Carlos Ledesma

*
AUDITORIA FSICA
AUDITORIA DE LA OFIMTICA
AUDITORIA DE LA DIRECCIN
AUDITORIA DE LA EXPLOTACIN
AUDITORIA DEL DESARROLLO
LA SEGURIDAD FISICA
Garantiza la integridad de los activos humanos, lgicos y material de un
CPD.
No estn claras los lmites , dominios y responsabilidades de los tres tipos
de seguridad que a los usuarios les interesa: seguridad lgica, seguridad
fsica y seguridad de las comunicaciones
Se deben tener medidas para atender los riesgos de fallos, local o general.
Medidas
Antes
Obtener y mantener un nivel adecuado de seguridad fsica sobre los
activos
Durante
Ejecutar un plan de contingencia adecuado
Despus
Los contratos de seguros pueden compensar en mayor o menor medida
las prdidas, gastos o responsabilidades que se puedan derivar una vez
detectado y corregido el Fallo.

Antes
El nivel adecuado de seguridad fsica , o grado de
seguridad, es un conjunto de acciones utilizadas para evitar
el fallo, o aminorar las consecuencias.
Es un concepto general , no solo informtico, en las que las
personas hagan uso particular o profesional de los entornos
fsicos.

Ubicacin del edificio
Ubicacin del CPD
Compartimentacin
Elementos de construccin
Potencia elctrica
Sistemas contra incendios
Control de accesos
Seleccin del personal
Seguridad de los medios
Medidas de proteccin
Duplicacin de los medios

Durante
Desastre: es cualquier evento , que cuando ocurre, tiene la capacidad
de interrumpir e normal proceso de una empresa.
Se debe contar con los medios para afrontarlo cuando ste ocurra.
Los medios quedan definidos en el Plan de recuperacin de desastres,
junto con el centro alternativo de proceso de datos, constituyen el Plan
de Contingencia.
Plan de contingencia inexcusablemente debe:
Realizar un anlisis de riesgos de sistemas crticos
Establecer un perodo crtico de recuperacin
Realizar un anlisis de las aplicaciones crticas estableciendo
prioridades de proceso.
Establecer prioridades de procesos por das del ao de las
aplicaciones y orden de los procesos
Establecer objetivos de recuperacin que determinen el perodo de
tiempo (horas, dias , semanas) entre la declaracin del desastre y el
momento en que el centro alternativo puede procesar las
aplicaciones crticas.

Durante
*Designar , entre los distintos tipos existentes, un centro
alternativo de proceso de datos.
*Asegurar la capacidad de las comunicaciones
*Asegurar la capacidad de los servicios de Back-up
Despus
*De la gama de seguros pueden darse:
*Centro de proceso y equipamiento
*Reconstruccin de medios de software
*Gastos extra ( continuidad de las operaciones y permite
compensar la ejecucin del plan de contingencia)
*Interrupcin del negocio ( cubre prdidas de beneficios
netos causados por la caida de sistemas)
*Documentos y registros valiosos
Despus
*Errores y omisiones
*Cobertura de fidelidad
*Transporte de medios
*Contratos con proveedores y de mantenimiento
Edificio :
Debe encargarse a peritos especializados
Las reas en que el auditor chequea directamente :
Organigrama de la empresa
Dependencias orgnicas, funcionales y jerraquicas.
Separacin de funciones y rotacin del personal
Da la primera y ms amplia visin del Centro de Proceso
Auditora Interna
Personal, planes de auditoria, historia de auditorias fsicas
Administracin de la seguridad
Director o responsable de la seguridad integral
Responsable de la seguridad informtica
Administradores de redes
Administradores de Base de datos
Responsables de la seguridad activa y pasiva del entorno fsico
Normas, procedimientos y planes existentes

Centro de proceso de datos e instalaciones
* Entorno en donde se encuentra el CPD
* Sala de Host
* Sala de operadores
* Sala de impresoras
* Cmara acorazada
* Oficinas
* Almacenes
* Instalaciones elctricas
* Aire acondicionado

Equipos y comunicaciones
* Host, terminales, computadores personales, equipos de almacenamiento masivo de
datos, impresoras, medios y sistemas de telecomunicaciones.

Seguridad fsica del personal
* Accesos seguros
* Salidas seguras
* Medios y rutas de evacuacin, extincin de incendios, sistemas de bloqueos de
puertas y ventanas
* Normas y polticas emitidas y distribuidas al personal referente al uso de las
instalaciones por el personal


Debieran estar accesibles:
*Polticas , normas y planes de seguridad
*Auditoras anteriores, generales o parciales
*Contratos de seguros, de proveedores y de
mantenimiento
*Actas e informes de tcnicos y consultores
*Informes de accesos y visitas
*Informes sobre pruebas de evacuacin
*Polticas del personal
*Inventarios de soportes ( cintoteca , back-up,
procedimientos de archivos, controles de salida y
recuperacin de soporte, control de copias, etc.)
*
Tcnicas:
* Observacin de las instalaciones, sistemas, cumplimiento de normas y
procedimientos, etc. ( tanto de espectador como actor)
* Revisin analtica de:
* Documentacin sobre construccin y preinstalaciones
* Documentacin sobre seguridad fsica
* Polticas y normas de actividad de sala
* Normas y procedimientos sobre seguridad fsica de los datos
* Contratos de seguros y de mantenimiento
* Entrevistas con directivos y personal fijo o temporal ( no es interrogatorio)
* Consultas a tcnicos y peritos que formen parte de la plantilla o independientes
Herramientas:
* Cuaderno de campo/ grabadora de audio
* Mquina fotogrfica / cmara de video
* Su uso debe ser discreto y con autorizacin

Considerando la metodologa de ISACA (Information Systems
Audit and Control Association)
*Fase 1 Alcance de la Auditora
*Fase 2 Adquisicin de Informacin general
*Fase 3 Administracin y Planificacin
*Fase 4 Plan de auditora
*Fase 5 Resultados de las Pruebas
*Fase 6 Conclusiones y Comentarios
*Fase 7 Borrador del Informe
*Fase 8 Discusin con los Responsables de Area
*Fase 9 Informe Final
*Informe anexo al informe carpeta de evidencias
*Fase 10 Seguimiento de las modificaciones acordadas
Sistema informatizado que genera, procesa, almacena , recupera, comunica
y presenta datos relacionados con el funcionamiento de la oficina [Schill]
Ejemplos:
aplicaciones especficas ara la gestin de tareas como Hojas de clculo
o Procesadores de texto,
Herramientas para la gestin de documentos, como control de
expedientes o sistemas de almacenamiento ptico de informacin,
Agendas y bases de datos personales;
Sistemas de trabajo en grupo como el correo electrnico o el control de
flujo de trabajo;
La evolucin ha sido tal que hoy en da , parece incuestionable que los
productos desarrollados en plataformas microinformaticas ofrecen
prestaciones y una relacin costo/beneficio muy superiores a las
soluciones sobre computadores centralizados.
Este desarrollo de sistemas ofimticos ha mantenido dos paradigmas
fundamentales:
El escritorio virtual
El trabajo cooperativo (CSCW, computed Supported Cooperative Work)

Escritorio Virtual:
Un nico panel representado por la pantalla del computador, que sustituya la mesa
de trabajo tradicional, y donde se encuentren disponibles todas las herramientas
necesarias para desarrollar las actividades del oficinista. La interfaz debe parecer
natural al usuario y debe ser fcil de aprender y utilizar.
El Trabajo Cooperativo:
Puede considerarse como una extensin del concepto de integracin de
aplicaciones. Segn Kraemer es como una multiplicidad de actividades coordinadas,
desarrolladas por un conjunto de participantes y soportadas por un sistema
informtico. Lo anterior implica permitir intercambiar la informacin necesaria en los
diversos procesos de la organizacin y/o con otras organizaciones.
Controles de auditora
Existen dos caractersticas peculiares de los entornos ofimticos:
La distribucin de las aplicaciones por los diferentes departamentos de la
organizacin en lugar de encontrarse en una nica ubicacin centralizada; y
El traslado de la responsabilidad sobre ciertos controles de los sistemas de
informacin a usuarios finales no dedicados profesionalmente a la informtica, que
pueden no comprender de un modo adecuado la importancia de los mismos y la
forma de realizarlos

*Adquisicin poco planificada
*Desarrollos ineficaces e ineficientes
*Falta de conciencia de los usuarios acerca de la seguridad de la
informacin
*Utilizacin de copias ilegales de aplicaciones
*Procedimientos de copias de seguridad deficientes
*Escasa formacin del personal
*Ausencia de documentacin suficiente
Los controles
Se presentan agrupados siguiendo criterios relacionados con aspectos de
economa, eficacia y eficiencia; seguridad y condicionantes legales, son los
suficientemente generales para servir de base en la elaboracin del guion de
trabajo de la labor del equipo auditor

Determinar si el inventario ofimtico refleja con
exactitud los equipos y aplicaciones existentes en la
organizacin:
Mecanismos para garantizar que los equipos adquiridos son
inventariados.
Realizar conciliacin
Identificacin de diferencias
Determinar y evaluar el procedimiento de
adquisiciones de equipos y aplicaciones
Polticas
Revisin cumplimiento de polticas
Consideracin de otros mecanismos que optimicen el
proceso actual de adquisicin
Determinar y evaluar la poltica de mantenimiento definida en la
organizacin:
Revisin de contratos y si incluyen a todo el inventario
Garantas
Registro de incidencias producidas
Tiempo de atencin de las incidencias y mecanismos
Evaluar la calidad de las aplicaciones del entorno ofimtico desarrollada
por personal de la propia organizacin:
Responsables del desarrollo
Metodologas y test de pruebas
Ambiente de desarrollo vs ambiente explotacin
Reporte de incidencias y seguimiento
Evaluar la correccin del procedimiento existente para la realizacin de los
cambios de versiones y aplicaciones:
Procedimientos y mecanismos formales para la autorizacin,
aprobacin, adquisicin de nuevas aplicaciones y cambios de versiones
Comprobacin del cumplimiento sobre lo instalado en usuarios

Compatibilidad e integracin en el entorno operativo
Determinar si los usuarios cuentan con suficiente formacin y la documentacin
de apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente :
Plan de formacin y/o capacitacin
Utilizacin real de las ltimas versiones en los usuarios
Determinar si el sistema existente se ajusta a las necesidades reales de la
organizacin:
Obsolescencia de equipos
Uso de equipos y labores sobre stos
Deteccin de nuevas necesidades


Determinar si existen garantas para proteger los acceso no autorizados a la
informacin reservada de la empresa y la integridad de la misma
Determinar si el procedimiento de generacin de las copias de respaldo es fiable y
garantiza la recuperacin de la informacin en caso de necesidad
Determinar si est garantizado el funcionamiento ininterrumpido de aquellas
aplicaciones cuya cada podra suponer prdidas de integridad de la informacin y
aplicaciones
Determinar el grado de exposicin ante la posibilidad de intrusin de virus
Determinar si en el entorno ofimtico se producen situaciones que puedan suponer
infracciones a lo dispuesto por ley de proteccin de datos de carcter personal
Determinar si en el entorno ofimtico se producen situaciones que puedan suponer
infracciones a los dispuesto por la ley sobre propiedad intelectual.
Auditora Informtica de Explotacin:
La Explotacin Informtica se ocupa de producir resultados informticos de todo
tipo: listados impresos, ficheros soportados magnticamente para otros
informticos, ordenes automatizadas para lanzar o modificar procesos industriales,
etc.
Para realizar la Explotacin Informtica se dispone de una materia prima, los Datos,
que es necesario transformar, y que se someten previamente a controles de
integridad y calidad
Auditar Explotacin consiste en auditar las secciones que la componen y sus
interrelaciones. La Explotacin Informtica se divide en tres grandes reas:
Planificacin, Produccin y Soporte Tcnico, en la que cada cual tiene varios
grupos.
Control de Entrada de Datos:
Se analizar la captura de la informacin en soporte compatible con los Sistemas,
el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la
correcta transmisin de datos entre entornos diferentes. Se verificar que los
controles de integridad y calidad de datos se realizan de acuerdo a Norma.

Auditora Informtica de Explotacin:
Planificacin y Recepcin de Aplicaciones:
Se auditarn las normas de entrega de Aplicaciones por parte de Desarrollo,
verificando su cumplimiento y su calidad de interlocutor nico. Debern realizarse
muestreos selectivos de la Documentacin de las Aplicaciones explotadas. Se
inquirir sobre la anticipacin de contactos con Desarrollo para la planificacin a
medio y largo plazo.
Centro de Control y Seguimiento de Trabajos:
Se analizar cmo se prepara, se lanza y se sigue la produccin diaria.
Bsicamente, la explotacin Informtica ejecuta procesos por cadenas o lotes
sucesivos (Batch*), o en tiempo real (Tiempo Real*). Mientras que las Aplicaciones
de Teleproceso estn permanentemente activas y la funcin de Explotacin se
limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una buena parte
de los efectivos de Explotacin. En muchos Centros de Proceso de Datos, ste
rgano recibe el nombre de Centro de Control de Batch. Este grupo determina el
xito de la explotacin, en cuanto que es uno de los factores ms importantes en
el mantenimiento de la produccin.


*Las Aplicaciones que son Batch son Aplicaciones que cargan mucha
informacin durante el da y durante la noche se corre un proceso enorme que
lo que hace es relacionar toda la informacin, calcular cosas y obtener como
salida, por ejemplo, reportes. O sea, recolecta informacin durante el da, pero
todava no procesa nada. Es solamente un tema de "Data Entry" que recolecta
informacin, corre el proceso Batch (por lotes), y calcula todo lo necesario para
arrancar al da siguiente.
*Las Aplicaciones que son Tiempo Real u Online, son las que, luego de haber
ingresado la informacin correspondiente, inmediatamente procesan y
devuelven un resultado. Son Sistemas que tienen que responder en Tiempo
Real.

Operacin. Salas de Ordenadores:
Se intentarn analizar las relaciones personales y la coherencia de
cargos y salarios, as como la equidad en la asignacin de turnos de
trabajo. Se verificar la existencia de un responsable de Sala en cada
turno de trabajo. Se analizar el grado de automatizacin de comandos,
se verificara la existencia y grado de uso de los Manuales de Operacin.
Se analizar no solo la existencia de planes de formacin, sino el
cumplimiento de los mismos y el tiempo transcurrido para cada
Operador desde el ltimo Curso recibido. Se estudiarn los montajes
diarios y por horas de cintas o cartuchos, as como los tiempos
transcurridos entre la peticin de montaje por parte del Sistema hasta el
montaje real. Se verificarn las lneas de papel impresas diarias y por
horas, as como la manipulacin de papel que comportan.
Centro de Control de Red y Centro de Diagnosis:
El Centro de Control de Red suele ubicarse en el rea de produccin de Explotacin.
Sus funciones se refieren exclusivamente al mbito de las Comunicaciones, estando
muy relacionado con la organizacin de Software de Comunicaciones de Tcnicas de
Sistemas. Debe analizarse la fluidez de esa relacin y el grado de coordinacin entre
ambos. Se verificar la existencia de un punto focal nico, desde el cual sean
perceptibles todos las lneas asociadas al Sistema. El Centro de Diagnosis es el ente en
donde se atienden las llamadas de los usuarios-clientes que han sufrido averas o
incidencias, tanto de Software como de Hardware. El Centro de Diagnosis est
especialmente indicado para informticos grandes y con usuarios dispersos en un
amplio territorio. Es uno de los elementos que ms contribuyen a configurar la imagen
de la Informtica de la empresa. Debe ser auditada desde esta perspectiva, desde la
sensibilidad del usuario sobre el servicio que se le dispone. No basta con comprobar la
eficiencia tcnica del Centro, es necesario analizarlo simultneamente en el mbito de
Usuario.

Auditora Informtica de Desarrollo
Revisin del proceso completo de desarrollo de proyectos por parte de la empresa
auditada. El anlisis se basa en cuatro aspectos fundamentales
Revisin de las metodologas utilizadas:
Se analizaran stas,de modo que se asegure la modularidad de las posibles futuras
ampliaciones de la Aplicacin y el fcil mantenimiento de las mismas
Control Interno de las Aplicaciones:
Se debern revisar las mismas fases que presuntamente han debido seguir el rea
correspondiente de Desarrollo:
Estudio de Vialidad de la Aplicacin
Definicin Lgica de la Aplicacin.
Desarrollo Tcnico de la Aplicacin.
Diseo de Programas.
Mtodos de Pruebas.
Documentacin.
Equipo de Programacin

Satisfaccindeusuarios:
Una Aplicacin tcnicamente eficiente y bien desarrollada, deber considerarse
fracasada si no sirve a los intereses del usuario que la solicit .

Control de Procesos y Ejecuciones de Programas Crticos :Se ha de
comprobar la correspondencia biunvoca y exclusiva entre el programa
codificado y su compilacin. Si los programas fuente y los programa
mdulo no coincidieran podra provocar graves y altos costos de
mantenimiento, hasta fraudes, pasando por acciones desabotaje,
espionaje industrial informativo, etc.



Siempre en una organizacin se dice que esta es un reflejo de las caractersticas de su
direccin, los modos y maneras de actuar de aquella estn influenciadas por la filosofa
y personalidad del director.
Acciones de un Director
Planificar. (este acorde al plan estratgico (conocimiento a evaluar acciones a
realizar)).
- Lectura y anlisis de actas, acuerdos, etc.
- Lectura y anlisis de informes gerenciales.
- Entrevistas con el mismo director Del departamento y con los directores de otras
reas.
Organizar.
Controlar.
Coordinar.

Las enormes sumas que las empresas dedican a la tecnologa de la informacin y de la
dependencia de ests con los procesos de la organizacin hacen necesaria una
evaluacin independiente de la funcin que la gestiona (dirige).
AUDITORIA DE DIRECCION