Issuu on Google+

Universidad Austral de Chile Facultad de Ciencias Económicas y Administrativa Escuela Auditoría

Auditoría y Seguridad Informática

Curso: Sistema Información Administrativa

Integrantes Bruno Andrade M. Orlando Miranda R. Cesar Villanueva F. Profesor Cristian Salazar C.

Valdivia, 29 de Mayo de 2012.


Estudiantes 5° año Contador Auditor Universidad Austral de Chile

Bruno Andrade Macías

Orlando Miranda Rojas

Cesar Villanueva Figueroa


Auditoría Informática Los sistemas tecnológicos son cada vez más importantes en el desarrollo de cualquier

empresa

que

se

considera

competitiva y es por esto que el impulso de la auditoría informática se basa en la gran importancia que hace ya varios años tienen las tecnologías de la información y como estás se transforman en uno de los activos más importantes y relevantes para lograr el éxito de una empresa, por ende, la Auditoría Informática esta dedicada a analizar, evaluar y verificar el correcto funcionamiento de los sistemas y las políticas de la empresa, desde los procedimientos básicos como el manejo de información de proyectos, procesos productivos, carteras de clientes, etc, hasta la seguridad y procesos informáticos de la empresa, en otras palabras, está no solo se dedica a evaluar los sistemas de computación sino que también verifica que todos los sistemas de información que se están ocupando sean confiables y seguros, de esta forma se mejorara la rentabilidad, seguridad y eficacia del sistema, lo cual ayudara a empresas e instituciones a desarrollar diversos procedimientos en forma optima y por sobretodo mejorara la confianza en la empresa por parte de los shareholders (accionistas) y de los stakeholders (la comunidad, los clientes, los proveedores, etc) Para que se lleve a cabo la auditoría informática es necesario contar con profesionales altamente calificados, como lo son los auditores informáticos, el cual es importante que cuenten con una amplia experiencia en distintas ramas, ya sea como responsable de proyectos y experiencia en diversos software, por ejemplo el Software Meycor COBIT, que es uno de los software más utilizados, este crea y gestiona proyectos de auditoría dedicados a la tecnología de la información, respecto al nivel de seguridad, calidad, eficacia y eficiencia de está. Hoy en día en nuestro país y el mundo varias consultoras se dedican a verificar el correcto funcionamiento de los sistemas informáticos de las empresas, entre las


cuales destacamos a: Deloitte, KPMG, Price WaterhouseCoopers y Ernst and Young. (Las BigFour). Para complementar, de acuerdo al texto Ching-Wen Lin, Chih-Hung Wang, (2011),"A selection model for auditing software", Industrial Management & Data Systems, Vol. 111 Iss: 5 pp. 776 – 790, podemos comentar que actualmente las organizaciones dependen mucho de sistemas asistidos por computadores, ya que han implementado varias bases computacionales para sus negocios y documentación, además de herramientas y técnicas para auditar computacionalmente la información, los llamados CAATT. Estos pueden asistir al auditor en las pruebas de control y conducta, verificaciones y análisis de información financiera y continuamente pueden monitorear y auditar. El autor además propone una forma o un procedimiento de cómo elegir bien este software de asistencia computacional, a modo de ser compatible con los requisitos y capacidades de la empresa. El estudio primero conduce a la formación de focus Group por medio de entrevistas, para determinar los criterios de elección o fabricación del software de asistencia de auditoria, y evaluar cada uno de los factores, luego identificar el factor de decisión principal, el cual servirá de base para la decisión y finalmente los procesos analíticos de la red que son empleados para evaluar las debilidades de los criterios y factores para construir un modelo de software que cumpla tanto con factores objetivos y subjetivos. El autor señala que dentro de los principales criterios para la elección del software apropiado es el correcto funcionamiento del sistema, seguido de sus procesos y soportes técnicos y servicios suministrados por la compañía del software. También, dentro de los principales factores para la elección del software debemos considerar el costo y la estabilidad del sistema, seguido de su precisión, soporte técnico y costos de implementación


La contribución principal que hace el autor es dar una pauta o guía de como poder elegir un buen software de acuerdo a las necesidades, capacidades y procedimientos de cada compañía, de una manera clara, analizando los factores y decisiones centrales a considerar.

Seguridad de la Información Otro punto importante y no menos relevante es la información confidencial, enfocada a proyectos, cartera de clientes, datos del personal, entre otras, que manejan las empresas, esta información clasificada permite a las empresas lograr sus objetivos y en muchos casos llegar hacer la numero uno en el rubro al que pertenece, es por esto, que nace el objetivo de la seguridad de la información, ya que en su función protegerá toda la infraestructura computacional que posee la empresa de todos aquellos virus y hacker que buscan introducirse dentro del computador y/o software para alterar el normal funcionamiento de cualquier computadora. Cabe destacar que cada una de estas empresas posee una alta seguridad respecto de toda la información que manejan, primero esta un departamento completo dedicado al mantenimiento y cuidado de los hardware y de la intranet con la que opera la entidad, y por medio de ella misma existen políticas estrictas de seguridad informativa, revisando continuamente y cada cierto periodo de tiempo los computadores de los colaboradores, que estén libres de virus, malware, además, evaluando cada tipo de información con un nivel de seguridad, dentro de una escala de 1 a 3 generalmente, donde solo cierto tipo de personas puede acceder a un nivel determinado de información, algo similar a como funcionan las fuerzas militares con sus protocolos de seguridad, estas políticas o protocolos dan un plus a todo este escudo protector de información, para que en lo ideal no se filtre ningún solo dato que pueda comprometer a la organización o comprometer a sus clientes, o incluso a sus colaboradores, y por supuesto, los intereses económicos y de imagen de la compañía.


De igual forma, muchas Empresas se han instado a hacer seguridad de la información, ya que eso lo ven como una cuestión estratégica para las organizaciones, para así, competir y sobrevivir en esta era de la economía mundial y el riesgo empresarial que se encuentra en constante cambio, así lo manifiestan Jacqueline H. Hall, Shahram Sarkani and Thomas A. Mazzuchi, en su revista “Impacts of organizational capabilities in information security” Aumentar la inversión en seguridad de la información no garantiza que esta sea más efectiva, es por esto, que la aplicación efectiva de la estrategia de seguridad de la información sigue siendo uno de los principales retos que enfrentan las organizaciones globales. “La falta de una estrategia de información de

seguridad

proactiva

para hacer la información mas disponible, accesible, segura

y

protegida

adecuadamente

puede

interrumpir operaciones graves

las y

riesgos

desempeño organización

plantean para

el

de

la

y

la

competitividad, así como a los de los clientes”,( Fratto, 2009 ; Wood, 1993 ; FFIEC, 2006 ; Allen, 2005, citado por Jacqueline H. Hall, Shahram Sarkani and Thomas A. Mazzuchi, 2011). Lo expuesto anteriormente, manifiesta que el desarrollar una buena estrategia de información de seguridad es muy importante, porque abarca varios puntos dentro de la organización, que pueden ser bastante perjudiciales en caso que no exista una estrategia o esta no sea empleada de buena forma por los encargados de llevarla a cabo para un optimo funcionamiento. A pesar de los avances técnicos que proporcionan las herramientas existentes para proteger los activos de información, la tecnología por sí sola no es suficiente, y las amenazas de seguridad de la información y las vulnerabilidades también se han


incrementado ( Alberts, 2003 ; Deloitte, 2008 ; ISACA, 2009, citado por Jacqueline H. Hall, Shahram Sarkani and Thomas A. Mazzuchi, 2011), es por ello que es necesaria una buena estrategia para que los controles de la seguridad de la información sean eficientes y capaces de lograr el objetivo para el cual se esta utilizando o fueron adquiridos los diversos sistemas de seguridad. En la última década, la seguridad y la información han ido más allá de los límites de la academia a jugar un papel clave para mejorar los objetivos de negocio y crear una ventaja competitiva, esto porque muchas entidades ya lo están realizando, creando equipos de trabajo que puedan mejorar la seguridad informática y así no arriesgarse a que les puedan dañar o robar la información que poseen en diversos software, porque en caso que llegara a suceder la empresa podría encontrarse con graves peligros

por

confidencialidad

la de

la

información que se puede perder.

Cada

vez

más

empresas de todo el mundo ahora

consideran

la

información, como un activo vital

para

su

negocio,

fundamental para el éxito de las

organizaciones

en

el

actual mundo conectado y de complejo entorno empresarial, es por ello que cada empresa invierte en diversos sistemas de seguridad para la información que poseen. Habitualmente, cuando un usuario pretende realizar una transacción con una empresa por medio de la red le es requerida una clave de usuario (login) y una contraseña (password), los usos y hábitos de estas claves en internet tienen algunas carencias en la gestión de la seguridad de la información, en relación con el empleo de las contraseñas, y se ve afectada por fraudes las que perjudican tanto a las personas, empresas u organizaciones de todo índole, es por esto, que las empresas emplean una serie de procedimientos debido que la seguridad de las aplicaciones en la web son fundamentales, ya que estas guardan datos confidenciales de los usuarios, por ejemplo, si una aplicación web que almacena información de tarjetas de crédito es violada, la


información puede filtrarse y por ende falla la protección de los datos del usuario. Una aplicación web puede soportar varios tipos de transacciones tales como financieros, la banca electrónica, la consulta en tiempo real, la comunicación con otros usuarios, así como las funciones y servicios dentro de una organización. Helen Kapodistria, Sarandis Mitropoulos and Christos Douligeris, en su revista “An advanced web attack detection and prevention tool (2011)”, dan a conocer una herramienta para poder hacer frente a la serie de amenazas que atacan a las aplicaciones en la web, llamada webdefender, su objetivo es proteger las aplicaciones que se instalan en cualquier servidor web, controlando y validando las conversaciones HTTP entre los navegadores web y el servidor web, siendo fundamental que los clientes no estén conscientes de la existencia de la herramienta. WebDefender debe validar todas las peticiones HTTP antes de que se envíen al servidor web, con el fin de detectar los ataques web que son la consecuencia de la falta de validación de entradas. Mientras tanto, las respuestas HTTP deben ser validadas y registradas para el contexto malicioso con el fin de evitar que se almacenen “Las

organizaciones

emplean autentificación

e

individuos

procedimientos para

proteger

de sus

datos. Entre ellos, el método de autentificación más utilizado identifica a un usuario a través de la entrada de un nombre de usuario y determina que la persona es legítima a través de la entrada de una contraseña correcta ( Adams y Sasse, 1999 ). En los últimos años, técnicas más avanzadas, como la biométrica se han propuesto para proteger los sistemas de bases de datos de personas no autorizadas. Estos métodos implican la verificación de usuarios a través de las huellas dactilares, rasgos faciales coincidentes, lirios, o voces ( Jain et al. , 2006 ). A pesar de que estas nuevas tecnologías se están adoptando gradualmente, el nombre de usuario y contraseña de método de autentificación sigue siendo el procedimiento más utilizado para la protección de datos” (Jun Sun, Punit Ahluwalia and Kai S. Koong, 2011), si bien es cierto las contraseñas son personales muchas personas dejan como contraseña fechas de nacimiento, nombres de algún ser querido, lo que hace que esta sea mas fácil de adivinar por quienes les interese obtener la contraseña, pero también, existen algunos sitios web en los que


cuando es necesario registrarse te exigen un cierto grado de dificultad a la hora de crear una contraseña, esta es una muy buena medida para quienes están acostumbrados a crear una contraseña que no tiene una mayor dificultad para adivinarla, porque es muy peligroso que otras personas se puedan hacer pasar por nosotros en algún sitio web.

Sugerencias para crear una contraseña segura En este caso, Microsoft entrega algunas sugerencias para crear una contraseña

segura,

estas

son

las

siguientes:

Tener ocho caracteres como mínimo.

No contener el nombre de usuario, el nombre real o el nombre de la empresa.

No contener una palabra completa.

Ser significativamente diferente de otras contraseñas anteriores.

Estar compuesta por caracteres de las cuatro categorías (letras mayúsculas, minúsculas, números y símbolos del teclado).

Por otra parte la INTECO (Instituto Nacional de Tecnologías de la Información de España), da a conocer una serie de acciones que deben evitarse para la gestión de una contraseña segura: •

Se debe evitar utilizar la misma contraseña siempre en todos los sistemas o servicios.

No utilizar información personal en la contraseña.

Hay que evitar utilizar secuencias básicas de teclado


No repetir los mismos caracteres en la misma contraseña.

Hay que evitar también utilizar solamente números, letras mayúsculas o minúsculas en la contraseña.

No se debe utilizar como contraseña, ni contener, el nombre de usuario asociado a la contraseña.

• •

No utilizar datos relacionados con el usuario que sean fácilmente deducibles. No escribir ni reflejar la contraseña en un papel o documento donde quede constancia de la misma. Tampoco se deben guardar en documentos de texto dentro del propio computador.

No escribir las contraseñas en computadores de los que se desconozca su nivel de seguridad.

Para finalizar podemos decir que hoy en día la auditoría informática es indispensable en toda compañía debido al gran uso de recursos tecnológicos que la empresa utiliza en el desarrollo de los procesos productivos, administrativos, contables y financieros, es por esto que esta se debe encargar de controlar y verificar todos los procedimientos relacionados con los sistemas informáticos de dichos procesos, al mismo tiempo debe establecer diversos sistemas de seguridad para abordar aquellas amenazas que afecten a dichos sistemas. Una empresa que no utilice sistemas informáticos para el desarrollo de las diversas actividades, esta obsoleta y nunca podrá competir con aquellas que si los utilizan, los sistemas de información se convierten en una ventaja competitiva que ayuda a lograr los objetivos de manera eficiente, es por esto, que es necesario establecer mecanismo y procesos que verifiquen y controlen el correcto funcionamiento de los sistemas informáticos. Siempre es bueno reforzar los niveles de seguridad para que otras personas no puedan tener acceso a información que es personal y de vital importancia, ya sea para personas, empresas, gobiernos, etc.


Referencias Bibliográficas •

Ching-Wen Lin, Chih-Hung Wang, (2011),"A selection model for auditing software", Industrial Management & Data Systems, Vol. 111 Iss: 5 pp. 776 – 790.

Helen Kapodistria, Sarandis Mitropoulos, Christos Douligeris, (2011),"An advanced web attack detection and prevention tool", Information Management & Computer Security, Vol. 19 Iss: 5 pp. 280 – 299.

Jacqueline H. Hall, Shahram Sarkani, Thomas A. Mazzuchi, (2011) "Impactos de las capacidades organizativas de seguridad de la información", Gestión de la Información y de Seguridad Informática, vol. Iss 19: 3, pp.155 – 176.

Junio Sun, Punit Ahluwalia, Kai S. Koong, (2011) "El más seguro el mejor Un estudio de la preparación de información de seguridad?", Gestión Industrial y Sistemas de Datos, vol. 111 ISS: 4. Referencias Electrónicas

http://windows.microsoft.com/es-CL/windows-vista/Tips-for-creating-a-strongpassword.

http://www.unirioja.es/servicios/si/seguridad/difusion/politica_contrasenas.pdf .


Ensayo Auditoria y Seguridad Informatica