AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE SEGURIDAD DE PRESAS CONAGUA

Transcripción

1 INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD CULHUACAN TESINA Seminario de Titulación: Auditoría de las Tecnologías de la Información y Comunicaciones DES/ESIME-CUL 2009/38/10 AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE SEGURIDAD DE PRESAS CONAGUA Que como prueba escrita de su Examen Profesional para obtener el Título de: Licenciado en Ciencias de la Informática Presenta: EFREN RAMÍREZ AGUILAR IRAIS ELENA TORRES FLORES JUDITH ORALIA YAÑEZ MORALES YAZMIN MOSQUEDA JARAMILLO Que como prueba escrita de su Examen Profesional para obtener el Título de: Ingeniero en Informática Presenta: JOSÉ LUIS TAPIA MARTÍNEZ México D.F. Agosto 2010

2 IPN ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD CULHUACAN TESINA QUE PARA OBTENER EL TITULO DE: LICENCIATURA EN CIENCIAS DE LA INFORMÁTICA INGENIERÍA EN INFORMÁTICA NOMBRE DEL SEMINARIO: AUDITORIA DE LAS TECNOLOGIAS DE LA INFORMACION Y COMUNICACIONES Vigencia DES/ESIME-CUL 2009/38/10 DEBERA DESARROLLAR: YAZMIN MOSQUEDA JARAMILLO EFREN RAMÍREZ AGUILAR JOSÉ LUIS TAPIA MARTÍNEZ IRAIS ELENA TORRES FLORES JUDITH ORALIA YAÑEZ MORALES AUDITORÍA A LA BASE DE DATOS SQL DEL SISTEMA DE SEGURIDAD DE PRESAS CONAGUA En la presente tesina se aplica la auditoria informática a la Base de Datos en SQL del Sistema de Seguridad de Presas de la CONAGUA basado en la metodología COBIT, con el fin de dictaminar una recomendación para que dicho sistema siga las mejores prácticas orientadas en la metodología antes mencionada. CAPITULADO CAPITULO I CAPITULO II. CAPITULO III CAPITULO IV INTRODUCCIÓN A LA AUDITORIA BASE DE DATOS METODOLOGÍAS DE ANÁLISIS DE RIESGOS AUDITORIA A LA BASE DE DATOS DEL "SISTEMA DE SEGURIDAD DE PRESAS" DE LA CONAGUA México D.F. a 21 de agosto de 2010 M. EN C. RAYMUNDO SANTANA ALQUICIRA ING. EDUARDO MARTÍNEZ CORONA Coordinador del Seminario Instructor del Seminario M. EN C. LUIS CARLOS CASTRO MADRID Jefe de la carrera de I.C.

3 AGRADECIMIENTOS Agradezco a mi familia que ha estado a mi lado todo el tiempo, que me ha dado la felicidad de tenerlos y convivir con ellos. En especial agradezco a mi madre, Silvia, que nunca me dejo caer y siempre estuvo conmigo en este largo camino, gracias a sus consejos, su motivación y cariño. A mi padre, Efrén, que me dio todo lo necesario para llegar hasta este punto de mi vida, gracias por brindarme el soporte, fortaleza y cariño todo este tiempo. Gracias a los dos por realizar uno de mis objetivos más importante en mi formación personal y por hacer de mi una persona con valores y principios. Agradezco a mis hermanos, Emmanuel y Belén, por estar a mi lado compartiendo conmigo buenos momentos, travesuras y felicidad en el hogar. Gracias por todo, este logro es para todos ustedes. Efrén 3

4 Agradezco el apoyo que eh recibido de parte de mis padres, ya que ellos son la parte fundamental de lograr esta carrera profesional, a mi padre Sergio que con su esfuerzo y dedicación se volvió mi primer maestro y me enseño lo esencial para forjar mi carrera, agradezco a mi madre Martha que en todo momento me transmitió ese conjunto de conocimientos importantes para la vida. Además de mis padres agradezco a mis hermanos por ser en todo momento el ejemplo a seguir y ofrecer todo su esfuerzo a mis estudios así mismo brindarme la ayuda y experiencia para completar mi camino por el aprendizaje. A toda mi familia, que me ayudaron y estuvieron conmigo dándome el apoyo necesario para concluir mis estudios profesionales, además de compartir los momentos de tristeza y felicidad que nos unen y nos hacen fuertes para superarnos. A Judith por ser parte de mí, de mi vida, por estar siempre a mi lado en todo momento y apoyarme para lograr mis metas y triunfos, así como de compartir los buenos momentos de su vida y brindarme todo el amor, cariño y comprensión que se puede dar. A mis amigos les agradezco el infinito e incondicional apoyo que he recibido a lo largo de mis estudios y que en compañía de ellos he vivido buenas experiencias escolares y no olvidar de los momentos malos o difíciles que pasamos juntos y que son complemento en mi vida. También deseo agradecer a los profesores que me guiaron y trasmitieron sus conocimientos atreves de todos mis estudios, así como a mis compañeros y amigos de clases, además agradezco la valiosa participación en la realización de esta Tesina a mis profesores de Seminario, así como a mis compañeros por su ayuda y esfuerzo que realizaron en conjunto conmigo para alcanzar esta meta. Por ultimo doy gracias a la vida por todo lo que me ha dado. José Luis 4

5 A Dios: Por acompañarme y cuidarme en todos los momentos de mi vida. A mis Padres: Por su infinito apoyo a lo largo de mi vida académica y personal. A mi Esposo: Por tu compañía y apoyo incondicional. A mi AMADA Hija: Por tu infinita paciencia. Por tu tierna compañía. Por tu GRANDIOSO apoyo. Esta tesis también es tuya. David: Por ser mi fortaleza y mi ejemplo Gracias por todo tu cariño, paciencia y esfuerzo de toda la vida. Lucia y Lázaro: Gracias por todo su apoyo y Gracias por su amable paciencia A todos mis amigos y compañeros: Que formaron parte de este proyecto. Gracias por su infinito apoyo. Irais 5

6 A mis padres: Con la mayor gratitud por los esfuerzos realizados para que yo lograra concluir mi carrera profesional, siendo para mí la mayor herencia. A mi madre: que es el ser más maravilloso, gracias por el apoyo moral, cariño y comprensión que siempre me has brindado y por siempre estar al pendiente de todo lo que me sucede, Te amo. A mi padre: porque desde niña ha sido para mí un gran hombre maravilloso que siempre he admirado, por darme siempre lo necesario para seguir adelante y guiar mi camino con sabiduría. A mi hermano: Gracias por guiar mi vida con energía, buenos consejos, por tus sugerencias y opiniones. Además de ser un buen amigo y un gran ejemplo para mí, eres la mejor compañía para compartir el mismo techo. A mis amigos: Valente, Oswaldo, Edgar, Moni, y Erika por compartir tantas aventuras, experiencias, desveladas y triunfos, por apoyarme con su enorme amistad, alegría y comprensión en los momentos más importantes de mi vida convirtiéndose para mí en personas muy importantes en ella. A Luis: Por tu apoyo, comprensión y amor que me permite sentir poder lograr lo que me proponga. Gracias por escucharme, y por el cariño que me has brindado así como todos los momentos compartidos. Gracias por ser parte de mi vida. A los Maestros: Raymundo, Miguel, Eduardo y Jaime por los conocimientos y consejos impartidos durante el Seminario. Con amor, respeto y admiración Judith 6

7 Agradezco a Dios: Por darme llenarme de luz para guiar mi camino, la fortaleza para salir de los obstáculos que se presentaba y convirtiéndolo en experiencias, sobre todo muchas gracias por darme brindarme una familia hermoso que a pesar de no ser perfecta es lo más valioso que tengo. Agradezco a mi Madre: Por todo el apoyo y el amor que me has dado durante toda mi vida, mil gracias por toda esa paciencia y esfuerzo que has puesto en este camino, gracias por creer en mí, enseñándome que en la vida es de una constante lucha, de esfuerzo y dedicación para lograr nuestras metas. Te amo Agradezco a mi Padre: Por apoyarme durante mi seminario, y darme consejos cuando sentía que no podía seguir adelante. Gracias por volver a ser parte de mi vida. Te amo Agradezco a Adalid: Por ser mi ejemplo a seguir, apoyarme en todo momento, que a pesar de las distancia el amor que tenemos es mucho más fuerte, porque sin tu apoyo y consejos no hubiera podido salir adelante. Gracias por ser mi hermana. Te amo Agradezco a Claudia: Gracias por escucharme y apoyarme en esos momentos difíciles, ya que eres para mí un ejemplo a seguir, quiero que sepas que eres como una segunda hermana. Te quiero mucho. Agradezco a mis Amigos: Por todo ese apoyo y momentos vividos juntos, agradezco a Dios que los puso en mi camino, mil gracias a todos ya que de cada uno de ustedes he aprendido y me han enriquecido como persona, recuerden que los llevo en mi corazón. Los quiero mucho Agradezco a mis Profesores: Porque de ellos he aprendido tanto en lo académico como en la vida, ya que sus experiencias y enseñanzas me ayudaban a seguir adelante y a querer avanzar. Con todo con mi cariño y agradecimiento Yazmín 7

8 ÍNDICE AGRADECIMIENTOS 3 CAPÍTULO I INTRODUCCIÓN A LA AUDITORÍA ANTECEDENTES CONCEPTO DE AUDITORÍA CLASES DE AUDITORÍA Auditoría Externa FASES DE LA AUDITORÍA PLANEACIÓN EJECUCIÓN INFORME FINAL CONTROL INTERNO INFORMÁTICO AUDITORÍA INFORMÁTICA Funciones de un auditor informático AUDITORÍA EN LAS BASES DE DATOS Concepto de Auditoría de la base de datos Técnicas para el control de base de datos en un entorno complejo 20 CAPÍTULO II BASE DE DATOS CONCEPTO DE UNA BASE DE DATOS OBJETIVOS DE UNA BASE DE DATOS COMPONENTES DE UNA BASE DE DATOS CARACTERÍSTICAS DE UNA BASE DE DATOS TIPOS DE DATOS QUE INTEGRAN UNA BASE DE DATOS TIPOS DE BASES DE DATOS BASES DE DATOS ESTÁTICAS BASES DE DATOS DINÁMICAS BASES DE DATOS BIBLIOGRÁFICAS BASE DE DATOS DE TEXTO COMPLETO BASE DE DATOS DISTRIBUIDA TIPOS DE RESTRICCIONES EN UNA BASE DE DATOS RESTRICCIONES DE INTEGRIDAD CONCEPTO DE CIFRADO EN UNA BASE DE DATOS TIPOS DE CIFRADO CIFRADO DE BLOQUE 29 8

9 CIFRADO STREAM CONCEPTO DE UN SISTEMA GESTOR DE BASE DE DATOS FUNCIONES PRINCIPALES DE UN SISTEMA GESTOR DE BASE DE DATOS PROGRAMAS QUE INTEGRAN UN SISTEMA GESTOR DE BASE DE DATOS LENGUAJE DE DEFINICIÓN DE DATOS (DDL Data Definition Language) LENGUAJES DE MANIPULACIÓN DE DATOS COMPONENTES DE UN SISTEMA GESTOR DE BASE DE DATOS LOGS DE AUDITORÍA DE UNA BASE DE DATOS DEFINICIÓN DE UNA ESTAMPA DE TIEMPO DE UNA BASE DE DATOS 34 CAPITULO III METODOLOGÍAS DE ANÁLISIS DE RIESGOS CONCEPTO DE ANÁLISIS DE RIESGOS METODOLOGÍA EN AUDITORÍA INFORMÁTICA METODOLOGÍA TRADICIONAL PARA AUDITORÍA DE LA BASE DE DATOS METODOLOGÍA COBIT RECURSOS DE TI DOMINIOS PLANEAR Y ORGANIZAR (PO) ADQUIRIR E IMPLEMENTAR (AI) ENTREGAR Y DAR SOPORTE (DS) MONITOREAR Y EVALUAR (ME) MODELOS DE MADUREZ OBJETIVOS DE CONTROL EMPLEADOS PARA LA AUDITORÍA PO9 EVALUAR Y ADMINISTRAR LOS RIESGOS DE TI AI2 ADQUIRIR Y MANTENER SOFTWARE APLICATIVO DS8 ADMINISTRAR LA MESA DE SERVICIO Y LOS INCIDENTES DS11 ADMINISTRACIÓN DE DATOS DS13 ADMINISTRACIÓN DE OPERACIONES 64 CAPÍTULO IV AUDITORÍA A LA BASE DE DATOS DEL "SISTEMA DE SEGURIDAD DE PRESAS" DE LA CONAGUA MISIÓN DE LA EMPRESA VISIÓN DE LA EMPRESA ESTADO ACTUAL DEL SISTEMA DE SEGURIDAD DE PRESAS Antecedentes Descripción del Servicio 69 9

10 4.4 PROBLEMÁTICA RESUELTA POR EL SISTEMA OBJETIVO DEL SISTEMA ALCANCE DEL SISTEMA BENEFICIOS CARACTERÍSTICAS PRINCIPALES BASE DE DATOS: VINCULACIÓN Y CLASIFICACIÓN DE ARCHIVOS REPORTES FORMATOS SEGURIDAD MÓDULOS SERVICIOS CONSIDERACIONES GENERALES CARACTERÍSTICAS TÉCNICAS AUDITORÍA EN LA BASE DE DATOS DEL SISTEMA DE SEGURIDAD DE PRESAS Aspectos generales de su elaboración Objetivo Objetivos específicos PROBLEMÁTICA ALCANCE JUSTIFICACIÓN PLANEACIÓN CRONOGRAMA DE ACTIVIDADES PRESENTACIÓN DE ACTIVIDADES Y OBJETIVOS EJECUCIÓN DE LA AUDITORÍA Aspectos generales de su elaboración HALLAZGOS ANÁLISIS DE RIESGOS (CHECKLIST) MAPA DE RIESGOS CIERRE DE LA AUDITORÍA MODELO DE MADUREZ RECOMENDACIONES 87 CONCLUSIONES 89 10

11 ANEXOS 90 ANEXO 1 90 ANEXO 2 93 ANEXO 3 94 ANEXO 4 95 ANEXO 5 96 ANEXO 6 98 ANEXO ANEXO ANEXO ANEXO ANEXO ANEXO ANEXO ANEXO ANEXO ÍNDICE DE FIGURAS 129 ÍNDICE DE TABLAS 130 GLOSARIO 131 BIBLIOGRAFÍA

12 CAPÍTULO I INTRODUCCIÓN A LA AUDITORÍA 1.1 ANTECEDENTES En tiempos remotos se practicaba alguna especie de auditoría en donde los soberanos exigían un mantenimiento en las cuentas de su residencia por escribanos, para evitar desfalcos en las cuentas. A medida que se desarrolló el comercio surgió la necesidad de realizar revisiones independientes para asegurarse de la adecuación y finalidad de los registros mantenidos en varias empresas comerciales. La auditoría como profesión fue reconocida por primera vez bajo la ley Británica de sociedades Anónimas de 1862 y en reconocimiento general tuvo lugar durante el periodo de mandato de la ley un sistema metódico y normalizado de contabilidad era deseable una adecuada información y prevención del fraude. Desde 1862 hasta 1905, la profesión de auditoría creció y floreció en Inglaterra para introducirse en los Estados Unidos hacia 1900, el objetivo principal consistía en la detección y prevención de errores. En los Estados Unidos se desarrollaba la auditoría interna y del Gobierno, lo que entró a formar parte del campo de la auditoría. A medida que los auditores percibían una importancia en contar un buen sistema de control interno y su relación con el alcance de las pruebas a efectuar en una auditoría independiente, progresivamente las compañías adoptaron la expansión de las actividades del departamento de la auditoría interna hacia áreas que están más allá de su alcance de los sistemas contables. Muchos ingleses de la comunidad de inversionistas en América, tenían fuertes intereses económicos en Estados Unidos, esto presentaba el problema de que a las operaciones económicas pudieran ser manipuladas en perjuicio de los dueños británicos. Se puede decir que a un auditor se relaciona con el sentido del auditivo, la razón es por que como el sentido del oído conforma el equilibrio en el ser humano, el auditor conforma la parte de oír y reportar las irregularidades que se presenten en las operaciones en las empresas. En la actualidad la información se ha convertido en uno de los activos principales de las empresas, que representan su principal ventaja estratégica. Las empresas invierten enormes cantidades de dinero y tiempo en la creación de sistemas de información que les ofrezcan la mayor productividad y calidad posibles. Es por eso que los temas relativos a la auditoría informática cobran cada vez más relevancia tanto a nivel internacional como nacional. 12

13 De esta importancia la auditoría se debe pensar en el auditor como un elemento imprescindible para una sana operación de las empresas, el papel de auditor ha pasado de ser un detector de problemas a un identificador de oportunidades y emisor de propuestas de valor. Un auditor actual no puede concebirse así mismo simplemente como el responsable de identificar riesgos en la operación de una empresa, aunque ciertamente la identificación de riesgos sigue siendo una parte importante de sus actividades, su compromiso profesional va más allá de fungir como un mecanismo detectivo. EVOLUCIÓN DE LA PRÁCTICA DE AUDITORÍA Enfoque tradicional Enfoque Actual Objetivo: Evaluar un conjunto de prácticas operativas vinculadas al diseño, desarrollo y explotación del soporte de TI, así como adquisición de bienes o contratación de servicios requeridos para brindar estas funciones y su administración (cumplimiento) Objetivo: Evaluar el nivel de seguridad y control del entorno de TI asegurando que refuerza la estructura de control interno de la organización (cumplimiento) Asegurar que la organización obtiene un beneficio en sus recursos de TI contribuyendo a reforzar el gobierno corporativo de la organización (Desempeño y Gestión) Tabla 1.1 Evolución de la Práctica de auditoria 1.2 CONCEPTO DE AUDITORÍA La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene virtud de oír. Conceptualmente la auditoría es la actividad consistente en la emisión de una opinión profesional sobre el objeto sometido al análisis. Definición Es un proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda los activos, mantiene la integridad de los datos, lleva acabo los fines de la organización, y utiliza eficientemente los recursos. 13

14 1.3 CLASES DE AUDITORÍA La auditoria comprende el análisis y gestión de sistema para identificar y posteriormente corregir las diversidades vulnerabilidades. El objeto sometido a estudio, sea cual sea su soporte, por una parte y la finalidad con que se realiza el estudio, definen el tipo de auditoría que se trata. CLASE CONTENIDO OBJETO FINALIDAD Financiera Opinión Cuentas anuales Presentan realidad Informática Opinión Sistemas de aplicación recursos informáticas, planes de contingencia Operatividad eficiente y según normas establecidas Gestión Opinión Dirección Eficiencia, Eficacia economicidad Cumplimiento Opinión Normas establecidas Las operaciones se adecuan a estas normas Tabla 1.2 Clases de auditoría. La auditoría en la organización se divide en dos campos: Auditoría Interna Es una actividad independiente que tiene lugar dentro de la empresa y que está encaminada a la revisión de operaciones contables y de otra naturaleza, con la finalidad de prestar un servicio a la dirección. Las auditorías internas son hechas por personal de la empresa. Un auditor interno tiene a su cargo la evaluación permanente de control de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los métodos y procedimientos de control interno que redunden en una operación más eficiente y eficaz. Objetivo Revisión y evaluación de controles contables, financieros y operativos. Determinación de la utilidad de políticas, planes y procedimientos, así como su nivel de cumplimiento. Divulgación de políticas y procedimientos establecidos. Información exacta a la gerencia. 14

15 1.3.2 Auditoría Externa Es una actividad que se desempeña fuera de la organización para examinar y evaluar lo sistemas informáticos de esta, emitiendo una opinión independiente sobre los mismos teniendo por objeto averiguar la razonabilidad, integridad y autenticidad de los datos La auditoría externa en general es un examen crítico, sistemático y detallado de un sistema de información de una unidad económica, utilizado técnicas determinadas y con el objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control interno del mismo y formula sugerencias para su mejoramiento. Objetivo Obtención de elementos de juicio fundamentados en la naturaleza de los hechos examinados Medición de la magnitud de un error ya conocido, detección de errores supuestos o confirmación de errores. Detección de los hechos importantes ocurridos tras el cierre del ejercicio. Control de las actividades de investigación y desarrollo. Diferencias entre auditoría interna y externa La auditoría interna se lleva a cabo con personas pertenecientes a la misma empresa, mientras que la externa exige como condición esencial a la misma y de su credibilidad, que los profesionales que la realizan no formen parte de la empresa auditada, es decir que sean totalmente independientes de ella y de sus directivos. Los trabajos de auditoría externa se desarrollan de acuerdo con normas y procedimientos internacionalmente homologados, mientras que los procedimientos de auditoría interna son mucho más flexibles y depende en cada caso de la empresa, de sus dirigentes y de los propios responsables de la auditoría. 1.4 FASES DE LA AUDITORÍA Los controles pueden implantarse a varios niveles, por lo que se requiere analizar diversos elementos interdependientes para llegar a conocer bien la configuración del sistema, con el objeto de identificar los elementos, productos y herramientas que existen para saber dónde pueden implantarse los controles, así como identificar posibles riesgos, Figura

16 Figura 1.1. Fases de la auditoría PLANEACIÓN Uno de los objetivos de un auditor es proceder a obtener un conocimiento general de la empresa que va ser auditada, sus características de negocio, su infraestructura tecnológica, sus sistemas de información, sus áreas de riesgo, sus objetivos estratégicos y cualquier asunto de interés específico sobre la auditoría a realizar. Para efectuar todo lo anterior el auditor debe realizar un trabajo de planeación en el que determine un procedimiento de revisión que deberá emplear el personal responsable del desarrollo de las actividades y las fechas de la duración aproximada EJECUCIÓN En esta fase se realizarán diferentes tipos de pruebas y análisis para determinar su razonabilidad, detectando las posibles amenazas y vulnerabilidades si es que los hay, evaluando los resultados de las pruebas se identifican los hallazgos; con lo que se elaborará posteriormente las conclusiones y recomendaciones que serán comunicadas a las autoridades de la entidad auditada. Elementos de la fase de ejecución Las etapas que conforman la ejecución son: 1. Análisis. 2. Pruebas de la Auditoría. 3. Evaluación del Riesgo. 4. Hallazgos de la Auditoría. 5. Implementación de los controles. 16

17 1.4.3 INFORME FINAL Este informe incluye detalles y recomendaciones de la sección de análisis de riesgos, además de realizar un costo- beneficio a los puestos jerárquicos que se dedican a la toma de decisiones. El informe lleva una visión rápida de los aspectos previamente realizados, en los cuales se redactan en el Informe de Auditoría Informática, esto es la comunicación del Auditor informático, al cliente de manera formal teniendo como puntos principales: Objetivo Periodo de cobertura Extensión del trabajo realizado Resultados y Conclusiones También se puede decidir si el informe es largo o por el contrario corto, detallando las debilidades que se tienen en el control interno, incluso de hechos o aspectos que tengan en cuenta con la legislación vigente. La redacción del informe deberá ser clara, adecuada, suficiente y comprensible. Una utilización apropiada del lenguaje informático resulta recomendable. Estructura del Informe 1. Identificación del Informe: Título del informe que deberá identificarlo con objeto de distinguirlo de otros informes. 2. Identificación del cliente: Deberá identificarse a los destinatarios y a las personas que efectúen el encargo. 3. Identificación de la entidad auditada: Identificación de la entidad con objeto de la Auditoría Informática. 4. Objetivos de la Auditoría Informática Declaración de los objetivos de la auditoría para identificar su propósito señalando los objetivos cumplidos. 5. Normativa aplicada y excepciones: Identificación de las normas legales y profesionales utilizadas, así como las excepciones significativas de uso y el posible impacto en los resultados de la auditoría. 6. Alcance de la Auditoría: Concretar la naturaleza y extensión del trabajo realizado: área organizativa, periodo de auditoría, sistemas de información, señalando limitaciones al alcance y restricciones del auditado. 7. Conclusiones: Informe corto de opinión. Lógicamente se ha llegado a los resultados y sobre todo, a la esencia del dictamen, la opinión y los párrafos de salvedades y énfasis, si procede. 17

18 1.5 CONTROL INTERNO INFORMÁTICO El control interno informático se encarga de controlar diariamente que todas las actividades de los sistemas informáticos sean realizadas cumpliendo los procedimientos, estándares y no normas fijados por la dirección de la organización y/o dirección de Informática, así como los requerimientos legales. La misión del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. Sus principales objetivos son: Controlar las actividades para que se cumplan los procedimientos y normas fijados asegurándose del cumplimiento de las normas legales. Colaborar y apoyar el trabajo de auditoría informática, así como de las auditorías externas. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los servicios. 1.6 AUDITORÍA INFORMÁTICA La auditoría en informática es la revisión y la evaluación de los controles de los sistemas, su utilización con eficiencia y seguridad en la organización participan en el procesamiento de la información, a fin de que por medio de señalamientos de cursos alternativos se logre una mayor eficiencia y seguridad en la información que servirá para una adecuada toma de decisiones. Es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Al momento de realizar una auditoría de sistemas, el auditor deberá reunir las evidencias necesarias que permita realizar una evaluación de las fortalezas y debilidades de los controles existentes en la organización con la finalidad de preparar un informe de auditoría que presente temas en forma objetiva a la gerencia, así mismo la gerencia de auditoría deberá disponer y asignar adecuadamente de recursos para el trabajo de auditoría además de realizar seguimiento en las acciones correctivas emprendidas por la gerencia Funciones de un auditor informático Participar en las revisiones durante y después del diseño realización, implantación y explotación de aplicaciones informáticas. 18

19 Revisar y juzgar los controles implantados en los sistemas, para verificar su adecuación a las órdenes e instrucciones de la dirección. Revisar y juzgar el nivel de eficiencia, utilizada, fiabilidad y seguridad de los equipos e información. Cuadro de comparación CONTROL INTERNO INFORMÁTICO AUDITORIA INFORMÁTICA SIMILITUDES Conocimientos especializados en la tecnología de información Verificación del cumplimiento de controles internos y procedimientos establecidos por la dirección de informática. DIFERENCIAS Análisis de controles en el día a día El alcance de sus funciones es únicamente sobre el departamento de informática. Análisis de un momento informático determinado Tiene cobertura sobre todos los componentes de los sistemas de información de la organización Tabla 1.3 Comparación Control Interno y Auditoría Informática El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informativos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software. El auditor es responsable de revisar e informar a la Dirección de la organización el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada. Se puede establecer tres grupos de funciones a realizar por un auditor informático: Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones informativas. Revisar y juzgar los controles implantados en los sistemas informativos para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información. 19

20 1.7 AUDITORÍA EN LAS BASES DE DATOS El objetivo de la base de datos, no es tan solo contar con los recursos de información si no también los mecanismos necesarios para poder encontrar y recuperar esos recursos. De esta forma la base de datos se ha convertido en un elemento indispensable tanto para el funcionamiento de los grandes motores de búsqueda y la recuperación de la información como también para la creación de sedes Web, intranets y otros sistemas de información. Las bases de datos se han constituido como una herramienta más ampliamente difundida por la sociedad de la información, utilizadas como un almacenamiento de información en todos los campos, científica, social, económica, cultural y político. El uso de estos sistemas automatizados se desarrollo a partir de la necesidad de almacenar grandes cantidades de datos, para su posterior consulta, producidas por las En la actualidad existe una gran difusión en los Sistemas de Gestión de Base de datos, como una consagración de los datos como uno de los recursos fundamentales para las empresas, por lo que ha hecho temas relativos a su control interno y auditoría cada vez de mayor interés Concepto de Auditoría de la base de datos Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en la base de datos incluyendo la capacidad de determinar: Quien accede a los datos Cuando se accedió a los datos Desde que ubicación en la red Desde que tipo de dispositivo /aplicación Cual fue la sentencia ejecutada en SQL Cual fue el efecto de acceso a la base de datos Técnicas para el control de base de datos en un entorno complejo El SGBD influyen en la seguridad e integridad de los datos, en los que cada uno se apoya en la operación correcta y predecible de otros, el efecto es debilitar la seguridad global del sistema, reduciendo la fiabilidad e introduciendo un conjunto de controles descoordinados y difíciles de gestionar. La dirección de la empresa tiene, por tanto la responsabilidad fundamental por lo que se refiere a la coordinación de los distintos elementos y a la aplicación consistente de los controles de seguridad. Para llevar a cabo esta labor se deben fijar claramente las responsabilidades sobre los diferentes componentes, utilizar informes de excepción efectivos que permitan monitorizar los controles, establecer 20

21 procedimientos adecuados, implantar una gestión rigurosa de la configuración del sistema. Por lo que es recomendable realizar matrices de control; estas matrices sirven para identificar los conjuntos de datos de SI junto con los controles de seguridad o integridad implementados sobre los mismos. 21