AUDITORA Seguridad de los sistemas Porqu estudiarlo? Para qu hacerlo? Qu hacer? Cmo hacerlo?

Introduccin y objetivo general del tema Objetivos de los controles y medidas Descripcin de medidas y controles a aplicar Descripcin de tareas a reali ar !metodolog"a#

Seguridad de los sistemas (tiempo real) Di$erencias relevantes con respecto a otros modos de operacin Controles espec"$icos de este tipo de modalidad% Introduccin y objetivo general Podemos de$inir la seguridad como aquella actividad encaminada a dar al procesamiento de datos la proteccin ra onable% & decimos ra onable porque nunca e'iste certe a absoluta% (l tema es $undamental pues hoy en d"a) el *mbito de sistemas constituye el punto donde se concentra la mayor parte de la in$ormacin de la empresa% (s evidente que la in$ormacin utili ada por los entes en general ha variado en la +ltimas dcadas% Del mismo modo lo han hecho las necesidades de generacin de esa in$ormacin y los medios de procesarlas% ,unque se observan ciertas di$erencias entre los sistemas computari ados y los convencionales puede a$irmarse que el procesamiento electrnico de datos no a$ecta a los objetivos del control interno) la responsabilidad de la direccin y las limitaciones inherentes al sistema de control interno) pero s" a$ecta el en$oque para la evaluacin del mismo y el tipo de evidencia de auditor"a que se obtiene% -os en$oques de auditor"a que se utili an en ambientes en los que una parte signi$icativa de los procesos administrativos son procesados electrnicamente han evolucionado con el tiempo% .e pueden clasi$icar as"/ en$oque tradicional o e'terno consiste en reali ar los procedimientos de veri$icacin utili ando los datos de entrada al sistema y someter estos datos al proceso lgico que se reali a en esa etapa espec"$ica de procesamiento% Con estos elementos se obtienen datos de salida procesados manualmente0 se comparan con los generados por el sistema y se concluye si el procesamiento electrnico llega a resultados ra onables !por muestreo#% en$oque moderno consiste en reali ar los procedimientos de veri$icacin del correcto $uncionamiento de los procesos computari ados 1utili ando la computadora2 se seleccionan tcnicas de auditor"a que controlan la $orma en que la aplicacin contable computari ada $unciona% -as tcnicas son variadas pero todas ellas tienen en com+n que no consideran el procedimiento como una 1 caja negra% Consisten en revisar pasos de programas) la lgica del lenguaje utili ado) re3procesar una serie de operaciones a travs del propio sistema computari ado) etc% (l auditor pondr* los objetivos del trabajo !evaluacin de riesgos#) identi$icar* procedimientos de auditor"a que se aplicar*n y avaluar* los resultados de la aplicacin de los mismos%3 (l Objetivo es) entonces) la seguridad de esa in$ormacin) por lo que debemos implementar controles para disminuir o evitar los riesgos% Dichos controles) determinar*n el grado de con$iabilidad de la in$ormacin suministrada% -as organi aciones) sobre todo las peque4as y medianas) carecen de documentacin) est*ndares para la elaboracin) como as" tambin de controles internos% 5o deber"a di$erenciarse la estructura de controles internos a evaluar de acuerdo al tama4o de la empresa% -a di$erencia radica en la intensidad de algunos controles) en especial los de/ .eparacin de $unciones ,rchivos .eguridad $"sica Debe tenerse siempre presente el principio de econom"a de procesamiento !el costo de los controles debe ser in$erior al bene$icio del proceso) y los controles 6su magnitud3 debe estar relacionada con los riesgos a evaluar#% Por +ltimo) los avances en tecnolog"a de comunicaciones han ocasionado una nueva $uente de control/ las l"neas de comunicacin% 7odos estos aspectos con$luyen en un +nico objetivo/ (valuar el control interno de $orma tal de asegurar que la informacin que se procesa sea toda la que se debe procesar) sea debidamente autori ada) que se atienda a la conservacin y mantenimiento de los recursos de sistemas y que e'ista una per$ecta de$inicion de la separacin de responsabilidades por las operaciones ejecutadas Conceptos de auditor"a y control interno

Definicin de Control Interno (st* incorporado a la estructura de la organi acin) esto asegura la continuidad del control !no es espor*dico#% (s preventivo% Que se controle antes de los procesos hace m*s probable que las cosas salgan mejor) que mejore notablemente la calidad de lo producido% 8*sicamente busca la prevencin y no la deteccin posterior% .i los Controles internos son buenos) no har* $alta trabajar con toda la in$ormacin) bastar* con una muestra signi$icativa% 9na de$inicin acertada ser"a/ 1es el conjunto de normas procedimientos e'istentes en el ente auditado) implementados con el $in de alcan ar los objetivos para los cuales se creo el ente2% Definicin de Auditoria -a auditoria la de$inimos como un control destinado a evitar errores por negligencia y:o irregularidades dentro del $uncionamiento de los distintos entes u organi aciones% Por ello cuando se habla de auditoria en un sentido general se entiende que implica e'aminar o revisar determinado objeto o atributo% 7odo ente u organi acin) ya sea con $in de lucro o sin l) posee ciertos controles o par*metros preestablecidos para permitir su habitual $uncionamiento% -a auditoria controla dichos par*metros) ra n por la cual) en $orma rudimentaria) se suele decir que la auditoria es el control de los controles o un control de los controles ya e'istentes en el ente auditado% Pasos de la Auditoria (n cuanto a las etapas la ;esolucin 7cnica 5< = aprobada por la >ederacin ,rgentina de Consejos Pro$esionales de Ciencias (conmicas nos da una pauta de los pasos a seguir al momento de llevar a cabo una auditoria% 8*sicamente son tres/ a% Plani$icacin !Predetermina tareas# b% (jecucin !,plica procedimientos y los soporta# c% Conclusin !(mite un in$orme# Concepto y tipos de Pruebas. ,l de$inir las pruebas o procedimientos de auditoria) estamos de$iniendo los tipos de tareas a e$ectuar% ('isten dos tipos de pruebas% De Cumplimiento .ustantivas .innimo De control Interno De valide Objetivo >uncionamiento de los ?alidar la in$ormacin y los procedimientos internos del datos% ente% Objeto auditado @estin del ente .istema de in$ormacin% Riesgos ('isten tipos y clases de riesgos) es decir) se puede hacer una di$erenciacin de los errores y omisiones en los cuales se puede incurrir% ;iesgo inherente (s el riesgo innato o de origen que posee un dato por el simple hecho de su e'istencia y estar* dado por las caracter"sticas de lo auditado% .e podr"a decir que todo objeto de auditoria lleva adjunto su riesgo inherente% ;iesgo de Control (ste riesgo estar* dado por la ine$iciencia de los procedimientos de control% ;iesgo de Deteccin% (l riesgo de deteccin a$ecta directamente a la $igura del auditor como sujeto ejecutante de la auditoria% (s decir este riesgo se presenta por la propia $alta de capacidad del auditor para detectar o percibir un error u omisin% Aedidas y controles a aplicar (l control interno en el procesamiento electrnico de datos se puede dividir en/ A. Controles en la administracin del servicio del centro de cmputos B. Controles en el desarrollo de los sistemas C. Controles en los sistemas de in$ormacin D. Controles en la entrada de datos E. Controles en los archivos y las 8ases de datos A. Controles en la administracin del servicio del centro de cmputos Dado el ambiente de trabajo en que se desempe4a el *rea de sistemas) y su in$luencia en todos los sectores de la empresa) se reconoce la necesidad de implantar normas administrativas para un control e$ica % .in embargo) en la realidad se olvida dictar y hacer cumplir normas de control interno) destac*ndose debilidades tales como/ Inadecuada segregacin de $unciones

>*cil acceso al hardBare : so$tBare (scasa supervisin de las actividades

NORMAS GENERALES A CUMPLIR PARA ASEGURAR UN BUEN FUNCIONAMIENTO O;@,5IC,CID5 / (l dpto de sistemas debe estar organi ado Debe e'istir segregacin de $unciones entre sistemas y otros dptos .upervisin competente y completa) revisin de tareas por gerencia Deben e'istir procedimientos administrativos y de operacin Objetividad e independencia de los usuarios .(@9;ID,D / Proteccin de equipo) so$tBare) documentacin E,;DF,;( / Aantenimiento del equipo en buen $uncionamiento ,CC(.O / ;estringido a personal autori ado !Eard) documentos) archivos# P;OC(.,AI(57O / Procesamiento r*pido y e'acto de la in$ormacin Controles internos en la operacin de .I Instrucciones de operacin Programas de ejecucin !schedule# -ista de mensajes y paradas programadas !acciones ligadas# Procedimientos de recupero y reinicio 7iempos est*ndar:estimados COA95IC,CIO5(. / Control y supervisin de las operaciones y los dispositivos de comunicacin (n cada uno de los componentes de un .I deben e'istir controles internos% Como objetivo principal de todo control interno) lo primordial es tratar de disminuir riesgos% (n las comunicaciones de un .I deben establecerse controles en/ Hard are! debe haber controles que impidan el $*cil acceso $"sico a las terminales y al equipamiento de la red !instalaciones) modems) hubs) cables) etc%# "oft are! deben utili arse protocolos para controlar la calidad de los mensajes y la no presencia de errores en cualquier transmisin de in$ormacin% Deben controlarse el acceso a las aplicaciones y datos que residan en el:los servidores de la organi acin Datos! deben utili arse tcnicas de encriptacin !procedimiento generalmente p+blico que logra convertir un te'to claro en un te'to con$uso o desordenado slo desci$rable con una clave) un mtodo criptoanal"tico o a $uer a bruta#% (j de algoritmos de encriptacin/ D(.) GD(.) ;.,) ID(, !se di$erencian seg+n la cantidad de bytes de las claves de encriptacin y los algoritmos utili ados#% PO-I7IC,. / Control e'terno que asegure el seguimiento de pol"ticas y procedimientos $ijados -os controles del departamento de sistemas involucran a m*s de una aplicacin% ('isten G tipos de riesgo/ #structura organi$ati%a y procedimientos operati%os no confia&les ;iesgo/ cambios no autori ados en programas o en archivos de datos% -as medidas de prevencin se tornan cr"ticas para asegurar la con$iabilidad de la in$ormacin Aedios de Control/ separar las principales responsabilidades de las actividades de operacin y programacin% Di$erentes personas deben desempe4ar las $unciones de/ @erencia del departamento) an*lisis 3 dise4o y programacin de aplicaciones) mantenimiento de so$tBare de sistemas) operaciones) control de datos) seguridad de datos% Controles sobre acceso $"sico y sobre el desarrollo de los programas% 'rocedimientos no autori$ados para cam&ios en los programas ;iesgo/ los programadores pueden reali ar cambios incorrectos en el so$tBare de aplicacin% Aedios de Control/ los posibles controles son/ los cambios deben ser iniciados y aprobados por los usuarios) las modi$icaciones deben ser revisadas y aprobadas por la superioridad% Acceso general no autori$ado a los datos o programas de aplicacin ;iesgo/ personas no autori adas pueden tener acceso directo a los archivos de datos o programas de aplicacin utili ados para procesar transacciones permitindoles reali ar cambios no autori ados a los datos o programas% Aedios de Control/ los posibles controles son/ so$tBare de seguridad) registro de operaciones !consola#) in$ormes gerenciales especiales%

B. Controles en el desarrollo y mantenimiento de los sistemas (s de suma importancia la participacin activa del auditor en el ciclo de desarrollo y mantenimiento de los sistemas0 no slo en la veri$icacin del cumplimiento de las etapas previstas) sino tambin para el asesoramiento

respecto de los controles internos a considerar en el nuevo sistema% (sto es muy importante) $undamentalmente por dos ra ones/ H% 5o se puede esperar que un sistema quede determinado para luego auditarlo% -os auditores deben aprovechar para introducir controles I% (l auditor puede sugerir y participar en el dise4o de controles en los sistemas NORMAS A CONSIDERAR EN LOS DESARROLLOS DE LOS SISTEMAS CO57;O- & (>ICI(5CI, / (standari ar tcnicas de programacin y procedimientos de operacin de los sistemas% ($ectuar controles en caso de cambios a programas DOC9A(57,CID5 / Documentacin adecuada que describa los sistemas y los procedimientos para llevar a cabo su procesamiento @(5(;,-(. / Aetodolog"a $ormal de desarrollo (speci$icaciones de dise4o Documentacin en la construccin Dise4o de archivos y tablas Documentacin de pruebas y resultados Diagramaciones PROCESO DE SELECCIN PARA LA ADQUISICIN DEL SOFTWARE ,nte la necesidad de adquirir alg+n tipo de so$tBare se debe cumplir el siguiente procedimiento H% ;eali ar tareas previas relacionadas a la de$inicin de requerimientos e invitacin a los proveedores I% -levar a cabo el proceso de seleccin teniendo en cuenta las caracter"sticas del proveedor) las caracter"sticas de el:los productos que o$rece) las caracter"sticas del proyecto de trabajo que propone y la composicin de los costos o$recidos G% Proceder a la evaluacin $inal) reali ando de ser posible una matri comparativa de los di$erentes proveedores ponderando cada una de las caracter"sticas relevadas y seleccionando el proveedor que m*s satis$aga las necesidades planteadas !matri de objetivos m+ltiples# C. Controles en los sistemas de in$ormacin Riesgos de Aplicaci ! Podemos identi$icar cuatro categor"as de los riesgos) y medios de control/ Acceso no autori$ado al procesamiento y registro de datos ;iesgo/ se puedan leer) modi$icar) agregar o eliminar in$ormacin de los archivos de datos o ingresar sin autori acin transacciones para su procesamiento Aedios de Control/ ,cceso slo otorgado a quienes no desempe4an $unciones incompatibles) prohibicin de accesos no autori ados% Datos no correctamente ingresados al sistema ;iesgo/ datos pueden ser imprecisos) incompletos o ser ingresados m*s de una ve % Aedios de Control/ controles sobre la precisin e integridad de los datos ingresados para el procesamiento !programas# Otros controles de validacin/ que cada campo responda al $ormato de$inido !numrico) al$abtico) al$anumrico# Cantidad de datos% 7odos los campos de datos importantes deben estar completos) los datos deben ser compatibles con los datos permanentes) identi$icacin de los nros de documentos o lotes procesados) saldos de transacciones deben balancear Datos rec(a$ados y en suspenso no aclarados ;iesgo/ perder datos) partidas en suspenso que no se identi$ican) anali an y:o corrigen en $orma oportuna% -as alternativas pueden ser/ 7ransacciones aceptadas por el sistema y se4aladas en un in$orme de e'cepcin) 7ransacciones destinadas a una cuenta 1en suspenso2 del sistema en lugar de ser procesadas) 7ransacciones completamente recha adas% (l Riesgo es que estas transacciones no sean adecuadamente resueltas y procesadas% Aedios de Control/ controles sobre transacciones recha adas y partidas en suspenso% .e deber* crear un registro que los incluya para que su posterior correccin y procesamiento pueda ser controlado% 'rocesamiento y registracin de transacciones incompletos y)o inoportunos ;iesgo/ las transacciones ingresadas o generadas pueden perderse o ser procesadas o registradas en $orma incompleta o ine'acta o en el per"odo contable incorrecto% (l riesgo est* dado por incorrecta actuali acin de los registros% Aedios de Control/ (n los procesamientos por lote/ 7otales de Control0 en otros procesamientos/ controles de balanceo programados) de transmisin de datos) de re3enganche y recuperacin) de corte programados) sobre los datos generados por el sistema% D. Controles en los archivos y las 8ases de datos -os principales riesgos son/ a# las destrucciones b# los accesos no autori ados c# la revelacin a terceros

a# Implica el riesgo de destruccin tanto del soporte como del contenido de los mismos% Deben implementarse controles que se conocen en su conjunto como seguridad $"sica% Deben e'istir pol"ticas de resguardo y recupero de in$ormacin !8,CJ39P. que deben plani$icarse% -o ptimo ser"a un bacK3up total de $orma diaria pero no es econmicamente viable% -os soportes utili ados deben ser inventariados y etiquetados de $orma clara y deben ser adecuadamente custodiados% Para saber si los bacK3 ups $uncionan) peridicamente deben reali arse pruebas de recupero de in$ormacin b# (stos riesgos se atacan con controles relacionados con la seguridad lgica% (s necesario contar con controles de acceso y per$iles de usuario% (l control de acceso implica la identi$icacin y la autenticacin del usuario% (l per$il de usuario asegura que un usuario slo pueda reali ar las operaciones para las que est* autori ado% Para que un usuario se autentique ser* necesario contar con Lalgo que uno sabe !ej% passBord #) algo que uno tiene !ej% tarjeta# o algo que uno es !tcnicas biomtricas#2 c# debe aplicarse la criptogra$"a !aunque la in$ormacin pueda ser visuali ada no ser* entendible# 7ambin se debe tener en cuenta el control de concurrencia !acceso simult*neo a los datos# y el control de transacciones !asegurando que una transaccin pueda completarse totalmente o volverse hacia atr*s luego de producido un $allo# E. Controles en la entrada de datos n cual!uier sistema de informacin si entra basura sale basura"" % (l costo de detectar y corregir los errores una ve que ingresaron al .I es mucho mayor que el costo de establecer controles internos adecuados para prevenir esos errores% -a in$ormacin debe cumplir con todas sus caracter"sticas $undamentales !e'actitud) completitud) pertinencia) legitimidad) con$idencialidad) oportunidad) no duplicacin) etc%# -a captura de los datos puede dividirse en tres momentos/ la captura en s") la validacin de los mismos y el almacenamiento% -os problemas pueden presentarse en cualquiera de estos tres momentos% (n la entrada de datos se tiende a la introduccin de tecnolog"a para reducir errores% (n la validacin de los datos ser* $undamental la e'actitud en las reglas de programacin !rangos) tipos de datos) contadores) sumadores) d"gito veri$icador#% .i bien se trata de automati ar la captura) debe e'istir un medio alternativo ante cualquier contingencia% Descripcin de 7areas a ;eali ar !Aetodolog"a# .on los aspectos a ser tenidos en cuenta por el auditor) desde los siguientes puntos de vista/ Am&iente de sistema ;ecabar in$ormacin sobre el grado de utili acin del procesamiento electrnico de datos en aquellas aplicaciones $inancieras signi$icativas% Principales temas a considerar para adquirir conocimientos sobre el ambiente) son los siguientes/ Conocimiento de la estructura organi ativa de los sistemas Conocimiento de la naturale a de la con$iguracin de sistemas ,lcance del procesamiento computari ado de la in$ormacin Am&iente de *ontrol Conjunto de condiciones dentro de las cuales operan los sistemas de control% (st* re$erido al en$oque que tiene la gerencia superior y el directorio con respecto al objetivo de control y el marco en que ejerce ese control% -os aspectos a considerar para evaluar la e$ectividad del ambiente de control son/ (l en$oque de control por parte del directorio y la gerencia superior -a organi acin gerencial/ posicin del gerente de sistemas (l gerente de sistemas tiene como $uncin crear y mantener un adecuado ambiente de control%

Eecha la plani$icacin estratgica) se documentan las decisiones preliminares para cada uno de los componentes con un en$oque tentativo de auditor"a Plani$icacin detallada (s la seleccin de los procedimientos de auditor"a) que comunmente se traducen en la preparacin de los programas de trabajo% (l auditor se concentra en obtener y documentar una comprensin sobre los controles directos y generales para los componentes signi$icativos de los estados $inancieros3

Seg"#idad de sis$e%as co! p#ocesa%ie!$o e! $ie%po #eal -os controles vistos anteriormente) deben aplicarse tambin en procesos en tiempo real) pero adem*s deben agregarse otros que son propios de este tipo de procesamiento% Problemas que pueden presentarse en procesamiento en tiempo real (n cuanto al proceso (n cuanto al manejo administrativo (n cuanto al uso .e puede encarecer una aplicacin) por no precisar sta necesariamente de actuali acin en tiempo real !.ueldos# (s m*s di$"cil detectar errores) ya que la actuali acin modi$ica el archivo en el momento Desarrollo e implantacin son m*s costosos (s m*s di$"cil implementar control interno) pues se minimi a la documentacin del procesamiento) entrada ;elacin directa entre el usuario y el equipo

Aedidas de seguridad que demanda el proceso en tiempo real 7cnicas de control $"sico Dispositivos de proteccin para terminales !cerraduras) lectoras# 9bicacin de terminales en *reas supervisadas Descone'in de terminales en determinado horario ,cceso a archivos en determinado horario Descone'in autom*tica de terminales no usadas 7cnicas de control lgico Contrase4as para el acceso 5o3display de contrase4as (stablecer par*metros de niveles de autori acin Descone'in autom*tica de terminales ante 1M2 intentos in$ructuosos de acceso 7cnicas de control de 7ransmisiones ci$radas o codi$icadas telecomunicaciones 9sar detectores de intercepcin de in$ormacin Distribucin y control de n+mero tele$nico para estaciones de llamada Control y validacin de la Instrucciones escritas para guiar a operadores entrada ?alidacin de la entrada !pruebas programadas# (l operador debe revisar los datos ingresados .e concilian totales de control !manuales vs computador# Aarcas de tiempo y $echa de entrada de la transaccin Aantenimient Quien ejecuta o aprueba el mantenimiento no rinde cuenta de los hechos o Controlar el acceso para mantenimiento Controles de In$orme del 1era y es2 sobre los archivos maestros archivo Integridad In$orme de 1era y es2 revisado por personal apropiado 8alanceo de conteo de registros y totales de control Control del balanceo de las Controles de transacciones Procesamiento ,ptitud de procesamient o Pruebas de resultado de Controles de la procesos .alida Prueba de salida conteo de registros) totales de control in$orme de datos que no balancean esos errores deben corregirse antes de reprocesar $amiliari acin del operador con los procedimientos del sistema $amiliari acin del operador con los procedimientos alternativos registro de $echa y hora en las transacciones comprobaciones de ra onabilidad de resultados!por programa# utili ar in$ormes de gerencia para detectar errores importantes identi$icar e in$ormar desbordamientos de capacidad in$ormes dise4ados para evitar errores de interpretacin

?(;I>IC,CID5 &a de$inidos cu*les deben ser los controles que una organi acin debe aplicar en cada uno de los componentes de sus .I) debemos anali ar los di$erentes circuitos que e'istan para comprobar que esos controles sean cumplidos% .e pasa entonces a las etapas de %erificacin en las cuales se debe obtener evidencia comprobatoria) v*lida y su$iciente de que los controles $uncionan adecuadamente% .on las denominadas pruebas de

cumplimiento) que determinar*n la naturale a) el alcance y oportunidad de los procedimientos de auditor"a a aplicar en la in$ormacin almacenada en el sistema de in$ormacin% Debe comprobarse la e'istencia de una estructura organi ativa adecuada) mediante inspeccin de manuales) per$iles de usuario) entrevistas) etc% Debe comprobarse la e'istencia escrita y correcta actuali acin de normas y procedimientos de programacin y tecnolog"a% Debe veri$icarse la continuidad del procesamiento !planes de contingencia) pol"ticas de bacK3up) etc# Deben veri$icarse los controles del teleprocesamiento !$unciones del administrador de red) criptogra$"a# -os controles en las aplicaciones pueden veri$icarse a travs de medidas de documentacin) niveles medios de $allas) calidad de dise4o) cantidad de usuarios) complejidad) cantidad de transacciones) modalidades del procesamiento) estabilidad) escalabilidad) etc !para re$lejar estas medidas puede usarse una matri de riesgo con sus respectivas ponderaciones#% Para llevar a cabo las pruebas de cumplimiento de un sistema puede o no utili arse una computadora% -as pruebas de cumplimiento con el uso de una computadora pueden clasi$icarse en/ 'O"TO'#RA*I+, !si se veri$ican los controles luego del procesamiento# H# Puede usarse el sistema real con transacciones reales/ se comparan resultados predeterminados con resultados reales I# Puede usarse el sistema real con transacciones simuladas/ en este caso se comparan resultados predeterminados con resultados simulados% -a tcnica se denomina lote de prue&a- .e podr* utili ar el mismo lote para probar todas las $uncionalidades del sistema pero el mismo tendr* que estar actuali ado y debe ser pensado de tal $orma que represente todas las condiciones de posible ocurrencia G# Puede usarse un sistema simulado construyendo un sistema paralelo al real con las $uncionalidades que se desean probar% -a tcnica se denomina simulacin en paralelo y se comparan resultados de transacciones reales en el sistema real con resultados de transacciones reales en el sistema simulado% (ste mtodo permite saber si la in$ormacin resultante del sistema real $ue modi$icada 1por el costado2 del sistema pero tiene como desventaja que slo se pueden reali ar pruebas parciales y que requiere la su$iciente pericia tcnica para construir el sistema simulado% #, .A O'#RA*I+, !pruebas concurrentes# (n el sistema real se ingresan transacciones reales y transacciones simuladas% -a tcnica se denomina IT/ !integrated test $acilities o minicompa4"a#% .e generan registros especiales de auditor"a dentro de los registros principales del procesamiento !debiendo estar debidamente identi$icados#% -a tcnica slo es aplicable en organi aciones que cuentan con organismos de superintendencia que lo permiten) de otro modo podr"a ser considerada como $raude#% ;equiere baja pericia tcnica y le aporta al auditor el $actor sorpresa pero puede tener inconvenientes en su implementacin o en su control si las transacciones simuladas no son debidamente identi$icadas P;9(8,. .9.7,57I?,. 9na ve reali adas las pruebas de cumplimiento se debe anali ar la in$ormacin almacenada en el .I% .i la misma se encuentra en soportes in$orm*ticos puede ser anali ada en su totalidad !el alcance ser* total# puesto que ello puede hacerse r*pidamente% -a in$ormacin que no es encuentre almacenada digitalmente puede ser muestreada seg+n el diagnstico hecho sobre los controles generales y los controles particulares% .e pueden encontrar las siguientes herramientas para la reali acin de pruebas sustantivas/ Programa o sistema especial de auditor"a Paquete o so$tBare de auditor"a ,plicativos en general !ej planillas de c*lculo# -enguajes de consulta .(@9;ID,D >N.IC, & -D@IC, -a seguridad $"sica y la seguridad lgica se relacionan con medidas preventivas de impactos en la organi acin% -a in$ormacin debe ser clasi$icada de acuerdo a sus principales caracter"sticas y se debe plantear el impacto de distintos acontecimientos !en lo posible de $orma cuantitativa#% ,dicionalmente se debe plantear la probabilidad de ocurrencia de cada hecho $ortuito a los e$ectos de tratar de minimi ar todos los riesgos% .eguridad $"sica 6 ;I(.@O. Propios de la ona geogr*$ica/ incendios) inundaciones) tormentas) epidemias) terremotos

 Propios de la vecindad/ pueden ser permanentes !por ej% que la organi acin se encuentre lindando a una estacin de servicio# o transitorios !por ej% que e'istan obras en la cercan"a de la organi acin# Propios del ente/ son los riesgos del edi$icio) como los materiales con los que est* construido) la disposicin $"sica del equipamiento elctrico) la insonori acin) etc% Controles/ construcciones adecuadas) desagOes aptos) bombas de desagote) sensores de l"nea) generadores propios) instalaciones antiincendios) 9P.) grupos electrgenos) utili acin de cable canal) cableado elctrico adecuado) reali acin de bacK3ups) separacin $"sica de copias de seguridad y equipos de contingencia) identi$icacin del personal a$ectado y no a$ectado al *rea de sistemas) etc% .eguridad lgica -os datos pueden su$rir consultas y modi$icaciones no autori adas) adem*s de destrucciones% Por ello se deben implementar medidas de seguridad lgica que hacen a la/ Identi$icacin/ de la persona que quiere acceder a esos datos ,utenticacin/ de esa persona% .e debe certi$icar que quien se identi$ica es quien dice ser !1algo que uno sabe) algo que uno tiene) algo que uno es2#% .i se utili an claves las mismas deben ser +nicas) $*ciles de memori ar) e'pirables luego de un lapso determinado y deben aceptar una cantidad m"nima de intentos $allidos% (s recomendable contar con un sector que se encargue de la administracin de todas las claves% ,utori acin/ se deben limitar las autori aciones en el uso de los recursos del .I !tanto de los datos como de las $unciones que puedan reali arse con esos datos# Documentacin/ se deben llevar registros de todos los acontecimientos para tareas de vigilancia y seguimiento estad"stico% P-,5 D( CO57I5@(5CI, -a organi acin debe estar preparada para la ocurrencia de hechos accidentales) desastres naturales o actos intencionales que pongan en peligro su normal operatoria% .iempre se debe asegurar el CO8 ! continuity o$ business#% -as principales causas de la $alta de prevencin son/ 15o nos puede pasar a nosotros2 ,pat"a en los cargos jer*rquicos Desconocimiento de cmo preparar un plan Di$"cil cuanti$icacin de bene$icios .e deben anali ar todos los riesgos) establecer los recursos cr"ticos) elaborar un proyecto) desarrollar el plan y reali ar las pruebas pertinentes >ase de emergencia/ si se produce alg+n hecho grave) se debe establecer el ambiente de reconstruccin y recuperacin y minimi ar los da4os ocurridos !las medidas de prevencin ser*n $undamentales para evitar da4os graves#% >ase de enlace/ se deben brindar alternativas de procesamiento para mantener la capacidad operativa y se deben $acilitar las tareas de recuperacin del ambiente% >ase de bacK3up/ es necesario continuar operando con el procesamiento alternativo proveyendo los sets de copias de resguardo necesarios para ello% >ase de recupero/ se debe restaurar totalmente el .I a su normal $uncionamiento) discontinuando la operacin con el procesamiento alternativo y convirtiendo las operaciones y archivos del modo de enlace al modo normal