auditoria de sistemas de informacion

Auditoría de Sistemas de Información

Propuesta Metodológica para la Realización de una Auditoría de Redes

Asignatura de Auditoría de Sistemas de Información Darwin Víctor Herrera Sánchez, 06TD103430, [email protected]

13/06/2011

Resumen. En el presente informe se pretende brindar al lector una metodología para la auditoria de redes, la cual está basada en el libro de Lic. Enrique Hernández Hernández, Auditoria en informática. Inicialmente se tratará temas sobre Auditoria de Sistemas de Información y los tipos de Auditoria de Sistemas de Información como parte de teoría introductoria al tema principal: la metodología. Dentro de la metodología que se planea en el presente informe se incluirá los pasos a seguir para cumplir con la misma y un caso para ver cómo se podría implementar a modo de ejemplo. Palabras Claves. Auditoria, Redes Físicas, Metodología, Red Lógica.

TABLA DE CONTENIDO 1. Introducción 2. Fundamento teórico 3. Metodología para la Auditoría de Redes 4. Fases de la Metodología 5. Guías o Modelos de Referencia para la Auditoría de Redes 6. Herramientas y Técnicas para la Auditoría de Redes 7. Estudio de Caso: Policlínico “Agus Gavidia Salcedo” 8. Conclusiones 9. Referencias bibliográficas


2 / 19

1. INTRODUCCIÓN


3 / 19

2. FUNDAMENTO TEÓRICO 2.1. Auditoría de Sistemas de Información

Definición. Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos y/o de redes, así como a sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes. Dicha revisión se realiza de igual manera a la gestión informática, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumo necesarios para el funcionamiento del centro de cómputo. El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna de sus resultados en la institución, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computacionales a la empresa. [1] La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de la auditoría:

Objetivos de protección de activos e integridad de datos.

Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficacia y eficiencia.

Características. - Se necesita conocimientos especializados en Tecnología de la información. - Verifica el cumplimiento de los controles internos, normativa y procedimientos

establecidos por la Dirección de Informática y la Dirección General para los sistemas de información.

- Es el análisis de momento informático determinado. - Informa a la Dirección General de la Organización - Se puede utilizar personal interno o externo. - Tiene cobertura sobre todos los componentes de los sistemas de información de la

organización. [2] Importancia. Es de vital importancia para salvaguardar los activos, procesos y mantener la integridad de los datos mediante una revisión técnica y exhaustiva a los sistemas computacionales, software e información que se utiliza en la empresa.

2.2. Tipos de Auditoría de Sistemas de Información Clasificación según Mario G. Piattini & Emilio del Peso de las principales áreas de la auditoría informática. [2]

2.2.1. La auditoría física Esta auditoría ya sea interna o externa no es más que una auditoria parcial, por lo que no difiere dela auditoría general más que en el alcance de la misma. Tiene como objetivo revisar el edificio, instalaciones, equipamiento y telecomunicaciones, datos, personas. Las técnicas que puede utilizar el auditor son la observación, revisión analítica, entrevistas y consultas a técnicos y peritos. Como herramientas puede utilizar un cuaderno de campo y/o grabadora de video y máquina fotográfica y/o cámara de video.


4 / 19

2.2.2. Auditoría de la ofimática. Abarca la revisión al conjunto de herramientas de TI/SI que generan, procesan, almacenan, recuperan, comunican y presentan los datos relacionados con el funcionamiento de las oficinas. Los controles que se requieren para esta auditoria debe tener las premisas de Economía, eficacia y eficiencia; seguridad y; normal vigente.

2.2.3. Auditoría de la dirección Se refiere a la auditoria de la dirección entendida como gestión. Algunas actividades básicas de todo proceso de dirección son: Planificar, que trata de prever la utilización de las tecnologías de la información en la empresa; Organizar y Coordinas, donde este proceso sirve para estructurar los recursos, los flujos de información y los controles que permitan alcanzar los objetivos marcados durante la planificación y; y Controlar, en donde la tarea de dirigir no podría considerarse completa sin esta faceta que forma parte indisoluble de tal responsabilidad.

2.2.4. Auditoría de la explotación Está dividida básicamente en 5 partes: - Inicio: donde se revisa el contrato o carta de encargo. - Planificación: donde se revisa la planificación estratégica, la planificación

administrativa y la planificación técnica. - Realizar el trabajo: se revisa la actualización del programa de trabajo, las pruebas

de cumplimiento y pruebas sustantivas. - Revisiones e informes: donde se realiza la revisión del trabajo, elaboración de

informes y distribución de informes. - Fin: en el que se archivan los papeles de trabajo.

2.2.5. Auditoría del desarrollo Está orientada al desarrollo de sistemas de información en el sentido tradicional, sin que hayan tenido en cuenta las peculiaridades del desarrollo de otro tipo de software como puedan ser sistemas operativos, software de comunicaciones, software empotrado, etc.

2.2.6. Auditoría del mantenimiento El factor crítico es la mantenibilidad ya que es el factor de calidad que engloba todas aquellas características del software destinadas a hacer que el producto sea más fácilmente mantenible y, en consecuencia, a conseguir una mayor productividad durante la etapa de mantenimiento.

2.2.7. Auditoría de base de datos La importancia de esta auditoria radica en que es el punto de partida para poder realizarla auditoria de las aplicaciones que utilizan esta tecnología. En esta auditoria el auditor debe verificar que todos los componentes necesarios trabajan conjunta y coordinadamente para asegurar que los sistemas de bases de datos continúan cumpliendo los objetivos de la empresa y que se encuentran controlados de manera efectiva.

2.2.8. Auditoría de técnica de sistemas Técnica de sistemas consiste en la actividad a desempeñar para instalar y mantener en adecuado orden de utilización la infraestructura informática.

2.2.9. Auditoría de la calidad El objetivo es mostrar la situación real para aportar confianza y destacar las áreas que pueden afectar adversamente esa confianza. Razones para realizar una auditoría de la calidad:

Establecer el estado de un proyecto

Verificar la capacidad de realizar o continuar un trabajo específico.


5 / 19

Verificar qué elementos aplicables del programa o Plan de aseguramiento de la calidad han sido desarrollados y documentados.

Verificar la adherencia de esos elementos con el programa o Plan de Aseguramiento de la Calida.

2.2.10. Auditoría de la seguridad

Es de vital importancia dado que cada día es mayor la importancia de la información, especialmente relacionada con sistemas basados en el uso de tecnologías de la información y comunicaciones, por lo que el impacto de los fallos, los accesos no autorizados, la revelación de la información, y otras incidencias, tienen un impacto mucho mayor que hace unos años.

2.2.11. Auditoría de redes Para poder auditar redes, lo primero y fundamental es utilizar el mismo vocabulario que los expertos en comunicaciones que las manejan. Debido a la constante evolución en este campo, un primer punto de referencia es poder referirse a un modelo comúnmente aceptable como es el caso del modelo OSI.

2.2.12. Auditoría de aplicaciones Se trata de verificar si las aplicaciones en funcionamiento con las que cuenta la empresa están cumpliendo los objetivos para los que las mismas fueron construidas. Las herramientas más comunes en el uso de esta auditoria son las entrevistas, las encuestas, la observación del trabajo realizado por los usuarios, las pruebas de conformidad y las pruebas sustantivas y de evaluación.

2.2.13. Auditoría informática de EIS/DSS y aplicaciones de simulación Las características más importantes de esta auditoría son i) la amplitud y variabilidad del concepto, misión, objetivos detallados y formas organizativas de la misma; y ii) su nula o baja regulación oficial.

2.2.14. Auditoría Jurídica de entornos informáticos Forma parte de la auditoria informática y tiene como objeto comprobar que la utilización de la informática se ajusta a la legislación vigente. Esta es esencialmente importante para evitar posibles reclamaciones de cualquier clase contra el sujeto a auditar. Por ello es que el trabajo del auditor es la medida preventiva idónea contra sanciones en el orden administrativo o incluso penal, así como indemnizaciones en el orden civil por daños y perjuicios a los afectados, y ello referimos tanto a las Administraciones públicas como a las empresas privadas.

2.3. Auditoría de Redes Definición. Para poder auditar redes, lo primero y fundamental es utilizar el mismo vocabulario que los expertos en comunicaciones que las manejan. Debido a la constante evolución en este campo, un primer punto de referencia es poder referirse a un modelo comúnmente aceptable como es el caso del modelo OSI. Características. VULNERABILIDAD EN CAPAS FISICAS, ENLACES Y RED En la red física de comunicaciones, por causas propias de la tecnología, pueden producirse básicamente tres tipos de incidencias: Alteraciones de bits. Por error en los medios de transmisión, una trama puede sufrir variaciones en parte de su contenido. Los protocolos de comunicación (usualmente capas 1 a 3) sufijan cada trama transmitida con un código de redundancia cíclico (CRC), que detecta cualquier error.


6 / 19

Alteración de secuencia. El orden en el que se envían y se reciben las tramas no coincide, pues se han adelantado unos a otros. La capa de transporte, en último extremo, reordenaría la información. Ausencia de paquetes. Por sobrecarga, direccionamiento o error en el medio, las tramas pueden desaparecer en el camino del emisor al receptor. La capa de transporte, en último extremo, detectaría la ausencia. Por causas dolorosas, y teniendo en cuenta que es físicamente posible interceptar la información, los tres mayores riesgos a atajar son: Indagación. Un paquete puede ser leído por un tercero, obteniendo la información que contenga. Suplantación. Un tercero puede introducir un paquete espurio que el receptor cree proveniente del emisor legítimo. Modificación. Un tercero puede alterar el contenido de un paquete. Para este tipo de actuaciones dolosas, la única medida prácticamente efectiva en redes MAN y WAN (cuando la información sale del edificio) es la criptografía. En redes de LAN suelen utilizarse más bien medidas de control de acceso al edificio y al cableado, ya que la criptografía todavía sólo es práctica en casos concretos para redes locales. Dada la proliferación de equipos que precisan comunicación de datos dentro de los edificios, es muy habitual plantearse sistemas de cableado integral, en vez de tender in cable en cada ocasión. Esto es prácticamente un requisito en edificios con cierto volumen de usuarios. Los sistemas de cableado suelen plantearse según su ámbito geográfico. En cada planta o zona se tienden cables desde un armario distribuidor a cada uno de los potenciales puestos. Este cableado se denomina habitualmente de “planta”. Estos armarios están conectados, a su vez, entre sí y con las salas de ordenadores, denominándose a estas conexiones cableado “troncal”. Desde las salas de ordenadores parten las líneas hacia los transportistas de datos (Telefónicas o PTT), saliendo los cables al exterior del edificio en lo que se denomina cableado de “ruta”. El cableado troncal y de ruta cada vez más frecuentemente se tiende mediante fibras ópticas, que son muy difíciles de interceptar, ya que apenas provocan radiación electromagnética, y la conexión física a una fibra óptica requiere una tecnología delicada y compleja. El cableado de planta suele ser de cobre (y ondas), por lo que es factible la escucha (“pinchazo”), difícil de detectar. Dentro de las redes locales, el mayor peligro físico es que alguien instale una “escucha” no autorizada. Al viajar en claro la información dentro de la red local, es imprescindible tener una organización que controle el acceso físico. El método más sencillo es instalar un equipo no autorizado (por ejemplo: en un armario de cables) y darle acceso a la red. Dentro de cualquier instalación de cierto tamaño son de uso habitual de los equipos de escucha, bien sean éstos físicos (“sniffer”) o lógicos (“trapeadores”), por lo que su uso legítimo ha de estar controlado y no devenir en actividad espuria. En el propio puesto de trabajo puede haber peligros, como grabar/retransmitir la imagen que se ve en la pantalla, teclados que guardan memoria del orden en que se han pulsado las teclas, o simplemente que las contraseñas estén escritas en papeles a la vista. Las contraseñas de usuarios son un punto especialmente crítico en los canales de comunicaciones. Mientras que en un sistema de almacenamiento las contraseñas suelen guardarse cifradas, no siempre los terminales u ordenadores personales son capaces de cifrar la contraseña cuando se envía al servidor (por ejemplo: página Web HTTP). Por tanto, alguien que intercepte la información, puede hacerse con las contraseñas en claro. Además dado que las carátulas iniciales, donde se teclea la contraseña, son siempre las mismas, se facilita la labor de los agentes de interceptación, pues proporcionan un patrón del paquete de información donde viaja la contraseña a interceptar. VULNERABILIDAD EN EL TRANSPORTE El protocolo de Control de transferencia/Protocolo Internet TCP/IP fue diseñado originalmente en los años 70, para sobrevivir inclusive a ataques nucleares contra los EEUU, e impulsando desde el ámbito académico. La enorme versatilidad de este


7 / 19

protocolo y su aceptación generalizada le han convertido en el paradigma de protocolo abierto, siendo la base de interconexión de redes que forman la Internet. Es el protocolo que se ha interpuesto por derecho propio, como gran unificador de todos las redes de comunicaciones. Y sobre clásicos de modelos de red jerárquicos, ofrece una mayor resilencia (recuperación ante fallos). Al ser los sistemas de comunicaciones, procesos “sin historia”, donde no se almacenan permanentemente datos de ningún tipo, los sistemas de recuperación se ven especialmente beneficiados por esta característica. Si una sección cae, una vez que se vuelve a establecer la sesión, el incidente queda solucionado. Es responsabilidad de la aplicación volver a reinicializar si la interrupción se produjo en mitad de una unidad de proceso. Por ejemplo, si la interrupción de la sesión se ha producido a mitad de una transferencia de fichero, será misión de la aplicación, cuando la sesión se reanude, determinar si vuelve a comenzar la transmisión del fichero desde el principio o si se reutiliza la parte que ya se ha transmitido. Si es una persona que ha sufrido el incidente, cuando se reanude la sesión deberá volver a identificarse con su nombre de usuario y contraseña. Comprobando hasta qué punto la aplicación en la que estaba operando recogió los últimos datos que introdujeron. Esta restricción fundamental, de que los sistemas de comunicación no almacenen datos, permite una mayor facilidad a la hora de duplicar equipamiento. Dado que una vez cerrada la sesión no queda ninguna información a retener (salvo obviamente estadísticas y pistas de auditoría), la sesión, al reanudarse, puede utilizar la misma o diferente ruta. Si existen diversos nodos y diversos enlaces entre ellos, la caída de un nodo sólo ha de significar como máximo la interrupción de las sesiones que por él transmiten, que se podrán reiniciar a través de los restantes nodos. Por ello, es una norma generalmente aceptada, al menos en redes de cierto tamaño, tener nodos y enlaces replicados para prevenir situaciones de contingencia. Una vez más, el protocolo TCP/IP demuestra en este caso su utilidad. Al haber sido diseñado para encontrar rutas remanentes, inclusive ante caídas masivas, está especialmente bien orientado para facilitar la reestructuración de una red ante fallos de parte de sus componentes, sean éstos líneas, nodos o cualquier otro tipo de equipamiento. Los equipos de red manejan prioritariamente tráfico TCP/IP, y poseen facilidades añadidas de gestión de sobrecarga, rutas alternativas, tratamientos de contingencia, y todo tipo de situaciones que acontecen en una red en funcionamiento. La pregunta clave en auditoría es saber si esas facilidades se usan: si se han estudiado en el diseño de red, si están documentadas, si se han puesto en práctica, y si se prueban regularmente. Importancia. La importancia de la auditoria de redes radica en la problemática común de los sistemas de comunicación: la información transita por, y es accesible desde, lugares físicamente alejados de las personas responsables. Esto propone un compromiso con la seguridad y en la disponibilidad, ya que no existen procedimientos físicos para garantizar la inviolabilidad de la información y un fallo en comunicaciones impediría dar los servicios. En base a esto es que es de vital importancia realizar la auditoría de redes en las organizaciones que usan o brindan servicios de SI/TI para garantizar su correcta gestión de sus redes.


8 / 19

3. METODOLOGÍA PARA LA AUDITORÍA DE REDES La auditoría de informática debe respaldarse por un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso en la empresa. Al igual que otras funciones en el negocio, la auditoria de sistemas de información efectúa sus tareas y actividades mediante una metodología. [3] No es recomendable fomentar la dependencia en el desempeño de esta importante función sólo con base en la experiencia, habilidades, criterios y conocimientos sin una referencia metodológica. Contar con un método garantiza que las cualidades de cada auditor sean orientadas a trabajar en equipo para la obtención de productos de calidad estandarizados. La función de auditoria ha de contar con un desarrollo de actividades basado en un método de trabajo formal, que sea entendido por los auditores en informática y complementado con técnicas y herramientas propias de la función. Es importante señalar que el uso de la metodología no garantiza por si sola el éxito de los proyectos de auditoria en informática; además, se requiere de un buen dominio y uso constante de los siguientes aspectos complementarios:

Técnicas

Herramientas de productividad

Habilidades personales

Conocimientos técnicos y administrativos

Experiencia en los campos de auditoria e informática

Conocimiento de los factores del negocio y del medio externo al mismo

Actualización permanente

Involucramiento y comunicación constante con asociaciones nacionales e internacionales relacionadas con el campo.

Otras.


9 / 19

4. FASES DE LA METODOLOGÍA 4.1. Etapa de Diagnostico preliminar.

Tareas Productos Responsables Involucrados

Diagnóstico del negocio

Misión y objetivos del negocio Organización de informática Grado de apoyo al negocio

Diagnóstico de informática.

Misión y objetivos de la función de informática Organización de informática Control (formalidad) Productos y servicios.

Detectar área de oportunidad

Área de oportunidad para mejoras inmediatas.

4.2. Etapa de Justificación


Realizar matriz de riesgos

Matriz de riesgos

Justificar la auditoria por cada área de revisión

Justificación de la matriz de riesgos

Hacer un plan de auditoria.

Plan general de la auditoria de redes

Aprobación del plan

Plan aprobado

4.3. Etapa de adecuación


Definir objetivos del proyecto

Objetivos y alcance del proyecto.

Definir etapas del proyecto

Etapas y sus áreas Plan actualizado Responsables e involucrados Productos terminados Revisiones.

Definir los elementos por auditar por áreas de revisión

Aspectos o elementos por evaluar por cada área de revisión.

Establecer técnicas y herramientas por área de revisión.

Técnicas Software Equipo de computo Otros intereses para el auditor

Definición o actualización de políticas por áreas.

Políticas y procedimientos por verificar de acuerdo con cada área que será auditada. Políticas complementarias

Elaboración o actualización de cuestionarios por áreas.

Cuestionarios para cada área que será auditada Cuestionarios adicionales.


10 / 19

4.4. Etapa de formalización


Verificar prioridades

Prioridades clasificadas Áreas por auditar verificadas

Verificar plan y actividades

Etapas y sus tareas Plan detallado final

Presentación formal del proyecto

Proyecto revisado de la auditoria

Aprobación formal del proyecto de auditoría en informática

Aprobación del proyecto Compromiso ejecutivo Inicio formal del proyecto

Presentación del proyecto a los usuarios de informática

Entendimiento del proyecto Aceptación del proyecto Compromiso para cada una de las áreas involucradas

Definir las áreas por visitar y concertar citas con el personal que se entrevistará

Fechas de entrevistas Fechas de visitas Fechas para aplicación de cuestionarios.

4.5. Etapa de formalización


Concertar citas Fechas aprobadas y actualizadas

Verificar tareas, involucrados, etc.

Tareas, involucrados, etc.

Clasificar técnicas, cuestionarios y herramientas por usar

Técnicas clasificadas Cuestionarios clasificados Herramientas clasificadas

Efectuar entrevistas

Entrevistas realizadas Entrevistas documentadas Análisis de entrevistas

Aplicar cuestionarios

Cuestionarios aplicados Cuestionarios documentados Análisis de cuestionarios

Efectuar visitas de verificación

Visitas realizadas Comentarios documentados Análisis de comentarios

Elaborar informe preliminar acerca de las áreas auditadas

Observaciones Áreas de oportunidad Alternativas por cada área de oportunidad detectada Recomendaciones Responsables de ejecutar cada acción Plazos de ejecución Áreas auditadas clasificadas Informe documentado, almacenado y clasificado

Revisar el informe preliminar por área

Borrador de auditoria en informática revisado


11 / 19

Autorizar el borrador del informe preliminar

Informe preliminar revisado Informe preliminar corregido Informe preliminar entregado Informe preliminar autorizado

Efectuar entrevistas, cuestionarios y visitas complementarias

Entrevistas, cuestionarios y visitas pendientes realizados Informe actualizado con observaciones, acciones, etc.

Elaborar informe final

Informe final revisado con información en las áreas auditadas Informe con visto bueno del responsable de la función de auditoria en informática Informe final almacenado en medios magnéticos. Documentación del informe para la alta dirección. Documentación del informe para responsables de los usuarios de informática y para responsables del área de informática.

Elaborar un plan de implantación general de acciones sugeridas

Acciones clasificadas por plazos sugeridos. Costo/beneficio del plan.

Aprobar informe y plan de implantación

Informe de auditoría en informática y plan aprobados.

Presentación del informe de auditoría en informática y del plan de implementación.

Informe final presentado a la dirección Informe final presentado a personal usuario y de informática.

Aprobar el informe final

Revisión del informe de auditoría en informática. Aprobación del informe de auditoría en informática. Compromiso ejecutivo.

4.6. Etapa de implantación


Definir requerimientos para el éxito del plan de implantación.

Recursos humanos, tecnológicos y financieros requeridos para el éxito de la implantación sugerida por auditoria. Recursos aprobados Personal de trabajo para la implantación. Equipo de trabajo adecuado Funciones y responsabilidades Fechas de revisión Resultados esperados Análisis del costo/beneficio revisado


12 / 19

Inicio de la implantación.

Desarrollar el plan de implantación detallado.

Plan de implantación revisado según los resultados de la primera tarea. Plan de implantación corregido y actualizado. Documentar plan final Plan final aprobado.

Efectuar la implantación sugerida por la auditoría.

Inicio de los proyectos Tareas determinadas Presentación de implantación Implantación aprobada.

Seguimiento a la implementación del plan recomendado por la auditoría.

Acciones de seguimiento seleccionadas. Seguimiento de la implantación Revisiones informales Revisiones formales Aseguramiento de la calidad Implantación exitosa final. Implantación aprobada.


13 / 19

5. GUÍAS O MODELOS DE REFERENCIA PARA LA AUDITORÍA DE REDES 5.1. COBIT 4.1.

Descripción breve del modelo. COBIT (Control Objectives Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan. COBIT se utiliza para implementar el gobierno de IT y mejorar los controles de IT. Contiene objetivos de control, directivas de aseguramiento, medidas de desempeño y resultados, factores críticos de éxito y modelos de madurez. Para ayudar a las organizaciones a satisfacer con éxito los desafíos de los negocios actualmente, el IT Governance Institute® (ITGI) ha publicado la versión de COBIT® 4.1

COBIT es un framework de Gobierno de TI y un conjunto de herramientas de soporte para el gobierno de T.I. que les permite a los gerentes cubrir la brecha entre los requerimientos de control, los aspectos técnicos y riesgos de negocio.

COBIT hace posible el desarrollo de una política clara y las buenas prácticas para los controles de T.I. a través de las organizaciones.

COBIT enfatiza en la conformidad a regulaciones, ayuda a las organizaciones a incrementar el valor alcanzado desde la TI, permite el alineamiento y simplifica la implementación de la estructura COBIT.

La última versión, COBIT® 4.1, enfatiza el cumplimiento normativo, ayuda a las organizaciones a incrementar el valor de T.I., apoya el alineamiento con el negocio y simplifica la implantación de COBIT. Esta versión no invalida el trabajo efectuado con las versiones anteriores del COBIT, sino que puede ser empleado para mejorar el trabajo previo. Cuando importantes actividades son planeadas para iniciativas de Gobierno de T, o cuando se prevé la revisión de la estructura de control de la empresa, es recomendable empezar con la más reciente versión de COBIT. Del presente marco de trabajo se ha utilizado:

Adquirir e implementar o CONTROL AI1: IDENTIFICAR SOLUCIONES AUTOMATIZADAS

Consiste en la definición y mantenimiento de los requerimientos técnicos y funcionales del negocio, el reporte de análisis de riesgos, el estudio de factibilidad y formulación de cursos de acción alternativos y los requerimientos, decisión de factibilidad y aprobación

o CONTROL AI5: ADQUIRIR RECURSOS DE TI Que verifica básicamente el control de adquisición, la administración de contratos con proveedores, la selección de proveedores y la adquisición de recursos de TI.

Entregar y dar soporte o CONTROL AI5: ADQUIRIR RECURSOS DE TI


14 / 19

6. HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA DE REDES 6.1. Cuestionarios: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado.

6.2. Entrevistas: El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular. 6.3. Checklist: El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.


15 / 19

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma. Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética. El auditor deberá aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo. Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.


16 / 19

7. ESTUDIO DE CASO: EMPRESA Policlínico “Agus Gavidia Salcedo” El cuadro q se muestra a continuación es el calendario de actividades.

ACTIVIDAD FECHA INICIO

FECHA FIN

% APROX

% ACUM.

TOTAL EN DÍAS ÚTILES

PLANEAMIENTO

Elaboración del Programa de Auditoría 28/03 20/04 9 9 10

Elaboración del Plan de Auditoria 22/04 07/05 8 17 8

EJECUCIÓN

Análisis de la información 10/05 01/06 27 44 29

Elaboración y comunicación de hallazgos 02/06 14/06 12 57 13

Evaluación de Comentarios y Aclaraciones 16/06 23/06 19 75 20

ELABORACIÓN Y APROBACIÓN DEL INFORME

Elaboración del informe 24/06 06/07 19 94 20

Resumen y registro del Informe en el Sistema de Control Gubernamental

10/07 14/07 6 100 6

TOTAL 106

La primera etapa de la metodología que consistía básicamente en conocer a la empresa se pudo adquirir el organigrama de la empresa que se muestra a continuación entre otra información necesaria para enterarse sobre la misma.

COORDINACION DE

CO

SERVICIO MEDICO

SERV.

NUTR

ADMINIS

PSICO

CUERPO

BIOSEGU

DEFENS

EPIDEMIOLOGIA Y

GARANTIA DE

FISIOT

SERVICIOS DE AYUDA

ATENCION DE TOPICO

SALA

DE

ENFER

RAYOS

OBSTET

LABOR

MEDICINA

OBSTETR

SERVICIO

DE


17 / 19

En la segunda etapa básicamente se presentó el plan de auditoria y fue aprobado por el Director de TI de la institución. En la tercera etapa se solicitó las políticas de la institución y del área, las cuales no existían, se corrigió algunos defectos considerados por el director de TI, se definieron las etapas de trabajo consideradas en el cronograma y se comunicaron las técnicas y herramientas que se utilizarían para la elaboración de la auditoria de redes. En la cuarta etapa se verificaron las áreas de prioridad a realizar una auditoría, con las cuales se tuvo que modificar ligeramente el plan para luego presentar formalmente el proyecto, se aprobó y se informó a los usuarios de Tecnología de información en la institución. En la quinta etapa se armaron las fechas de las citas, entrevistas, encuestas, etc. Siendo también clasificadas por orden de prioridad y en común acuerdo con el Director de TI ya que es la única persona a la que se le puede realizar la encuesta dado que es la única persona en el Departamento de TI. En la última etapa se desarrollaría de acuerdo a los resultados obtenidos de la auditoría realizada y solo se plantearían observaciones a la institución por ser un proyecto de curso.


18 / 19

8. CONCLUSIONES La auditoría de redes es de vital importancia para todas las empresas que usan tecnologías de información para poder saber si estas se comunican de forma correcta y no existen demasiadas vulnerabilidades que rápidamente pueden ser atacadas por personas internas o externas a la organización.


19 / 19

9. REFERENCIAS BIBLIOGRÁFICAS

[1] Carlos Muñoz Razo, Auditoría en Sistemas Computacionales. México: Pearson Educación,

2002.

[2] Mario G. Piattini & Emilio del Peso, Auditoría Informática, 2nd ed., S.A. ALFAOMEGA

GRUPO EDITOR, Ed. Madrid, España: RA-MA.

[3] Enrique Hernandez Hernandez, Auditoría en informática, 2000th ed. Mexico: Compañia

editorial Continental, 2001.

auditoria de sistemas de informacion

Documents