AUDITORIA INFORMTICA El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico

fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas.

El concepto de auditora es mucho ms que esto. Es un examen crtico que se realiza con el fin de evaluar la eficacia y eficiencia de una seccin, un organismo, una entidad, etc. El auditor informtico ha de velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Informacin. Claro est, que para la realizacin de una auditora informtica eficaz, se debe entender a la empresa en su ms amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Annima o empresa Pblica. Todos utilizan la informtica para gestionar sus "negocios" de forma rpida y eficiente con el fin de obtener beneficios econmicos y de costes.

Por eso, al igual que los dems rganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informticos estn sometidos al control correspondiente, o al menos debera estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aqu algunos:

Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditora Informtica de Seguridad. Las computadoras creadas para procesar y difundir resultados o informacin elaborada pueden producir resultados o informacin errnea si dichos datos son, a su vez, errneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditora Informtica de Datos. Un Sistema Informtico mal diseado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las rdenes recibidas y la modelizacin de la empresa est determinada por las computadoras que materializan los Sistemas de Informacin, la gestin y la organizacin de la empresa no puede depender de un Software y Hardware mal diseados. Sntomas de Necesidad de una Auditora Informtica:

Las empresas acuden a las auditoras externas cuando existen sntomas bien perceptibles de debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacion y desorganizacin:

- No coinciden los objetivos de la Informtica de la Compaa y de la propia Compaa.

- Los estndares de productividad se desvan sensiblemente de los promedios conseguidos habitualmente.

[Puede ocurrir con algn cambio masivo de personal, o en una reestructuracin fallida de alguna rea o en la modificacin de alguna Norma importante]

Sntomas de mala imagen e insatisfaccin de los usuarios:

- No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, resfrecamiento de paneles, variacin de los ficheros que deben ponerse diariamente a su disposicin, etc.

- No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que est abandonado y desatendido permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones crticas y sensibles.

Sntomas de debilidades econmico-financiero:

- Incremento desmesurado de costes.

- Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente convencida de tal necesidad y decide contrastar opiniones).

- Desviaciones Presupuestarias significativas.

- Costes y plazos de nuevos proyectos (deben auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos

- Seguridad Lgica

- Seguridad Fsica

- Confidencialidad

[Los datos son propiedad inicialmente de la organizacin que los genera. Los datos de personal son especialmente confidenciales]

- Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales.

- Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.

*Planes de Contingencia:

Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la informacin diariamente y que aparte, sea doble, para tener un Backup en la empresa y otro afuera de sta. Una empresa puede tener unas oficinas paralelas que posean servicios bsicos (luz, telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le provea telfono Telecom, a las oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo que estipule la empresa, y despus se van reciclando.
JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORIA. a) Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) b) Desconocimiento en el nivel directivo de la situacin informtica de la empresa c) Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin d) Descubrimiento de grandes efectuados con el computador e) Falta de planificacin informtica f) Organizacin que no funciona correctamente, falta de polticas, objetivos, normas metodologa, asignacin de tareas y adecuada administracin del recurso humano. g) Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados h) Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin.

Auditoria Informtica
Enviado por peloncho

Indice 1. Introduccin 2. Relevamiento 3. Comunicaciones 1. Introduccin A. Organizacin Y Administracin Del Area 1. Comit y Plan Informtico

a. Situacin Con respecto al relevamiento efectuado, hemos notado lo siguiente:

No existe un Comit de Informtica o al menos no se encuentra formalmente establecido. No existe ninguna metodologa de planificacin, concepcin y/o seguimiento de proyectos.

b. Efectos y/o implicancias probables

Posibilidad de que las soluciones que se implementen para resolver problemas operativos sean parciales, tanto en Hardware como en Software. Falta de conocimiento sobre las inversiones necesarias, ante nuevas exigencias o prestaciones que se deban implementar para atender la operatoria de la Cooperativa.

c. Indice de importancia establecida 1 ( uno ) d. Sugerencias

Establecer un Comit de Informtica integrado por representantes de las reas funcionales claves ( Gerencia Administrativa, responsables de las reas Operativas, responsables de Informtica y el responsable Contable). Reunirse por lo menos una vez al mes. Trazar los lineamientos de direccin del rea de Informtica. Implementar normas y/o procedimientos que aseguren la eficaz administracin de los recursos informticos, y permitan el crecimiento coherente del rea conforme a la implementacin de las soluciones que se desarrollen y/o se requieran de terceros.

2. Organizacin y Administracin del rea a. Situacin Con respecto a la organizacin y Administracin del rea Informtica, hemos observado lo siguiente:

El rea adolece de una estructura organizacional. Existe una exigua cantidad de funcionarios capacitados, afectados al rea de sistemas, con lo cual se evidencia heterogeneidad de tareas desarrolladas con una misma persona. Ausencia de manual de funciones para cada puesto de trabajo dentro del rea.

b. Efectos y/o implicancias probables

La escasez de personal debidamente capacitado, aumenta el nivel de riesgo de errores al disminuir la posibilidad de los controles internos en el procesamiento de la informacin; y limita la cantidad de soluciones que pueden implementarse en tiempo y forma oportuna a los efectos de satisfacer los requerimientos de las reas funcionales.

c. ndice de importancia establecida 1 ( uno ) d. Sugerencias

Establecer una estructura organizacional del rea de la siguiente manera: Gerencia del rea Informtica. Jefe del rea. Desarrollo y mantenimiento de aplicaciones. Soporte tcnico. Centro de atencin a usuarios. Otros. Se establezca un manual de funciones para cada uno de los cargos funcionales en que se sub-divida el rea de cmputos.
o o o o o o

B. Seguridad Fsica Y Lgica 1. Entorno General a. Situacin Durante nuestra revisin, hemos observado lo siguiente:

No existe una vigilancia estricta del rea de Informtica por personal de seguridad dedicado a este sector. No existe detectores, ni extintores automticos. Existe material altamente inflamable. Carencia de un estudio de vulnerabilidad de la Cooperativa, frente a las riesgos fsicos o no fsicos, incluyendo el riesgo Informtico. No existe un puesto o cargo especifico para la funcin de seguridad Informtica.

b. Efectos y/o implicancias probables

Probable difusin de datos confidenciales. Alta facilidad para cambios involuntarios o intencionales de datos, debido a la falta de controles internos. Debido a la debilidad del servicio de mantenimiento del equipo central, la continuidad de las actividades informticas podran verse seriamente afectadas ante eventuales roturas y/o desperfectos de los sistemas.

c. ndice de importancia establecida 0 ( cero ) d. Sugerencias A los efectos de minimizar los riesgos descriptos, se sugiere:

Establecer guardia de seguridad, durante horarios no habilitados para el ingreso al rea de Informtica. Colocar detectores y extintores de incendios automticos en los lugares necesarios. Remover del Centro de Cmputos los materiales inflamables. Determinar orgnicamente la funcin de seguridad.

Realizar peridicamente un estudio de vulnerabilidad, documentando efectivamente el mismo, a los efectos de implementar las acciones correctivas sobre los puntos dbiles que se detecten.

2. Auditora de Sistema a. Situacin

Hemos observado que la Cooperativa no cuenta con auditora Informtica , ni con polticas formales que establezcan responsables, frecuencias y metodologa a seguir para efectuar revisiones de los archivos de auditora. Cabe destacar que el sistema integrado posee un archivo que pudiera servir de auditoria Informtica, el cual no es habilitado por falta de espacio en el disco duro.

b. Efectos y/o implicancias probables

Posibilidad de que adulteraciones voluntarias o involuntarias sean realizadas a los elementos componentes del procesamiento de datos (programas, archivos de datos, definiciones de seguridad de acceso, etc ) o bien accesos a datos confidenciales por personas no autorizadas que no sean detectadas oportunamente.

c. ndice de importancia establecida 0 ( cero ) d. Sugerencias

Establecer normas y procedimientos en los que se fijen responsables, periodicidad y metodologa de control de todos los archivos de auditoria que pudieran existir como asimismo, de todos los elementos componentes de los sistemas de aplicacin.

3. Operaciones de Respaldo a. Situacin Durante nuestra revisin hemos observado que:

Existe una rutina de trabajo de tomar una copia de respaldo de datos en Disckett, que se encuentra en el recinto del centro de cmputos, en poder del auxiliar de informtica. Si bien existen la copia de seguridad, no se poseen normas y/o procedimientos que exijan la prueba sistemtica de las mismas a efectos de establecer los mnimos niveles de confiabilidad.

b. Efectos y/o implicancias probables

La Cooperativa est expuesta a la perdida de informacin por no poseer un chequeo sistemtico peridico de los back-up's, y que los mismas se exponen a riesgo por encontrarse en poder del auxiliar de informtica.

c. ndice de importancia establecida 0 ( cero ) d. Sugerencias Minimizar los efectos, ser posible a travs de:

Desarrollar normas y procedimientos generales que permitan la toma de respaldo necesarios, utilitario a utilizar. Realizar 3 copias de respaldos de datos en Zip de las cuales, una se encuentre en el recinto del rea de informtica, otra en la sucursal ms cercana y la ltima en poder del Jefe de rea. Implementar pruebas sistemticas semanales de las copias y distribucin de las mismas.

4. Acceso a usuarios a. Situacin De acuerdo a lo relevado hemos constatado que:

Existen niveles de acceso permitidos, los cuales son establecidos conforme a la funcin que cumple cada uno de los usuarios. Los usuarios definidos al rotar o retirarse del local no son borrados de los perfiles de acceso. Las terminales en uso y dado un cierto tipo de inactividad no salen del sistema. El sistema informtico no solicita al usuario, el cambio del Password en forma mensual.

b. Efectos y/o implicancia probables

Existe la imposibilidad de establecer responsabilidades dado que esta se encuentra dividida entre el rea de sistema y los usuarios finales. La falta de seguridad en la utilizacin de los Password, podran ocasionar fraudes por terceros.

c. ndice de importancia establecida 2 ( dos ) d. Sugerencia

Implementar algn software de seguridad y auditoria existente en el mercado o desarrollar uno propio. Establecer una metodologa que permita ejercer un control efectivo sobre el uso o modificacin de los programas o archivos por el personal autorizado.

5. Plan de Contingencias a. Situacin En el transcurso de nuestro trabajo hemos observado lo siguiente:

Ausencia de un Plan de Contingencia debidamente formalizado en el rea de Informtica. No existen normas y procedimientos que indiquen las tareas manuales e informticas que son necesarias para realizar y recuperar la capacidad de procesamiento ante una eventual contingencia ( desperfectos de equipos, incendios, cortes de energa con ms de una hora ), y que determinen los niveles de participacin y responsabilidades del rea de sistemas y de los usuarios. No existen acuerdos formalizados de Centro de Cmputos paralelos con otras empresas o proveedores que permitan la restauracin inmediata de los servicios informticos de la Cooperativa en tiempo oportuno, en caso de contingencia.

b. Efectos y/o implicancia probable

Prdida de informacin vital. Prdida de la capacidad de procesamiento.

c. ndice de Importancia relativa 1 ( uno ) d. Sugerencias

Establecer un plan de contingencia escrito, en donde se establezcan los procedimientos manuales e informticos para restablecer la operatoria normal de la Cooperativa y establecer los responsables de cada sistema. Efectuar pruebas simuladas en forma peridica, a efectos de monitorear el desempeo de los funcionarios responsables ante eventuales desastres. Establecer convenios bilaterales con empresas o proveedores a los efectos de asegurar los equipos necesarios para sustentar la continuidad del procesamiento.

C. Desarrollo y mantenimiento de los sistemas de aplicaciones 1. Entorno de Desarrollo y mantenimiento de las aplicaciones a. Situacin

No existe documentaciones tcnicas del sistema integrado de la Cooperativa y tampoco no existe un control o registro formal de las modificaciones efectuadas. No se cuenta con un Software que permita la seguridad de las libreras de los programas y la restriccin y/o control del acceso de los mismos. Las modificaciones a los programas son solicitadas generalmente sin notas internas, en donde se describen los cambios o modificaciones que se requieren.

b. Efectos y/o implicancias probables

La escasa documentacin tcnica de cada sistema dificulta la compresin de las normas, demandando tiempos considerables para su mantenimiento e imposibilitando la capacitacin del personal nuevo en el rea. Se incrementa an ms la posibilidad de producir modificaciones errneas y/o no autorizadas a los programas o archivos y que las mismas no sean detectadas en forma oportuna.

c. ndice de importancia establecida 1 ( uno ) d. Sugerencias Para reducir el impacto sobre los resultados de los efectos y consecuencias probables sugerimos:

Elaborar toda la documentacin tcnica correspondiente a los sistemas implementados y establecer normas y procedimientos para los desarrollos y su actualizacin. Evaluar e implementar un software que permita mantener el resguardo de acceso de los archivos de programas y an de los programadores. Implementar y conservar todas las documentaciones de prueba de los sistemas, como as tambin las modificaciones y aprobaciones de programas realizadas por los usuarios

2 rea de Contabilidad a. Situacin

No existe una validacin de la cuenta a donde debera acreditarse el monto del aporte social. La contabilizacin de cada operacin se hace en forma manual, tanto en la parte de recepcin de productos, como en los productos en procesos.

b. Efectos y/o implicancias probables La Cooperativa se encuentra expuesto a serios riesgos, entre ellos:

Posibilidad de que ocurran errores por la falta de conocimiento del tema contable en el rea operativa. Alto riesgo de que el usuario final pueda incurrir en cambios no autorizados en los sistemas, por cuanto que el usuario final tiene acceso irrestricto al mismo.

c. ndice de importancia establecida 0 ( cero ) d. Sugerencias

Implementar debidamente los controles internos necesarios para el adecuado manejo del usuario final. Implementar la contabilizacin automtica.

2. Relevamiento Relevamiento De Hardware Equipamiento Central La cooperativa cuenta actualmente con un Equipo Central Pentium IV con las siguientes caractersticas: Procesador Intel Pentium IV de 1.600 mhz

Memoria: Ram 128 MB Almacenamiento: 35 GB de 10 K RPM Conexin: Ethernet 10/100 Es un equipamiento ideal para las funciones que cumple y su configuracin es aceptable. Tiene posibilidades de crecimiento y el fabricante cuenta con repuestos y mantenimientos que garantizan la buena utilizacin del mismo. Equipamiento Perifrico La cooperativa cuenta en su casa central con 30 PCs de las cuales el 50%(cincuenta por ciento) aproximadamente son Pentium III de 550Mhs con 64 MB de memoria y discos de 5 GB. El resto son de menor porte, pero el parque de computadoras personales es suficientemente apto para los requerimientos actuales. Las impresoras: de sistema (conectadas al equipo central) son de marca Epson 1170 y Epson 1200. Ademas cuentan con equipos de HP 560 de chorro de tintas conectadas a algunos equipos. Equipamiento en Sucursales Las sucursales cuentan con PCs AMD Athlon de 750 Mhz, 64 de memoria y discos de 5 GB. Equipamiento holgadamente apto para las funciones que cumple. Las sucursales tienen una impresora matricial del sistema y algunos usuarios cuentan con impresoras a chorro de tinta. 3. Comunicaciones En casa central existe una red local (Ethernet) conectada al equipo central (Pentium IV) y en la sucursales cuentan con reuters de marca IBM modelo 7.000 para conectarse a la casa central. Las transmisiones son con lineas de Antelco. Cableado El cableado es estructurado y con cables del tipo UTP categora S, tanto en sucursales como en casa matriz En General no presenta problemas de cableado. Relevamiento De Software Software de Base El sistema operativo con el que cuenta la Pentium IV es el de Windows Server 2000 que posee una importante estructura de seguridad. Con sistema de red Windows 2000 con licencia para 50 usuarios. Base de datos Tango Gestin Software de aplicacin Sistema de Contabilidad, Control de Materias Primas, Control Presupuestarios, Libro IVA (Compras Ventas), Sueldos y Jornales, todos bajo sistema Tango Gestin 5.2 Programa De Auditoria

PROGRAMA DE AUDITORIA EMPRESA: Cooperativa Man de Produccin Agrcola Limitada FASE I ACTIVIDAD VISITA PRELIMINAR

FECHA: HOJA N

HORAS ENCARGADOS ESTIMADAS 8 Hs.

Solicitud de Manuales y Documentaciones. Elaboracin de los cuestionarios. Recopilacin de la informacin organizacional: estructura orgnica, recursos humanos, presupuestos. 32 HS.

}II

DESARROLLO DE LA AUDITORIA

Aplicacin del cuestionario al personal. Entrevistas a lderes y usuarios mas relevantes de la direccin. Anlisis de las claves de acceso, control, seguridad, confiabilidad y respaldos. Evaluacin de la estructura orgnica: departamentos, puestos, funciones, autoridad y responsabilidades. Evaluacin de los Recursos Humanos y de la situacin Presupuestal y Financiera: desempeo, capacitacin, condiciones de trabajo, recursos en materiales y financieros mobiliario y equipos. Evaluacin de los sistemas: relevamiento de Hardware y Software, evaluacin del diseo lgico y del desarrollo del sistema. Evaluacin del Proceso de Datos y de los Equipos de Cmputos: seguridad de los datos, control de operacin, seguridad fsica y procedimientos de respaldo. 16 Hs.

III

REVISION Y PRE-INFORME

Revisin de los papeles de trabajo.

Determinacin del Diagnostico e Implicancias. Elaboracin de la Carta de Gerencia. Elaboracin del Borrador. 4 Hs.

IV

INFORME

Elaboracin y presentacin del Informe.

Informe Final De La Auditoria Cooperativa Man De Produccin Agrcola Limitada Ao 2.002 Encarnacin, 26 de Julio de 2.002 Seores Cooperativa Man de Produccin Agrcola Limitada Atte. Sr. Gerente Lus A. Pea De nuestra consideracin: Tenemos el agrado de dirigirnos a Ud. a efectos de elevar a vuestra consideracin el alcance del trabajo de Auditora del rea de Informtica practicada los das 10 al 14 del corriente, sobre la base del anlisis y procedimientos detallados de todas las informaciones recopiladas y emitidos en el presente informe, que a nuestro criterio es razonable. Sntesis de la revisin realizada, clasificado en las siguientes secciones: A. Organizacin y Administracin del rea B. Seguridad fsica y lgica C. Desarrollo y mantenimiento de los sistemas de aplicaciones El contenido del informe ha sido dividido de la siguiente forma a efectos de facilitar su anlisis. a. Situacin Describe brevemente las debilidades resultantes de nuestro anlisis. b. Efectos y/o implicancias probables Enuncian los posibles riesgos a que se encuentran expuestos las operaciones realizadas por la Cooperativa. c. Indice de importancia establecida Indica con una calificacin del 0 al 3 el grado crtico del problema y la oportunidad en que se deben tomar las acciones correctivas del caso. 0 = Alto ( acciones correctivas inmediatas) 1 = Alto ( acciones preventivas inmediatas) 2 = Medio ( acciones diferidas correctivas) 3 = Bajo ( acciones diferidas preventivas) d. Sugerencias

Indicamos a la Gerencia la adopcin de las medidas correctivas tendientes a subsanar las debilidades comentadas. Segn el anlisis realizado hemos encontrado falencias en que no existe un Comit y plan informtico; falta de organizacin y administracin del rea; falencias en la seguridad fsica y lgica; no existe auditora de sistemas; falta de respaldo a las operaciones; accesos de los usuarios; plan de contingencias; y entorno de desarrollo y mantenimiento de las aplicaciones. El detalle de las deficiencias encontradas, como as tambin las sugerencias de solucin se encuentran especificadas en el Anexo adjunto. La aprobacin y puesta en prctica de estas sugerencias ayudarn a la empresa a brindar un servicio ms eficiente a todos sus clientes. Agradecemos la colaboracin prestada durante nuestra visita por todo el personal de la Cooperativa y quedamos a vuestra disposicin para cualquier aclaracin y/o ampliacin de la presente que estime necesaria. Atentamente. Arcenio Falk Socio Auditoria informtica a la cooperativa man de produccin agrcola limitada A cargo deaca consult - consultores informticos socios: Lic. Arcenio Falk Lic. Conny Godefroid Lic. Andrs Laupichler Lic. Nstor Garay Faras Seores Cooperativa Man de Produccin Agrcola Limitada Fram Paraguay De nuestra consideracin Nos es grato someter a vuestra consideracin nuestra propuesta para la prestacin de los servicios profesionales de auditora informtica, correspondiente al 1er semestre del ao en curso. Nuestra empresa tiene un particular inters en poder servir a la Cooperativa Man de Produccin Agrcola Limitada y habr de comprometer sus mejores recursos humanos y tcnicos para hacerlo. Sabemos que brindar servicios profesionales de alta calidad, requiere conocimiento, experiencia, creatividad y por sobre todo, espritu de trabajo y dedicacin. Una caracterstica de nuestra modalidad de servicio es nuestro contacto personal con el cliente, en especial de nuestros socios y gerentes, de modo tal de estudiar las cuestiones a medida que surjan, tratando en lo posible de anticiparnos a los problemas. A. Descripcin de los servicios a ser prestados

Asesorar a la Direccin para mejorar el Control Interno y el resguardo de los Activos. Asesorar sobre las nuevas normas legales. Emitir informes sobre los trabajos realizados y los cambios propuestos. Mantener reuniones con la Direccin y la Gerencia.

B. Equipo de trabajo El equipo de trabajo estar dirigido por un Socio de la Firma, quin ser el responsable de asegurar que reciban un servicio de la mas alta calidad. El trabajo de campo ser ejecutado por personal capacitado y experimentado en el rea informtico. C. Plazos e informes Los informes sern entregados en un plazo no mximo de 2 semanas, una vez discutido previamente con el personal afectado y con la alta Gerencia. D. Presupuesto de honorarios Teniendo en cuenta nuestra experiencia y trayectoria, proponemos un honorario total de 6.000 ( Seis mil ) dlares americanos, pagaderos en seis cuotas mensuales, iguales y consecutivas de 1.000 dlares cada una a partir de julio de 2.002.Confiamos haber planteado en nuestra propuesta un enfoque y un alcance del trabajo que se adecua a vuestras necesidades y responde a nuestra filosofa de servicios profesionales de alto valor agregado. Quedamos a vuestra disposicin para efectuar las aclaraciones o ampliaciones que Uds. consideren necesarias. Sin otro particular, los saludamos muy atentamente ACA Consult Auditores Informticos Arcenio Falk Socio Propuesta tcnica Anexo Diagnostico de la situacin actual Presentacin de la empresa Cooperativa mana de produccin agrcola ROL BASICO Se dedica principalmente a la produccin, comercializacin y exportacin de productos agrcolas. NATURALEZA Produccin y comercializacin. UBICACIN La Casa Matriz se encuentra ubicada a 2 Km del centro de la ciudad de Fram, sobre la ruta Graneros del Sur que une la localidad de La Paz con Fram pueblo. Cuenta con 5 sucursales que se encuentran ubicados en reas estratgicas, tanto para la produccin y comercializacin como para su exportacin a los pases vecinos. Sucursal N 1 en Asuncin Sucursal N 2 en Ciudad del Este Sucursal N 3 en Mara Auxiliadora Sucursal N 4 en Encarnacin Sucursal N 5 en Hohenau Organigrama de la empresa - Asamblea General de Socios - Consejo de Administracin:

Junta Electoral Junta de Vigilancia - Gerencia General: Administracin Comercializacin Produccin Informtica Contabilidad Organigrama del rea Informtica - Gerencia de Informtica: Anlisis y Programacin Operadores Desarrollo
Anlisis de Riesgo El anlisis de riesgo es un proceso sistemtico para estimar la magnitud de los riesgos a que est expuesta una organizacin o empresa. Es la identificacin de las amenazas que acechan a los distintos componentes pertenecientes o relacionados con un sistema de informacin (activos) para determinar la vulnerabilidad del sistema ante esas amenazas y para estimar el impacto o grado de perjuicio que una seguridad insuficiente puede afectar a la organizacin. Acorde al punto 5.4 de Magerit (Espaa) es importante crear escenarios de ataque, imaginar amenazas a los activos, pensar cmo un atacante se enfrentara a nuestros sistemas o activos. Hay que ponerse en la piel del atacante e imaginar qu hara con sus conocimientos y recursos. Es importante plantear diferentes situaciones dependiendo del perfil tcnico del atacante o de sus recursos tcnicos y humanos. Estos escenarios de ataque o dramatizaciones son importantes para evaluar impactos y riesgos. Consideraciones Jams olvide que en las empresas la seguridad comienza por dentro. Capacitando al personal,creando normas basadas en standards, analizando brechas y puntos ciegos en la seguridad lgica y en la seguridad de sistemas de informacin. Es fundamental la creacin de escenarios de conflicto en forma continua participando la gerencia de la empresa junto con un auditor en seguridad, a partir de estos escenarios pueden lograrse medidas para evitar eventos de seguridad. Anticiparse a los hechos Imagnese el peor escenario posible. Piense cmo evitarlo. Existen normas, procedimientos,protocolos de seguridad existentes que pueden ayudar a crear y basar (valga la redundancia) sus procedimientos internos para alejar la posibilidad de riesgo. Si su empresa opera a travs de internet o telecomunicaciones no olvide que es ms probable tener una fuga de informacin o problema interno de seguridad con su personal a que un hacker intente vulnerar sus sistemas, el fraude interno est a la orden del da. Realice peridicamente perfiles socioeconmicos de su personal, tenga entrevistas con cada uno de sus empleados con una frecuencia trimestral contando con apoyo de un profesional en psicologa laboral con experiencia previa y capacitado en PNL (nunca est de ms que en estas entrevistas participe un auditor en seguridad, el auditor debe ser capaz de percibir a un insider) El siguiente glosario es un compendio de trminos tcnicos de auditoria en seguridad que le permitir comprender diversos informes y graficar situaciones eventuales en que su empresa podra verse

comprometida.

GLOSARIO Ataque : Cualquier accin deliberada con el objetivo de violar los mecanismos de seguridad de un sistema de informacin. Auditoria de Seguridad: Estudio y examen independiente de registros histricos y actividades de un sistema de informacin con el objetivo de comprobar la solidez de los controles del sistema, alinear los controles con la estructura de seguridad y procedimientos operativos establecidos a fin de detectar brechas en la seguridad y recomendar modificaciones en los procedimientos, controles y estructuras de seguridad. Autenticidad: Aseguramiento de la identidad u origen. Certificacin: Confirmacin del resultado de una evaluacin y de que los criterios de la evaluacin utilizados fueron correctamente aplicados. Confidencialidad: Aseguramiento de que la informacin es accesible slo por aquellos autorizados a tener acceso. Degradacin: Prdida de valor de un activo como consecuencia de la materializacin de una amenaza . Disponibilidad: Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y a sus activos asociados. Estado de riesgo: Caracterizacin de activos por riesgo residual. Lo que puede pasar tomando en consideracin que las salvaguardas han sido desplegadas. Evento de seguridad: Momento en que la amenaza existe y pone en riesgo activos, procedimientos o informacin. Evaluacin de Medidas de Seguridad: Evaluacin de las medidas de seguridad existentes con relacin al riesgo que enfrentan. Frecuencia: Tasa de ocurrencia de una amenaza Gestin de riesgos: Seleccin de implementacin de medidas de seguridad para conocer, prevenir, impedir, reducir o controlar los riesgos identificados. La gestin de riesgos se basa en resultados obtenidos en el anlisis de riesgos. Impacto: Consecuencia que sobre un activo tiene la materializacin de una amenaza. Impacto residual: Impacto remanente en el sistema tras la implantacin de las medidas de seguridad determinadas en el plan de seguridad de la informacin.

Insider: Empleado desleal quien por motivos de desinters, falta de capacidad intelectual y/o analtica,problemas psicolgicos o psiquitricos, corrupcin, colusin u otros provoca daos en forma deliberada en la empresa en que trabaja, incumpliendo concientemente con normas y procedimientos establecidos, robando o hurtando activos (fsicos o informacin) con objetivos econmicos o simplemente de dao deliberado. Integridad: Garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento. Mapa de riesgos: Relacin de las amenazas a que estn expuestos los activos. Plan de seguridad: Conjunto de programas de seguridad que permiten materializar las decisiones de gestin de riesgos. Programa de seguridad: Conjunto de tareas orientadas a afrontar el riesgo del sistema. Esta agrupacin se debe a que en singular las tareas careceran de eficacia ya que todas tienen un objetivo comn y porque competen a una nica unidad de accin. Proyecto de seguridad Programa de seguridad cuya envergadura es tal que requiere una planificacin especfica. Riesgo: Estimacin del grado de exposicin a que una amenaza se materialice sobre uno o ms activos causando daos y / o perjuicios a la Organizacin. Riesgo acumulado: Toma en consideracin el valor propio de un activo y el valor de los activos que dependen de l. Este valor se combina con la degradacin causada por una amenaza y la frecuencia estimada de la misma. Riesgo repercutido: Se calcula tomando el valor propio de un activo y combinndolo con la degradacin causa por una amenaza y la frecuencia estimada de la misma. Medida de seguridad: Procedimiento o mecanismo tecnolgico que reduce el riesgo. Seguridad: Capacidad de las redes o de los sistemas de informacin de resistir, con un determinado nivel de confianza, los accidentes o acciones ilcitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles. Sistema de informacin: Computadoras y redes de comunicaciones electrnicas, datos electrnicos almacenados,procesados, recuperados o transmitidos por los mismos para su operacin, uso, proteccin y mantenimiento. Conjunto de elementos fsicos, lgicos, elementos de comunicacin, datos y personal que permiten el almacenamiento, transmisin y proceso de la informacin. Trazabilidad: Aseguramiento de que en todo momento se podr determinar quien hizo qu y en qu momento. Valor: De un activo: Es una estimacin del costo inducido por la materializacin de una amenaza. Acumulado: Considera tanto el valor propio de un activo como el valor de los activos que dependen de l.

Vulnerabilidad: Clculo o estimacin de la exposicin efectiva de un activo a una amenaza. Se determina por dos medidas: frecuencia de ocurrencia y degradacin causada.

Metodologa utilizada

La metodologa utilizada es la Evaluacion de Resgos (ROA Risk Oriented Approach) recomendada por ISACA.

Esta evaluacin de riesgos se desarrolla sobre determinadas reas de aplicacin y bajo tcnicas de Checklist (cuestionarios) adaptados a cada entorno especifico; deber tenerse en cuenta que determinados controles se repetiran en diversas reas de riesgo. Esto a que dichos controles tienen incidencia independiente en cada una y, que se pretende poder analizar cada rea independientemente, es necesaria dicha repeticin. As mismo los controles gerenciales y algunos controles de caracteristicas especiales, como pueden ser los de base de datos, se aplicarn teniendo en cuenta las particularidades de cada entorno.

Fases de la autoevalcion

Riesgo en la continuidad del proceso

Son aquellos riesgos de situaciones que pudieran afectar a la realizacin del trabajo informtico o incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar gravemente a la empresa o incluso tambin a paralizarla.

Riesgos en la eficacia del servicio informtico

Entenderemos como eficacia del servicio la realizacin de los trabajos encomendados. As pues, los riesgos en al eficacia sern aquellos que alteren dicha realizacin o que afecten a la exactitud de los resultados ofrecidos por el servicio informtico.

Riesgo en la eficiencia del servicio informtico

Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos o trabajos, ya sea a nivel econmico o tcnico, pretendiendo con el anlisis de estos riesgos mejorar la calidad de servicio.

Riesgos econmicos directos

En cuanto a estos riesgos se analizarn aquellas posibilidades de desembolsos directos inadecuados, gastos varios que no deberan producirse, e incluso aquellos gastos derivados de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigentes.

Riesgos de la seguridad lgica

Todos aquellos que posibiliten accesos no autorizados ala informacin mecanizada mediante tcnicas informticas o de otro tipos.

Riesgos de la seguridad fsica

Comprendern todos aquellos que acten sobre el deterioro o aprobacin de elementos de informacin de una forma meramente fsica. AUDITORA INFORMTICA - RIESGO

La incertidumbre que ocurra un evento que podra tener un impacto en el logro de los objetivos. Los riesgos cuando se materializan, se denominan errores, irregularidades u omisiones, los cuales pueden generar una prdida monetaria, en la imagen de la empresa o incumplimiento de normativa externa. Riesgo = Impacto * Probabilidad Impacto: es el efecto o consecuencia cuando el riesgo se materializa Probabilidad: representa la posibilidad que un evento dado ocurra.

Riesgo Inherente: Riesgo inherente son aquellos riesgos propios de la materia y/o componentes de sta. Se entiende que una materia por su naturaleza tiene riesgos que surgen por diversas fuentes, como los errores, irregularidades o fallas que pudieran ser importantes en forma individual o en conjunto con otros riesgos. Los riesgos inherentes a la materia pueden tener o no controles elaborados por la direccin para mitigar su probabilidad o su impacto.

Los riesgos inherentes a la materia bajo anlisis pueden ser relativos al entorno, ambiente interno, procesos, informacin, etc. Riesgo de Crdito Riesgo Riesgo Operacional Financiero

Riesgo de Tecnologa de la Informacin Riesgo Calidad de Servicio y transparencia de la Informacin