la auditoria fisica (primera parte)

LA AUDITORIA FISICA

SEXTO “SISTEMAS”

INSTITUTO TECNOLOGICO SUPERIOR “LUIS A. MARTINEZ”

Hernán Sánchez

CONCEPTO._



La parte física en la informática ha tenido unaimportancia relativa y, además, esta ocupando unlugar en la mesa. En informática lo físico no solo serefiriere al hardware, es un soporte tangible delsoftware, es decir, es todo cuanto rodea o incluye alordenador.

La auditoria es el medio que proporciona la seguridadfísica en el ámbito en el que se va ha realizar la labor.

SEGURIDAD._



La seguridad física no es mas que aquella que garantiza la integridad delos activos humanos, materiales lógicos y materiales de un CPD. Se debetener en cuenta en la seguridad física lo siguiente:Obtener y mantener un nivel adecuado de seguridad física sobre losactivos; como la ubicación del edificio, potencia eléctrica, seguridad delos medios de información.Ejecutar un Plan de contingencia adecuado. Analizando los riesgos delsistema, de las aplicaciones, estableciendo los objetivos de nuestraseguridad, determinando las prioridades del proceso, y, además, asignarlas capacidades de comunicaciones y de servicios.Se debe adquirir un contrato de seguros, que cubren las perdidas de losbienes por daños, robos entre otros. La gama existente de seguros sonmuchos algunos son:*Para centros de proceso y equipamiento, reconstrucción de mediossoftware, gastos extras entre otros.

AREAS DE LA SEGURIDAD FISICA



Todas las áreas son importantes, pero en cuestión deseguridad las áreas más vulnerables son:

ORGANIGRAMA: Con el se conocen cada una de lasdependencias.

AUDITORIA INTERNA: Esta es la encargada de guardar lasnormas, los procedimientos y planes de la seguridad física.

ADMINISTRACION DE LA SEGURIDAD: Deben existiralgunas dependencias, cargos y responsabilidades como son;un director de seguridad integral e informático, unadministrador de redes y base de datos, y un responsable de laseguridad pasiva y activa en el entorno físico.

CENTRO DE PROCESO DE DATOS: Son las instalaciones. EQUIPOS Y COMUNICACIONES: Son los elementos

principales de computación como son;servidores, host, terminales, impresoras etc.

SEGURIDAD FISICA DEL PERSONAL: Entradas y salidas delpersonal seguras.



Algunas de las fuentes que se deben teneren todas las empresas son:

Políticas, normas y planes deseguridad; Auditorias anteriores;contratos de seguros, proveedores y demantenimiento; entrevistas con elpersonal de seguridad; actas deinformes; políticas de personal einventarios con soportes.

FUENTES

OBJETIVOS



Se dice que proteger los datos es el objetivoprimordial de la seguridad, Como sabemos, laseguridad física es más amplia y alcanza otrosconceptos entre los que puede haber alguno quesupere en importancia los datos. Entonces losobjetivos basados en una lógica "de fuera deadentro" quedan indicados así:Edificio, Instalaciones, equipamiento ytelecomunicaciones, datos y personas.

TECNICAS Y HERRAMIENTAS



Las técnicas y las herramientas básicas de la auditoria nose diferencian, y, además, sabemos que su fin es obtenerevidencias física.

TECNICAS Observación de las instalaciones, sistemas,

cumplimientos de normas. Revisión analítica de: Documentos de

construcciones, seguridad física; políticas y normas;procedimientos de seguridad física; contratos deseguro y mantenimiento.

Entrevistas con directivos y personal. Consultas contécnicos y auditores.

HERRAMIENTAS Cuaderno de campo/ grabadora de audio. Maquina fotográfica/ cámara de vídeo.Su uso debe ser discreto y siempre con el consentimientodel personal.

RESPONSABILIDADES



AUDITOR INFORMATICO INTERNO

Revisar los controles de seguridad física, el cumplimiento delos procedimientos, normas y políticas de la seguridad;participar en la selección, adquisición e implantación denuevos equipos, en los planes de seguridad sin perder laindependencia; efectuar auditorias y emitir informesademás de efectuar el seguimiento de las recomendaciones.

AUDITOR INFORMATICO EXTERNO

Revisar las funciones de los auditores internos, los planes deseguridad; tiene las mismas responsabilidades que losauditores internos; además, emitir informes yrecomendaciones.

FASES Y DESARROLLO



LAS FASES: Siguiendo la metodología EDPAA, Su ciclo quedaría:Alcance de la auditoria, Adquisición de informacióngeneral, administración y planificación, plan deauditoria, resultados de las pruebas, conclusiones ycomentarios, borrador del informe y discusión con los responsablesdel área.

DESARROLLO DE LAS FASES DE LA AUDITORIAINFORMATICA: Como sabemos son 8 las fases. En esta paginaexpondremos una, la fase dos: ADQUISICION DEINFORMACION. Para llevar a cabo esta fase debemos seguir el plande contingencia:

Debe existir un acuerdo en la empresa para realizar el plan decontingencia(se tiene una estrategia, todos los departamentos están deacuerdo). Acuerdo de un proceso alternativo(Proporciona el centroalternativo suficiente capacidad). Protección de datos. Manual de plande contingencia.



AUDITORIA DE LA OFIMATICA

Hernán Sánchez



INTRODUCCION

Partiendo de la definición realizada por SCHILL acerca de laofimática, que dice que, como el sistema informatizado quegenera, procesa, almacena, recupera, comunica y presenta datosrelacionados con el funcionamiento de la oficina.

Las primeras aplicaciones de la ofimática se realizan o se desarrollaronsobre los ordenadores centrales de las organizaciones.

La evolución sufrida en el entorno microinformático ha condicionado eldesarrollo de los sistemas ofimáticos actuales. El aumento de la potenciade calculo, la alta calidad de los productos y la reducción de costos de losordenadores personales y las estaciones de trabajo; ha desplazado eldesarrollo de aplicaciones ofimáticas a plataformas microinformáticas yredes de área local.



CONTROLES DE AUDITORIA

En los problemas que se presentan diariamente en las oficinas de lasorganizaciones existen dos características:

La distribución de las aplicaciones por los diferentes departamentos de laorganización en lugar de encontrarse en una única ubicacióncentralizada; y el traslado de responsabilidad sobre ciertos controles delos sistemas de información a usuarios finales no dedicadosprofesionalmente a la informática, que pueden no comprender de unmodo adecuado la importancia de los mismos y la forma de realizarlos.

Como consecuencia de los dos factores enunciados, se ha generado unaproblemática propia en este tipo de entornos: adquisiciones pocoplanificadas; desarrollos eficaces e ineficientes, incluso en procesoscríticos para el correcto funcionamiento de la organización; falta deconciencia de los usuarios acerca de la seguridad de la información;utilización de copias ilegales de aplicaciones; procedimientos de copiasde seguridad deficientes; escasa formación del personal; ausencia dedocumentación suficientes; etc.



Economía, eficacia y eficiencia

Determinar sí el intervalo ofimático refleja con exactitud los equipos y aplicaciones existentes en la organización.

Esta se refleja en todas las compras que realizan las empresas uorganizaciones respecto al material de procesamiento de lainformación. Para evitar esto se deben registrar inventarios.

Determinar y evaluar el procedimiento de adquisiciones de equipos y aplicaciones.

Dentro de las políticas de adquisiciones descentralizadas en la quecada departamento se encarga de realizar sus compras, ofreceventajas en cuanto a flexibilidad y capacidad de reacción de losmismos, pero podría acarrear significativas pérdidas económicaspara el conjunto de la organización.



Determinar y evaluar la política de mantenimiento definida en la organización

Los procedimientos descentralizados han propiciado que, en ocasiones, losequipos adquiridos no sean incluidos ni en los inventarios ni en los contratosde mantenimiento, incluso podría llegar a suceder que el persona de laorganización encargado del mantenimiento no dispusiera de losconocimientos necesarios para llevarlo a cabo.

Evaluar la calidad de las aplicaciones del entorno ofimático desarrollada por personal de la propia organización.

La utilización de herramientas ofimáticas por los usuarios finales hapropiciado el desarrollo de aplicaciones, en muchos casos sin las debidasgarantías de fiabilidad, cuyo mal funcionamiento puede repercutirsignificativamente en la actividad de la organización cuando se trate deaplicaciones que gestionen procesos críticos.

Por otra parte, tambien es común que los desarrollos en estos entornos nohayan seguido los controles de calidad y seguridad suficientes, posibilitandoque algún programador haya introducido “puertas traseras”, bombas lógicas ocualquier otro mecanismo que pudiera perturbar el buen funcionamiento de laaplicación desarrollada.



Evaluar la corrección del procedimiento existente para la realización de los cambios de versiones y aplicaciones.

Los cambios de aplicaciones o de versiones pueden producir situaciones defalta de integración y de compatibilidad entre los nuevos productos instaladosy los existentes con anterioridad. Prácticamente la totalidad de las nuevasversiones son capaces de manejar los formatos utilizados por versionesanteriores, pero no siempre ocurre en sentido contrario.

Determinar si los usuarios cuentan con la suficiente formación y la documentación de apoyo necesaria para desarrollar sus tareas de un

modo eficaz y eficiente.

Un conocimiento deficiente de las funcionalidades de las aplicaciones porparte de los usuarios finales o de los encargados del mantenimiento, puedeocasionar pérdida de eficacia y eficiencia en la utilización de las mismas. Nodebemos olvidar que carecer de los conocimientos necesarios puede ser debidotanto a que los usuarios no han sido formados como a que no han aprovechado

debidamente los recursos de formación recibidos.



Determinar si el sistema existente se ajusta a las necesidades reales de la organización.

La existencia de equipos obsoletos o infrautilizados puede ocasionarsituaciones que por mala distribución de los equipos a las necesidades de laorganización, repercuten en el correcto funcionamiento de la misma.



SEGURIDAD

Determinar si existen garantías suficientes para proteger los accesos no autorizados a la información reservada de la empresa y la integridad de la

misma.

Las aplicaciones ofimáticas gestionan información reservada como agendas decontactos, informes sobre temas confidenciales, estadísticas obtenidas coninformación extraída de la base de datos corporativa, etc. Los accesos noautorizados a las inconsistencias en este tipo de información puede comprometerel buen funcionamiento de la organización.

La organización debe establecer las políticas y procedimientos de la seguridadnecesarios para garantizar la confidencialidad, integridad y disponibilidad de lainformación almacenada.

Determinar si el procedimiento de generación de las copias de respaldo es fiable y garantiza la recuperación de la información en caso de necesidad.

La información generada por el sistema debe estar disponible en todo momento.La no disponibilidad de datos, especialmente de aquellos procedimientos críticospara la organización, además de las consabidas pérdidas económicas, podríallevar, en el extremo, a la polarización del departamento.



Determinar si está garantizado el funcionamiento interrumpido de aquellas aplicaciones cuya caída podría suponer perdidas de integridad

de la información y aplicaciones.

En las organizaciones se desarrollan procesos en las que una caída de tensiónpodría ocasionar pérdidas de integridad de la información y aplicacionesmanejadas, en ocasiones irrecuperables.

Determinar el grado de exposición ante la posibilidad de intrusión de virus.

Los costos derivados de la intrusión de virus informáticos se han multiplicadoen los últimos años: perdida de la información y empleo de recursos y tiempopara restablecer el sistema, llegando en algunos casos a la polarizacióntemporal del departamento.



NORMATIVA VIGENTEDeterminar si en el entorno ofimático se producen situaciones que puedan suponer infracciones a lo dispuesto en la ley orgánica 5/1992, de regulación

del tratamiento autorizado de datos de carácter personal (LORTAD).

La LORTAD establece una serie de principios y derechos de los ciudadanos enrelación a sus datos de carácter personal incluidos en ficheros autorizados. Asímismo establece un catálogo de infracciones cuya comisión por parte de losresponsables de los ficheros de titularidad privada puede dar lugar a sanciones porun importante entre 100.000.ptas y 100.000.000. de ptas.

Determinar si en el entorno ofimático se produce situaciones que puedan suponer infracciones a lo dispuesto en el real decreto legislativo 1/1996, del

12 de abril, sobre la propiedad intelectual.

La mayoría de las copias ilegales utilizadas en las organizaciones corresponden aaplicaciones microinformáticas, en especial a aplicaciones ofimáticas. Este hechopuede provocar que aquellos afectados que sufran algún tipo de daño o perjuiciocomo consecuencia del incumplimiento de lo dispuesto en el real decretolegislativo sobre la propiedad intelectual, presente reclamaciones ante lostribunales de justicia que puedan derivar incluso causas criminales.



AUDITORÍA DE LA DIRECCIÓN

Hernán Sánchez



Los conocimientos sobre Auditoría de la Dirección desarrolladosanteriormente fueron llevados a la práctica mediante la realización de unaauditoría al Departamento de Sistemas de Información de la Empresa PatioOlmos.

Nacida hace más de diez años, esta empresa se encuentra ubicada en Av.Vélez Sársfield al 400 de la Ciudad de Córdoba, y se dedica al alquiler delocales comerciales y salones de eventos en su edificio.



A cada uno de los locales les brinda variados servicios, entre los que a nosotros nos interesan podemos nombrar:

Sistema de Facturación. Telefonía. Correo Electrónico. Internet.



El cobro de los alquileres se divide en dos categorías, por monto fijo o porporcentaje de lo facturado mensualmente. Hacen uso de un sistema de“Customer Relationship Management” (“Manejo de Relación con el Cliente”)implementado por la compañía desarrolladora de software administrativosNCR.

Cada local comercial debe realizar la facturación mediante el sistemabrindado por la empresa, para poder controlar los montos registrados porcada uno de ellos. De no desear utilizar este medio los locales deberándisponer de una herramienta que exporte los datos de sus propias aplicacionesde facturación al sistema de información.



También se lleva un control por cada local sobre el consumo telefónico, el cual es cobrado junto con la renta de cada local.



AUDITORIA DE LA EXPLOTACIÓN

Hernán Sánchez



Concepto de Explotación

El nivel de competencia que existe entre las empresas les obliga a tomardecisiones rápidas y acertadas, por lo que el funcionamiento adecuadoy la continua actualización de los SI son muy necesarios. Los recursosde los SI se han de utilizar de forma que permitan la eficacia y eficienciade la empresa, además de que deben asegurar la confidencialidad desus datos.

Para hacer el seguimiento y comprobar que el SI está actuando comodebe, éste habrá de disponer de un control interno que prevenga loseventos no deseados, o en su defecto que los detecte y los corrija.Para esta área de la auditoría es posible seguir la guía de clasificación delos controles que hace el proyecto CobiT (es un marco reconocidointernacionalmente, que permite la estandarización de criteriorelacionado con controles sobre TI).



Proceso de Auditoría en Explotación

Para realizar la Explotación Informática se dispone de una materiaprima, los Datos, que es necesario transformar, y que se sometenpreviamente a controles de integridad y calidad.

La transformación se realiza por medio del Proceso informático, el cualestá gobernado por programas. Obtenido el producto final, losresultados son sometidos a varios controles de calidady, finalmente, son distribuidos al cliente, al usuario.



División de la Auditoría

Evaluación de Controles generales:

Controles operativos y de organización Desarrollo de programas Sobre programas y equipo Controles de acceso Sobre procedimiento de datos



División de la Auditoría

Evaluación de las Aplicaciones

Sobre la captura de datos De proceso Salida y distribución



Clasificación según COBIT

Actividades y Tareas

Procesos Dominios Planificación y organización Adquisición e implementación Suministro y mantenimiento monitorización



AUDITORIA DE LA DESARROLLO

Hernán Sánchez



La función de Desarrollo es una EVOLUSION del llamado ANALISIS y PROGAMACION de Sistemas y Aplicaciones.

A su vez, engloba muchas áreas, tantas como sectores informatizarles tiene la empresa. Muy escuetamente, una Aplicación recorre las siguientes fases:

Prerrequisitos del Usuario (único o plural) y del entorno Análisis funcional Diseño Análisis orgánico (Pre programación y Programación) Pruebas Entrega a Explotación y alta para el Proceso.

Auditoría Informática de Desarrollo de Proyectos o Aplicaciones:



Estas fases deben estar sometidas a un exigente CONTROL INTERNO, caso contrario, además del disparo de los costes, podrá producirse la insatisfacción del usuario.

Finalmente, la auditoría deberá comprobar la seguridad de los PROGRAMAS en el sentido de garantizar que los ejecutados por la maquina sean exactamente los previstos y no otros.

Una auditoría de Aplicaciones pasa indefectiblemente por la OBSERVACION y el ANALISIS de cuatro consideraciones:

Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas.



Control Interno de las Aplicaciones: se deberán revisar las mismas fases que presuntamente han debido seguir el área correspondiente de Desarrollo:

Estudio de Vialidad de la Aplicación. [importante para Aplicaciones largas, complejas y caras]

Definición lLOGICA de la Aplicación. [se analizará que se han observado los postulados lógicos de actuación, en función de la METODOLOGIA elegida y la finalidad que persigue el proyecto]

Desarrollo Técnico de la Aplicación. [Se verificará que éste es ordenado y correcto. Las herrramientas técnicas utilizadas en los diversos programas deberán ser compatibles]

Diseño de Programas. [deberán poseer la máxima sencillez, modularidad y economia de recursos]

Métodos de Pruebas. [ Se realizarán de acuerdo a las Normas de la Instalación. Se utilizarán juegos de ensayo de datos, sin que sea permisible el uso de datos reales]

Documentación. [cumplirá la Normativa establecida en la Instalación, tanto la de Desarrollo como la de entrega de Aplicaciones a Explotación]

Equipo de Programacion. [Deben fijarse las tareas de análisis puro, de programacion y las intermedias. En Aplicaciones complejas se producirían variaciones en la composición del grupo, pero estos deberán estar previstos]



Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario que la solicitó. La aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitará reprogramaciones y disminuirá el mantenimiento de la Aplicación.

Control de procesos y Ejecuciones de programas Críticos: El auditor no debe descartar la posibilidad de que se esté ejecutando un módulo que no se corresponde con el programa fuente que desarrolló, codificó y probó el área de Desarrollo de Aplicaciones. Se ha de comprobar la correspondencia biunívoca y exclusiva entre el programa codificado y su compilación. Si los programas fuente y los programa módulo no coincidieran podríase provocar, desde errores de bulto que producirían graves y altos costes de mantenimiento, hasta fraudes, pasando por accionres de sabotaje, espionaje industrial-informativo, etc. Por ende, hay normas muy rígidas en cuanto a las Librerías de programas; aquellos programas fuente que hayan sido dados por bueno por Desarrollo, son entregados a Explotación con el fin de que éste:

Copie el Programa fuente en la Librería de fuentes de Explotación, a la que nadie más tiene acceso

Compile y monte ese programa, depositándolo en la Librería de Módulos de Explo-tación, a la que nadie más tiene acceso.

Copie los programas fuente que les sean solicitados para modificarlos, arreglarlos, etc. en el lugar que se le indique. Cualquier cambio exigirá pasar nuevamente por el punto 1.



Como este sistema para auditar y dar el alta a una nueva Aplicación es bastante ardua y compleja, hoy (algunas empresas lo usarán, otras no) se utiliza un sistema llamado U.A.T (User Acceptance test).

Este consiste en que el futuro usuario de esta Aplicación use la Aplicación como si la estuviera usando en produccion para que detecte o se denoten por sí solos los errores de la misma. Estos defectos que se encuentran se van corrigiendo a medida que se va haciendo el U.A.T. Una vez que se consigue el U.A.T., el usuario tiene que dar el Sign Off ("Esto está bien").

Todo este testeo, auditoría lo tiene que controlar, tiene que evaluar que el testeo sea correcto, que exista un plan de testeo, que esté involucrado tanto el cliente como el desarrollador y que estos defectos se corrijan. Auditoría tiene que corroborar que el U.A.T. prueba todo y que el Sign Off del usuario sea un Sign Off por todo.

la auditoria fisica (primera parte)

Education

cuestin de seguridad

seguridad pasiva

martinezla seguridad

director de seguridad

martinezla parte fsica

base de datos

personal seguras

auditoria interna