Post on 10-Feb-2018
POLITICAS DE SEGURIDAD Y AUDITORIA FORENSE
JUAN PABLO NIETO JARAMILLO
DOCENTE: INGENIERO CARLOS HERNAN GOMEZ
ASIGNATURA: AUDITORIA INFORMATICA
INGENIERIA EN SISTEMAS Y COMPUTACION
FACULTAD DE INGENIERIA
UNIVERSIDAD DE CALDAS
MANIZALES
Contenido INTRODUCCION ............................................................................................................................. 3
DEFINICIÓN DE TÉRMINOS ............................................................................................................ 4
Mejor practica ........................................................................................................................... 4
Procedimiento ........................................................................................................................... 4
Guía ........................................................................................................................................... 4
Estándar .................................................................................................................................... 4
ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD ............................................................................ 5
ETAPAS DE DESARROLLO ............................................................................................................... 6
Etapa 1 Creación ....................................................................................................................... 7
Etapa 1 Revisión ........................................................................................................................ 7
Etapa 3 Aprobación ................................................................................................................... 7
Etapa 4 Difundir la política ........................................................................................................ 8
Etapa 5 Cumplimiento ............................................................................................................... 8
Etapa 6 Excepciones .................................................................................................................. 8
Etapa 7 Concienciación ............................................................................................................. 8
Etapa 8 Monitoreo .................................................................................................................... 9
Etapa 9 Garantía de cumplimiento ........................................................................................... 9
Etapa 10 Mantenimiento .......................................................................................................... 9
Etapa 11 Retiro ........................................................................................................................ 10
PRÁCTICAS RECOMENDADAS PARA ESCRIBIR UNA POLÍTICA ..................................................... 11
AUDITORIA FORENSE .................................................................................................................. 12
Objetivo de la auditoria forense ............................................................................................. 12
GUÍA DE AUDITORIA .................................................................................................................... 13
Programa de auditoria ............................................................................................................ 13
Fase 1: Planeación ............................................................................................................... 13
Fase 2: Ejecución ................................................................................................................. 13
Fase 3: Comunicación de resultados ................................................................................... 13
Fase 4: Seguimiento ............................................................................................................ 13
Guía auditoria Políticas de seguridad .................................................................................. 14
Guía auditoria forense......................................................................................................... 15
INTRODUCCION
Se entiende como una política de seguridad informática a la forma de comunicación
con los usuarios, ya que las mismas establecen un canal formal de actuación del
personal, en relación con los recursos y servicios informáticos de la organización.
No se puede considerar que una política de seguridad informática es una descripción
técnica de mecanismos, ni una expresión legal que involucre sanciones a conductas de
los empleados, es más bien una descripción de los que deseamos proteger y él por qué
de ello, pues cada política de seguridad es una invitación a cada uno de sus miembros
a reconocer la información como uno de sus principales activos así como, un motor de
intercambio y desarrollo en el ámbito de sus negocios. Por tal razón, las políticas de
seguridad deben concluir en una posición consciente y vigilante del personal por el uso
y limitaciones de los recursos y servicios informáticos.
Las políticas se elaboran con el fin de que tengan aplicación a largo plazo y guíen el
desarrollo de reglas y criterios más específicos, que aborden situaciones concretas. Las
políticas son desplegadas y soportadas por estándares, mejores prácticas,
procedimientos y guías.
DEFINICIÓN DE TÉRMINOS
Mejor practica
Es una regla de seguridad específica a una plataforma que es aceptada a través de la
industria al proporcionar el enfoque más efectivo a una implementación de seguridad
concreta. Las mejores prácticas son establecidas para asegurar que las características
de seguridad de sistemas utilizados con regularidad estén configurados y
administrados de manera uniforme, garantizando un nivel consistente de seguridad a
través de la organización.
Procedimiento
Los procedimientos definen específicamente cómo las políticas, estándares, mejores
prácticas y guías serán implementados en una situación dada. Los procedimientos son
dependientes de la tecnología o de los procesos y se refieren a plataformas,
aplicaciones o procesos específicos.
Son utilizados para delinear los pasos que deben ser seguidos por una dependencia
para implementar la seguridad relacionada a dicho proceso o sistema específico.
Generalmente los procedimientos son desarrollados, implementados y supervisados
por el dueño del proceso o del sistema. Los procedimientos seguirán las políticas de la
organización, los estándares, las mejores prácticas y las guías tan cerca como les sea
posible, y a la vez se ajustarán a los requerimientos procedimentales o técnicos
establecidos dentro de la dependencia donde ellos se aplican.
Guía
Una guía es una declaración general utilizada para recomendar o sugerir un enfoque
para implementar políticas, estándares y buenas prácticas. Las guías son,
esencialmente, recomendaciones que deben considerarse al implementar la
seguridad. Aunque no son obligatorias, serán seguidas a menos que existan
argumentos documentados y aprobados para no hacerlo.
Estándar
Regla que especifica una acción o respuesta que se debe seguir a una situación dada.
Los estándares son orientaciones obligatorias que buscan hacer cumplir las políticas.
Los estándares sirven como especificaciones para la implementación de las
políticas: son diseñados para promover la implementación de las políticas de alto
nivel de la organización antes que crear nuevas políticas.
ELEMENTOS DE UNA POLÍTICA DE SEGURIDAD
Las Políticas de Seguridad Informática deben considerar principalmente los siguientes
elementos:
- Alcance de las políticas, incluyendo facilidades, sistemas y personal sobre la
cual aplica.
- Objetivos de la política y descripción clara de los elementos involucrados en su
definición.
- Responsabilidades por cada uno de los servicios y recursos informáticos
aplicado a todos los niveles de la organización.
- Requerimientos mínimos para configuración de la seguridad de los sistemas
que abarca el alcance de la política.
- Definición de violaciones y sanciones por no cumplir con las políticas.
- Responsabilidades de los usuarios con respecto a la información a la que tiene
acceso.
Las políticas de seguridad informática, también deben ofrecer explicaciones
comprensibles sobre por qué deben tomarse ciertas decisiones y explicar la
importancia de los recursos. Igualmente, deberán establecer las expectativas de la
organización en relación con la seguridad y especificar la autoridad responsable de
aplicar los correctivos o sanciones.
Otro punto importante, es que las políticas de seguridad deben redactarse en un
lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan
una comprensión clara de las mismas, sacrificar su precisión.
Las políticas de seguridad, deben seguir un proceso de actualización periódica sujeto a
los cambios organizacionales relevantes, como son: el aumento de personal, cambios
en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos
servicios, regionalización de la empresa, cambio o diversificación del área de negocio,
etc.
Una Política de Seguridad presenta un nivel alto de definición de pa
seguridad de la información
imagen:
Son 11 etapas que se deben
1. Fase de desarrollo: Durante esta fase la política es cread
2. Fase de implementación
cumplida por alguna excepción).
3. Fase de mantenimiento:
política, su cumplimiento debe se
se le debe dar mantenimiento (actualizarla).
4. Fase de eliminación: La política se retira cuando no se requiera más.
ETAPAS DE DESARROLLO
Una Política de Seguridad presenta un nivel alto de definición de pautas en cuanto a la
seguridad de la información, las etapas de desarrollo se presentan en la siguiente
Son 11 etapas que se deben realizar. Estas 11 etapas están agrupadas en 4 fases.
: Durante esta fase la política es creada, revisada y aprobada.
2. Fase de implementación: En esta fase la política es comunicada y acatada (o no
cumplida por alguna excepción).
3. Fase de mantenimiento: Los usuarios deben ser conscientes de la importancia de la
política, su cumplimiento debe ser monitoreado, se debe garantizar su cumplimiento y
se le debe dar mantenimiento (actualizarla).
La política se retira cuando no se requiera más.
utas en cuanto a la
, las etapas de desarrollo se presentan en la siguiente
agrupadas en 4 fases.
a, revisada y aprobada.
: En esta fase la política es comunicada y acatada (o no
Los usuarios deben ser conscientes de la importancia de la
r monitoreado, se debe garantizar su cumplimiento y
La política se retira cuando no se requiera más.
Etapa 1 Creación
La primer medida que toma en la fase de desarrollo de una política es la planificación,
la investigación y la redacción de la política o, tomado todo junto, la creación. La
creación de una política implica identificar por qué se necesita la política; determinar
el alcance y la aplicabilidad de la política, los roles y las responsabilidades inherentes a
la aplicación de la política y garantizar la factibilidad de su implementación. La creación
de una política también incluye la investigación para determinar los requerimientos
organizacionales para desarrollar las políticas (es decir, que autoridades deben
aprobarla, con quién se debe coordinar el desarrollo y estándares del formato de
redacción), y la investigación de las mejores prácticas en la industria para su
aplicabilidad a las necesidades organizacionales actuales. De esta etapa se tendrá
como resultado la documentación de la política de acuerdo con los procedimientos y
estándares de la universidad, al igual que la coordinación con entidades internas y
externas que la política afectará, para obtener información y su aceptación.
Etapa 2 Revisión
La segunda etapa corresponde a la fase de desarrollo del ciclo de vida. Una vez la
documentación de la política ha sido creada y la coordinación inicial ha sido iniciada,
esta debe ser remitida a un grupo (o un individuo) independiente para su evaluación
antes de su aprobación final. Hay varios beneficios de la revisión independiente: una
política más viable a través del escrutinio de individuos que tienen una perspectiva
diferente o más vasta que la persona que redactó la política; apoyo más amplio para la
política a través de un incremento en el número de involucrados; aumento de
credibilidad en la política gracias a la información recibida de diferentes especialistas
del grupo de revisión. Propio de esta etapa es la presentación de la política a los
revisores, ya sea de manera formal o informal, exponiendo cualquier punto que
puede ser importante para la revisión, explicando su objetivo, el contexto y los
beneficios potenciales de la política y justificando por qué es necesaria. Como parte de
esta función, se espera que el creador de la política recopile los comentarios y las
recomendaciones para realizar cambios en la política y efectuar todos los ajustes y las
revisiones necesarias para obtener una versión final de la política lista para la
aprobación por las directivas.
Etapa 3 Aprobación
Es la parte final de la fase de desarrollo. El objetivo de esta etapa es obtener el apoyo
de la administración, a través de la firma de una persona ubicada en una posición de
autoridad.
La aprobación permite iniciar la implementación de la política. Requiere que el
proponente de la política haga una selección adecuada de la autoridad de aprobación,
que coordine con dicho funcionario, presente las recomendaciones emitidas durante la
etapa de revisión y haga el esfuerzo para que sea aceptada por la administración.
Puede ocurrir que por incertidumbre de la autoridad de aprobación sea necesaria una
aprobación temporal.
Etapa 4 Difundir la política
Es la primera parte de la fase de implementación. La comunicación de la política es la
primera etapa que se realiza en esta fase. La política debe ser inicialmente difundida a
quienes sean afectados directamente por la política (contratistas, proveedores,
usuarios de cierto servicio, etc.). Esta etapa implica determinar el alcance y el método
inicial de distribución de la política. Debe planificarse esta etapa con el fin de
determinar los recursos necesarios y el enfoque que debe ser seguido para mejorar la
visibilidad de la política.
Etapa 5 Cumplimiento
La etapa de cumplimiento incluye actividades relacionadas con la ejecución de la
política. Implica trabajar con otras personas de la organización para interpretar cuál es
la mejor manera de implementar la política en diversas situaciones y oficinas;
asegurando que la política es entendida por aquellos que requieren implementarla,
monitorearla, hacerle seguimiento, reportar regularmente su cumplimiento y medir
el impacto inmediato de la política en las actividades operativas. Dentro de estas
actividades está la elaboración de informes a la administración del estado de la
implementación de la política.
Etapa 6 Excepciones
Debido a problemas de coordinación, falta de personal y otros requerimientos
operacionales, no todas las políticas pueden ser cumplidas de la manera que se pensó
al comienzo. Por esto, cuando los casos lo ameriten, es probable que se requieran
excepciones a la política para permitir a ciertas oficinas o personas el no
cumplimiento de la política. Debe establecerse un proceso para garantizar que las
solicitudes de excepciones son registradas, seguidas, evaluadas, enviadas para
aprobación o desaprobación, documentadas y vigiladas a través del periodo de
tiempo establecido para la excepción. El proceso también debe permitir excepciones
permanentes a la política al igual que la no aplicación temporal por circunstancias de
corta duración.
Etapa 7 Concienciación
La etapa de concienciación de la fase de mantenimiento comprende los esfuerzos
continuos realizados para garantizar que las personas están consientes de la política y
buscan facilitar su cumplimiento. Esto es hecho al definir las necesidades de
concienciación de los diversos grupos de audiencia dentro de la organización
(directivos, jefes de dependencias, usuarios, etc.); en relación con la adherencia a la
política, determinar los métodos de concienciación más efectivos para cada grupo de
audiencia (es decir, reuniones informativas, cursos de entrenamiento, mensajes de
correo, etcétera); y desarrollo y difusión de material de concienciación
(presentaciones, afiches, circulares, etc.). La etapa de concienciación también
incluye esfuerzos para integrar el cumplimiento de la política y retroalimentación
sobre el control realizado para su cumplimiento.
Etapa 8 Monitoreo
Durante la fase de mantenimiento, la etapa de monitoreo es realizada para seguir y
reportar la efectividad de los esfuerzos en el cumplimiento de la política. Esta
información se obtiene de la observación de empleados y los cargos de supervisión,
mediante auditorias formales, evaluaciones, inspecciones, revisiones y análisis de los
reportes de contravenciones y de las actividades realizadas en respuesta a los
incidentes.
Esta etapa incluye actividades continuas para monitorear el cumplimiento o no de la
política a través de métodos formales e informales y el reporte de las deficiencias
encontradas a las autoridades apropiadas.
Etapa 9 Garantía de cumplimiento
La etapa de garantía de cumplimiento de las políticas incluye las respuestas de la
administración a actos u omisiones que tengan como resultado contravenciones de la
política con el fin de prevenir que sigan ocurriendo. Esto significa que una vez una
contravención sea identificada, la acción correctiva debe ser determinada y aplicada a
los procesos (revisión del proceso y mejoramiento), a la tecnología (actualización) y a
las personas (acción disciplinaria) involucrados en la contravención con el fin de
reducir la probabilidad de que vuelva a ocurrir.
Etapa 10 Mantenimiento
La etapa de mantenimiento está relacionada con el proceso de garantizar la vigencia y
la integridad de la política. Esto incluye hacer seguimiento a las tendencias de cambios
(cambios en la tecnología, en los procesos, en las personas, en la organización, en el
enfoque del negocio, etc.) que puede afectar la política; recomendando y coordinando
modificaciones resultado de estos cambios, documentándolos en la política y
registrando las actividades de cambio. Esta etapa también garantiza la disponibilidad
continuada de la política para todas las partes afectadas por ella, al igual que el
mantenimiento de la integridad de la política a través de un control de versiones
efectivo. Cuando se requieran cambios a la política, las etapas realizadas antes deben
ser re-visitadas, en particular las etapas de revisión, aprobación, comunicación y
garantía de cumplimiento.
Etapa 11 Retiro
Cuando un política ha cumplido con su finalidad y no es necesaria (por ejemplo, la
empresa cambió la tecnología a la cual aplicaba o se creó una nueva política que la
reemplazó) entonces debe ser retirada. La etapa de retiro corresponde a la fase de
eliminación del ciclo de vida de la política, y es la etapa final del ciclo. Esta función
implica retirar una política superflua del inventario de políticas activas para evitar
confusión, archivarla para futuras referencias y documentar la información sobre la
decisión de retirar la política (es decir, la justificación, quién autorizó, la fecha,
etcétera).
PRÁCTICAS RECOMENDADAS PARA ESCRIBIR UNA POLÍTICA
Sin importar que una política se enuncie formal o informalmente, esta debe incluir 12
tópicos:
1. La declaración de la política (cuál es la posición de la administración o qué es lo que
se desea regular).
2. Nombre y cargo de quien autoriza o aprueba la política.
3. Nombre de la dependencia, del grupo o de la persona que es el autor o el
proponente de la política.
4. Debe especificarse quién debe acatar la política (es decir, a quién está dirigida) y
quién es el responsable de garantizar su cumplimiento.
5. Indicadores para saber si se cumple o no la política.
6. Referencias a otras políticas y regulaciones en las cuales se soporta o con las cuales
tiene relación.
7. Enunciar el proceso para solicitar excepciones.
8. Describir los pasos para solicitar cambios o actualizaciones a la política.
9. Explicar qué acciones se seguirán en caso de contravenir la política.
10. Fecha a partir de la cual tiene vigencia la política.
11. Fecha cuando se revisará la conveniencia y la obsolescencia de la política.
12. Incluir la dirección de correo electrónico, la página web y el teléfono de la persona
o personas que se pueden contactar en caso de preguntas o sugerencias.
AUDITORIA FORENSE
La auditoria forense procede dentro del contexto de un conflicto real o de una acción
legal con una pérdida financiera significativa, donde el auditor forense ofrece sus
servicios basados en la aplicación del conocimiento relacionado con los dominios de lo
contable (como información financiera, contabilidad, finanzas, auditoría y control) y
del conocimiento relacionado con Investigación financiera, cuantificación de pérdidas
y ciertos aspectos de ley.
Un compromiso de auditoría forense involucra por lo menos: análisis, cuantificación de
pérdidas, investigaciones, recolección de evidencia, mediación, arbitramento y
testimonio como un testigo experto.
Cuando se actúa en calidad de auditores forenses dentro de una investigación, se pone
en práctica toda la experiencia en contabilidad, auditoria e investigación. Como
también la capacidad del auditor para transmitir información financiera en forma clara
y concisa ante un tribunal. Los auditores forenses están entrenados para investigar
más allá de las cifras presentadas y manejar la realidad comercial del momento.
La auditoría forense es una alternativa porque permite que un experto emita ante los
jueces conceptos y opiniones de valor técnico, que le permiten a la justicia actuar con
mayor certeza, especialmente en lo relativo a la vigilancia de la gestión fiscal.
Objetivo de la auditoria forense
Los principales objetivos de la Auditoría Forense son los siguientes:
- Luchar contra la corrupción y el fraude, para el cumplimiento de este objetivo
busca identificar a los supuestos responsables de cada acción a efectos de
informar a las entidades competentes las violaciones detectadas.
- Evitar la impunidad, para ello proporciona los medios técnicos validos que
faciliten a la justicia actuar con mayor certeza, especialmente en estos tiempos
en los cuales el crimen organizado utiliza medios más sofisticados para lavar
dinero, financiar operaciones ilícitas y ocultar diversos delitos.
- Disuadir, en los individuos, las prácticas deshonestas, promoviendo la
responsabilidad y transparencia en los negocios.
- Credibilidad de los funcionarios e instituciones públicas, al exigir a los
funcionarios corruptos la rendición de cuentas ante una autoridad superior, de
los fondos y bienes del Estado que se encuentran a su cargo.
GUÍA DE AUDITORIA
Programa de auditoria
Fase 1: Planeación
Con esta auditoría se quiere verificar la suficiencia y cumplimiento de los controles
establecidos en las políticas de seguridad y controles financieros de la empresa
Auditextiles.
Se pretende alcanzar los siguientes objetivos:
- Identificar las áreas de riesgo en la empresa.
- Comunicar a la alta gerencia la existencia de riesgos.
- Recomendar procedimientos para la mitigación de los riesgos.
Fase 2: Ejecución
Para el cumplimiento del procedimiento de auditoría se utilizaran las siguientes
técnicas y herramientas:
- Lista de verificación
- Cuestionario
Fase 3: Comunicación de resultados
Se elaborara el informe de auditoría, el cual será comunicado a los directivos de la
compañía con el fin de llegar a un acuerdo para alcanzar los objetivos propuestos.
Fase 4: Seguimiento
Después de la entrega del informe final de auditoría, se procederá a realizar un
seguimiento periódico cada tres (3) meses para verificar el cumplimiento y suficiencia
de los controles internos en la compañía.
CH AUDITORIA CONSULTORES EMPRESA: AUDITEXTILES
REFERENCIA Actividad a ser evaluada
Procedimiento Herramientas a utilizar
Observaciones
Políticas de seguridad
Verificar el establecimiento, cumplimiento y control de políticas
Conocer el entorno de la entidad y verificar que los procesos y reportes
Listas de verificación, cuestionarios.
de seguridad de la empresa Auditextiles
coincidan con la realidad, y con los parámetros legales.
Auditoria Forense
Verificar el funcionamiento interno del área financiera de la empresa Auditextiles
Solicitar información referente a reportes y los extractos financieros, facturas, ingresos, egresos, nominas, y revisar regularidad y transparencia en los mismos.
Listas de verificación, cuestionarios.
Guía auditoria Políticas de seguridad
Listas de verificación
Nro. Pregunta Si NO N/A
1 ¿Se tiene conciencia de la importancia de implementar políticas de seguridad en la organización?
2 ¿Existe un documento donde se establezcan las políticas de seguridad que debe seguir la compañía?
3 ¿Las políticas de seguridad existentes están basadas en algún estándar internacional?
4 ¿En las políticas de seguridad se reconocen los riesgos que rodean la organización?
5 ¿En las políticas de seguridad se definen roles y responsabilidades para los procesos del negocio?
6 ¿En las políticas de seguridad se clasifica el nivel de los riesgos existentes?
7 ¿En las políticas de seguridad se definen procedimientos para la seguridad de la información?
8 ¿En las políticas de seguridad se definen procedimientos para la seguridad de los recursos humanos?
9 ¿Hay cámaras de seguridad conectadas a las autoridades públicas (policía, seguridad privada)?
Preguntas abiertas
¿Quién es el encargado de revisar permisos y políticas de seguridad para la gestión de
los datos?
¿Qué procesos, procedimientos o medidas son tomados en caso de detectar un fraude
en la organización?
¿Se garantiza la confidencialidad de los datos en la organización? ¿Cómo?
¿Cuentan con procedimientos y políticas de seguridad definidas dentro de la gerencia
de sistemas?
¿Manejan altos niveles de seguridad para evitar el riesgo de fraude (vulnerabilidad) en
la organización? ¿Cuáles?
¿Cuentan en la organización con un alto personal calificado para realizar con éxito una
auditoría interna, en caso de necesitarlo en un momento dado?
¿Cómo identifican indicadores de fraude en su organización?
¿Qué piensa de la seguridad en el manejo de la información proporcionada por el
sistema que utiliza?
Nula ________
Riesgosa _______
Satisfactoria _______
Excelente _________
Lo desconoce_______
¿Por qué?____________________________________________
Guía auditoria forense
Listas de verificación
Nro. Pregunta Si NO N/A
1 ¿Se presentan reportes financieros con un periodo de tiempo definido?
2 ¿Existe documentación que soporte todos los movimientos financieros?
3 ¿Se lleva un control estricto de viáticos y auxilios concedidos?
4 ¿A parte del área de contabilidad y el área de gerencia, alguien más tiene acceso a la información financiera?
5 ¿Se cuenta con sistemas de información que almacenen información financiera y reportes de la
empresa?
Preguntas abiertas
¿Cuántas personas están a cargo del área de contabilidad?
¿Se realizan auditorías internas, a los reportes financieros? ¿Cada cuanto tiempo?
¿Qué acciones se toman con los documentos y reportes antiguos?
¿Cómo se controlan los documentos de facturación, reportes ingresos, egresos,
internos y externos?
¿Hay alguien que revise y apruebe los documentos de facturación? ¿Quién?
¿Qué técnicas o metodologías, se utilizan para e el control de reportes en el área
financiera?
¿Cuál es el proceso a seguir en la aprobación de cualquier presupuesto?
¿Con que frecuencia se presentan irregularidades en el cuadre de presupuesto?
¿Cómo se otorgan las bonificaciones, y de acuerdo a que criterios?
¿Se hacen cambios sobre las políticas financieras y de contabilidad?
¿La empresa ha incursionado en mercados diferentes a los que suele dedicarse?
¿Cómo han sido los ingresos recaudados en esta nueva actividad?
Existen retrasos en el pago de nóminas, o inconformidades (reclamos) por parte de los
empleados?
¿Actualmente la empresa cuenta con créditos con alguna entidad?
¿Existen posibilidades de crédito interno para los empleados? ¿Bajo qué políticas se
otorgan estos préstamos?