Alcance de la Auditoría Informática

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría

informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en

el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos

se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los

registros grabados a un control de integridad exhaustivo*? ¿Se comprobará que los controles de

validación de errores son adecuados y suficientes*? La indefinición de los alcances de la auditoría

compromete el éxito de la misma.

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso

entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las

excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van

a ser auditadas.

Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.

El alcance de la Auditoría Informática no es nada más que la precisión con que se define el entorno

y los límites en que va a desarrollarse la misma y se complementa con los objetivos establecidos

para la revisión. El alcance de la Auditoría Informática deberá definirse de forma clara en el

Informe Final, detallando no solamente los temas que fueron examinados, sino también indicando

cuales se omitieron.

Muñoz Razo, Carlos (Autor)

TIPOS DE RIESGOS COMPUTACIONALES,

EXPOSICIONES Y PÉRDIDAS.

INTENCIONALES.

Daños. Fuego, robo de equipo como cartuchos, discos y cintas. Destrucción física de datos, irrupción en las instalaciones, disturbios, sabotajes, etc.

Alteraciones. Agregar, cambiar o borrar algo; desde datos hasta archivos de programas para beneficio personal, venganza o diversión.

Diseminaciones. Vender información para beneficio personal, venganza o diversión.

NO INTENCIONALES.

Daños. Catástrofes naturales, incendios, inundaciones, terremotos, daños accidentales de discos, cartuchos, cintas e instalaciones.

Alteraciones. Accidentalmente agregar, cambiar o borrar datos o programas. Alteración debido a fallas de software o Hardware.

Diseminaciones. Revelar información a los colegas o amigos. Desplegar accidentalmente passwords y salidas de los sistemas.

La mayoría de estos riesgos son causados por agentes (personas) y objetos (instalaciones físicas, equipo computacional, terminales, redes, archivos, etc.) como vehículo para realizar o incurrir estos actos ya sea de forma intencional o no. Si se establecen controles de seguridad adecuados y efectivos para los agentes y objetos de riesgo, entonces las pérdidas pueden ser eliminadas o incluso eliminadas.

Procedimiento que tiende a disminuir riesgos.

De los siguientes riesgos, indicar por lo menos 2 controles:

Falla en el suministro eléctrico. Terremoto, Incendio o inundación. Acceso no autorizado al sistema. Pérdida de información por virus. Pérdida de información por daños o fallas en el hardware. Renuncia del desarrollador del sistema; desconocimiento del

funcionamiento y estructura del mismo. Desperdicio de recursos durante un proyecto de software. El sistema terminado no satisface los requerimientos del usuario final.

IMPACTO TOTAL DE LOS RIESGOS Y PÉRDIDAS

PÉRDIDA DE VENTAS O INGRESOS

PÉRDIDA DE GANANCIAS

PÉRDIDA DE PERSONAL

IMPOSIBILIDAD DE CUBRIR REQUERIMIENTOS O LEYES GUBERNAMENTALES

IMPOSIBILIDAD DE SERVIR A LOS CLIENTES

IMPOSIBILIDAD DE MANTENER EL CRECIMIENTO

IMPOSIBILIDAD DE OPERAR EFECTIVA Y EFICIENTEMENTE

IMPOSIBILIDAD DE COMPETIR EXITOSAMENTE CON NUEVOS CLIENTES

IMPOSIBILIDAD DE MANTENERSE A LA DELANTERA DE LA COMPETENCIA

IMPOSIBILIDAD DE CONTROLAR LOS COSTOS

IMPOSIBILIDAD DE CONTROLAR A EMPLEADOS EN ACTIVIDADES ILEGALES CON PROV. DE SW.

COMPLETO FRACASO DE LA COMPAÑÍA

Evaluación de riesgos computacionales.

Una evaluación de riesgos que sea significativa no es fácil de lograr. Debido a la falta de datos consistentes, la dificultad para cuantificar datos como vulnerabilidad y las pérdidas potenciales y la dificultad para explicar los resultados a otros (especialmente a la gerencia). Por tales razones, algunas personas prefieren un análisis simplemente cualitativo basado en la experiencia y en opiniones de particulares. Los procesos informales e intuitivos suelen ser más atractivos para la gerencia que los procesos estadísticos y de modelado.

1.- Identificar los archivos y actividades que deben ser protegidos.

2.- Analizar vulnerabilidades y riesgos que afectan tales archivos.

3.- Hacer una lista de controles de seguridad existentes a efectos de atacar los riesgos de vulnerabilidad.

4.- Empatar los controles de seguridad con los riesgos.

5.- Hacer un análisis costo-beneficio.

6.- Hacer recomendaciones económicamente efectivas a la gerencia para disminuir los riesgos existentes.

FACTORES QUE AFECTAN A LOS SISTEMAS DE INFORMACIÓN

Los principales factores que se ciernen sobre los sistemas Informáticos tienen orígenes diversos. Así, si consideramos las amenazas externas, el hardware puede ser físicamente dañado por agua, fuego, terremotos, sabotajes. Las mismas causas pueden dañar los medios magnéticos de almacenamiento externo. La información contenida en éstos, también puede verse afectada por campos magnéticos intensos y frecuentemente, por errores de operación. Las líneas de comunicación pueden ser interferidas, etc.

Otros tipos de amenazas provienen de usuarios o empleados infieles. Así, los primeros pueden usurpar la personalidad de usuarios autorizados y acceder indebidamente a datos para su consulta o borrado, o aunque algo más complicado, modificar en su provecho programas de aplicación.

Otras amenazas más sutiles provienen de inadecuados controles de programación.

Así, el problema de residuos, es decir, de la permanencia de información en memoria principal cuando ésta es liberada por un usuario o, en el caso de dispositivos externos cuando ésta es incorrectamente borrada.

Una técnica fraudulenta muy usada consiste en transferir información de un programa a otro mediante canales ilícitos y no convencionales (canales ocultos).

Humanas Desastres Naturales

Maliciosas No Maliciosas Incendios

Terremotos

Externas Internas Empleados Inundaciones

Factores que afectan la integridad.

Desastres naturales: Inundaciones, incendios, tormentas, terremotos etc.

Fallas de Hardware: Discos, controladores, energía, memoria, dispositivos, etc.

Fallas Humanas: Accidentes, inexperiencias, estrés, problemas de comunicación, venganza, interés personal.

Fallas en la red: Controladores, tarjetas, componentes, radiación

Problemas de SW o lógicos: Requerimientos mal definidos, corrupción de archivos, errores de programas o aplicaciones, problemas de almacenamiento, errores de SO.

Factores que afectan la seguridad de los datos.

Autentificación: La forma en que se hace el proceso de acceso a los sistemas, passwords, perfiles de usuario.

Basados en cables: Todos los cables son "pinchables" es decir se accede fácilmente a los datos que circulan de un nodo a otro en una red, para esto se utilizan las técnicas de encriptación.

Amenazas para la seguridad

Físicas: averías en los componentes físicos, robo, espionaje industrial etc.

Programación: Aplicaciones mal construidas, los bugs en el software de la industria que necesita de parches para reducir el riesgo de perder los datos.

Puertas Falsas: En la mayoría de los software existen puertas falsas que permiten alterar o manipular los datos con los cuales estos trabajan ( ej: manipulación de las tablas en las bases de datos)