Auditora de la seguridad de los sistemas computacionales

Podemos definir este tipo de auditora de la siguiente manera:

Es la revisin exhaustiva, tcnica y especializada que se realiza a todo lo relacionado con la
seguridad de un sistema computacional, de sus reas y personal, as como a las actividades,
funciones y acciones preventivas y correctivas que contribuyan a salvaguardar la seguridad de los
equipos computacionales, de las bases de datos, redes, sistemas, instalaciones y usuarios del
mismo. Es tambin la revisin de los planes contra contingencias y mediadas de proteccin para la
informacin, los usuarios y los propios sistemas computacionales, y en s es la evaluacin de todos
aquellos aspectos que contribuyen a la proteccin y salvaguarda del buen funcionamiento del rea
de sistematizacin, sistemas de redes o computadoras personales, incluyendo la prevencin y
erradicacin de los virus informticos.
El crecimiento de la tecnologa informtica ha sido tan desmesurado que hoy en da no existe una
empresa que no cuente con sistemas computacionales para desarrollar sus actividades; sin
embargo, a la par de ese avance tecnolgico, tambin han crecido los problemas relacionados con
la administracin de la seguridad de los sistemas computacionales y han surgido mltiples
problemticas que repercuten en el trabajo adecuado de dichos sistemas. Y no nicamente en las
empresas, sino en las casas, las escuelas y en muchos lugares donde la informtica est presente.
Precisamente, con la auditora de sistemas computacionales se puede evaluar la repercusin de la
seguridad, proteccin y salvaguarda de los sistemas de la empresa, analizando sus impactos en los
siguientes aspectos:
En los sistemas computacionales y dispositivos perifricos.
En la informacin institucional y bases de datos.
En los sistemas operativos, lenguajes, programas, paqueteras, utileras y dems software
institucional.
En los activos informticos del rea de sistemas.
En el personal informtico y los usuarios del sistema.
En la proteccin y conservacin de locales, instalaciones, mobiliario y equipos.
En los accesos a las reas de sistemas, as como a sus sistemas computacionales, informacin y
software.
En la arquitectura de las telecomunicaciones.
En los sistemas de redes, sistemas mayores y PCs.
En la piratera informtica.
En los virus informticos.
stos son algunos de los muchos aspectos de la seguridad de los sistemas computacionales de las
empresas que se deben evaluar, aunque esto se puede aplicar tambin para las populares
computadoras de las casas, escuelas y pequeas empresas.
A continuacin analizaremos los principales aspectos que se deben contemplar en la auditora de
la seguridad de los sistemas computacionales, mismos que presentaremos de manera general, ya
que su real aplicacin se debe hacer de acuerdo con las caractersticas y necesidades de la
administracin de la seguridad, proteccin y salvaguarda de los bienes informticos o del sistema
computacional del rea de cmputo de cada empresa:
Auditora de la seguridad en las condiciones e instalaciones fsicas del rea de sistemas.
Proteccin contra los riesgos y contingencias de origen natural relacionadas con el medio
ambiente de trabajo.
Las condiciones generales de trabajo de los sistemas computacionales, para el bienestar y
comodidad de los empleados y usuarios del sistema.
Proteccin contra la humedad del medio ambiente.
Medidas para prevenir que los sistemas computacionales, las instalaciones elctricas,
telefnicas y de datos tengan contacto con el agua.
Proteccin contra las partculas de polvo y desechos voltiles de cualquier tipo en el medio
ambiente, a fin de evitar desperfectos en los sistemas computacionales, medios de
almacenamiento y el deterioro de los activos informticos del rea de sistemas.
Proteccin contra la esttica e imantacin producidas por fibras sintticas, metales, por algunos
plsticos y por el cabello humano y animal que pueden repercutir en el funcionamiento de los
sistemas computacionales de la empresa.
Anlisis de los sistemas de acondicionamiento y pisos falsos.
Anlisis de la regulacin de temperatura y aire acondicionado.
Anlisis de los suministros de energa, comunicaciones y procesamiento de datos.
Anlisis de la limpieza del rea de sistemas.
Proteccin contra riesgos y contingencias relacionados con el medio ambiente de trabajo en las
reas de sistemas de la empresa.
La iluminacin artificial del rea de sistemas y la iluminacin por medio de luz solar.
Las instalaciones elctricas, de datos y de comunicacin.
Los accesos y salidas en las reas de sistemas.
La repercusin de los aspectos de carcter ergonmico.
Las adaptaciones de los equipos de cmputo.
Las condiciones de trabajo con computadora.
Proteccin contra contingencias causadas por la temperatura del sistema de
aire acondicionado.
La ventilacin natural de las reas y espacios.
Proteccin contra riesgos y contingencias causados por factores meteorolgicos, atmosfricos y
desastres naturales incontrolables.
Por precipitacin pluvial, de nieve, de granizo y otras precipitaciones.
Por vientos, huracanes, ciclones y fenmenos atmosfricos.
Por terremotos y temblores.
Por inundaciones, marejadas, maremotos y fenmenos martimos.
Por tormentas elctricas.
Por incendios accidentales.
Otros fenmenos de origen natural que afectan a las reas de sistemas y a los propios sistemas
computacionales.
Proteccin contra riesgos y contingencias derivados del suministro de la energa elctrica.
Prevencin de interrupciones del suministro de energa elctrica para el funcionamiento de los
sistemas computacionales.
Continuidad del suministro de la energa elctrica, por medio de la red pblicao plantas de
emergencia, fuentes ininterrumpidas de poder y no-breaks.
Previsin en la funcionalidad, distribucin adecuada y seguridad de las instalaciones elctricas
del rea de sistemas.
Prevencin de fallas y deficiencias de la red pblica de suministro de electricidad.
Proteccin contra las variaciones de voltaje, as como el uso de reguladores de corriente,
contactos supresores de picos y sistemas de no-breaks.
El anlisis del cableado pblico de las instalaciones elctricas que estn fuera de la empresa.
El anlisis del cableado, construcciones y adaptaciones elctricas, contactos, tierra fsica y
dems instalaciones elctricas internas del rea de sistemas.
Proteccin y seguridad de los espacios fsicos de las instalaciones de cmputo.
En los sistemas de vigilancia de las reas de sistemas.
En los accesos a las instalaciones de las reas de cmputo.
En las reas restringidas y de accesos exclusivos.
En las reas de trabajo de sistemas, almacenamiento, cintotecas (bvedas) y otros espacios de
sistemas.
En la administracin y control de los medios de seguridad, observacin y vigilancia de los
sistemas computacionales.
En la vigilancia del mobiliario, equipo y activos informticos de las reas de sistemas.
En la vigilancia del almacenamiento de informacin, datos y software institucional en las reas
de cmputo.
En la vigilancia de accesos a los sistemas computacionales en las reas ajenas al centro de
cmputo.
En la seguridad, salvaguarda y proteccin de las cintas, disquetes y otros medios magnticos
utilizados en el rea de sistemas.
En la seguridad y proteccin de manuales, instructivos, datos, informacin y reportes del rea
de sistemas.
La totalidad, veracidad y confiabilidad de la captura de informacin.
El anlisis a los planes de contingencias informticas.
Evaluar la existencia, difusin, aplicacin y uso del plan contra contingencias de sistemas.
Evaluar la aplicacin de simulacros, as como del plan contra contingencias durante la
ocurrencia de siniestros en los sistemas.
Evaluar la confiabilidad, veracidad y oportunidad en la aplicacin de las medidas del plan contra
contingencias.
Auditora de la seguridad y proteccin en el diseo de las instalaciones del rea de sistemas de la
empresa o empresas de cmputo.
En el anlisis de los estudios de localizacin de planta para instalar el rea de sistemas.
En el anlisis para la localizacin de instalaciones fsicas del rea de sistemas.
En el anlisis de los estudios de la densidad de poblacin.
En el anlisis de la infraestructura pblica de servicios.
En el anlisis de los medios de comunicacin pblica, y de los medios de transporte de
pasajeros.
En el anlisis de los estudios de composicin del suelo para prevenir desastres naturales.
En el anlisis del cableado telefnico interno para el funcionamiento del rea de sistemas.
En el anlisis del cableado externo y redes pblicas del servicio telefnico, as como de
telecomunicacin para el funcionamiento del rea de sistemas.
Auditora de la seguridad en los sistemas computacionales.
Evaluar el rendimiento y uso del sistema computacional y de sus perifricos asociados.
Evaluar la existencia, proteccin y periodicidad de los respaldos de bases de datos, software e
informacin importante de la organizacin.
Evaluar la configuracin, instalaciones y seguridad del equipo de cmputo, mobiliario y dems
equipos del rea de sistemas.
Evaluar el rendimiento, aplicacin y utilidad del equipo de cmputo, mobiliario y dems
equipos.
Evaluar la seguridad en el procesamiento de informacin.
Evaluar los procedimientos de captura, procesamiento de datos y emisin de resultados de los
sistemas computacionales.
Auditora de la seguridad del hardware.
Realizar inventarios de hardware, equipos y perifricos asociados.
Evaluar la configuracin del equipo de cmputo (hardware).
Evaluar el rendimiento y uso del sistema computacional y sus perifricos asociados.
Evaluar el estado fsico del hardware, perifricos y equipos asociados.
Auditora de la seguridad del software.
Realizar inventarios de software, paqueteras y desarrollos empresariales.
Evaluar las licencias, permisos y usos de los sistemas computacionales.
Evaluar el rendimiento y uso del software de los sistemas computacionales.
Verificar que la instalacin del software, paqueteras y sistemas desarrollados en la empresa sea
la adecuada para cubrir las necesidades de esta ltima.
Auditora de la seguridad en los sistemas computacionales.
Evaluar el rendimiento y uso del sistema computacional y sus perifricos asociados.
Evaluar la existencia, proteccin y periodicidad de los respaldos de bases de datos, software e
informacin importante de la organizacin.
Evaluar la configuracin, instalaciones y seguridad del equipo de cmputo, mobiliario y dems
equipos del centro de cmputo.
Evaluar el rendimiento, aplicacin y utilidad del equipo de cmputo, mobiliario
y dems equipos.
Evaluar la seguridad en el procesamiento de la informacin.
Evaluar los procedimientos de captura, procesamiento de datos y emisin de resultados de los
sistemas computacionales.
Auditora para verificar la captura, procesamiento de datos y emisin de resultados.
Evaluar la totalidad, veracidad y confiabilidad de la captura de informacin.
Evaluar la existencia, difusin, aplicacin y uso del plan contra contingencias en los sistemas.
Evaluar la aplicacin de simulacros, as como del plan contra contingencias durante la
ocurrencia de siniestros en los sistemas.
Evaluar la confiabilidad, veracidad y oportunidad en la aplicacin de las medidas del plan contra
contingencias.
Auditora de la prevencin de actos premeditados que afecten el funcionamiento de los sistemas
computacionales.
Proteccin contra los actos ilegales en contra de los sistemas, activos informticos e
informacin.
Contra sabotajes.
Por extorsin.
Por alteracin o destruccin de datos.
Por fraudes.
Proteccin contra el mal uso de la informacin.
Por invasin de privacidad.
Para mal uso de la confiabilidad.
Por uso inadecuado de los datos.
Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 615
Proteccin contra la piratera y robo de informacin.
Con medidas preventivas.
Con la proteccin de archivos.
Con limitacin de accesos.
Con proteccin contra robos.
Con proteccin ante copias ilegales.
Proteccin para el almacenamiento de la informacin.
Respaldos de programas e informacin.
Almacenamiento y custodia de cintas, disquetes, etctera.
Lugares adecuados, como cintotecas (bvedas), discotecas, etctera.
El control y uso de informacin, programas y paquetes.
Proteccin contra actos no intencionales.
Por negligencia y descuido.
Por fallas del equipo y del sistema.
Por fallas de carcter externo.
Proteccin contra virus informtico.
Medidas preventivas y correctivas.
Uso de vacunas y buscadores de virus.
Proteccin de archivos, programas e informacin.
Proteccin y seguridad para el desarrollo de programas y proyectos de sistemas.
Desarrollo de programas y nuevos proyectos de sistemas.
Proteccin contra deficiencias de programas y lenguajes.
Prevencin de fallas del sistema operativo.
Proteccin en el establecimiento de estndares de proyectos.
Proteccin y seguridad para los accesos al sistema computacional y a la informacin.
En el uso de contraseas.
Establecimiento de niveles de acceso y uso de archivos.
Para el uso de sistemas de encriptacin.
Para el uso de estndares de seguridad y proteccin.
Proteccin y seguridad del hardware, componentes del sistema, perifricos y equipos asociados.
Proteccin a la CPU.
Mantenimiento preventivo y correctivo a la CPU.
Medidas de seguridad y proteccin.
Rutinas internas para el inicio del sistema.
Rutinas internas de auditora y verificacin de componentes.
Mantenimiento preventivo y correctivo al sistema.
Rutinas internas de auditora y verificacin de conexiones.
Con el uso de manuales e instructivos de operacin.
Mantenimiento preventivo y correctivo a los perifricos.
Rutinas internas de auditora y verificacin de perifricos.
Para el uso adecuado de los perifricos.
Mantenimiento preventivo y correctivo al equipo adicional.
Rutinas internas de auditora y verificacin de equipos.
Resultados de auditoras de sistemas.
Seguridad ante fenmenos sociales.
Proteccin contra mtines, revueltas, etctera.
Prevencin de huelgas.
Prevencin ante cambios sociales, econmicos, legales, etc.
Prevencin ante cambios tecnolgicos.
Sugerencias de herramientas tcnicas y procedimientos aplicables en la auditora de la
seguridad de los sistemas computacionales
En esta auditora se evalan todos los aspectos relacionados con la seguridad de los sistemas
computacionales, de la informacin, del personal de sistemas y de todo lo relacionado con los
bienes informticos de las reas de sistemas de la organizacin que contribuyen al mejor
desempeo de la administracin y control de las actividades y operaciones de la funcin
informtica en la empresa. Por esa razn recomendamos al auditor encargado de practicar esta
auditora que utilice una serie de herramientas Claro est, sujetando estos puntos a su
experiencia, conocimientos y habilidades, y modificndolos, adaptndolos o sustituyndolos de
acuerdo con las necesidades de evaluacin del sistema, con sus caractersticas, plataformas y
facilidades.
Sugerimos al auditor de sistemas computacionales que, siguiendo cada uno de los puntos
anotados anteriormente para la evaluacin a todo lo que rodea la seguridad, proteccin y
salvaguarda de los bienes informticos, utilice las siguientes herramientas:
El diseo de entrevistas, cuestionarios y encuestas elaborados con preguntas
acordes con las necesidades de su evaluacin sobre la seguridad, proteccin y
salvaguarda de activos, informacin y personal informticos, as como sobre las
medidas preventivas y correctivas relacionadas con la seguridad de la actividad
informtica del rea de sistemas y de las dems reas de la empresa que cuenten
con esos sistemas.

Adems, quiz como una de las primeras acciones de evaluacin, el auditor tambin puede utilizar
las siguientes herramientas:

El levantamiento de inventarios (seccin 9.5), a fin de hacer un recuento de los bienes
informticos del rea de sistemas cuya seguridad se tenga que evaluar; para llevar a cabo esto, es
recomendable realizar los siguientes inventarios:

Inventarios de los equipos de cmputo, contemplando la seguridad, proteccin y salvaguarda
de los bienes informticos y sistemas computacionales, sus marcas, procesadores, tarjetas madre,
velocidad, configuracin, componentes, memorias, sistemas de almacenamiento, tarjetas
adicionales, nmeros de serie, responsables de su resguardo y todos los dems aspectos
relacionados con el inventario de la seguridad de estos equipos.

Inventario de los sistemas operativos, lenguajes, programas, paqueteras, utileras y dems
software institucional, incluyendo licencias, resguardos, originales, copias autorizadas y copias
piratas, a fin de valorar su proteccin y custodia.

Inventario del personal informtico y usuarios del sistema, a fin de evaluar la proteccin de este
importante recurso.

Inventario de las medidas de seguridad y proteccin para los sistemas operativos, lenguajes,
programas, paqueteras, utileras y dems software institucional, incluyendo sus licencias,
resguardos y copias de seguridad.

Inventario de los bienes muebles, inmuebles, materiales y consumibles del rea de sistemas, a
fin de valorar su proteccin y uso adecuados.

Inventario de los accesos a los sistemas de redes o sistemas mayores, dependiendo del
diseado del sistema, as como del acceso a la informacin y a los sistemas operativos, lenguajes,
programas y dems software institucional de esas redes o sistemas mayores.

Inventario de las instalaciones fsicas, a fin de evaluar la vigilancia y los accesos establecidos
para la proteccin y seguridad de los bienes informticos del rea de sistemas.

Inventario de las normas, polticas, reglamentos y medidas preventivas y correctivas del rea de
sistemas, a fin de evaluar la seguridad establecida para satisfacer las necesidades de proteccin en
la funcin informtica.

Asimismo, algunas de las herramientas que sern ms utilizadas en estas auditoras son las
siguientes:

Las tcnicas de observacin para evaluar los accesos a las reas de sistemas, al propio sistema
computacional, a la informacin y al software, y para observar el desarrollo normal de las
operaciones y actividades de las reas de sistemas, a fin de evaluar las medidas de seguridad
establecidas en ellas; incluso para observar los simulacros contra contingencias de sistemas.
Asimismo, cuando el caso lo requiera, el auditor podr realizar la observacin oculta, participativa
y dems tipos de observacin descritos en esa seccin.

Las tcnicas de revisin documental (seccin 10.5) para revisar los planes contra contingencias,
manuales e instructivos de seguridad, licencias y resguardos de sistemas, bitcoras de reportes de
incidencias que afectan al rea de sistemas, proyectos de sistemas, bitcoras de mantenimiento y
evaluacin, as como los planes, programas y presupuestos para satisfacer los requerimientos de
seguridad en el rea de sistemas computacionales. Siempre y cuando esta revisin sea para
evaluar lo que se refiere a la salvaguarda y custodia de los activos informticos, personal,
informacin y sistemas.

La matriz de evaluacin o la matriz DOFA segn sus preferencias y sus necesidades de revisin;
el auditor puede auditar las fortalezas y debilidades de la seguridad del rea de sistemas, tales
como los planes contra contingencias adecuados, la vigilancia adecuada de los accesos y
contraseas seguras. Adems puede analizar las reas de oportunidad para fortalecer la seguridad
de los sistemas de la empresa con nuevas tecnologas de proteccin y barreras para impedir
accesos de personas ajenas a la empresa, y puede evaluar las posibles amenazas de la tecnologa
para evitar la fragilidad en la seguridad de los sistemas.

Es indispensable que el responsable de la auditora tome en cuenta lo siguiente al elaborar su
programa de auditora de la seguridad de los sistemas computacionales:

La elaboracin de una gua de evaluacin, a fin de planear especficamente cada uno los
aspectos sustantivos que tenga que evaluar sobre la seguridad de los sistemas. Para ello es
recomendable que tome en cuenta cada uno de los puntos indicados en esta seccin,
adaptndolos a las necesidades especficas de seguridad de la empresa, e incluso modificndolos
para configurarlos conforme con sus propias necesidades de evaluacin, y conforme a las
caractersticas propias del sistema computacional que ser evaluado.

Un buen elemento de control para el responsable de esta evaluacin es el siguiente:

El uso de la lista de chequeo (seccin 11.6), ya que con esta herramienta puede verificar que
quien realice la auditora cubra todos los puntos descritos en su planeacin de auditora. Inclusive,
de acuerdo con el diseo de esta lista de chequeo, tambin puede auditar todos los aspectos que
repercuten en la proteccin y salvaguarda de la informacin, del software institucional, de los
bienes informticos, del personal y de los usuarios del rea de sistemas, considerando la
evaluacin del cumplimiento de cada uno de los puntos contemplados en dicha herramienta.

El uso de las tcnicas de muestreo (seccin 9.6), debido a que al evaluar el cumplimiento de las
funciones, tareas y operaciones relativas a la seguridad en el rea de sistemas, sera casi
imposible, a la vez que inoperante, revisar todas las actividades que realiza para analizar los
aspectos de seguridad. Por esa razn tiene que utilizar muestras representativas de su
cumplimiento, de acuerdo con las necesidades y caractersticas de la seguridad adoptada en la
empresa, su volumen de trabajo y la magnitud de acciones a estudiar. Esto, independientemente
del mtodo de muestreo que utilice en esta evaluacin, puede hacer lo mismo con las actividades
de los propios sistemas, sus comunicaciones y todos aquellos aspectos que puedan ser evaluados
mediante el muestreo.

Otra herramienta que puede utilizar el responsable de la auditora, en caso de ser necesario, es la
siguiente:

El acta testimonial (seccin 10.6), debido a que en la evaluacin de la seguridad de los sistemas
se pueden observar muchas incidencias y con ellas fincar responsabilidades; estas actas
testimoniales son una herramienta muy til para que el auditor confirme, confronte o asiente por
escrito las anomalas, deficiencias y acontecimientos que requieren de un sustento documental
para fundamentar la opinin que emite. En la auditora a los sistemas computacionales se pueden
encontrar muchas incidencias, deficiencias y problemas relacionados con la seguridad del rea,
mismos que se deben documentar mediante esta herramienta, ya que se pueden dar casos de
falta de algn bien informtico; en este caso, el auditor deber levantar esta acta; tambin podra
encontrar software no institucional y una serie de circunstancias que, en ese momento, harn
necesario el uso de esta acta documental. Recordemos que en algn caso extremo, este
documento se puede utilizar como prueba testimonial de alguna incidencia especial.

El responsable de la auditora puede utilizar las siguientes herramientas para evaluar las funciones
de los ejecutivos, empleados y usuarios de sistemas, as como el desempeo de todo lo que est
alrededor de los sistemas del rea de sistemas:

La ponderacin, ya que le permite evaluar el funcionamiento adecuado de cada una de las partes
de la seguridad de los sistemas computacionales, dndole a cada parte el peso que le corresponde
segn su participacin en cada parte en que se dividan las reas de seguridad de la funcin
informtica en la empresa. Recordemos que con esta tcnica es posible darle un peso especfico a
cada una de las partes en que se divide la seguridad, de acuerdo con un criterio para hacer ms
equitativa la evaluacin. Aqu se puede adoptar la ponderacin de cada una de las subsecciones
que conforman este subcaptulo; la responsabilidad del auditor ser darle el peso a cada una de
estas subsecciones en que se dividi esta parte de la auditora y aplicar a cada parte ponderada
cualquiera de los otros mtodos de evaluacin sugeridos, segn las caractersticas del sistema.

Otras herramientas que pueden ser de gran utilidad en la evaluacin de la seguridad de los
sistemas computacionales son las siguientes:

Los modelos de simulacin (seccin 11.3), ya que con ellos es posible hacer simulacros de la
seguridad de los sistemas, de los accesos a las reas fsicas y de los accesos a los sistemas y a la
informacin; tambin se pueden realizar pruebas simuladas planeadas previamente, con las que el
auditor busca vulnerar las medidas de seguridad establecidas en los sistemas computacionales,
para de esta manera valorar el grado de efectividad de dichas medidas. Tambin puede hacer todo
tipo de simulaciones, de acuerdo con las necesidades de evaluacin
y con su experiencia.

El anlisis de la diagramacin de sistemas (seccin 11.7), el cual tambin puede ser una
herramienta valiosa para el auditor, ya que le permite hacer el seguimiento de cualquiera de las
actividades de captura, procesamiento de informacin y emisin de resultados de los sistemas, as
como de las rutinas de programacin de los sistemas, de los flujos que se siguen en la informacin
y de las actividades y funciones relacionadas con la seguridad que se realizan en el rea de
sistemas, con lo cual se puede analizar la seguridad en la empresa.

El auditor responsable de la auditora debe tomar las sugerencias sobre los aspectos que se
pueden evaluar mediante la auditora alrededor de la computadora de acuerdo con sus
necesidades especficas de evaluacin, debido a que es su potestad absoluta utilizar las
sugerencias, adaptarlas, modificarlas o sustituirlas por los puntos concretos que le ayuden en su
auditora.

Asimismo, tambin tiene la facultad de utilizar las tcnicas, mtodos y procedimientos de
auditora que ms le agraden o que conozca mejor.