Indice
1.
Introducción
2. Conceptos
Básicos
3. Herramientas de
control
4. Formularios de
control
5. Conclusiones y
recomendaciones
6. Bibliografía
En un mundo que depende cada día mas de los
servicios
proporcionados por las computadoras,
es vital definir procedimientos en
caso de una posible falla o siniestro. Cuando ocurra una
contingencia, es esencial que se conozca el detalle, el motivo
que la origino y el daño causado, lo que permitirá
recuperar en el menor tiempo posible el
proceso
perdido. También se debe analizar el impacto futuro en el
organización y prevenir cualquier
implicación negativa.
En todas las actividades relacionadas con las ciencias de la
computación, existe un riesgo aceptable,
y es necesario analizar y entender estos factores para establecer
los procedimientos
que permitirán analizarlos al máximo y en caso que
ocurran, poder reparar
el daño y reanudar la operación lo mas
rápidamente posible.
En una situación ideal, se deberían elaborar planes
para manejar cualquier contingencia que se presente.
Evidentemente, ante todo debe existir en la empresa una
política
abierta y decidida en materia de
seguridad,
impulsada por la propia dirección. En este afán es que se
trata de evaluar estas situaciones mediante la aplicación
de los formularios de
controles generales.
Auditoria informática
Conceptualmente la auditoria, toda y cualquier auditoria, es la
actividad consistente en la emisión de una opinión
profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad
que pretende reflejar y/o cumple las condiciones que le han sido
prescritas.
En un ambiente donde
la informática esta encabezando el trabajo en
las diferentes oficinas e instituciones,
el almacenamiento,
ejecución y procesamiento de los datos se esta
haciendo vía computadoras,
por lo tanto en el trabajo de
la auditoria también es algo indispensable. Aunque en el
ambiente de la
informática la computadora
es el medio principal para auditar pero no hay que olvidar que es
a la persona junto a
la información la cual estamos auditando y no
la computadora en
si, no se cambio el
espirito de la auditoria tradicional, solamente se cambio el
método.
El seleccionar la metodología de trabajo implica estudiar
varias para así determinar cuál es la más
adecuada.
Clases de auditoria y procedimientos
El Objeto y la Finalidad distinguen el tipo o clase de auditoria
de que se trata. El objeto sometido a estudio, sea cual sea su
soporte, por una parte, y la finalidad con que se realiza el
estudio, definen el tipo de auditoria de que se trata.
La opinión profesional, elemento esencial de la auditoria,
se fundamenta y justifica por medio de unos procedimientos
específicos tendentes a proporcionar una seguridad
razonable de lo que se afirma.
Como es natural, cada una de las clases o tipos de auditoria
posee sus propios procedimientos para alcanzar el fin previsto
aun cuando en muchos casos puedan coincidir. El alcance de la
auditoria, concepto de vital
importancia, nos viene dado por los procedimientos. La amplitud y
profundidad de los procedimientos que se apliquen nos definen su
alcance.
Se pretende garantizar que se toman en consideración todos
los aspectos, áreas, elementos, operaciones,
circunstancias etc. que sean significativas.
Para ello se establecen unas Normas y
Procedimientos que en cuanto a la ejecución de la
auditoria se resumen en que:
- El trabajo se planificará apropiadamente y
se supervisará adecuadamente. - Se estudiará y evaluará el sistema de
control
interno. - Se obtendrá evidencia suficiente y
adecuada
Para concluir se establece que la evidencia obtenida
deberá recogerse en los papeles de trabajo del auditor
como justificación y soporte del trabajo efectuado y la
opinión expresada.
3. Herramientas
de control
Definición. Características
En la tecnología de la seguridad
informática que se ve envuelta en los controles,
existe tecnología de
hardware (como
los cifradores) y de software. Las herramientas
de control son
elementos software que por sus
características funcionales permiten
vertebrar un control de una
manera mas actual y mas automatizada. Pero a no olvidar que la
herramienta de control en si misma no es nada.
Las áreas de control mas comunes son:
- De organización
- De operación
- De Seguridad lógica del sistema
- De Seguridad física del
sistema - De planes de contingencia
- De cambios a programas y/o
sistemas
4. Formularios de
control
Formularios mas utilizados
Una de las herramientas mas utilizadas por los auditores son los
formularios, que sirven como guía para indagar acerca del
desempeño de las áreas a ser
analizadas. Estos formularios se hacen de tal manera a cubrir la
mayor parte de las situaciones que deban ser verificadas a fin de
tener un completo panorama del status actual del departamento
auditado.
Estos formularios abarcan las áreas como ser:
- Gerencia Informática
- Operación
Para la Gerencia
informática se establecen a su vez otras áreas como
ser:
- Organización
- Planes de contingencia
- Cambios a programas y/o
sistemas
Para el área Operativa se establecen a su vez
otras áreas como ser:
- Operación
- Seguridad física
- Seguridad lógica
Referencia:
Cliente:
Fecha:
Título: Formulario de controles
generales*
I- Controles de Organización | SI | NO | N. A. | Referencia |
1- Existen normas y | ||||
2- El CPD esta separado del resto de los | ||||
3- Es adecuada la segregación de funciones | ||||
4- Existe organigrama del funcionamiento del | ||||
5- Se describen con detalles las funciones y | ||||
6- Es posible que los operadores accedan a | ||||
7- Se rotan la asignaciones de trabajo de los | ||||
8- Existe personal | ||||
9- Se aprueba por personal autorizado las | ||||
10- Existen procedimientos adecuados para mantener | ||||
11- Tienen manuales | ||||
12- Se aprueban los programas nuevos? | ||||
13- Se revisan antes de ponerlos en |
Referencia:
Cliente:
Fecha:
Título: Formulario de controles
generales*
I- Controles de Operación | SI | NO | N. A. | Referencia |
1- Existen procedimientos normales para la | ||||
2- Están actualizados los | ||||
3- Existen ordenes de proceso | ||||
4- Existe un control que asegure la | ||||
5- Como programan los operadores los trabajos | ||||
6- Los retrasos o incumplimiento con el programa de | ||||
7- Existen procedimientos escritos para la | ||||
8- Existen instrucciones especificas para cada | ||||
9- Puede el operador modificar los datos de | ||||
10- Se prohibe a analistas o programadores la | ||||
11- Se prohibe al operador modificar información de archivos o | ||||
12- El operador realiza mantenimiento diario en dispositivos que |
Referencia:
Cliente:
Fecha:
Título: Formulario de controles generales
I- Controles de Operación | SI | NO | N. A. | Referencia |
13- Se tiene un control adecuado sobre los | ||||
14- Existen procedimientos para evitar la corrida | ||||
15- Se controla estrictamente el acceso a la | ||||
16- Existen procedimientos formales que se deban | ||||
17- Estos procedimientos incluyen a las corridas | ||||
18- Se tiene inventario actualizado de los equipos y | ||||
Esta sección fue dejada en blanco en forma
|
Referencia:
Cliente:
Fecha:
Título: Formulario de controles
generales*
I- Controles de Seguridad Física | SI | NO | N. A. | Referencia |
1- Existe vigilancia a la entrada del | ||||
2- Se ha instruido a estas personas en caso de que | ||||
3- El edificio donde se encuentra el CPD esta a | ||||
4- El CPD tiene salida directa al | ||||
5- Son controladas las visitas en el | ||||
6- Existen alarmas detectoras de incendios? | ||||
7- Estas alarmas son perfectamente | ||||
8- Existen extintores de fuego? | ||||
9- El personal ha sido adiestrado en su | ||||
10- Se verifica periódicamente el | ||||
11- Los interruptores de energía | ||||
12- Sabe que hacer el personal en caso de | ||||
13- Existe salida de emergencia? | ||||
14- Se prohibe fumar, comer y beber en el | ||||
15- Existen carteles indicativos? | ||||
16- El personal esta adiestrado para casos de |
Referencia:
Cliente:
Fecha:
Título: Formulario de controles generales
I- Controles de Seguridad Lógica | SI | NO | N. A. | Referencia |
1- Se cuenta con copias de los archivos en | ||||
2- Se tienen procedimientos de | ||||
3- Existe Departamento de Auditoria | ||||
4- Se auditan los sistemas en | ||||
5- Si se tienen terminales conectadas, se han | ||||
6- Se ha establecido que información puede | ||||
7- Se ha establecido un numero máximo de | ||||
8- Se registra cada violación a los | ||||
9- Se exige a los usuarios que cambien sus | ||||
10- Estas contraseñas son de longitud | ||||
11- El sistema restringe a los usuarios cuyas | ||||
12- Se tienen identificados los archivos con |
Referencia:
Cliente:
Fecha:
Título: Formulario de controles
generales*
I- Controles de Planes de Contingencia | SI | NO | N. A. | Referencia |
1- Existen procedimientos de restauración y | ||||
2- Los operadores cuentan con documentación | ||||
3- Existen planes de contingencia en casos de | ||||
4- Se cuenta con personal alternativo en caso de | ||||
5- Se cuenta con fuentes | ||||
6- Los teléfonos de emergencia | ||||
7- Se cuenta con los teléfonos de los | ||||
8- Se cuenta con los teléfonos de los | ||||
9- El personal esta entrenado para los casos de | ||||
10- El personal sabe a quien recurrir en caso de | ||||
11- El plan de | ||||
12- Tiene revisión |
Referencia:
Cliente:
Fecha:
Título: Formulario de controles generales
I- Controles de Cambios de | SI | NO | N. A. | Referencia |
1- La solicitud de modificaciones a los programas | ||||
2- Una vez efectuadas las modificaciones se | ||||
3- Existe control estricto en las | ||||
4- Las correcciones están debidamente | ||||
5- Las correcciones están debidamente | ||||
6- Las correcciones están debidamente | ||||
7- Cuando se efectúan modificaciones a los
| ||||
8- Se revisa que tengan la fecha de las | ||||
Esta sección fue dejada en blanco en forma |
5. Conclusiones y
recomendaciones
Evidentemente el control de las actividades relacionadas
al Area de Informática afecta sobremanera la forma de en
como estas serán realizadas. Permitirá una mejor
utilización y desempeño de programas, sistemas y
demás recursos, con
mejores prestaciones
en cuanto a fiabilidad, seguridad, conceptos tan importantes hoy
en día.
Sin duda los formularios que utilice el auditor serán de
suma utilidad y ayuda
en la tarea. Le permitirá un mejor control de las
áreas a ser verificadas y podrá enfocar mejor los
objetivos de
la auditoria y su alcance.
– PIATTINI, Mario G y Del PESO, Emilio. Auditoria
Informática. Un enfoque practico. RA-MA, Madrid.
1998
Trabajo preparado por:
Magno Ayala
Analista de Sistemas. 2001