempo que tomará realizar cada uno de las siguientes fases del desarrollo del sistema y del costo que la compañía debe incurrir para completar el sistema.

Presentar un informe a la gerencia describiendo el problema y detallando si se recomienda continuar con la fase de análisis del sistema – Debe incluir la evaluación del “system request”, estimado de tiempo y costo-beneficios y las recomendaciones.

Pasos para realizar la investigación preliminar:

Obtener la autorización de la gerencia. Identificar la información necesaria para el proyecto para cumplir

con los cinco objetivos de la investigación (ya mencionados). Analizar la información obtenida, identificando alternativas con

sus costos y beneficios y recomendando la acción que se debe tomar.

Presentar los resultados y recomendaciones a la gerencia.

El análisis de la información puede definirse como la aplicación de técnicas de procesamiento automático del lenguaje natural, de clasificación automática y de representación gráfica (cartografía) del contenido cognitivo (conocimientos) y factual (fecha, lengua, tipo de publicación) de los datos bibliográficos (o textuales).

La recolección de datos puede darse de varias maneras:

Cuestionarios, Entrevistas, Observación, Información documental (archivo).

PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos, Evaluación de los equipos de cómputo.

INVESTIGACIÓN PRELIMINAR:

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

ADMINISTRACIÓN:

Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.

Objetivos a corto y largo plazo. Recursos materiales y técnicos

SISTEMAS:

Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.

Manual de formas. Manual de procedimientos de los sistemas.

PERSONAL PARTICIPANTE:

Una de las partes más importantes dentro de la planeación de la auditoría en informática es el personal que deberá participar y sus características.

PASOS A SEGUIR:

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos.

INFORMES:

En si todos los encuestados respondieron la totalidad de las preguntas.

Evaluación de Riesgos

Se debe poder obtener una evaluación económica del impacto de estos sucesos. Este valor se podrá utilizar para contrastar el costo de la protección de la información en análisis, versus el costo de volverla a producir (reproducir).

La evaluación de riesgos y presentación de respuestas debe prepararse de forma personalizada para cada organización; pero se puede presuponer algunas preguntas que ayudan en la identificación de lo anteriormente expuesto:

¿Qué puede ir mal?" ¿Con qué frecuencia puede ocurrir?" ¿Cuáles serían sus consecuencias?" ¿Qué fiabilidad tienen las respuestas a las tres primeras

preguntas?" ¿Se está preparado para abrir las puertas del negocio sin

sistemas, por un día, una semana, cuánto tiempo?".

Tipo de Riesgo-Factor:

1. Niveles de riesgo: Estimación del riesgo de pérdida del recurso (R i ), Estimación de la importancia del recurso (I i )

2. Identificación de Amenaza: Se suele dividir las amenazas existentes según su ámbito de acción:

Desastre del entorno (Seguridad Física). Amenazas del sistema (Seguridad Lógica).

3. Evaluación de Costos: La evaluación de costos más ampliamente aceptada consiste en cuantificar los daños que cada posible vulnerabilidad puede causar teniendo en cuenta las posibilidades. Un planteamiento posible para desarrollar esta política es el análisis de lo siguiente:

¿Qué recursos se quieren proteger? ¿De qué personas necesita proteger los

recursos?

El objetivo que se persigue es lograr que un ataque a los bienes sea más costoso que su valor, invirtiendo menos de lo que vale. Para esto se define tres costos fundamentales:

CP: Valor de los bienes y recursos protegidos. CR:Costo de los medios necesarios para romper las medidas de

seguridad establecidas. CS: Costo de las medidas de seguridad.

Para que la política de seguridad sea lógica y consistente se debe cumplir que:

CR > CP: o sea que un ataque para obtener los bienes debe ser más costoso que el valor de los mismos. Los beneficios obtenidos de romper las medidas de seguridad no deben compensar el costo de desarrollo del ataque.

CP > CS: o sea que el costo de los bienes protegidos debe ser mayor que el costo de la protección.

Valor Intrínseco: Es el más fácil de calcular (pero no fácil) ya que solo consiste en otorgar un valor a la información contestando preguntas como las mencionadas y examinando minuciosamente todos los componentes a proteger.

Costos Derivados de la Pérdida: Deben considerarse elementos como:

Información aparentemente inocua como datos personales, que pueden permitir a alguien suplantar identidades.

Datos confidenciales de acuerdos y contratos que un atacante podría usar para su beneficio.

Punto de Equilibrio: Una vez evaluados los riesgos y los costos en los que se está dispuesto a incurrir y decidido el nivel de seguridad a adoptar.

Plan de Contingencia

Pese a todas las medidas de seguridad puede (va a) ocurrir un desastre. De hecho los expertos en seguridad afirman "sutilmente" que hay que definir un plan de recuperación de desastres "para cuando falle el sistema", no "por si falla el sistema".

Por tanto, es necesario que el Plan de Contingencias que incluya un plan de recuperación de desastres, el cual tendrá como objetivo, restaurar el servicio de cómputo en forma rápida, eficiente y con el menor costo y pérdidas posibles.

Plan de Contingencias:

Un Plan de contingencias es un instrumento de gestión para el buen gobierno de las Tecnologías de la Información y las Comunicaciones en el dominio del soporte y el desempeño (delivery and support, véase ITIL).

Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la continuidad del negocio y las operaciones de una compañía.

Ciclo de vida:

El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA (plan-do-check-act, es decir, planificar-hacer-comprobar-actuar). Nace de un análisis de riesgo donde, entre otras amenazas, se identifican aquellas que afectan a la continuidad del negocio…

Contenido:

El plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice una amenaza. Su finalidad es evitar dicha materialización.

El plan de emergencia. Contempla las contramedidas necesarias durante la materialización de una amenaza, o inmediatamente después. Su finalidad es paliar los efectos adversos de la amenaza.

El plan de recuperación. Contempla las medidas necesarias después de materializada y controlada la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la materialización de la amenaza.

El plan de contingencias no debe limitarse a estas medidas organizativas. También debe expresar claramente:

Qué recursos materiales son necesarios. Qué personas están implicadas en el cumplimiento del plan.

Ejemplo:

Este ejemplo no es ni mucho menos exhaustivo. Supongamos una pequeña compañía que se dedica a la producción de prendas textiles.

Activos e interdependencias: Oficinas centrales → Centro de proceso de datos → Computadoras y almacenamiento → Información de pedidos y facturación → Proceso de negocio de ventas → Imagen corporativa

Amenaza: Incendio. (Los activos afectados son los anteriores).

Impacto: (es un ejemplo ficticio)

Perdida de un 10% de clientes. Imposibilidad de facturar durante un mes. Imposibilidad de admitir pedidos durante un mes.

El plan de contingencias contendría someramente las siguientes contramedidas:

Medidas técnicas: Extintores contra incendios. Detectores de humo.

Medidas organizativas: Seguro de incendios. Precontrato de alquiler de equipos informáticos y ubicación

alternativa.

Los subplanes contendrían las siguientes previsiones:

Plan de respaldo: Revisión de extintores. Simulacros de incendio. Plan de emergencia: Activación del precontrato de alquiler de equipos informáticos. Restauración de las copias de respaldo.