entornos
informticos
Ricardo J. Castello
Profesor Auditora de Sistemas Computarizados
Facultad de Ciencias Econmicas-UNC
Esta versin digital ha sido licenciada por el autor con una licencia de Creative
Commons. Esta licencia permite los usos no comerciales de esta obra en tanto en
cuanto se atribuya la autoria original.
Sus usos legtimos u otros derechos no son afectados de ninguna manera por lo
dispuesto precedentemente.
ii
PROLOGO
(charlas,
conferencias,
cursos,
publicaciones
en
Internet)
iii
iv
INDICE DE CONTENIDO
UNIDAD 1 CONCEPTOS BASICOS
vi
vii
BIBILIOGRAFIA....................................................................................285
viii
UNIDAD 1
Conceptos
Bsicos
CAPITULO 1
Conceptos bsicos
1. INTRODUCCION
Etimolgicamente la palabra auditora deriva del latin audire que significa oir, el
sustantivo latino auditor significa "el que oye". Los primeros auditores ejercan
sus funciones principalmente oyendo, juzgando la verdad o falsedad de lo que
les era sometido a su verificacin. 1
2. CLASES DE AUDITORIA
Si comparamos las auditoras internas con las externas, vemos que las primeras
tienen como ventaja el conocimiento por parte del auditor de la cultura de la
organizacin y el hecho de que al pertenecer a la plantilla de la empresa el
profesional no es visto como un cuerpo extrao y, por consiguiente, no se le
retacea informacin; las externas, en cambio, cuentan como ventaja la
independencia del auditor, quin puede aplicar sus propios criterios, libre del
sentimiento de pertenencia a la estructura de la entidad.. Veamos en el
siguiente cuadro3, una comparacin de los alcances de la auditora externa e
interna cuando se evalan los estados contables de una entidad:
Aspecto
considerado
Auditora externa
Auditora interna
OBJETIVO
Contador Pblico
Preferentemente profesional de
Ciencias Econmicas.
Total
Profesional en relacin de
dependencia
NORMAS DE
APLICACION
PRODUCTO FINAL
Profesional
Civil
Penal
Profesional
Laboral
Independencia de criterio
(dependiendo del mximo nivel
decisorio de la empresa).
Capacidad tcnica.
Cualidades personales.
SUJETO
INDEPENDENCIA
OBJETO PRINCIPAL
DE SU EXAMEN
RESPONSABILIDAD
CONDICIONES
PERSONALES
3. CONTROL Y AUDITORIA
el
sistema
operante,
es
decir,
realizar
la
accin
correctiva
correspondiente.
10
11
4. PISTAS DE AUDITORIA
NCR CORPORATION, Customer Support Training - System Analist Design, Dayton (Ohio), NCR
Corporation, 1989.
12
5. AUDITORIA Y CONSULTORIA
Auditora
Objetivo
Controlar el desempeo
Momento
Posterior a los eventos
Consultora
Optimizar el desempeo
13
6. PROGRAMA DE AUDITORIA
Etapas de un proyecto
1. Fijacin del objetivo: debe clarificarse adecuadamente el objetivo con
indicacin del alcance.
2. Planificacin: consiste en planificar y programar actividades definiendo
recursos, plazos y calidad.
3. Ejecucin: es la puesta en marcha del proyecto, para lo cual hay que
procurar una ejecucin eficaz.
4. Control: implica evaluar la marcha del proyecto, negociar y redefinir.
14
15
3) Relevamiento e investigacin:
Esta etapa es la que demanda mayor esfuerzo, tiempo y recursos de un
programa de auditora; en ella el auditor debe involucrarse en forma personal
procurando obtener la mayor cantidad posible de informacin de "primera
mano". Comprende las siguientes actividades:
16
4) Anlisis:
17
18
19
7. ANTECEDENTES
actividades:
los
contadores-auditores.
En
principio
tomaron
al
7.1.Equivalentes?
20
21
22
CUESTIONARIO DE REVISION
Qu es auditora?
23
24
UNIDAD 2
Auditora de
Sistemas de
Informacin
25
26
CAPITULO 2
Auditora de sistemas de informacin
1. INTRODUCCION
En este captulo trataremos los trabajos de auditoras de sistemas o auditora de
sistemas de informacin. Tomaremos como caso el sistema de informacin ms
desarrollado, difundido y con mayor historia dentro de las organizaciones: "la
contabilidad" o sistema de informacin econmico-financiero. Este sistema de
informacin fue el primero en formalizarse y estandarizarse, sirve tanto para
registrar el desempeo de una entidad o persona en lo que respecta a los
aspectos econmicos-financieros como para efectuar comparaciones entre
entidades de la economa, obtener cifras globales (consolidacin entre
empresas) de un sector de la economa, etc.
27
Documentos
28
Clasificacin cronolgica
DIARIO
Clasificacin sistemtica
MAYOR
Sntesis
BALANCE
RIVAS, GONZALO A., Auditora informtica,, Madrid, Edic. Daz de Santos, 1989, pg.30.
El objetivo es:
Para ello:
El auditor, contador pblico independiente, lleva a cabo una investigacin crtica
de los estados contables con el objetivo de formarse un juicio sobre la veracidad
de tal informacin y comunicarlo a la comunidad. Esta es la tarea del auditor y lo
que se denomina auditora externa de estados contables.12
10
GABRIEL GUTIERREZ VIVAS, "Auditora e Informtica", en: CENTRO REGIONAL DEL IBI
PARA LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunin de expertos
sobre "AUDITORIA INFORMATICA", Madrid,1987, pg. 87.
11
PEREZ GOMEZ, JOSE MANUEL , "Auditora Informtica de las Organizaciones", en: CENTRO
REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA,
Reunin de expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pg. 17
12
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS ECONOMICAS.
CENTRO DE ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Area Auditora - Informe N 5 MANUAL DE AUDITORIA, Buenos Aires, 1985, pg 42.
29
Sin embargo, el mismo autor destaca que existe conciencia de que algunas
acciones deberan tomarse para adecuar la auditora al nuevo ambiente; por eso
propone que:
El Instituto de Censores Jurados de Cuentas ... participa igualmente de la opinin
de considerar a la informtica como una herramienta de la auditora y como tal
tiene el proyecto de emitir una Norma de Auditora que contemple las
consideraciones a tener en cuenta por el auditor en la ejecucin del trabajo en un
contexto informatizado.14
GABRIEL GUTIERREZ VIVAS, "Auditora e Informtica", en: CENTRO REGIONAL DEL IBI
PARA LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunin de expertos
sobre "AUDITORIA INFORMATICA", Madrid,1987, pg. 89.
14
Idem 7, pg. 93.
15
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS ECONOMICAS.
CENTRO DE ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Informe N 6 - Pautas para el
examen de estados contables en un contexto computarizado, Buenos Aires, s. f.
30
16
31
Caractersticas de un computador
Nardelli17, nos seala las caractersticas ms importantes de un computador en
su relacin con la auditora. Ellas son:
17
32
18
33
Rafael Ruano Diez21, expresa: "La dificultad principal para el auditor estriba en
que cada vez ms se perder la pista de la generacin de informacin" (la pista
de auditora), esto es, no son verificables manualmente por el auditor. Adems,
el hecho de que las transacciones vitales sean producidas por el computador,
hace posible que los archivos magnticos conteniendo esta informacin pueden
ser alterados o copiados sin que quede pista de lo que ha ocurrido.
20
34
almacenamiento
magnticos
sin
dejar
rastros;
esta
35
El control interno tambin puede ser definido como el conjunto de medidas que
contribuyen al dominio de la empresa. Tiene como finalidad, por un lado,
asegurar la proteccin y salvaguarda del patrimonio y la calidad de la
informacin, y por otro, la aplicacin de las instrucciones de la direccin y
favorecer la mejora de las actuaciones. Se manifiesta por medio de la
organizacin, los mtodos y procedimientos de algunas de las actividades de la
empresa para mantener la perennidad de la misma.24
23
Para ampliar conceptos sobre control interno recomendamos: VOLPENTESTA, Jorge Roberto,
Estudio de Sistemas de Informacin para la Administracin, Ed. O.D.Buyattii, Bs.As., 1993. pg.
155 a 173.
24
DERRIEN, YANN, Tcnicas de la auditora informtica, Marcombo, Espaa, 1994, pg. 7.
36
El control interno se refiere a los procesos y las prcticas por las cuales la
gerencia intenta asegurar que las decisiones y actividades aprobadas y
apropiadas son hechas y llevadas a cabo. Estas decisiones y actividades
pueden estar gobernadas por fuerzas externas: leyes y regulaciones, ticas
profesionales y estndares de auditora; o por factores internos: controles
implementados para asegurar a la Direccin que el negocio funciona de la
manera esperada.
Al igual que cualquier procedimiento estndar, para ser efectivos, los controles
deben ser revisados y mantenidos; cuando ello ocurre, los controles trabajan en
beneficio del negocio. Dichos controles no deberan ser tan rgidos como para
hacer difcil cualquier accin, pero no pueden ser tan flexibles que sean la causa
de que nada trabaje bien.
25
37
Y recomienda examinar y comprender la circulacin de los datos econmicofinancieros de una empresa, desde su aparicin, continuando con las
transformaciones realizadas hasta su registro como informacin de salida. Para
ello es necesario conocer cules son:
-
JOSE MANUEL PEREZ GOMEZ, "Auditora Informtica de las Organizaciones", en: CENTRO
REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA,
Reunin de expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pg. 17.
38
revisin del sistema de control interno: satisfechos con las medidas de control
interno implementadas, dan por buenos los datos que genera el sistema de
informacin econmico-financiero.
implementar
mecanismos
de
control
para
asegurar
la
39
40
41
a) En la estructura
La estructura de una entidad (reflejada en el organigrama) provee al sistema de
control interno de informacin sobre la divisin de tareas y responsabilidades, y
de los mecanismos de coordinacin necesarios para el desarrollo eficiente de
las funciones. As, la estructura aporta:
-
b) En los procedimientos
Los procedimientos son las actividades programadas que utiliza una
organizacin para efectuar sus operaciones. En este mbito es importante
destacar la necesidad de que existan manuales y/o documentacin donde
encontrar las normas, detalle de los pasos o etapas de los procedimientos, los
registros y los documentos fuente.
42
44
Cuando los controles de una aplicacin son llevados a cabo por el computador,
es decir por el programa que se est ejecutando en su memoria, reciben el
nombre de procedimientos programados o controles programados.
de
su
reemplazo
urgente,
con
los
costos
econmicos
organizacionales asociados.
a) Controles de entrada
Son los mecanismos de control que operan sobre los datos que ingresan al
sistema. Permiten seleccionar los datos que entran al computador y aseguran
que se procesen en forma integral y correcta slo las operaciones debidamente
autorizadas. Estn relacionados con el control sobre la totalidad, exactitud,
validez y mantenimiento de los datos que ingresan al sistema. Consisten en
pruebas de validacin, acumulacin de totales, reconciliaciones, identificacin e
informe de datos incorrectos, excepcionales o faltantes, etc.
45
b) Controles de procesamiento
Los controles programados aplicados al procesamiento operan sobre las
transformaciones que se ejercen en los datos, una vez que la transaccin entra
en el sistema. Por ejemplo, el control de balanceo de operacin, necesario para
mantener la consistencia entre los datos de entrada y de salida. Procuran evitar
la realizacin de errores y/o fraudes, mejorar la seguridad y confiabilidad en el
procesamiento de los datos y la generacin de informacin cierta.
46
c) Controles de salida
Los controles programados para la salida de datos procuran proteger la
informacin que genera el sistema de los potenciales errores y/o irregularidades
que pueden llegar a detectarse cuando se los lea. El sistema deber establecer
los mecanismos que garanticen la exactitud de la informacin de salida, la cual
debe poder conciliarse con los datos fuentes.
47
48
1)
2)
49
3)
50
a) Informe N 6
b) Informe COSO
El informe COSO consta de cinco componentes o etapas para efectuar el
anlisis del sistema de Control Interno. Estos componentes estn relacionados
entre s, son derivados del estilo de la direccin y estn integrados al proceso de
gestin. Ellos son:
51
I. Ambiente de Control
II. Evaluacin de Riesgos
III. Actividades de Control
iV. Informacin y Comunicacin
V. Supervisin
El ambiente de control refleja el espritu tico vigente en una entidad respecto
del comportamiento de los agentes, la responsabilidad con que encaran sus
actividades, y la importancia que le asignan al control interno. Sirve de base a
los otros componentes, ya que es dentro del ambiente reinante donde se
evalan los riesgos y se definen las actividades de control tendientes a
neutralizarlos. Simultneamente se capta la informacin relevante y se realizan
las comunicaciones pertinentes, dentro de un proceso supervisado y corregido
de acuerdo con las circunstancias.
En el Anexo I se describe esta metodologa.
Sintticamente
este enfoque
propone
primero
identificar los
controles
52
Riesgos relacionados
con los sistemas de
aplicacin en
produccin
Riesgos
relacionados con el
rea de Sistemas
Riesgos relacionados
con el negocio en
general
La consigna es que para cada uno de los riesgos analizados, el auditor debe
formular planes de contingencia que los administre.
53
a) Entrevista
La entrevista es una de las actividades personales ms importantes del auditor,
quien suele recoger ms informacin -acaso mejor detallada- que la
proporcionada por medios puramente tcnicos o por respuestas escritas a
cuestionarios.
54
b) Cuestionario
Existen opiniones que descalifican el uso de checklist. Sin duda se refieren a las
situaciones de auditores inexpertos que recitan preguntas y esperan respuestas
esquematizadas. Pero esto no es utilizar checklists, esto es una evidente falta de
profesionalidad.30
30
ACHA ITURMENDI, JUAN JOSE. Auditora informtica en la empresa. Ed. Paraninfo, Madrid,
1994, pg. 68.
31
ACHA ITURMENDI, JUAN JOSE, idem anterior, pg. 69.
32
ACHA ITURMENDI, JUAN JOSE, idem anterior, pg. 70.
55
56
b) Lotes de prueba
Consiste en formar un conjunto de datos de entrada, reales o ficticios, para
hacerlos ingresar en grupo al computador a fin de ser procesados con el mismo
programa que se encuentra en operacin. Trabaja con una copia de los
programas y de los archivos en uso (en produccin) y tiene por objetivo
comprobar el funcionamiento de los programas. Esta tcnica no est diseada
para controlar el contenido de los archivos, por ello raras veces permite detectar
operaciones fraudulentas33.
Frecuentemente los delitos informticos son llevados a cabo por los operadores del sistema,
modificando en forma directa los datos grabados en los archivos, o bien, haciendo una
modificicacin temporal a los programas en ejecucin; ambos casos no son detectados con esta
tcnica de auditora.
57
c) Simulacin paralela
En esta tcnica se utilizan los archivos reales de la entidad y se simula el
procesamiento de la aplicacin mediante programas especialmente preparados.
El auditor elabora sus propios programas; stos deben procesar los mismos
datos que los programas de la aplicacin a auditar. Luego ambos resultados son
comparados.
d) Procesamiento paralelo
58
Para instrumentar esta tcnica, se debe obtener una copia de los programas,
extraer una muestra representativa de la informacin residente en los archivos
de datos, luego, realizar el reprocesamiento usando datos de transacciones
reales, seleccionadas por el auditor. El reprocesamiento se realiza usando los
mismos programas y bases de datos, pero en otro computador.
ficticio
se
le
aplicarn
registros
de
transacciones
de
prueba,
el
procedimiento
ante
los
rganos
de
control
institucional
59
DGI, la Bolsa de Valores en caso de cotizar en bolsa, etc. Esta medida procura
evitar problemas de ndole legal.
Requisitos para instrumentar las pruebas de minicompaa
1. Explicacin previa a nivel de Direccin sobre las caractersticas, finalidades y
modalidades de la misma. Deben demostrarse los beneficios.
2. Aprobacin preliminar de la Direccin.
3. Determinacin de los subsistemas a abarcar, si la prueba se aplicar en forma
integral o parcial.
4. Identificacin de los registros especiales a crear y la forma en que se depurarn
las transacciones ingresadas con fines de auditora.
5. Fijacin de la forma en que actuar el auditor para simular el comportamiento del
sistema, por ejemplo se procesarn las transacciones desde el origen?
6. Modelo de los papeles de trabajo en los cuales se volcar el estado inicial de los
registros y las modificaciones.
7. Aprobacin final de la Direccin.
8. Informacin peridica a la Direccin sobre los resultados del sistema de auditora.
f) Pistas de transacciones
Esta tcnica consiste en establecer rastros (datos especiales), con la finalidad
exclusiva de servir como pista de auditora, en los registros de movimiento que
se generan a partir de las transacciones. Los rastros, marcas (tagging) o pistas
de auditora son grabados -como campos ad-hoc- en los registros durante el
procesamiento de las operaciones que ingresan al sistema.
60
Las pistas o marcas pueden ser "fsicas" o "lgicas". Una marca fsica se
realiza mediante el agregado de un cdigo (dato) especial al registro, por
ejemplo agregndole un asterisco al comienzo del mismo. La marca lgica es
un dato inherente a la informacin que guarda normalmente el registro, por
ejemplo el monto de la operacin; luego, es posible seguir las operaciones
mayores a $100.000 cuando se examina este campo del registro.
Esta tcnica permite rastrear las operaciones reales a partir del examen de los
archivos de movimiento que guardan los registros de las operaciones
procesadas por el sistema.
g) Comparacin de programas
Esta tcnica consiste en el empleo de utilitarios del sistema operativo para
comparar dos o ms versiones de un mismo programa ejecutable (archivo
objeto) de una aplicacin. La finalidad es verificar si existen diferencias entre las
distintas copias y versiones de los ejecutables. Si son diferentes se presume
que hubo cambios al programa, por ejemplo, desde la ltima visita del auditor.
En estos casos, el auditor puede pedir que se le informe respecto de dichos
cambios y se le proporcione la documentacin relacionada (solicitud de
modificacin, autorizaciones, especificaciones, pruebas, orden de puesta en
operacin, etc.).
61
h) Paquetes de auditora
Los paquetes de auditora, conocidos en el pasado como sistemas GAS (de
General Audit System) y actualmente como herramientas CAATs, son productos
de software diseados para generar programas que ayuden a los auditores a
investigar el contenido de las bases de datos de la entidad bajo estudio. En
general, no requieren al auditor de calificacin en tecnologas para ser usados..
62
DERRIEN, YAN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994. pg. 16.
63
6.3. Conclusiones
La prueba de los controles de un sistema de informacin computarizado, en
especial aquellos que requieren de la aplicacin de tcnicas de re-ejecucin de
procesamiento, son los temas ms esperados por los alumnos que cursan esta
asignatura. Es el aspecto que distingue este tipo de trabajos de auditora
respecto de la auditoria tradicional.
64
CUESTIONARIO DE REVISION
65
66
ANEXO I
Nuevos conceptos del control interno.
Informe C.O.S.O.
INTRODUCCION
35
67
68
las
El entorno en el que una entidad opera influye en los riesgos a los que est
expuesta; en particular, puede estar sujeta a requerimientos de informacin a
terceros particulares o a cumplir exigencias legales o normativas especficas.
69
1. Ambiente de Control
2. Evaluacin de Riesgos
3. Actividades de Control
4. Informacin y Comunicacin
5. Supervisin.
70
1. AMBIENTE DE CONTROL
71
72
73
2. EVALUACIN DE RIESGOS
Toda entidad debe hacer frente a una serie de riesgos tanto de origen interno
como externo que deben evaluarse. Una condicin previa a la evaluacin de los
riesgos es el establecimiento de objetivos en cada nivel de la organizacin que
sean coherentes entre s. La evaluacin del riesgo consiste en la identificacin y
anlisis de los factores que podran afectar la consecucin de los objetivos y, en
base a dicho anlisis, determinar la forma en que los riesgos deben ser
administrados y controlados.
74
Riesgos
Los riesgos son hechos o acontecimientos negativos cuya probabilidad de
ocurrencia es incierta y que de ocurrir pueden afectar la consecucin de los
objetivos de la organizacin. A nivel de empresa los riesgos pueden ser la
consecuencia de factores externos como internos, por ejemplo:
Factores externos:
Factores internos:
75
Anlisis de riesgos
Una vez identificados los riesgos a nivel de entidad y por actividad deben
llevarse a cabo el proceso de anlisis de riesgos, esto incluye:
Existe una diferencia entre el anlisis de los riesgos -que forman parte del
proceso de Control Interno- y los planes, programas y acciones resultantes que
la Direccin considere necesarios para afrontar dichos riesgos, estas acciones
son parte del proceso de gestin y no son responsabilidad del sistema de
Control Interno.
76
77
3. ACTIVIDADES DE CONTROL
Son las polticas (qu debe hacerse) y los procedimientos (cmo debe hacerse)
que procuran asegurar se lleven a cabo las instrucciones de la Direccin.
Ayudan a asegurar que se tomen las medidas necesarias para controlar los
riesgos relacionados con la consecucin de los objetivos de la entidad.
Las operaciones
78
79
80
4. INFORMACIN Y COMUNICACIN
Informacin
As como es necesario que todos los agentes conozcan el papel que les
corresponde desempear en la organizacin (funciones, responsabilidades), es
imprescindible que cuenten con la informacin peridica y oportuna que deben
manejar para orientar sus acciones en consonancia con los dems, procurando
el mejor logro de los objetivos.
internamente,
sino
tambin
informacin
sobre
incidencias,
Debe haber una comunicacin eficaz en un sentido amplio, que fluya en todas
las direcciones a travs de todos los mbitos de la organizacin, de arriba hacia
abajo y a la inversa.
81
Calidad de la informacin
Comunicacin
Deben considerarse dos mbitos en relacin a esta actividad: interno y externo.
Comunicacin interna
Cada funcin concreta ha de especificarse con claridad, cada persona tiene que
entender los aspectos relevantes del sistema de Control Interno, como
funcionan los mismos, saber cul es su papel y responsabilidad en el sistema.
82
Asimismo, el personal tiene que saber cmo sus actividades estn relacionadas
con el trabajo de los dems, esto es necesario para conocer los problemas y
determinar sus causas y la medida correctiva adecuada, El personal debe saber
los comportamientos esperados, aceptables y no aceptables.
Comunicacin externa
83
84
5. SUPERVISIN
Como hemos visto, el Control Interno puede ayudar a que una entidad consiga
sus objetivos de rentabilidad y a prevenir la prdida de recursos, puede ayudar a
la obtencin de informacin financiera confiable, puede reforzar la confianza de
que la empresa cumple con la normatividad aplicable. Sin embargo, los
sistemas de Control Interno requieren supervisin, es decir, un proceso que
compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo
del tiempo. Esto se consigue mediante actividades de supervisin continua,
evaluaciones peridicas o una combinacin de ambas cosas.
85
El proceso de evaluacin
La evaluacin del sistema de Control Interno constituye un proceso, si bien los
enfoques y tcnicas varan, debe mantenerse una metodologa en todo el
proceso. El evaluador deber entender cada una de las actividades de la
entidad y cada componente del Sistema de Control Interno objeto de la revisin.
Conviene centrarse en evaluar el funcionamiento terico del sistema, es decir en
su diseo, lo cual implicar conversaciones con los desarrolladores y la revisin
de la documentacin existente.
86
Existe una gran variedad de metodologas para abordar el anlisis del sistema
de control interno y el auditor disponde de variadas herramientas de evaluacin:
hojas de control, cuestionarios y tcnicas de flujogramas, tcnicas cuantitativas,
etc. Algunas empresas, comparan sus sistemas de Control Interno con los de
otras
entidades,
lo
que
se
conoce
generalmente
como
tcnica
de
benchmarking.
Documentacin
El nivel de documentacin del sistema de Control Interno de la entidad vara
segn la dimensin y complejidad de la misma. Las entidades grandes
normalmente cuentan con manuales de polticas, organigramas formales,
descripciones
de
puestos,
descripcin
de
procedimientos
operativos,
Deficiencias
Las deficiencias en el sistema de Control Interno pueden ser detectadas tanto a
travs de los procedimientos de supervisin continua realizados en la entidad
como de las evaluaciones puntuales al sistema de Control Interno, as como a
travs de terceros.
87
La eficacia del sistema de Control Interno est en directa relacin con las
personas responsables de su funcionamiento, incluso aquellas entidades que
tienen un buen ambiente de control (aquellas que tienen elevados niveles de
integridad y conciencia del control) existe la posibilidad de que el personal eluda
el sistema de Control Interno con nimo de lucro personal o para mejorar la
presentacin de la situacin financiera o para disimular el incumplimiento de
obligaciones legales. La elusin incluye prcticas tales como actos deliberados
de falsificacin ante bancos, abogados, contadores y proveedores, as como la
emisin intencionada de documentos falsos entre otras.
88
89
90
ANEXO II
Anlisis por categorizacin del riesgo
(metodologa de Price Waterhouse)
A continuacin, desarrollamos las actividades que se corresponden con los
riesgos de esta metodologa:
Funciones / Tareas
Orden de compra
Recepcin
Entrega
Contable
Depsito
Ventas
...
2) Ingreso de datos
Controla los datos que ingresan al sistema informtico. Deben distinguirse dos
tipos de datos: permanentes y de transacciones. Los riesgos de esta categora
son: datos imprecisos, incompletos o duplicidad de ingreso (ingresados ms de
91
una vez).
Controles:
De edicin y validacin. Se valida el formato, lmites, dgito verificador,
validacin contra los datos grabados en un archivo de control, balanceo,
correlacin de campos, etc.
De lotes. Trabaja con totales no significativos, efecta el control de secuencia
de las transacciones, la doble digitacin de datos crticos, procura evitar el
doble procesamiento de una transaccin, etc.
4) Procesamiento
Las transacciones ingresadas para su procesamiento (incluso aqullas
generadas por el propio sistema) pueden perderse o ser procesadas en forma
incorrecta, incompleta o imputadas a ejercicios que no corresponden.
92
La premisa a tener en cuenta para analizar este riesgo es que de nada valen los
controles previstos en los programas de aplicacin, si el entorno donde
trabajamos no tiene los controles indispensables.
Administracin
Es
Anlisis y
Programacin
conveniente
tener
en
Produccin
(operacin)
cuenta
que
Control
de datos
los
Seguridad
Informtica
procedimientos
operativos
93
94
CAPITULO 3
Pistas de auditora digitales
1. INTRODUCCION
operativas
los
sistemas
informticos
procuran
eliminar
la
ANTONIO MILLE, "La montica y sus leyes", Revista Presencia NCR N 10, Buenos Aires, Julio
1989, pg. 5.
95
Las transacciones electrnicas son una tendencia que por razones funcionales y
de eficiencia operativa prometen desplazar el modo "presencial" de efectuar
operaciones comerciales como est ocurriendo con el comercio electrnico a
travs de Internet o con las clsicas operaciones financieras realizadas por
medio de la red de cajeros automticos donde los usuarios del sistema realizan
sus transacciones interactuando con un computador y la identificacin personal
se constata con el ingreso de una tarjeta plstica y una clave secreta de acceso
al sistema. La documentacin que se genera no es personalizada: no lleva
firmas ni rastros fsicos del autor. La seguridad del sistema se asienta en la
posesin de la tarjeta -con los datos del usuario grabados en una banda
magntica o en un chip de memoria- y en la clave de acceso, cuya
confidencialidad es la piedra angular de la confianza en el sistema.
96
Actualmente el auditor basa sus opiniones en base a los datos brindados por el
sistema de gestin, pero ste fue diseado para optimizar el procesamiento de
las operaciones administrativas de la empresa y no para procurar un mejor
control y auditabilidad de las transacciones y su registro.
JOSE MANUEL PEREZ GOMEZ, "La auditora de los sistemas de informacin", en: CENTRO
REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), ACTAS, I Congreso
Iberoamericano de Informtica y Auditora, San Juan de Puerto Rico, Madrid, 1988, pg. 110.
39
ALEJANDRO LAMBARRI V, "Utilizando el computador para realizar la auditora", en: CENTRO
REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), ACTAS, I Congreso
Iberoamericano de Informtica y Auditora, San Juan de Puerto Rico, Madrid, 1988, pg. 267.
97
98
a) Archivo Log-Auditora
Esta propuesta40, procura establecer un mecanismo para obtener pistas de
auditora especficas y permanentes dentro de los sistemas de gestin. Para
ello, es necesario asignar a las aplicaciones la misin de generar registros
destinados a ser pistas de auditora y grabados en un archivo llamado LogAuditora.
Basada en la tesis doctoral del autor "Auditora contable en entornos informticos: una propuesta
metodolgica para obtener pistas de auditora indelebles", Facultad de Ciencias EconmicasUniversidad Nacional de Crdoba, 1994.
99
b) Servidor de Auditora
Este es un nuevo modelo, superador de la anterior propuesta y posibilitado por
la arquitectura de procesamiento actual: servidores especializados por funciones
atendiendo
las
peticiones
de
las
estaciones
de
trabajo
de
la
red.
100
2. ARCHIVO LOG-AUDITORIA
101
En esta situacin, en los casos de una auditora contable, la primer tarea del
auditor consistira en introducir un juego de transacciones y verificar su reflejo
en el archivo Log-Auditora; de esta manera valida tambin parte del sistema de
control interno. Luego, pasara a la fase de auditora de balance". Esta
consistira en recoger y procesar la informacin del archivo Log-Auditora,
obteniendo como resultado las cifras de los estados contables que se estn
verificando segn sus clculos. Por ltimo, slo le quedara comparar su
balance con el que le entreg la entidad objeto de revisin.
por ejemplo:
102
auditoras
externas,
instituciones
financieras,
103
104
No obstante lo expresado anteriormente, recordemos que este archivo LogAutidota reside en el mismo ambiente de procesamiento afectado a la gestin,
por lo tanto, existe siempre la posibilidad de que sus registros pueda ser
alterados antes de su copia en los soportes pticos.
41
105
3. SERVIDOR DE AUDITORIA
Red WAN /
INTERNET
Servidor de
Servidor de
Bases de Datos
Auditora
Servidor de
WEB / mail
106
Servidor de
Aplicaciones
En este modelo los procedimientos para obtener y transferir los datos desde el
ambiente de gestin al de auditora son clave; dependiendo del mecanismo que
se utilice para recoger los datos desde el sistema de gestin, el Servidor de
Auditora podr operar con informacin en tiempo real o diferido. En este marco,
consideramos los siguientes casos:
la
107
Para colectar los datos generados por las transacciones que procesa el sistema
de gestin y enviarlas al Servidor de Auditora se consideran distintas
tecnologas:
a) Utilizar motores de actualizaciones, en un procedimiento similar a la
tecnologa utilizada por los sistemas de data warehouse, para sincronizar los
datos del ambiente de gestin con las bases de datos del Servidor de
Auditora. Esta metodologa contempla un Servidor de Auditora con datos
desactualizados (actualizados en diferido) .
b) Utilizar agentes inteligentes para colectar los datos generados por las
transacciones procesadas por el sistema de gestin y trasladarlos al Servidor
de Auditora en forma simultnea (tiempo real). Los agentes inteligentes son
productos de software que corren en forma autnoma dentro del sistema
informtico. Esta tecnologa requiere el desarrollo de software especfico que
debe ser instalado tanto en el sistema de gestin como en el Servidor de
Auditora y permitiran contar con la misma informacin en forma permanente
dentro de ambos ambientes.
c) Utilizar los datos almacenados en el log de transacciones de los gestores de
bases de datos para actualizar al Servidor Auditora. Los motores de bases
de datos disponen de mecanismos llamados log de transacciones para
registrar una copia de todas las operaciones que procesa el motor de la base
y que modifican sus datos. Estos log de transacciones son creados por el
software que administra la base de datos (DBMS) con la finalidad de
posibilitar la restauracin de las bases en caso de fallas del equipamiento,
procesamiento incorrecto de una transaccin u otras fallas. Su objetivo, por
consiguiente, es resguardar la integridad de la informacin que reside en las
bases de datos. Si bien este tipo de archivos no fue diseado para servir a
las tareas de auditora, la informacin que registran contiene todos los datos
108
Usuario
Programade
Aplicacin
Transaccin
DBMS
e
Ambiented
gesti nu
operativo
Archivologde
transacciones
BasedeDatos
deGestin
Ambientede
auditora
Programacolector
detransacciones
Servidor
deAuditora
Basededatos
deAuditora
109
110
Auditora
111
4. CONCLUSIONES
112
sirvan de pista de auditora y que los datos disponibles sean los requeridos para
poder reconstruir la informacin relacionada con las operaciones procesadas. El
inconveniente ms importante para instrumentar esta propuesta reside en la
necesidad de modificar los programas vigentes de las aplicaciones de gestin
para que tributen los registros correspondientes al Log-Auditora. Adems, este
archivo reside dentro del ambiente de procesamiento afectado al sistema de
gestin; por ende, vulnerable a la manipulacin por parte del personal de
Sistemas.
mismos,
independiente
de
cualquier
Base de datos propia: en efecto, al contar con una base de Auditora propia,
que ha sido definida con tablas y datos que hacen a la esencia de las
transacciones econmicas y financieras de la empresa, se pueden obtener
los listados o reportes necesarios para los controles habituales.
113
114
CUESTIONARIO DE REVISION
115
116
UNIDAD 3
Auditora
Informtica
117
118
CAPITULO 4
Auditora informtica
1. INTRODUCCION
119
44
RIVAS, GONZALO A., Auditora Informtica, Ed. Daz de Santos, Madrid, 1989. pg. 19.
ACHA ITURMENDI, J. JOS, Auditora informtica en la empresa, Editorial Paraninfo, Madrid,
1996. pg. 21.
45
120
AUDITORIA
CONTROL DE GESTIN
qu hace?
Examina, enjuicia y
recomienda.
Evala el coeficiente
objetivos/realizacin
cundo se
hace?
Haciendo un corte en el
calendario
Permanentemente
cmo se hace?
Implementa acciones
correctivas
Afortunadamente,
en
los
ltimos
aos
se
ha
avanzado
considerablemente al respecto.
121
las
122
Como vimos, los objetivos de una Auditora Informtica pueden ser muy
variados. A los efectos de un mejor abordaje, los agrupamos en las siguientes
categoras (segn el campo de accin o actividad que abarquen):
46
RIVAS, GONZALO A., Auditora Informtica, Ed. Daz de Santos, Madrid, 1989. pg. 46.
123
124
En sntesis:
(evaluar la funcin
administrativa)
Explotacin
Desarrollo
(de aplicaciones y
sistemas)
Otros enfoques
Rivas47 nos presenta otra forma de clasificar las actividades (objetivos) de una
auditora informtica:
Auditora informtica en el rea de la planificacin
Auditora informtica en el rea de organizacin y administracin
Auditora informtica en el rea de construccin de sistemas
Auditora informtica en el rea de explotacin
Auditora informtica del entorno operativo hardware
Auditora informtica del entorno operativo software
Para cada uno de estos tipos de trabajos de auditora informtica el autor
analiza los objetivos, propone la metodologa para abordar el trabajo y aporta
cuestionarios (check list) para facilitar la tarea del auditor.
47
48
125
49
126
127
3. ADMINISTRACION
128
Manuales de procedimientos.
Manuales de normas.
129
130
Directorio
Gerencia del
Dpto. de Sistemas
Gerencia
General
...
PRIMER MODELO
El rea de Sistemas
depende de la
direccin de Administracin
y Finanzas
Gerencia de
Adm.y Finanzas
SEGUNDO MODELO
El rea de Sistemas
depende de los
niveles mximos
Gerencia del
Dpto. de Sistemas
Desarrollo
de Sistemas
Operacin
(produccin)
Anlisis
de Sistemas
Operacin
de equipos
Programacin
Control
de datos
Administracin
Base de Datos
Comunicacin
de datos
Soporte
a usuarios
TERCER MODELO
Mltiples rea s de Sistemas
(bajo la rbita de las
dependencias a que dan
servicio)
Preparacin
de datos
CUARTO MODELO
Tercerizacin del
rea de Sistemas
(outsourcing)
de
Sistemas:
gerentes,
analistas,
programadores,
tcnicos,
salario,
capacitacin y conocimientos
tcnicos
disponibles,
131
132
En este punto, se controla que las normas y politicas sean adecuadas, estn
vigentes y definidas correctamente, que los planes de trabajo concuerden con
los objetivos de la empresa, etc.
Este ltimo aspecto suele dar lugar a que el auditor exprese opiniones
tcnicas, a veces no tan bien intencionadas, sobre las posibles soluciones
(alternativas tcnicas) que l conoce o prefiere por su preparacin, su
experiencia, su ignorancia, por estar de moda o por sus intereses. Estas
opiniones, si no estn bien fundamentadas, dan lugar a que pueda refutarse o
133
desestimarse el Informe del auditor y con ello el resultado del trabajo. Influye
mucho en el anlisis de este elemento las tendencias del mercado en cuanto a
las
arquitecturas
de
equipamiento,
sistemas
operativos,
redes
de
Si
existe
documentacin
de
las
actividades,
funciones
responsabilidades.
134
de
sistema,
Planes
de
sistemas
de
informacin,
Estos documentos, similares a los usados para gestionar las otras reas de una
empresa, deberan servir de base para auditar el rea Sistemas; la carencia de
ellos impide al auditor juzgar la marcha de la misma.
135
136
Planeamiento:
Deben desarrollarse y comunicarse a las reas involucradas, polticas que reflejen las
directivas de la alta gerencia sobre los objetivos y metas institucionales que se
relacionen con la funcin de procesamiento de la informacin.
Deben definirse y comunicarse a todos los funcionarios afectados, las normas
actualizadas que regulan la adquisicin de bienes informticos y servicios de
comunicaciones asociados, el diseo, desarrollo y modificacin de los Sistemas
Computadorizados de Informacin y las operaciones especficas de la funcin de
servicio de procesamiento de informacin.
Se deben definir y comunicar a todos los funcionarios afectados, procedimientos
actualizados que regulen la metodologa a aplicar para las relaciones entre la unidad
de servicio de procesamiento de informacin y las unidades usuarias.
Nivel y Responsabilidades:
La responsabilidad por los servicios de procesamiento de la informacin del
organismo debe recaer en una unidad o comit de sistemas que asegure la
homogeneidad de criterios y la unificacin de objetivos a alcanzar.
La unidad responsable de los servicios de procesamiento de informacin debe
encontrarse ubicada en la estructura en una posicin tal que garantice la necesaria
independencia respecto de las unidades usuarias.
El manual de organizacin debe incluir la descripcin de las principales reas que
abarca la unidad y las responsabilidades asignadas.
52
137
Separacin de funciones:
53
138
4. EXPLOTACION u OPERACIONES
Este tipo de trabajos de auditora tiene por objetivo evaluar la calidad de los
servicios prestados por el rea Sistemas y el desempeo de las aplicaciones en
produccin. Otras denominaciones que recibe este tipo de trabajos son:
Auditora del entorno de produccin (Derrien), Auditora informtica de
explotacin (Acha Iturmendi), Auditora informtica del rea de explotacin
(Rivas). Se corresponde con el domnio "Entrega y Soporte" de COBIT.
incidentes;
administracin
de
los
datos;
procedimientos
de
139
automatizacin
de
oficina;
soporte
usuarios
(mesa
de
ayuda);
Los servicios generales del rea Sistemas han ganado relevancia en los ltimos
tiempos y ha hecho resurgir el protagonismo del rea como centro prestador de
servicios. La conectividad a Internet, correo electrnico y mensajera digital,
produccin y mantenimiento del sitio web de la empresa, la vinculacin a
operatorias de comercio electrnico y otros servicios conexos, se han
transformado
imprescindibles
para
las
organizaciones
actuales.
Por
140
141
142
5. DESARROLLO
143
56
144
Etapa
Identificacin
del problema
Evaluacin
costo/beneficio
Planeamiento
del proyecto
Definicin del
sistema objeto
Objetivos
Tareas
-Identificar qu y cmo
se lo quiere resolver
-Definir el alcance del
trabajo
-Proponer alternativas
de solucin
-Fijar criterios para la
evaluacin econmica
-Hacer un relevamiento
general
-Generar propuestas de
solucin para el problema
planteado
-Proponer mtodos para la
evaluacin econmica
Productos finales
145
Etapa
Definicin de la
aplicacin
informtica
Objetivos
Tareas
Productos finales
-Definir el
funcionamiento de la
aplicacin y sus
vinculaciones con el
sistema de informacin
de la empresa.
-Definir entradas,
salidas, archivos y
procesos.
-Establecer las formas
de prueba de la
aplicacin.
-Definir los
mecanismos de
seguridad.
-Escribir y probar los
programas.
-Probar la aplicacin.
-Definir la aplicacin.
-Definir el sistema de
datos.
-Definir los programas.
Definir los procedimientos
de seguridad.
-Confeccionar los lotes de
prueba.
-Carpeta de aplicaciones.
-Carpetas de programas.
-Codificacin y depuracin
de los programas.
-Prueba de los programas.
-Prueba de la aplicacin
(integracin de los
programas).
-Confeccin de los
manuales de operacin y/o
de usuario final.
-Listados de programas
fuentes.
-Documentacin de
pruebas realizadas.
-Manuales de
procedimientos y
operacin para el usuario
final.
-Plan de implementacin
del nuevo sistema.
-Informe de aprobacin
del nuevo sistema por
parte del usuario final.
-Documentacin de la
conversin de archivos.
-Documentacin de la
incorporacin de los
programas de la
aplicacin a la biblioteca
de produccin.
Programacin y
prueba
Puesta en
operaciones
Sistema en
rgimen
146
-Informes de evaluacin
de funcionamiento del
sistema.
-Informe de problemas y
propuestas de cambio.
-Documentacin del
sistema (manuales de
operacin y carpetas de
programas) debidamente
actualizadas.
-Estadsticas de
problemas y fallas.
Sistema
en rgimen
Puesta en
operaciones
Programacin
y prueba
Definicin de la
aplicacin informtica
Definicin del
sistema objeto
Planeamiento
del proyecto
Evaluacin
costo/beneficio
P
E
R
S
O
N
A
L
Identificacin
del problema
TIEMPO
Cons tr uccin
58
147
Analistas de sistemas
148
Programadores
149
Existen situaciones en las que el auditor debe estar alerta y aclarar las razones
del pedido de una auditora informtica. Por ejemplo, cuando es encargada por
la Direccin, en un contexto de relacin tensa con la Gerencia de Sistemas, el
59
150
DERRIEN, YANN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994. pg. 15.
60
151
7. CONSIDERACIONES FINALES
contempla
la
configuracin
del
hardware,
las
redes
de
luego,
correspondientes.
152
efectuarse
las
revisiones
(auditoras)
peridicas
CUESTIONARIO DE REVISION
Qu es auditora informtica? cules son sus objetivos y
alcances?
153
154
ANEXO III
COBIT - Objetivos de Control
para la Informacin y las Tecnologas afines
1. INTRODUCCION
155
recomendados
para
156
proporcionar
la
gerencia
certeza
157
159
Para
los
requerimientos
de
certificacin
de
la informacin financiera
Audiencia de COBIT
COBIT esta diseado para ser utilizado por tres audiencias distintas:
a) ADMINISTRACION: Para ayudarlos a lograr un balance entre los riesgos y
las inversiones en control en un ambiente de tecnologa de informacin
frecuentemente impredecible.
b) USUARIOS: Para obtener una garanta en cuanto a la seguridad y controles
de los servicios de tecnologa de informacin proporcionados internamente o
por terceras partes.
c) AUDITORES: Para dar soporte a las opiniones mostradas a la administracin
sobre los controles internos sobre las TI.
160
Calidad de la informacin
COBIT considera siete caractersticas relacionadas con la informacin:
Efectividad: Se refiere a que la informacin relevante sea pertinente para el
divulgacin no autorizada.
Integridad: Se refiere a la precisin y suficiencia de la informacin, as como
161
Recursos IT
Los recursos de las tecnologas de la informacin identificados en COBIT
pueden explicarse o definirse como se muestra a continuacin:
Datos: Los elementos de datos en su ms amplio sentido, por ejemplo:
Informacin.
Personal: Habilidades del personal, conocimiento, conciencia y productividad
162
Dominios de COBIT
Con lo anterior como marco de referencia, los dominios son identificados
utilizando las palabras que la gerencia utilizara en las actividades TI cotidianas
de la organizacin..Por lo tanto, cuatro grandes dominios son identificados:
planificacin y organizacin, adquisicin e implementacin; entrega y soporte, y
monitorizacin. Las definiciones para los dominios mencionados son las
siguientes:
perspectivas. Finalmente,
163
164
Es preciso sealar que los objetivos de control de las TI han sido definidos de
una forma general (no dependen de ninguna plataforma tcnica), aunque se
debe aceptar el hecho de que algunos entornos de tecnologa especiales
pueden necesitar espacios separados para los objetivos de control.
165
efectivos
166
de
un
plan
de
infraestructura
tecnolgica.
Toma
en
consideracin:
Adecuacin y evolucin de la capacidad de infraestructura actual. Deber
de
desarrollos
tecnolgicos:
evaluacin
continua
de
las
167
cabo apropiadamente
S egregacin de funciones. Evitar la posibilidad de que est en manos de un
informacin.
financiamiento.
Control del gasto efectivo. Se deber tomar como base el sistema de
168
169
170
asignados al proyecto.
Presupuestos de costos y horas hombre
Planes y metodologas de aseguramiento de calidad.
Objetivo: Satisfacer los requerimientos de calidad de los servicios TI. Para ello
se realiza una planeacin, implementacin y mantenimiento de estndares y
sistemas de administracin de calidad por parte de la organizacin. Toma en
consideracin:
Definicin y mantenimiento de un plan de calidad, el cual deber promover la
que
rija
el
proceso
de
desarrollo,
adquisicin,
implementacin
171
Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del
usuario. Para ello se realiza un anlisis de las oportunidades / alternativas
comparadas contra los requerimientos de los usuarios. Toma en consideracin:
Requerimientos de informacin para los proyectos de desarrollo.
Estudios de factibilidad (tcnica, funcional y econmica)
Arquitectura de informacin teniendo en consideracin el modelo de datos
del ente
Seguridad de la relacin de costo-beneficio de los proyectos para controlar
proporcionen
datos
sensitivos
de
las
transacciones,
por
172
ejemplo:
estrs),
Controles de aplicacin y requerimientos funcionales
Documentacin (tcnica y de usuario)
aplicaciones.
173
de
procedimientos
para
los
usuarios,
considerando
su
actualizacin
Manuales de Operaciones y controles.
Materiales de entrenamiento enfocados al uso del sistema en la prctica
diaria.
materiales relacionados.
Conversin / carga de datos, de manera que todos los elementos necesarios
producto satisfactorio.
Acreditacin de las pruebas.
Revisiones post implementacin con el objeto de evaluar si el sistema
Objetivo:
Minimizar
la
probabilidad
de
interrupciones,
alteraciones
no
proveedores
Procedimientos de categorizacin, priorizacin y gestin de emergencias.
Evaluacin de impactos provocados por los cambios.
Autorizacin de cambios
Procedimientos de distribucin de versiones de software
174
de
continuidad
del
servicio.
Este
dominio
incluye
el
Objetivo: Establecer pautas para evaluar el nivel de servicio requerido. Para ello
se establecen pautas de niveles de servicio que formalicen los criterios de
desempeo para medir la cantidad y la calidad del servicio. Toma en
consideracin:
Pautas formalizadas (convenios) que fijen la disponibilidad, confiabilidad,
175
contrato.
de informacin
Monitoreo y reporte de uso de los recursos TI
Utilizar herramientas de modelado apropiadas para simular cargas de
ociosa
176
equipamiento de back-up
Pruebas y entrenamiento del Plan de Contingencia
asegurar
acciones
oportunas
relacionadas
con
la
requisicin,
(firewalls)
177
servicios de informacin
Objetivo: asegurar que los problemas experimentado por los usuarios sean
atendidos y solucionados apropiadamente. Para ello se crean un centro de
ayuda (Mesa de Ayuda) que proporcione a los usuarios soporte y asesora de
primera lnea. Toma en consideracin:
Consultas de usuarios y respuesta a problemas estableciendo una funcin de
aseguren que las consultas de los usuarios pueden ser resueltas y/o sean
asignadas al nivel adecuado para atenderlas
Anlisis y reporte de tendencias de consultas, su solucin y tiempos de
respuesta
178
Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus
causas sean investigadas. Para ello se necesita un sistema de administracin
de problemas que registre y d seguimiento a los incidentes, adems de un
conjunto de procedimientos de escalamiento de problemas para resolverlos de
la manera ms eficiente. Toma en cuenta:
Registro de incidentes y resoluciones
Procedimiento de escalamiento de problemas
Reportes de incidentes
Objetivo: Asegurar
179
establecer
operaciones
del
y
rea
documentar
Sistemas,
procedimientos
los
cuales
para
debern
administrar
ser
revisados
180
las
181
Objetivo: Incrementar los niveles de confianza a los servicios TI por parte de los
miembros de la empresa, clientes y proveedores. Para ello la gerencia deber
obtener certificaciones o acreditaciones independientes en relacin a seguridad
y control interno, en especial para los servicios de TI que resulten crticos. Toma
en cuenta:
Certificaciones y acreditaciones independientes relacionados con servicos de
TI
Aseguramiento por parte de terceros de cumpimiento de normas legales y
regulatorias
Revisiones a proveedores externos de servicios TI
182
ANEXO IV
Fases de crecimiento IT
1. INTRODUCCIN
Quiz uno de los mejores estudios es el que proviene de Richard Nolan62, quien
desarroll un modelo para identificar el grado de desarrollo de la computacin
en una organizacin, describe la evolucin de la informtica en una empresa en
etapas o fases de crecimiento IT63. El modelo procura ayudar a los directivos de
una empresa en la administracin de los recursos informticos con que cuentan
y es especialmente til para los procesos de anlisis de proyectos de inversin
en computacin, ya que nos brinda un cuadro de referencia para determinar la
etapa de evolucin informtica en que est la empresa, asegurando decisiones
adecuadas a la etapa de crecimiento en que est ubicada.
62
183
Son predecibles.
puede
decidir
temporalmente
introducir
crecimientos
184
Portafolio de aplicaciones
Planeamiento
estratgico
Control gerencial
Soporte operativo
Funciones de la empresa
Ejemplo: administracin, ventas, personal,
contabilidad y finanzas, compras, etc.
185
III. Recursos informticos (Recursos IT): este factor agrupa todos los elementos
tcnicos especficamente informticos, tradicionalmente todos los recursos
bajo la responsabilidad del Centro de Cmputos o del Departamento de
Sistemas. Por ejemplo: elementos de hardware, productos de software, de
comunicaciones de datos, tecnologa aplicada al desarrollo de sistemas,
personal tcnico, sistemas de aplicacin propios, bases de datos propias,
capacitacin de los RR.HH. especializados, etc.
A los dos primeros se los considera como los factores activos, es decir, son los
demandantes de RR.II. y que movilizan a los otros dos factores para que los
satisfagan; en definitiva, movilizan a la organizacin para que pase de una etapa
a la siguiente. Por ello, los dos ltimos factores se denominan pasivos.
Planificacin y control
Fa
Costo IT
Aplicaciones
Soporte y calidad
Fa
186
s
re
o
ed
ve
o
r s)
s p sivo
e
r a
cto (p
Recursos IT
Especialistas y Tecnol.
tes
an
d
an
m
e s)
s d tivo
e
r
c
cto (a
Usuarios
Conocimiento y pericia
Primera hiptesis, los costos de I/T pueden ser usados como un indicador del nivel de
evolucin en tecnolgica computacional de una organizacin. Una segunda hiptesis fue
que los puntos de transicin en la curva S del presupuesto I/Tpodran ser usados como
indicadores de los pasos entre etapas. Una tercera hiptesis fue que las etapas indican
las tendencias ms importantes respecto a planeamiento, organizacin y control del
procesamiento automtico de datos. Por ejemplo, en la segunda etapa (crecimiento o
contagio), el gerenciamiento debe estimular el desarrollo de nuevos sistemas y la
adquisicin de experiencia por parte de los usuarios, en cambio en la etapa de control, la
atencin debe ser dirigida hacia la estabilizacin y formalizacin de los sistemas. Cada
etapa tiene sus propios mecanismos de control y requiere de enfoques de
gerenciamiento especficos.
Etapa 1
Etapa 2
Iniciacin Crecimiento
in
E
as ra d
( I / d e i e
TE nfo
ra ) rm
ac
ol o
g
Discontinuidad
tecnolgica
Tec
n
tos
Pr
oce
sa m Era
d
( D iento e
PE d
ra ) eda
Costos de IT
Etapa 3
Etapa 4
Etapa 5
Control Integracin Arquitectura
Etapa 6
Difusin
masiva
187
El desarrollo ms reciente del modelo define una tercera curva. Los cambios que se
producen en la organizacin a travs de la era de Procesamiento de Datos (PD Era) son
determinados por cambios tcnicos. En la era de Tecnologas de Informacin (I/T Era),
los cambios requeridos son bsicamente de procedimientos organizacionales. Durante la
tercera curva S, se requiere un cambio en la estructura de la entidad. Normalmente
jerrquica-funcional y orientada a las tareas, debe reemplazarse por una estructura
organizacional tipo red, donde los procesos operativos puedan ser rpidamente
adaptados a las posibilidades tecnolgicas de cada momento.
La
DP Era
188
I/T Era
a
rv
cu
a )
r
2
e
rc 99
te (1
Network Era
Automatizacin de procesos
Implementacin de procedimientos -apoyados en recursos informticospara automatizar la ejecucin de procesos administrativos (en general
aqullos considerados estratgicos para el negocio) y caracterizados por:
189
El modelo caracteriza cinco etapas o fases evolutivas por las que pasa la
relacin entre los recursos informticos y su aplicacin en la administracin de
una organizacin. Recordemos que estas etapas son de ejecucin secuencial y
deben ser cumplidas para que la empresa pueda pasar a la siguiente etapa o
fase.
190
191
192
aparecer
"islas
informticas",
generando
redundancia
193
194
Es una etapa donde priman los parmetros tcnicos por sobre los criterios
econmicos. La empresa tiene una necesidad estratgica de consolidar su
informacin, o sea lograr un nico sistema de informacin. En esta situacin los
195
Los elementos que la empresa debe considerar cuando analiza este aspecto
son: canales para comunicaciones de datos, interfases de comunicaciones,
protocolos de enlace, etc. Cuando la situacin de comunicaciones es
compleja existen sistemas de redes de datos que proveen servicios de
conectividad para los distintos tipos de plataformas de hardware existentes
en la organizacin.
A partir de esta tecnologa nace una nueva especializacin dentro del Centro
de Cmputos: Administrador de Comunicaciones, cuyo responsable est a
cargo del funcionamiento de la red de datos y de lograr servicios de
comunicacin adecuados a las necesidades de los usuarios (velocidad y
seguridad del servicio).
Bases de datos: Esta tecnologa tiene como objetivo integrar los sistemas de
almacenamiento de datos en un nico entorno, permitiendo mejorar la
seguridad de los datos (ante riesgos de prdida o fraude), la confiabilidad de
los datos (evitar inconsistencias), el uso eficiente de los espacios de
almacenamiento (evitar la redundancia); adems de proveer mejoras en los
tiempos de acceso a los datos, productividad en el desarrollo de las
aplicaciones, y en general un ambiente de trabajo en el cual se prioriza la
calidad y seguridad de los datos.
197
198
estratgicos
para
el
funcionamiento
del
negocio
estn
automatizados.
199
200
Fase 1
Fase 2
Fase 3
Fase 4
Fase 5
INICIACION
CRECIMIENTO
CONTROL
INTEGRACION
ARQUITECTURA
Conocimiento
de usuarios
Ninguno
entusiasta
Superficial de
usuarios
Compromiso
Mayor habilidad
Competentes y
cmodos
Portafolio de
aplicaciones
Aplicaciones
para reducir
costos
Mayora de las
reas
Consolidacin
de aplicaciones
Base de datos
Integracin de
aplicaciones
Management
de RR.II.
Dbil
Centralizada
Aumenta
debilidad
Controles
internos
Controles
especiales por
dptos.
Datos y recursos
compartidos
Recursos
informticos
Tecncratas
Batch
Comienza el
backlog
Gerencia
intermedia
Base de datos
on-line
Recursos
distribuidos
Factores claves
NOTA: La sexta etapa -difusin masiva- est excluida, el desempeo de los factores en
la misma no est caracterizado.
201
3. CONCLUSIONES
202
reglas:
cambios
tecnolgicos
bruscos,
mercados
globales
Las innovaciones
En este apartado queremos destacar las reglas de las innovaciones. El objetivo es que el
lector sea consciente de las dificultades que entraan, aunque debemos tener en cuenta
que sin las innovaciones, una empresa probablemente quede muy rpidamente fuera del
mercado.
Los proyectos informticos se caracterizan por presentar fuertes innovaciones dentro de
la empresa. Normalmente afectan al rea de Administracin y Finanzas en forma directa
y al resto de la organizacin en forma indirecta.
Las innovaciones, en general, se caracterizan porque:
203
1) La gente
Se dice que es la mayor barrera a vencer, implica romper con escollos culturales. Es el
factor clave para el xito de la empresa en el uso de recursos informticos.
El objetivo es integrar a los proyectos informticos la mejor gente, la ms motivada y la
ms capacitada tcnicamente para llevarlos adelante.
Existen dos categoras de recursos humanos dentro de un ambiente informtico:
2) Costos y beneficios
Una regla de las inversiones informticas (similar a lo que ocurre en casi todos los
proyectos de inversin) es que los costos de automatizacin son siempre ocasionados
antes que se comiencen a obtener beneficios; an ms, los beneficios se obtienen recin
cuando todo el proyecto est completo (cuando la aplicacin est operativa).
Los costos y los plazos de ejecucin, muy a menudo son subestimados por los
especialistas responsables de llevar adelante el proyecto informtico, generando dudas
sobre el xito del mismo entre los directivos de la organizacin y predisponindolos en
su contra.
Ocurre que a medida que avanzamos en las diferentes fases, los costos no son tan
visibles como en las iniciales. Est comprobado que los mayores costos dentro de un
proyecto informtico se destinan hacia rubros intangibles y difcilmente mensurables
como capacitacin, desarrollo de las aplicaciones, puesta a punto de los sistemas,
mantenimiento, costos de implementacin, y no tanto como se presupuesta inicialmente
al evaluar el proyecto, cuando es usual slo considerar los costos en equipamiento y las
licencias por el software de base y las herramientas de desarrollo.
204
3) Barreras de la implementacin
Se han identificado algunos fenmenos que conspiran contra el xito de los proyectos
informticos. Ellos son:
Desarrollo
inicial de las
Aplicaciones
Nuevas funciones,
nuevos lugares
Mantenimiento de
Mantenimiento de
Aplicaciones
Ao 1 Ao2 Ao 3
Ao4
Ao 5 Ao 6 Ao 7 Ao 8
Esta dificultad se
Es corriente que las
electrnico de datos
y por consiguiente
Existen barreras tcnicas para la integracin: los datos y las aplicaciones no pueden
ser compartidos por toda la organizacin, algunos recursos informticos estn
duplicados. Para romper esta barrera se procura integrar por medio de nuevas
arquitecturas de datos y de comunicaciones.
205
206
CAPITULO 5
Seguridad informtica
1. INTRODUCCION
tecnologa mainframe.
Cuando pareca que todo estaba dicho y previsto en materia de seguridad para
procesar transacciones en ambientes distribuidos, apareci el fenmeno
Internet. As, por cada nueva tecnologa aparecen nuevos y ms complejos
problemas de seguridad.
207
algunos
controles y/o
disposiitivos
disponibles,
intentando
explicar
su
Antecedentes
Los Directivos de una empresa tienen la responsabilidad, entre tantas otras, de
preservar el patrimonio de su organizacin. Para cumplir con este cometido
disponen de personal de vigilancia, cajas de seguridad, alarmas, acceso
restringido a determinadas reas, proteccin contra incendios, plizas de
seguros y otras medidas que la empresa considere necesarias para proteger
sus activos. As como se protegen los activos fsicos (equipamiento), tambin
deben ser resguardados los activos intangibles, entre ellos, programas, archivos
de datos, conocimientos del personal de sistemas, etc., de importancia creciente
en la cartera de recursos estratgicos de una empresa.
Lo ms valioso que contienen los sistemas computarizados es la informacin
que almacenan. En general, no es sencillo calcular su valor, puesto que no slo
hay que tener en cuenta el costo de haberla generado o, en su caso, de tener
que volverla a ingresar, sino tambin el costo de no poder disponer de ella en un
momento determinado, como ocurre cuando se produce una prdida de datos.
208
general de la organizacin.64
Seguridad y cultura
Extracto del trabajo Seguridad lgica - Factores culturales y estructurales que la condicionan
presentado por el Dr. Ricardo O. Rivas en las
IX Jornadas de Sistemas de Informacin de la Fac.de Cs. Ec. -U.B.A., 1996
SAROKA, RAUL H., La gestin de seguridad de activos informticos, TOMO XIX, Revista de
Administracin de empresas, s.f.
64
209
Seguridad se podra definir como todo aquello que permite defenderse de una
amenaza. Se considera que algo es o est seguro si ninguna amenaza se cierne
sobre ello o bien el riesgo de que las existentes lleguen a materializarse es
despreciable...
Si de lo que se est hablando es precisamente de un sistema informtico, las
amenazas existentes son muy diversas: errores humanos, sabotaje, virus, robo,
desastres naturales, etc. y pueden afectar tanto a la informacin como a los
equipos, que son, en definitiva, los bienes a proteger...65
65
210
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 1.
El problema hay que enfrentarlo con tecnologa, pero tambin debe involucrar a
211
Confidencialidad
Se define como la condicin que asegura que los datos no puedan estar
disponibles o ser descubiertos por o para personas, entidades o procesos no
autorizados (proteccin contra la divulgacin indebida de informacin). La
informacin debe ser vista y manipulada nicamente por quienes tienen el
derecho o la autoridad de hacerlo. A menudo se la relaciona con la Intimidad o
Privacidad, cuando esa informacin se refiere a personas fsicas (habeas data)..
212
Integridad
Disponibilidad
Autenticidad o no repudio
213
214
Mtodo Delphi
El mtodo Delphi propone comparar conceptos de a pares, en base a un criterio de juicio
nico, previamente fijado, y donde la opinin (subjetiva) de un grupo de expertos es
traducida en votos y volcada en una planilla especial para calificar dicho concepto.
Cmo se usa la planilla de categorizacin Delphi?
Tomemos como ejemplo un procedimiento para categorizar amenazas donde se
identificaron cuatro tipos de contingencias: Acceso ilegal, Fraude y robo, Violacin de la
privacidad y Prdida de informacin. Usando este mtodo, se construye una planilla en
blanco segn el siguiente modelo:
Acceso
ilegal
Fraude
y robo
Violacin de
privacidad
Prdida de
informacin
Acceso
ilegal
Fraude
y robo
Violacin de
privacidad
Prdida de
informacin
El grupo de expertos debe votar por una u otra opcin en cada celda, comparando las
amenazas representadas por los ttulos de fila y columna. Las celdas de la planilla de
categorizacin registran los resultados (votos) de la comparacin entre pares de
conceptos. La parte inferior-izquierda de la celda sirve para registrar los votos a la
amenaza especificada por el ttulo de la fila y la parte superior-derecha para acumular los
votos al concepto de la columna.
Todos los integrantes tienen el mismo poder, sus votos valen siempre 1 punto para cada
celda y pueden elegir asignar su voto al item de la fila o al de la columna de la
interseccin, segn consideren ms importante como amenaza una u otra. En caso de
indecisin, pueden asignar medio punto (0,5) a los dos conceptos en comparacin.
Siguiendo con el ejemplo, supongamos que el grupo Delphi est constituido por cinco
expertos, entonces en cada celda la sumatoria de ambas opciones debe dar 5, ya que
los integrantes votan por la amenaza de la fila, de la columna o se mantienen indecisos
(0,5 puntos para cada una).
Los criterios de juicio para votar por una amenaza u otra pueden ser: mayor impacto
negativo, mayor prdida en pesos/dlares, ms probable de ocurrir, mayor demora en
recuperar, ms crtica para la organizacin, etc. El grupo debe elegir un nico criterio de
juicio para establecer todas las comparaciones. Supongamos que el grupo de los cinco
expertos ya ha votado una ronda por cada una de las celdas; en este caso la planilla
resultante podra quedar as:
215
Acceso
Acceso
ilegal
ilegal
Fraude
3
y robo
2
Violacin de
3,5
privacidad 1,5
Prdida de
1
informacin 4
Fraude
y robo
0
2
5
3
Violacin de
privacidad
Prdida de
informacin
Hechas las calificaciones (en el ejemplo debieron realizarse seis rondas de votacin para
comparar todos los conceptos, unos contra otros) se procede a sumarizar los votos, con
la finalidad de obtener el orden de importancia de las amenazas, en este caso:
Item
Prdida de informacin
Fraude y robo
Acceso ilegal
Violacin de la privacidad
Incidencia total
11,0
10,0
7,5
1,5
Los valores resultantes pueden usarse para obtener un orden de importancia de los
riesgos y as asignar racionalmente el presupuesto de seguridad de la empresa. Para
ello podemos ponderar los resultados obtenidos con el costo de las soluciones en
anlisis y obtener un orden de prelacin para asignar al presupuesto de seguridad..
Supongamos que disponemos de un presupuesto anual de $60.000 para el rubro
seguridad informtica, la distribucin racional de dicho presupuesto sera:
Item
Prdida de informacin
Incidencia
11,0 pts. (37%)
Fraude y robo
$19.800 (33%)
Acceso ilegal
$15.000 (25%)
Violacin de la privacidad
$3.000 (5%)
TOTALES
30 pts.
$60.000.-
Se pueden volver a calificar las mismas amenazas aplicando otros criterios de juicio y
despus combinar los resultados de las planillas obtenidas. De esta manera se podra
diluir, an ms, la subjetividad de las opiniones del grupo de expertos.
216
Una vez identificados y categorizados los riesgos, hay que analizar las medidas
de seguridad para contrarrestarlos. Recordemos que las medidas de seguridad
son las acciones de control para asegurar que las amenazas sean mitigadas y
los componentes sean resguardados. Hay varias formas de agruparlas, por
ejemplo: activas vs. pasivas, fsicas vs. lgicas y otras.
Activas: son aquellas que implementan acciones para evitar o reducir los
Proteccin fsica
Programas antivirus
Cifrado de datos
Registros de auditora
217
Amenazas
Sistema no
disponible
Mensajes
perdidos
Acceso
ilegal
Desastres
y sabotajes
Errores y
omisiones
Fraude
y robo
Componentes
Archivos de
bases de datos
Personal
Transacciones
Microcomp. y
comunicacione
s
Centro de proc.
de datos
(mainfr)
Archivos
individuales
Instalaciones
y edificios
67
218
Amenazas
Componentes
Archivos de
bases de datos
Personal
Sistema no
disponible
Mensajes
perdidos
Acceso
ilegal
Desastres
y sabotajes
Errores y
omisiones
Fraude
y robo
30,31
1,2,19
1,2,17,30
1,2,3,4,5,
19
3,4,5,18
1,2,3,4,5,
17
3,5,20
1,2,19
1,2,17,30
8,9,10,12
19,22,30
6,7,8,10,
22,23,27
6,7,9,12,
13,15
17,19,24,
30
1,2,9,16,
17,19,22
1,2,5,6,7,
13,16,23
3,4,5,6,7,
12,20,23
1,2,17,19
Transacciones
11
Microcomp. y
comunicacione
s
Centro de proc.
de datos
(mainfr)
Archivos
individuales
Instalaciones
y edificios
11,28.30
8,9,10,16,3
1
8,9,10,12,1
4,16,27
8,9,10,11,
14,16,21
11,28
11,30
11
1,2,19,29
1,2,17,30
17,19,29,
30
1,2,17,19,29
18,20
18
1,2
18,20
18
18,20
23
N/A
1,2
1,2,17
N/A
1,2,17
11.23
219
Amenazas
Componentes
Transacciones
Microcomp. y
comunicaciones
Archivos de
bases de datos
Personal
Centro de proc.
de datos
(mainfr)
Archivos
individuales
Instalaciones
y edificios
Errores y
omisiones
AREA
Fraude
y robo
DE ALTO
Sistema no
disponible
RIESGO
6,7,9,12,
13,15
17,19,24,
30
8,9,10,12
19,22,30
6,7,8,10,
22,23,27
17,19,29,
30
3,4,5,6,7,
12,20,23
1,2,17,19
11
Mensajes
Acceso
perdidos
ilegal
RIESGO MEDIO
Desastres y
sabotajes
BAJO RIES.
3,4,5,18
3,5,20
11,28.30
8,9,10,11,
14,16,21
11,28
1,2,19
1,2,17,30
1,2,9,16,
17,19,22
1,2,5,6,7,
13,16,23
1,2,17,19,29
30,31
8,9,10,16,31
1,2,19
1,2,17,30
11.23
11,30
8,9,10,12,14
,16,27
11
1,2,3,4,5,
19
1,2,19,29
1,2,3,4,5,
17
1,2,17,30
18
18,20
18,20
18
1,2
18,20
N/A
1,2,17
23
N/A
1,2
1,2,17
En la planilla de control del ejemplo, vemos que estn identificadas tres reas
de riesgo: Alto, Medio y Bajo. Esta categorizacin es obtenida luego de un
anlisis de riesgo. Obviamente es conveniente asignar para el rubro Seguridad
Informtica un presupuesto acorde a los controles (medidas de seguridad) que
atenan los riesgos segn el orden obtenido luego del anlisis que nos permiti
esta ubicacin.
220
Cules son, entonces, los pasos para construir una matriz de control?
la
matriz
de
control
relacionando
amenazas
con
221
las
contingencias
vulnerabilidades
derivadas
del
entorno
222
las
operativas.
Comprende
tambin
las
actividades
de
servicios
informticos:
seleccin
polticas
de
personal,
223
Desarrollo
Mantenimiento
de
Sistemas:
se
ocupa
de
los
224
la
"poltica
de
bombero",
reaccionando
ante
situaciones
225
7. PLANES DE CONTINGENCIA
1. Anlisis de Riesgos.
En esta etapa la preocupacin esta relacionada con tres simples preguntas:
qu est bajo riesgo? cmo se puede producir? cul es la probabilidad de
que suceda? .Este paso, al igual que el siguiente, son desarrollados tambin
cuando se elabora el Plan de Seguridad Informtica; aqu se vuelve a hacer el
anlisis considerando bsicamente la necesidad de restaurar los servicios de
sistemas del ente.
2. Valoracin de Riesgos.
Es el proceso de determinar el costo para la organizacin en caso de que ocurra
un desastre que afecte a la actividad empresarial. Los costos de un desastre
226
Copias de seguridad.
227
Se debe tener presente que pueden existir recursos disponibles que ayuden a
realizar el Plan de Contingencia. En ocasiones, las grandes compaas cuentan
con
empleados
con
responsabilidades
tales
como
"Planificador
de
228
8. DELITO INFORMATICO
Una de las principales causas por las que se producen delitos informticos es la
vulnerabilidad que ofrecen los centros de procesamiento de datos debido a las
grandes concentraciones de datos que administran y a las facilidades de acceso
que brindan. Esta situacin es agravada por el fenmeno actual de expansin
de las redes de comunicacin de datos, Internet en especial, que ha aumentado
la vulnerabilidad de los sistemas informticos que ofrecen servicios en dicho
ambiente, multiplicando exponecialmente las posibilidades de delitos.
Sin embargo, y a pesar de los nuevos riesgos que entraan los sistemas
computarizados, es posible afirmar que un sistema informtico bien controlado
ofrece menos oportunidades de fraude que sistemas manuales comparables. Al
respecto conviene tener en cuenta un aspecto de ndole psicolgico:
Tal es la mstica de los ordenadores. Su reputacin es tan alta que el personal
no informtico acepta sin rechistar todo lo que sale por los listados. Para los
programadores deshonestos es bastante fcil engaarlos, iniciando una
modificacin de programa fraudulenta. Esta modificacin puede funcionar a favor
del defraudador indefinidamente o insertarse en el programa durante un perodo
de tiempo corto.68
Hay varias formas en las que un sistema informtico puede verse involucrado
para cometer delitos:
son
cometidos
por
individuos
que
carecen
de
J.A.THOMAS Y I.J.DOUGLAS, Auditora Informtica, Madrid, Paranainfo SA, 1987. pg. 194.
229
servicios de Sistemas.
69
PIATTINI, MARIO G. y DEL PESO, EMILIO. Auditora Informtica. Un enfoque prctico. Madrid,
Editorial RA-MA, 1998. Captulo 6.
230
231
70
Revista Information Technology N 16, Extracto del artculo Nada por aqu, Setiembre de 1997.
pg. 162 a 164.
232
CUESTIONARIO DE REVISION
Qu es la seguridad informtica? Qu aspectos comprende?
233
234
ANEXO V
Medidas de Seguridad Informtica
1. INTRODUCCION
1. Proteccin fsica
2. Copias de seguridad y equipamiento de respaldo
3. Sistemas tolerantes a los fallos
4. Programas antivirus
5. Cifrado de datos
6. Control de accesos, permisos y derechos
7. Registros de auditora
8. Seguridad en Redes / Internet
71
235
2. PROTECCION FISICA
Las medidas de seguridad fsicas son, en general, las ms obvias para los no
legos en informtica. Son las acciones de seguridad tpicas para proteger
cualquier tipo de activos fsicos o resguardar reas vulnerables. Contemplan
-entre otras- controles de acceso a las instalaciones, registros de ingreso y
egreso de personas, vigilancia, circuitos cerrados de TV, etc. Se agrupan de
acuerdo a:
potencialmente
vulnerables
desastres
naturales
Instalaciones
provisorias,
apuradas,
ampliaciones
no
236
237
Dispositivos de backup
Existe una gran variedad de dispositivos de almacenamiento para hacer respaldos o
copias de seguridad. La disponibilidad de uno u otro depende de la arquitectura del
equipamiento donde tenemos el sistema de archivos y de la tecnologa vigente. En
general, pueden ser agrupados en dos grandes categoras:
Cintas magnticas
Se caracterizan por su bajo costo y por almacenar grandes volmenes de datos;
permiten slo acceso secuencial a los mismos. Los modelos de cintas magnticas
vigentes son:
Cintas de carrete abierto o de nueve pistas (almacenan de 44 a 172 MB). Son los
primeros modelos de cintas magnticas, usadas todava en los grandes
computadores o mainframes. (en proceso de obsolescencia tcnica)
Cartuchos de cintas: son la tecnologa vigente y ms difundida para hacer
backup. Por ejemplo, cintas DAT, AIT, etc. Almacenan ms de 1 TB. Suelen
trabajar en dispositivos llamados robot de cintas, donde combinan el uso
simultneo de varias grabadoras de cintas, alcanzando varios TB de capacidad.
Discos
Permiten el acceso directo y secuencial a los datos que almacenan. Su costo por MB
almacenado es en general, ms alto que utilizar un sistema de cintas magnticas;
como contrapartida la manipulacin de la informacin es ms rpida y cmoda. Los
tipos de discos utilizados para hacer backups son:
Disquetes: los hay de distintos tamaos y capacidades. Los vigentes son de 3,5
de tamao, con capacidades de 1,44 MB. (en proceso de obsolescencia tcnica)
Discos duros intercambiables, similares a un disco duro pero removibles.
Discos pticos: en este caso tenemos vigentes varias tecnologas; las ms
conocidas son los CD-ROM y los CD-RW discos pticos regrabables, de
similares capacidades (600 MB).
Videodiscos o DVD: Son discos pticos de similar tamao que un CD pero con
capacidad de 4,7 GB.
NOTA: Las capacidades de los soportes mencionados son orientativas, dado
que los avances permamentes hacen que se amplen en forma continua.
238
Equipamiento de respaldo
Son instalaciones con equipos gemelos al sistema que se quiere asegurar,
generalmente estn contemplados en los Planes de Contingencia. Dos formas:
del
computador
un
proveedor
de
servicios
de
239
elctrica
otros
inconvenientes,
sin
que
se
produzcan
controladores,
tarjetas
de
comunicaciones,
procesadores)
memoria,
tarjetas
de
comunicaciones,
interrupcin
de
la
memoria,
fuente
de
alimentacin,
discos,
tarjetas
de
240
aplicaciones que deben estar en servicio las 24 horas de los siete das de la
semana (99,95% del tiempo). A diferencia de los sistemas non-stop, estos
sistemas se basan en utilizar productos de software especiales para
administrar aplicaciones que manejan grandes volmenes de transacciones,
asegurando el procesamiento en forma continua y segura. Productos
conocidos para programar sistemas de alta disponibilidad son Tuxedo y
Topend, entre otros.
241
5. PROGRAMAS ANTIVIRUS
Los virus poseen tres caractersticas principales: son dainos, autoreproducibles y subrepticios. El potencial de dao de un virus informtico no
depende de su complejidad, sino del valor del entorno donde se le permite
actuar.
El fenmeno de los virus informticos impresiona al gran pblico; sin embargo,
no es el peligro mximo de los sistemas informticos por las siguientes razones:
actan casi exclusivamente en el ambiente Wintel (MS-WIndows e Intel), es
decir afectan slo a los PC; por lo tanto, los grandes sistemas estn a salvo
de ellos.
se dispone de productos antivirus (para cada tipo de virus) que previenen y/o
72
242
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 35.
Otras variantes de los virus, pero con caractersticas distintivas, son los caballos
de Troya y los gusanos.
Un caballo de Troya es un programa que, bajo la apariencia de un
funcionamiento normal cuando se ejecuta, se dedica a destruir informacin. Son
programas sin capacidad de autorreproduccin, slo pueden extenderse por las
copias realizadas por el usuario. Como gusanos se conoce a los programas
realizados para infiltrarse en un sistema e intentar propagarse a todos los que
mantengan una conexin con l, usualmente a travs de una red, bien para
colapsarlos, bien para extraer informacin.73
73
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 35.
243
Virus en Internet
Para comprender el peligro de los virus informticos en Internet, slo hay que
tener en cuenta su funcionamiento: si un virus informtico necesita ejecutar un
programa objeto para activarse y propagarse, habr que tener cuidado con los
programas ejecutables que entren en un sistema va Internet. Adems de los
programas ejecutables, tambin son potencialmente peligrosos los archivos de
documentos que incluyen macro-instrucciones, como los de Word y Excel. Por
lo tanto, el nico peligro de que una computadora se infecte con virus
informticos a travs de Internet, es a travs de la ejecucin de un programa
obtenido desde la red o abriendo un documento de Word /Excel que haya sido
adosado a un mensaje de correo electrnico o bajado de algn servidor de
Internet.
As, con solo comprobar con un programa antivirus cada uno de los archivos de
estas caractersticas, que lleguen va Internet, se tendr controlado este riesgo.
244
6. CIFRADO DE DATOS
Utilizan una clave nica, tanto para el cifrado como para el descifrado; la
seguridad de este mtodo se basa en mantenerla secreta. La calidad de la clave
se manifiesta en la resistencia (terica) para afrontar los ataques que pretendan
desentraarla. En general, la resistencia de una clave depende de la longitud de
la misma, ya que el algoritmo que la genera es conocido.
74
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 114.
245
Los sistemas de claves asimtricas cuentan con dos claves, una para el cifrado,
que es pblica, y otra oculta (privada), para el descrifrado, que debe ser
mantenida en secreto. Utilizan similares algoritmos de encriptacin que el
sistema de claves simtricas, por lo tanto, la calidad (resistencia) de la clave
privada se basa en la longitud de la misma.
Los sistemas de clave asimtica son, en general, ms rpidos para cifrar que los
de clave pblica, por lo tanto, en muchos casos se recurre a un sistema de clave
246
247
Autoridades Certificantes
El sistema de clave pblica necesita de una entidad que asuma la calidad de
Autoridad Certificante de las claves utilizadas, responsable de certificar la
correspondencia entre una clave pblica y la persona fsica o jurdica, titular de
la misma. Para ello emiten
248
Objetivos:
-Normar la equiparacin de la firma digital a la firma ologrfica para permitir la
digitalizacin y despapelizacin de los circuitos administrativos del Estado.
-Crear condiciones para el uso confiable del documento digital suscripto digitalmente en
el mbito del Sector Pblico.
-Reducir el riesgo de fraude en la utilizacin de documentos digitales al suscribirlos
digitalmente.
Vistos:
-La opinabilidad frente a terceros de un documento digital, el que requiere simult
neamente de la identificacin de autor y la garanta de integridad de su contenido.
-La necesidad de otorgar a los usuarios de documentos digitales garantas legales
similares a las que brinda la firma ologrfica sobre el soporte papel.
Se resuelve:
Elegir a la criptografa asimtrica como medio para instrumentar la firma digital por las
siguientes razones:
-Permite identificar en forma inequvoca el autor y verificar indubitablemente que el
mensaje no ha sido alterado desde el momento de su firma (mantiene la integridad del
documento).
-El mecanismo de clave pblica es el nico que no requiere la divulgacin de la clave
privada (secreta) utilizada por el firmante para suscribir o comprobar la firma digital de un
documento.
-El mecanismo de clave pblica no es una tecnologa, sino una familia de mtodos
matemticos (algoritmos), que admiten distintas implementaciones (tanto de hardware
como de software) y no est relacionado con ningn pas ni proveedor en particular.
NOTA: El 14/11/2001 se aprob la Ley 25.506 de Firma Digital, cuyo Decreto
Reglamentario es el 2698/2002 (del 20/12/2002). Esta ley da sustento legal al
sistema de Firma Digital en Argentina tanto para el sector pblico como para el
mbito del derecho privado.
249
La autenticacin puede ser tan simple como una contrasea (password) o tan
compleja como un examen de retina o de ADN. Las seales de autenticacin
pueden ser algo que Ud. sabe, algo que Ud. tiene o algo que Ud. es:
a) Algo que Ud. sabe es informacin que debe ingresar en el sistema para el
propsito de la autenticacin. El ejemplo ms comn es una contrasea o
frase de paso (password), utilizada usualmente en forma conjunta con un
ID (Login) o nombre de usuario. En este caso, el nivel de seguridad depende
de la facilidad con que otra persona podra saber, descubrir o adivinar la
informacin referida a la clave y nombre del usuario.
b) Algo que Ud. tiene es un dispositivo que lleva con Ud. y que lo identifica en el
sistema. Los dispositivos de seguridad vienen en muchas formas, desde
tarjetas plsticas con banda magntica, como una tarjeta de crdito, que se
desliza a travs de un lector de banda magntica u ptico conectado a la
250
c) Algo que Ud. es se conoce tambin como biomtra. Las huellas digitales,
la geometra de la palma de la mano y el examen del iris son ejemplos. La
biometra ofrece altos niveles de seguridad para la autenticacin de usuarios.
En ambientes abiertos, no seguros, como Internet, la biometra sufre de las
mismas amenazas que las contraseas, ya que es posible interceptar la
transmisin digital de una huella dactilar y reenviarla a un servicio para
hacerse pasar por el usuario.
La biometra opera por comparacin de una lectura actual con una lectura
previa, Debido a que las lecturas nunca son perfectas, el sistema debe juzgar si
stas son suficientemente similares como para constituir una verificacin de la
identidad aseverada. Un sistema basado en lecturas biomtricas es efectivo
aplicado a poblaciones pequeas, pero en poblaciones grandes no lo es, dada
las posibilidades de similitud de caractersticas biomtricas de dos individuos
en una gran poblacin, influido, adems, por el grado de tolerancia del sistema
respecto a las diferencias atribuibles al mecanismo de lectura de las
caractersticas biomtricas medibles.
Seleccin de claves
A la hora de elegir una clave (tanto para password de acceso como para
cifrado de informacin) debe evitarse utilizar claves sencillas de descubrir y que
pueden hacer intil el sistema de cifrado ms avanzado. Es necesario llegar a un
compromiso entre la facilidad para recordarla y la dificultad de que alguien pueda
descubrirla. Una clave fcil de recordar para un usuario, puede ser tambin fcil
de descubrir por un posible agresor del sistema, en especial si conoce o dispone
de informacin personal del usuario. En el lado opuesto, una clave rebuscada
-difcil de recordar- ser tambin difcil que alguien pueda descubrirla, pero
podra conducir a que el usuario la escriba para recordarla en un lugar que pueda
ser accedido por terceros (agenda, bloc de notas, etc.).
Un buen mtodo para elegir claves es utilizar palabras sin sentido compuestas
por las iniciales de una frase fcil de recordar, del nombre de varios hijos,
sobrinos, etc., mezclando maysculas y minsculas.
75
252
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 25 y 26.
253
8. REGISTROS DE AUDITORA
ATENCION !!!
En la Estacin de Trabajo A17
se han registrado 15 intentos
de identificacin y autenticacin errneos
Este mensaje indica presuncin de intentos de acceso ilegal al sistema.
254
255
electrnico
de
datos
comerciales,
informacin
Amenazas
La determinacin de los requerimientos de seguridad se basa en el
reconocimiento de las amenazas. Cuatro amenazas fundamentales surgen
directamente de los objetivos citados: 1) fuga de informacin o intercepcin, 2)
modificacin o violacin de integridad, 3) interrupcin o negacin del servicio o
4) uso ilegtimo.
Seguridad en Internet
76
256
El segundo nivel, que forma una red perifrica de menor nivel de seguridad
respecto de la anterior, puede incluir aplicaciones que generen trfico con
destino exterior o de dos sentidos. Estas incluyen servidores Web, servidores
FTP y probablemente un servidor de correo Internet. Finalmente, se tiene el
firewall, conectado mediante un router, al proveedor de servicio Internet.
Firewalls
La necesaria apertura de los organismos va Internet trae aparejada una serie
de desafos en cuanto a prevenir posibles ataques externos a la informacin
contenida en un sitio Web.
257
Esto nos obligar a establecer reglas precisas en cuanto a recursos a los cuales
se pueda acceder de la red interna de la organizacin, por lo que habr que
identificar (o autenticar) a los usuarios autorizados, controlar tanto las
conexiones entrantes como saliente y registrar las actividades, no slo con
propsitos estadsticos sino tambin para realizar auditoras y generar alarmas.
258
Polticas de seguridad
El firewall es slo una pieza de toda la estructura de polticas de seguridad,
importante pero no la nica. Otras cuestiones de gran importancia son la
autenticacin, la integridad de los datos y la privacidad que se consiguen por
medio de herramientas como ser las claves, encriptado y firma digital.
Un firewall se deber configura de acuerdo con una poltica implcita por omisin
ms una serie de acciones restrictivas preestablecidas que tomar en respuesta
a determinadas clases de requisitos y/o mensajes. Existen dos polticas
extremas y opuestas entre s:
con
las
consiguientes
dificultades
de
mantenimiento
implementacin.
259
Tipos de ataque
Si bien la figura del hacker viene rodeada de un halo de misterio y
omnipotencia, la inmensa mayora de ellos simplemente utiliza herramientas y
utilitarios que pueden obtenerse de la Web, slo un 5% escribe sus propios
programas.
Los pasos que habitualmente sigue un hacker cuando quiere acceder a un sitio
protegido son:
-
260
UNIDAD 4
Aspectos
generales
261
262
CAPITULO 6
Marco de las Auditoras Informticas
1. INTRODUCCION
263
Tendencias
El siguiente es un extracto77 relacionado al impacto de las nuevas tecnologas de
informacin sobre las tareas de auditora:
La auditora forma parte de la sociedad orientada a la informacin.
La disponiblidad y confiabilidad de los datos es lo que realmente importa, la informacin
debe satisfacer las necesidades de los usuarios generales.
La automatizacin reduce el tiempo disponible para realizar las tareas de auditora.
Debe reducirse el retraso en el acceso a la informacin (trabajar en tiempo real, auditar
en la gnesis de la transaccin). La computacin en redes permite al auditor viajar al
sistema bajo anlisis.
La auditora debe trascender las fronteras
La globalizacin de la economa hace que el flujo de datos trascienda las fronteras de los
pases (Internet, comercio electrnico, etc.); es necesario entonces dominar las
regulaciones y leyes de distintos pases y regiones.
Los auditores deben operar a nivel de la lnea en las organizaciones en que actan.
El nuevo escenario ha disminudo el grado de independencia de la labor del auditor (se
va moviendo del nivel de staff hacia la lnea). En consecuencia debe mejorar la
productividad de su trabajo, incluir en sus informes anlisis de riesgo, de costo-beneficio
de las propuestas y sus metodologas de trabajo deben adaptarse a las modalidades
operativas de los usuarios.
Los auditores deben reexaminar su labor dentro de las organizaciones.
Los procedimientos y tcnicas de la auditora tradicional no son ya suficientes: es
necesario encarar el diseo de controles preventivos desde la gnesis misma de los
sistemas administrativos, en lugar de actuar luego sobre hechos consumados. Por ello,
se recomienda que los auditores participen de los proyectos de sistemas desde su
generacin; la auditora post implementacin ya no es efectiva. Deben ocuparse de
disear los controles a incluir en las aplicaciones cuando stas se construyen.
La modalidad de los informes de audiitora tradicionales estn siendo cuestionadas.
Los reportes tradicionales son ahora tardos, carecen de oportunidad. Deben
implementarse reportes on-line que permitan corregir desviaciones en forma rpida. Los
informes deben cambiar el estilo defensivo por contribuciones positivas. Se debe
abandonar la prctica de numerosos y detallados informes en favor de documentos
concisos, precisos, que sirvan a los responsables de implementar las correcciones.
Los auditores estn sumergidos dentro de la informacin.
El auditor ya no necesita salir a buscar la informacin, sino que se encuentra tapado
por avalanchas de datos; debe saber seleccionar qu datos analizar.
77
264
2. MARCO LEGAL
Tambin la Constitucin de la Provincia de Crdoba lo contempla: "art. 50.Toda persona tiene derecho a conocer lo que de ella conste en forma de
registro, la finalidad a la que se destine esa informacin, y a exigir su
rectificacin y actualizacin. Dichos datos no pueden registrarse con propsitos
discriminatorios de ninguna clase, ni ser proporcionados a terceros, excepto
cuando tengan un inters legtimo. La ley reglamenta el uso de la informtica
para que no se vulneren el honor, la intimidad personal y familiar y el pleno
ejercicio de los derechos".
265
266
Slo se podrn archivar, registrar o ceder los datos personales que sean
significativos para evaluar la solvencia econmico-financiera de los
267
afectados durante los ltimos cinco aos. Dicho plazo se reducir a dos
aos cuando el deudor cancele o de otro modo extinga la obligacin,
debindose hace constar dicho hecho.
268
Hardware
Productos de Software
269
Servicios informticos
responsabilidad
total
para
implementar
un
nuevo
sistema:
diseo,
270
La Sarbox requiere que las empresas que cotizan en bolsa mejoren sus
prcticas de contabilidad, utilizando procedimientos documentados, as como
una ms rpida generacin de informes financieros.
271
272
Obligacin de certificacin por parte del CEO / CFO del Informe Anual,
especificando que se ha revelado a la Comisin de Auditora y Control de la
empresa y al Auditor Externo cualquier fraude y deficiencia significativa
detectada que pudiera afectar negativamente a la capacidad de la compaa
para registrar, procesar y comunicar datos financieros
La SEC establece que cada una de las sociedades cotizantes debe definir un
modelo de control y sugiere el modelo COSO. Pero admite otros tipos de
modelos como puede ser el Cadbury o el Coco Report. De todas maneras, lo
primero que dice es que la empresa debe medir contra un modelo de control
reconocido.
Junta de Supervisin
79
273
La Ley dispone que habr inspecciones anuales, para las firmas de auditora
que emitan hasta cien informes de auditora al ao y con frecuencia no mayor a
tres aos para las restantes.
274
3. UN NUEVO MODELO
FACTORES
Centrado en el
clculo
Centrado en los
datos
Centrado en la
conectividad
Infraestructura
informtica
Modo de
procesamiento
Mainframe
-Minicomputadores
-LAN
Distribuido
-Procesamiento por
tiempo compartido
COBOL, xBASE, SQL
(4GL)
decision support
(apoyado en DBMS)
Cluster de servidores
WAN . Internet
Cluster de servidores
-Procesamiento
cooperativo
SQL, Java
4GL
web-enabled
(accesibles desde
Internet)
A nivel de staff
Lenguaje de
programacin
Tipo de
aplicaciones
Management del
rea de Sistemas
Conocimiento de
los usuarios
Centralizado
-Procesamiento
diferido (batch)
COBOL, Basic
(3GL)
legacy system
(contabilidad, sueldos,
facturacin)
Dependiente de
Finanzas
Usuarios pasivos
Departamento
independiente
Conocimientos de
automatizacin de
oficina
Usuarios calificados
AUDITORIAS
Auditora de
Sistemas de
Informacin
Alrededor del
computador
(verificar exactitud)
Auditora
Informtica
-del Centro de
Procesamiento de
Datos
A la red
(verificar procedencia y
pertinencia de los
procesos y datos)
-a las redes
-a la seguridad
informtica
275
el
276
tienden
crecer
geomtricamente,
las
necesidades
de
Comercio electrnico
El comercio electrnico iniciado en los '80 y regulado por las normas EDI
(Electronic Data Interchange), permit transacciones entre computadoras sin la
necesidad de la presencia fsica de las partes intervinientes, el vnculo lo
establecan las redes de comunicacin de datos. Estas redes inicialmente
fueron restringidas a unas pocas empresas, es decir vinculaban a entidades
especficas pertenecientes a una rama particular de la industria (por ejemplo, la
automotriz) y fueron las precursoras del comercio electrnico. Antecedentes
similares son las operaciones de transferencia electrnica de fondos o EFT
(Electronic Found Translation) en el ambiente bancario; diseadas para realizar
transacciones financieras por medio de las computadoras, vinculan los bancos
con las redes de cajeros automticos.
Las transacciones electrnicas existen desde hace varios lustros, Internet slo
ha venido a potenciar el fenomeno, permitiendo el acceso masivo de empresas
y particulares a estos mercados, multiplicando las alternativas y nmero
potencial de operaciones.
fsica (papel) que avale las transacciones nos deja pocas alternativas para
obtener elementos probatorios de las operaciones.
278
4. PROPUESTAS
Planes de capacitacin
279
5. EL AUDITOR DE SISTEMAS
280
281
282
CUESTIONARIO DE REVISION
283
284
BIBLIOGRAFA
COOPER & LYBRAND, Los nuevos conceptos del control interno (Informe
COSO), Editorial Daz de Santos, Madrid, 1997.
CENTRO
DE
ESTUDIOS
CIENTIFICOS
CENTRO
DE
ESTUDIOS
CIENTIFICOS
285
LARDENT, Alberto. Sistemas de informacin para la gestin empresaria Procedimientos, seguridad y auditora. Bs.As. - Prentice Hall. 2001
286