AUDITORIA FÍSICA
Fisico: Lo físico es para dar un soporte tangible, no es solo Hardware, en toda actividad se mezcla lo físico lo funcional y lo humano.
La auditoria física no se debe limitar a comprobar la existencia de los medios físicos sino tambien su funcionalidad racionalmente, y SEGURIDAD
La auditoria física no se debe limitar a comprobar la existencia de los medios físicos sino tambien su funcionalidad racionalmente, y SEGURIDAD
Existen tres tipos de seguridad:
- Seguridad lógica
- Seguridad física
- Seguridad de las comunicaciones
La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales
Contingencia: Es la proximidad de algún daño como riesgo
de fallo local o general en una relación con la cronológica.
ANTES:
Obtener y mantener un nivel adecuado de seguridad física sobre los activos.
Seguridad física es el conjunto de acciones utilizadas por evitar algún fallo
Obtener y mantener un nivel adecuado de seguridad física sobre los activos.
Seguridad física es el conjunto de acciones utilizadas por evitar algún fallo
Las personas hagan uso particular o profesional de entorno físico.
- Ubicación del edificio
- Ubicación del CPD (centro de procesamiento de datos) dentro del edificio.
- Compartimentación
- Elementos de construcción
- Sistemas contra incendios
- Control de accesos
- Selección del personal
- Seguridad de protección
- medidas de protección
- Duplicación de medios
- Potencia eléctrica
DURANTE:
En caso de que ocurriese un desastre, una buena estrategia sería elaborar un plan de contingencia, que permita coordinar las necesidades del negocio y operaciones de recuperación. El plan de contingencia permite:
- Realizar un análisis de riesgos
- Establecer un periodo crítico de recuperación
- Realizar un análisis de aplicaciones crítica
- Determinar las prioridades del proceso
- Asegurar la capacidad de las comunicaciones
- Asegurar la capacidad de servidores de back-up
DESPUÉS:
Se toma como alternativa la contratación de servicios, entre ellos se encuentran:
- Reconstrucción de medios de software: cubre el daño producido sobre medios de software
- Gastos extra: Gastos que se derivan de la continuidad de las operaciones tras un desastre
- Errores y omisiones: protección legal ante la responsabilidad en que pudiera incurrir un profesional que cometiera un acto, error u omisión que ocasione una pérdida financiera a un cliente
- Transporte de medios: cobertura ante pérdidas o daños o medios transportados
ÁREAS DE LA SEGURIDAD FÍSICA
El auditor se ha de valer de otras personas que tengan los conocimientos necesarios para poder realizar el trabajo de seguridad en cuanto a las instalaciones. Después de eso el auditor se ha de interesar por otros campos tales como:
- Organigrama: Dependencias orgánicas, funcionales y jerárquicas
- Auditoria interna
- Administración de la seguridad
- Centro de procesos de datos e instalaciones
- Computadores personales
- Equipos y comunicaciones
- Computadoras personales
- Seguridad física del personal
FUENTES DE LA AUDITORIA FÍSICA I
Entre las fuentes tenemos:
- Políticas, normas y planes sobre seguridad, emitidos y distribuidos por la dirección de la empresa y por el departamento de seguridad
- Auditorias anteriores, referentes a la seguridad física o cualquier otro tipo de auditoría que se relacione con la seguridad física.
- Contratos de seguros
- Entrevistas con el personal de seguridad informático y otras actividades
- Actas e informes de técnicos y consultores, que permitan diagnosticar el estado físico del edificio, y además que informen sobre la calidad y estado de los sistemas de seguridad
- Informe sobre accesos y visitas
- Políticas de personal. Planificación y distribución de tareas, contratos, etc
- Inventarios de soporte Back-up, controles de salida y recuperación de soportes
DEFINICIÓN DE AUDITORÍA FÍSICA
RIESGO --------------> CONTROL ----------------------> PRUEBAS
FUENTES DE LA AUDITORÍA FÍSICA
Plan de auditoría lleva a realizar pruebas de cumplimiento y sustantivas
En todo CPD (Centro de procesamiento de datos) se señalan algunas fuentes como:
- Políticas, normas y planes sobre seguridad
- Auditorias anteriores
- Contratos de seguros, de proveedores y mantenimiento
- Entrevistas.
- Actas e informes de técnicos y consultores
- Plan de contingencia y valoración de pruebas
- Informes sobre accesos y visitas
- Políticas de personal
- Inventarios de soporte
OBJETIVOS DE LA AUDITORIA
Los objetivos van en un orden lógico "de afuera a dentro", ejemplo:
- Edificio
- Instalaciones
- Equipamiento y telecomunicaciones
- Datos
- Persona
FASES DE LA AUDITORÍA FÍSICA
- Alcance de la auditoría
- Adquisición de información general
- Administración y planificación
- Plan de autoría
- Resultado de las pruebas
- Conclusiones y comentarios
- Borrador del informe
- Discusión con los responsables de área
- Informe final: Informe, anexo, carpeta de evidencias
- Seguimiento de las modificaciones acordadas
DESARROLLO DE LAS FASES DE LA AUDITORÍA FÍSICA
Siguiendo la técnica del chek-list una Fase de adquisición de información
- Acuerdo de empresa para el plan de contingencia
- Acuerdo de un proceso alternativo
- Protección de datos
- Manual del plan de contingencia
AUDITORÍA DE LA OFIMÁTICA
Se entiende por ofimática como el sistema informatizado que genera, procesa, almacena, recupera, comunica y presenta datos relaciones con el funcionamiento de la oficina.
Ejemplos:
Este desarrollo de sistemas ofimáticos ha mantenido dos paradigmas fundamentales:
LA SEGURIDAD
Se entiende por ofimática como el sistema informatizado que genera, procesa, almacena, recupera, comunica y presenta datos relaciones con el funcionamiento de la oficina.
Ejemplos:
- Aplicaciones específicas para la gestión de tareas como hojas de cálculo o procesadores de texto,
- Herramientas para la gestión de documentos, como control de expedientes o sistemas de almacenamiento óptico de información,
- Agendas y bases de datos personales;
- Sistemas de trabajo en grupo como el correo electrónico o el control de flujo de trabajo;
Este desarrollo de sistemas ofimáticos ha mantenido dos paradigmas fundamentales:
- El escritorio virtual
- El trabajo cooperativo (CSCW, Computed Supported Cooperative Work)
ESCRITORIO VIRTUAL:
Un único panel representado por la pantalla del computador, que sustituya la mesa de trabajo tradicional, y donde se encuentren disponibles todas las herramientas necesarias para desarrollar las actividades del oficinista. La interfaz debe parecer natural al usuario y debe ser fácil de aprender y utilizar
EL TRABAJO COOPERATIVO:
Puede considerarse como una extensión del concepto de integración de aplicaciones. Según Kraemer es como una multiplicidad de actividades coordinadas, desarrolladas por un conjunto de participantes y soportadas por un sistema informático. Lo anterior implica permitir intercambiar la información necesaria en los diversos procesos de la organización y/o con otras organizaciones.
CONTROLES DE AUDITORÍA
Existen dos características peculiares de los entornos ofimáticos:
Se presentan agrupados siguiendo criterios relacionados con aspectos de economía, eficacia y eficiencia; seguridad y condicionantes legales, son los suficientemente generales para servir de base en la elaboración del guión de trabajo de la labor del equipo auditor
ECONOMÍA, EFICIENCIA Y EFICACIA
- La distribución de las aplicaciones por los diferentes departamentos de la organización en lugar de encontrarse en una única ubicación centralizada
- El traslado de la responsabilidad sobre ciertos controles de los sistemas de información a usuarios finales no dedicados profesionalmente a la informática, que pueden no comprender de un modo adecuado la importancia de los mismos y la forma de realizarlos.
PROBLEMÁTICAS PROPIAS
- Adquisición poco planificada
- Desarrollos ineficaces e ineficientes
- Falta de conciencia de los usuarios acerca de la seguridad de la información
- Utilización de copias ilegales de aplicaciones
- Procedimientos de copias de seguridad deficientes
- Escasa formación del personal
- Ausencia de documentación suficiente
LOS CONTROLES:
Se presentan agrupados siguiendo criterios relacionados con aspectos de economía, eficacia y eficiencia; seguridad y condicionantes legales, son los suficientemente generales para servir de base en la elaboración del guión de trabajo de la labor del equipo auditorECONOMÍA, EFICIENCIA Y EFICACIA
Determinar si el inventario ofimático refleja los equipos y aplicaciones existentes en la organización. Se selecciona este control en primer lugar ya que la fiabilidad del inventario resultará indispensable para auditar otros controles presentados posteriormente. Esto garantiza que todos los equipos adquiridos en la organización con debidamente inventariados.
Después constatará la conciliación realizada en la última auditoria financiera entre el inventario oficial y las adquisiciones efectuadas, más tarde se elabora una relación exhaustiva de los equipos informáticos y de las aplicaciones y archivos que residen en el mismo.
- Mecanismos para garantizar que los equipos adquiridos son inventariados
- Realizar conciliación
- Identificación de diferencias
Determinar y evaluar el procedimiento de adquisiciones de equipos y aplicaciones.
Una adquisición descentralizadas es la que cada departamento se encarga de realizar sus compras, ofrecer ventajas en cuanto a el equipo; el equipo auditor comprobará que en el procedimiento de adquisición se valoran aspectos relativos a la necesidad real de los equipos solicitados y a la integración de los equipos con el sistema.
Partiendo del inventario actualizado, analizará los procedimientos para la adquisición de los productos seguidos en los diversos departamentos de la organización.
- Políticas
- Revisión cumplimiento de políticas
- Consideración de otros mecanismos que optimicen el proceso actual de adquisición
Evaluar la corrección del procedimiento existente para la realización de los cambios de versiones y aplicaciones
- Procedimientos y mecanismos formales para la autorización, aprobación, adquisición de nuevas aplicaciones y cambios de versiones
- Comprobación del cumplimiento sobre lo instalado en usuarios
- Compatibilidad e integración en el entorno operativo
Determinar si los usuarios cuentan con suficiente formación y la documentación de apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente:
- Plan de formación y/o capacitación
- Utilización real de las últimas versiones en los usuarios
Determinar si el sistema existente se ajusta a las necesidades reales de la organización.
El equipo auditor valorará el uso que se realiza
- Obsolescencia de equipos
- Uso de equipos y labores sobre éstos
- Detección de nuevas necesidades
LA SEGURIDAD
Determinar si existen garantías suficientes para proteger los accesos no autorizados a la información reservada de la empresa y la integridad de la misma.
El acceso a las aplicaciones ofimáticas que gestionan información reservada a las cuales se tienen accesos no autorizados pueden comprometer el buen funcionamiento de la organización.
Se determinará si el procedimiento de clasificación de la información establecido se comprobará que cada usuario tiene autorización para acceder únicamente a aquellos datos y recursos informáticos que precisa para el desarrollo de sus funciones.
Se determinará si el procedimiento de creación, almacenamiento, distribución y modificación de las claves garantiza su confidencialidad.
Finalmente, comprobará que todos los soportes informáticos permiten identificar la información que contienen, son inventariados y se almacenan en su lugar con acceso restringido únicamente al personal.
Determinar si el procedimiento de generación de las copias de respaldo es fiable y garantiza la recuperación de la información en caso de necesidades.
La información generada por el sistema debe estar disponible en todo momento. La no disponibilidad de datos, especialmente de aquellos procedimiento críticos para la organización, ademas de las consabidas pérdidas económicas, podría llevar, en el extremo a la paralización del departamento.
Determinar si está garantizado el funcionamiento ininterrumplido de aquellas aplicaciones cuya caída podría suponer pérdidas de integridad de la información y aplicaciones
Determinar el grado de exposición ante la posibilidad de intrusión de virus.
NORMATIVA VIGENTE O ASPECTOS LEGALES
Determinar si en el entorno ofimático se producen situaciones que puedan suponer infracciones a lo dispuesto en la Ley Orgánica, de protección de datos de carácter personal.
La tarea del equipo auditor consistirá en en determinar que los archivos que gestionan datos personales en entornos ofimáticos se encuentran bajo control y que han sido notificados al riesgo general de la agencia de protección de datos.
Determinar si en el entorno ofimático se producen situaciones que puedan suponer infracciones.
La mayoría de las copias ilegales utilizados en las organizaciones corresponden a aplicaciones microinformáticas, en especial a aplicaciones ofimáticas.
El equipo auditor deberá elaborar una relación exhaustiva de las aplicaciones residentes en equipos ofimáticos, que precisen licencia, esta relación se contrastará con el inventario de la organización para verificar que coincide, y, en caso contrario, deberá averiguar cuáles son las copias ilegalmente utilizadas.
El equipo auditor se ocupará de verificar la definición y aplicación de medidas con carácter preventivo, tales como: la existencia de un régimen disciplinario que sea conocido por todos los empleados, la inhabilitación de las disqueteras y otros puertos de entrada y salida, y las limitaciones de acceso a redes.
Finalmente, comprobara la definición de medidas correctivas tales como: la eliminación de copias ilegales que se localicen, los procedimientos para determinar el modo de intrusión y en consecuencia, definir medidas para evitar que esta situación se repita, y adoptar las acciones disciplinarias pertinentes.
Se determinará si el procedimiento de creación, almacenamiento, distribución y modificación de las claves garantiza su confidencialidad.
Finalmente, comprobará que todos los soportes informáticos permiten identificar la información que contienen, son inventariados y se almacenan en su lugar con acceso restringido únicamente al personal.
Determinar si el procedimiento de generación de las copias de respaldo es fiable y garantiza la recuperación de la información en caso de necesidades.
La información generada por el sistema debe estar disponible en todo momento. La no disponibilidad de datos, especialmente de aquellos procedimiento críticos para la organización, ademas de las consabidas pérdidas económicas, podría llevar, en el extremo a la paralización del departamento.
Determinar si está garantizado el funcionamiento ininterrumplido de aquellas aplicaciones cuya caída podría suponer pérdidas de integridad de la información y aplicaciones
Determinar el grado de exposición ante la posibilidad de intrusión de virus.
NORMATIVA VIGENTE O ASPECTOS LEGALES
Determinar si en el entorno ofimático se producen situaciones que puedan suponer infracciones a lo dispuesto en la Ley Orgánica, de protección de datos de carácter personal.
La tarea del equipo auditor consistirá en en determinar que los archivos que gestionan datos personales en entornos ofimáticos se encuentran bajo control y que han sido notificados al riesgo general de la agencia de protección de datos.
Determinar si en el entorno ofimático se producen situaciones que puedan suponer infracciones.
La mayoría de las copias ilegales utilizados en las organizaciones corresponden a aplicaciones microinformáticas, en especial a aplicaciones ofimáticas.
El equipo auditor deberá elaborar una relación exhaustiva de las aplicaciones residentes en equipos ofimáticos, que precisen licencia, esta relación se contrastará con el inventario de la organización para verificar que coincide, y, en caso contrario, deberá averiguar cuáles son las copias ilegalmente utilizadas.
El equipo auditor se ocupará de verificar la definición y aplicación de medidas con carácter preventivo, tales como: la existencia de un régimen disciplinario que sea conocido por todos los empleados, la inhabilitación de las disqueteras y otros puertos de entrada y salida, y las limitaciones de acceso a redes.
Finalmente, comprobara la definición de medidas correctivas tales como: la eliminación de copias ilegales que se localicen, los procedimientos para determinar el modo de intrusión y en consecuencia, definir medidas para evitar que esta situación se repita, y adoptar las acciones disciplinarias pertinentes.
CONCEPTO DE EXPLOTACIÓN
La explotación informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc. La explotación informática se puede considerar como una fábrica con ciertas peculiaridades que la distinguen de las reales.
Para realizar la explotación informática se dispone de una materia prima, los datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. La transformación se realiza por medio del proceso informático, el cual está gobernado por programas. Obtenido el producto final, los resultados son sometidos a varios controles de calidad y, finalmente, son distribuidos al cliente, al usuario.
AUDITORÍA DE LA EXPLOTACIÓN
Auditar explotación consiste en auditar las secciones que la componen y sus interrelaciones, la explotación informática se divide en tres grandes áreas: planificación, producción y soporte técnico, en la que cada cual tiene varios grupos.
CONTROL DE ENTRADA DE DATOS:
Se analizará la captura de la información en soporte compatible con los sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta trasnsmisión de datos entre entornos diferentes. se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a norma
PLANIFICACIÓN Y RECUPERACIÓN DE APLICACIONES
Se auditarán las normas de entrega de aplicaciones por parte de desarrollo, verificando su cumplimiento y su calidad de interlocutor único- Deberán realizarse muestreos selectivos de la documentación de las aplicaciones explotadas
- Se incurrirá sobre la anticipación de contactos con desarrollo para la planificación a medio y largo plazo
CENTRO DE CONTROL Y SEGUIMIENTO DE TRABAJOS
- Se analizará cómo se prepara, se lanza y se sigue la producción diaria
- Básicamente, la explotación informática ejecuta procesos por cadenas o lotes sucesivos (Batch*), o en tiempo real (Tiempo real*).
- Mientras que las aplicaciones de Teleproceso están permanentemente activas y la función de explotación se limita a vigilar y recuperar incidencias, el trabajo Batch absorbe una buena parte de los efectivos de explotación
- En muchos centros de proceso de datos, éste órgano recibe el nombre de centro de control de Batch.
- Este grupo determina el éxito de la explotación, en cuanto que es uno de los factores más importantes en el mantenimiento de la producción.
BATCH Y TIEMPO REAL:
Las aplicaciones que son Batch son aplicaciones que cargan mucha información durante el día y durante la noche se corre un proceso enorme que lo que hace es relacionar toda la información, calcular cosas y obtener como salida, por ejemplo, reportes. osea, recolecta información durante el día, pero todavía no procesa nada. Es solamente un tema de "Data Entry" que recolecta información, corre el proceso Batch (por lotes), y calcula todo lo necesario para arrancar al día siguiente.
Las aplicaciones que son tiempo real u online, son las que, luego de haber ingresado la información correspondiente, inmediatamente procesan y devuelven un resultado. Son sistemas que tienen que responder en tiempo real
