Seguridad Física
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala, que intentar acceder vía lógica a la misma.
Así, la Seguridad Física consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial"(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos --generalmente de prevención y detección-- destinados a proteger físicamente cualquier recurso del sistema; estos recursos son desde un simple teclado hasta una cinta de backup con toda la información que hay en el sistema, pasando por la propia CPU de la máquina.
Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.
A continuación mencionaremos algunos de los problemas de seguridad física con los que nos podemos enfrentar y las medidas que podemos tomar para evitarlos o al menos minimizar su impacto.
Evaluación de Riesgos de Auditoría
La selección de proyectos de auditoría a incluir en el plan anual de auditoría es uno de los más importantes problemas que confronta la gerencia de auditoría. Si se desean lograr los objetivos de la función de auditoría interna, se deben asignar los recursos disponibles de una manera efectiva y eficiente. Las fallas en la selección de los proyectos adecuados resultarán en oportunidades no aprovechadas de mejorar el control y la eficiencia operativa.
Subyacente al plan de prioridades de auditoría está la suposición de que la evaluación de los proyectos potenciales de auditoría será más efectiva si se sigue un proceso formal para obtener la información necesaria para tomar las decisiones de selección de proyectos. El enfoque que se describe en las siguientes líneas es básicamente una estructura en la cual aplicar el sentido común y el juicio profesional.
El universo de auditoría al cual se aplicará el plan de prioridades de auditoría será determinado por los gerentes de auditoría y el director de auditoría interna. Su determinación del universo de auditoría estará basada en el conocimiento del plan estratégico y de las operaciones de la compañía, la revisión de los cuadros de organización, funciones y responsabilidades de los distintos componentes de la empresa y discusiones con el nivel gerencial responsable.
La metodología que se presenta es relativamente simple, sin embargo, en la gran mayoría de los casos, es suficiente para alcanzar decisiones de selección de proyectos razonables, prudentes y por sobre todo defendibles.
El Análisis de Riesgos constituye una herramienta muy importante para el trabajo del auditor y la calidad del servicio, por cuanto implica el diagnósticode los mismos para velar por su posible manifestación o no.
Los profundos cambios que ocurren hoy, su complejidad y la velocidadcon los que se dan, son las raíces de la incertidumbre y el riesgo que las organizaciones confrontan. Las fusiones, la competencia global y los avances tecnológicos, las desregulaciones, y las nuevas regulaciones, el incremento en la demanda de los consumidores y de los habitantes, la responsabilidad social y ambiental de las organizaciones así como, la transparencia generan un ambienteoperativo, cada día más riesgoso y complicado, surgiendo en adición nuevos retos con los cuales lidiar, resultado de los problemas que se presentan en las organizaciones que operan al margen de la ley o de conductas éticas.
La administración de riesgos en un marco amplio implica que las estrategias, procesos, personas, tecnología y conocimiento están alineados para manejar toda la incertidumbre que una organización enfrenta.
Por el otro lado los riesgos y oportunidades van siempre de la mano, y la clave es determinar los beneficios potenciales de estas sobre los riesgos.
Objetivos
La seguridad informática debe establecer normas que minimicen los riesgos a la información o infraestructura informática. Estas normas incluyen horarios de funcionamiento, restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de usuario, planes de emergencia, protocolos y todo lo necesario que permita un buen nivel de seguridad informática minimizando el impacto en el desempeño de los trabajadores y de la organización en general y como principal contribuyente al uso de programas realizados por programadores.
La seguridad informática está concebida para proteger los activos informáticos, entre los que se encuentran los siguientes:
La infraestructura computacional: Es una parte fundamental para el almacenamiento y gestión de la información, así como para el funcionamiento mismo de la organización. La función de la seguridad informática en esta área es velar que los equipos funcionen adecuadamente y anticiparse en caso de fallas, robos, incendios, boicot, desastres naturales, fallas en el suministro eléctrico y cualquier otro factor que atente contra la infraestructura informática.
Los usuarios: Son las personas que utilizan la estructura tecnológica, zona de comunicaciones y que gestionan la información. Debe protegerse el sistema en general para que el uso por parte de ellos no pueda poner en entredicho la seguridad de la información y tampoco que la información que manejan o almacenan sea vulnerable.
La información: es el principal activo. Utiliza y reside en la infraestructura computacional y es utilizada por los usuarios.
Aspectos y elementos físicos d seguridad informática.
Los aspectos y elementos físicos en el área de informática permiten tomar medidas de seguridad en una estructura definida usada para prevenir o detener el acceso no autorizado a material confidencial de una organización.
La seguridad física identifica las amenazas, vulnerabilidades y las medidas que pueden ser utilizadas para proteger físicamente los recursos y la información de la organización. Los recursos incluyen el personal, el sitio donde ellos laboran, los datos, equipos y los medios con los cuales los empleados interactúan, en general los activos asociados al mantenimiento y procesamiento de la información. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Así, la Seguridad Física consiste en laaplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial, la seguridad física Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
Las principales amenazas que se prevén en la seguridad física son:
- Desastres naturales, incendios accidentales tormentas e inundaciones.
- Amenazas ocasionadas por el hombre.
- Disturbios, sabotajes internos y externos deliberados.
A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.
1. Inundaciones
Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputos.
Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior.
Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputos.
Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior.
2. Robo
Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero.
Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro
Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero.
Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro
3. Fraude
Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines.
Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones.
Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines.
Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones.
4 . Sabotaje
El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.
Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos.
El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.
Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos.
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.
Evaluar y controlar permanentemente la seguridad física del edificio es la base para o comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.
Tener controlado el ambiente y acceso físico permite:
· Disminuir siniestros
· Trabajar mejor manteniendo la sensación de seguridad
· Descartar falsas hipótesis si se produjeran incidentes
· Tener los medios para luchar contra accidentes
No solo las amenazas que surgen de la programación y el funcionamiento de un dispositivo de almacenamiento, transmisión o proceso deben ser consideradas, también hay otras circunstancias que deben ser tomadas en cuenta e incluso «no informáticas». Muchas son a menudo imprevisibles o inevitables, de modo que las únicas protecciones posibles son las redundancias y la descentralización, por ejemplo mediante determinadas estructuras de redes en el caso de las comunicaciones o servidores en clúster para la disponibilidad.
Las amenazas pueden ser causadas por:
Usuarios: causa del mayor problema ligado a la seguridad de un sistema informático. En algunos casos sus acciones causan problemas de seguridad, si bien en la mayoría de los casos es porque tienen permisos sobre dimensionados, no se les han restringido acciones innecesarias, etc.
Programas maliciosos: programas destinados a perjudicar o a hacer un uso ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el ordenador, abriendo una puerta a intrusos o bien modificando los datos. Estos programas pueden ser un virus informático, un gusano informático, un troyano, una bomba lógica, un programa espía o spyware, en general conocidos como malware.
Errores de programación: La mayoría de los errores de programación que se pueden considerar como una amenaza informática es por su condición de poder ser usados como exploits por los crackers, aunque se dan casos donde el mal desarrollo es, en sí mismo, una amenaza. La actualización de parches de los sistemas operativos y aplicaciones permite evitar este tipo de amenazas
Intrusos: persona que consiguen acceder a los datos o programas a los cuales no están autorizados (crackers, defacers, hackers, script kiddie o script boy, viruxers, etc.).
Un siniestro (robo, incendio, inundación): una mala manipulación o una mala intención derivan a la pérdida del material o de los archivos.
Personal técnico interno: técnicos de sistemas, administradores de bases de datos, técnicos de desarrollo, etc. Los motivos que se encuentran entre los habituales son: disputas internas, problemas laborales, despidos, fines lucrativos, espionaje, etc.
Fallos electrónicos o lógicos de los sistemas informáticos en general.
Catástrofes naturales: rayos, terremotos, inundaciones, rayos cósmicos, etc.
Protección del Hardware
La seguridad del hardware se refiere a la protección de objetos frente a intromisiones provocadas por el uso del hardware. A su vez, la seguridad del hardware puede dividirse en seguridad física y seguridad de difusión. En el primer caso se atiende a la protección del equipamiento hardware de amenazas externas como manipulación o robo. Todo el equipamiento que almacene o trabaje con información sensible necesita ser protegido, de modo que resulte imposible que un intruso acceda físicamente a él. La solución más común es la ubicación del equipamiento en un entorno seguro.
La seguridad de difusión consiste en la protección contra la emisión de señales del hardware. El ejemplo más común es el de las pantallas de ordenador visibles a través de las ventanas de una oficina, o las emisiones electromagnéticas de algunos elementos del hardware que adecuadamente capturadas y tratadas pueden convertirse en información. De nuevo, la solución hay que buscarla en la adecuación de entornos seguros.
Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma será nula si no se ha previsto como combatir un incendio.
Desastres naturales
Además de los posibles problemas causados por ataques realizados por personas, es importante tener en cuenta que también los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los contemplamos en nuestra política de seguridad y su implantación.
Algunos desastres naturales a tener en cuenta:
Terremotos y vibraciones
Tormentas eléctricas
Inundaciones y humedad
Incendios y humos.
Los terremotos son el desastre natural menos probable en la mayoría de organismos ubicados en España, por lo que no se harán grandes inversiones en prevenirlos, aunque hay varias cosas que se pueden hacer sin un desembolso elevado y que son útiles para prevenir problemas causados por pequeñas vibraciones:
No situar equipos en sitios altos para evitar caídas.
No colocar elementos móviles sobre los equipos para evitar que caigan sobre ellos.
Separar los equipos de las ventanas para evitar que caigan por ellas o qué objetos lanzados desde el exterior los dañen.
Utilizar fijaciones para elementos críticos.
Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones,
En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el ambiente es extremadamente seco hay mucha electricidad estática.
No obstante, tampoco interesa tener un nivel de humedad demasiadoa elevado, ya que puede producirse condensación en los circuitos integrados que den origen a un cortocircuito. En general no es necesario emplear ningún tipo de aparato para controlar la humedad, pero no está de más disponer de alarmas que nos avisen cuando haya niveles anómalos.
Control de Accesos
El control de acceso no sólo requiere la capacidad de identificación, sino también asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, área o sector dentro de una empresa o institución.
Utilización de Detectores de Metales
El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual.
La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma.La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo.
Utilización de Detectores de Metales
El detector de metales es un elemento sumamente práctico para la revisión de personas, ofreciendo grandes ventajas sobre el sistema de palpación manual.
La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metálico mínimo, a partir del cual se activará la alarma.La utilización de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuará como elemento disuasivo.
Verificación Automática de Firmas (VAF)
En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque también podría encuadrarse dentro de las verificaciones biométricas.Mientras es posible para un falsificador producir una buena copia visual o facsímil, es extremadamente difícil reproducir las dinámicas de una persona: por ejemplo la firma genuina con exactitud.La VAF, usando emisiones acústicas toma datos del proceso dinámico de firmar o de escribir.La secuencia sonora de emisión acústica generada por el proceso de escribir constituye un patrón que es único en cada individuo. El patrón contiene información extensa sobre la manera en que la escritura es ejecutada.El equipamiento de colección de firmas es inherentemente de bajo costo y robusto.Esencialmente, consta de un bloque de metal (o algún otro material con propiedades acústicas similares) y una computadora barata.
Seguridad con Animales Sirven para grandes extensiones de terreno, y además tienen órganos sensitivos mucho más sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema.Así mismo, este sistema posee la desventaja de que los animales pueden ser engañados para lograr el acceso deseado.
.jpg)
Alteraciones del entorno
En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a nuestros sistemas que tendremos que conocer e intentar controlar.
Deberemos contemplar problemas que pueden afectar el régimen de funcionamiento habitual de las máquinas como la alimentación eléctrica, el ruido eléctrico producido por los equipos o los cambios bruscos de temperatura.
Electricidad
Quizás los problemas derivados del entorno de trabajo más frecuentes son los relacionados con el sistema eléctrico que alimenta nuestros equipos; cortocircuitos, picos de tensión, cortes de flujo...
Para corregir los problemas con las subidas de tensión podremos instalar tomas de tierra o filtros reguladores de tensión.
Para los cortes podemos emplear Sistemas de Alimentación Ininterrumpida (SAI), que además de proteger ante cortes mantienen el flujo de corriente constante, evitando las subidas y bajadas de tensión. Estos equipos disponen de baterías que permiten mantener varios minutos los aparatos conectados a ellos, permitiendo que los sistemas se apaguen de forma ordenada (generalmente disponen de algún mecanismo para comunicarse con los servidores y avisarlos de que ha caído la línea o de que se ha restaurado después de una caída).
Por último indicar que además de los problemas del sistema eléctrico también debemos preocuparnos de la corriente estática, que puede dañar los equipos. Para evitar problemas se pueden emplear esprais antiestáticos o ionizadores y tener cuidado de no tocar componentes metálicos, evitar que el ambiente esté excesivamente seco, etc.
Ruido eléctrico
El ruido eléctrico suele ser generado por motores o por maquinaria pesada, pero también puede serlo por otros ordenadores o por multitud de aparatos, y se transmite a través del espacio o de líneas eléctricas cercanas a nuestra instalación
Para prevenir los problemas que puede causar el ruido eléctrico lo más barato es intentar no situar el hardware cerca de los elementos que pueden causar el ruido. En caso de que fuese necesario hacerlo siempre podemos instalar filtos o apantallar las cajas de los equipos.
Temperaturas extremas
No hace falta ser un genio para comprender que las temperaturas extremas, ya sea un calor excesivo o un frio intenso, perjudican gravemente a todos los equipos. En general es recomendable que los equipos operen entre 10 y 32 grados Celsius. Para controlar la temperatura emplearemos aparatos de aire acondicionado.
Protección de los datos
Además proteger el hardware nuestra política de seguridad debe incluir medidas de protección de los datos, ya que en realidad la mayoría de ataques tienen como objetivo la obtención de información, no la destrucción del medio físico que la contiene.
En los puntos siguientes mencionaremos los problemas de seguridad que afectan a la transmisión y almacenamiento de datos, proponiendo medidas para reducir el riesgo.
Copias de seguridad
Es evidente que es necesario establecer una política adecuada de copias de seguridad en cualquier organización; al igual que sucede con el resto de equipos y sistemas, los medios donde residen estas copias tendrán que estar protegidos físicamente; de hecho quizás deberíamos de emplear medidas más fuertes, ya que en realidad es fácil que en una sola cinta haya copias de la información contenida en varios servidores.
Lo primero que debemos pensar es dónde se almacenan los dispositivos donde se realizan las copias. Un error muy habitual es almacenarlos en lugares muy cercanos a la sala de operaciones, cuando no en la misma sala; esto, que en principio puede parecer correcto (y cómodo si necesitamos restaurar unos archivos) puede convertirse en un problema serio si se produce cualquier tipo de desastre (como p. ej. un incendio). Hay que pensar que en general el hardware se puede volver a comprar, pero una pérdida de información puede ser ireemplazable
Así pues, lo más recomendable es guardar las copias en una zona alejada de la sala de operaciones; lo que se suele recomendar es disponer de varios niveles de copia, una que se almacena en una caja de seguridad en un lugar alejado y que se renueva con una periodicidad alta y otras de uso frecuente que se almacenan en lugares más próximos (aunque a poder ser lejos de la sala donde se encuentran los equipos copiados).
Para proteger más aun la información copiada se pueden emplear mecanísmos de cifrado, de modo que la copia que guardamos no sirva de nada si no disponemos de la clave para recuperar los datos almacenados.
Protección contra virus: Los virus son uno de los medios más tradicionales de ataque a los sistemas y a la información que sostienen. Para poder evitar su contagio se deben vigilar los equipos y los medios de acceso a ellos, principalmente la red.
Control del software instalado
Tener instalado en la máquina únicamente el software necesario reduce riesgos. Así mismo tener controlado el software asegura la calidad de la procedencia del mismo (el software obtenido de forma ilegal o sin garantías aumenta los riesgos). En todo caso un inventario de software proporciona un método correcto de asegurar la reinstalación en caso de desastre. El software con métodos de instalación rápidos facilita también la reinstalación en caso de contingencia.
Control de la red
Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada de ficheros desde discos, o de ordenadores ajenos, como portátiles.
Mantener al máximo el número de recursos de red solo en modo lectura, impide que ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los permisos de los usuarios al mínimo.
Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan trabajar durante el tiempo inactivo de las máquinas.
Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación, cómo se ha introducido el virus.
Protección física de acceso a las redes
Independientemente de las medidas que se adopten para proteger los equipos de una red de área local y el software que reside en ellos, se deben tomar medidas que impidan que usuarios no autorizados puedan acceder. Las medidas habituales dependen del medio físico a proteger.
A continuación se enumeran algunos de los métodos, sin entrar al tema de la protección de la red frente a ataques o intentos de intrusión desde redes externas, tales como Internet.
El reto es asignar estratégicamente los recursos para equipo de seguridad y bienes que intervengan, basándose en el impacto potencial para la organizacion, respecto a los diversos incidentes que se deben resolver. Para determinar el establecimiento de prioridades, el sistema de gestión de incidentes necesita saber el valor de los sistemas de información que pueden ser potencialmente afectados por incidentes de seguridad. Esto puede implicar que alguien dentro de la organización asigne un valor monetario a cada equipo y un archivo en la red o asignar un valor relativo a cada sistema y la información sobre ella. Dentro de los Valores para el sistema se pueden distinguir: Confidencialidad de la información, la Integridad (aplicaciones e información) y finalmente la Disponibilidad del sistema. Cada uno de estos valores es un sistema independiente de la organización, supongamos el siguiente ejemplo, un servidor Web público puede poseer los requisitos de confidencialidad de baja (ya que toda la información es pública),pero de alta disponibilidad y los requisitos de integridad. En contraste, un sistema de planificación de recursos empresariales (ERP), sistema puede poseer alta puntaje en los tres variables. Los incidentes individuales pueden variar ampliamente en términos de alcance e importancia.
La selección de proyectos de auditoría a incluir en el plan anual de auditoría es uno de los más importantes problemas que confronta la gerencia de auditoría. Si se desean lograr los objetivos de la función de auditoría interna, se deben asignar los recursos disponibles de una manera efectiva y eficiente. Las fallas en la selección de los proyectos adecuados resultarán en oportunidades no aprovechadas de mejorar el control y la eficiencia operativa.
Subyacente al plan de prioridades de auditoría está la suposición de que la evaluación de los proyectos potenciales de auditoría será más efectiva si se sigue un proceso formal para obtener la información necesaria para tomar las decisiones de selección de proyectos. El enfoque que se describe en las siguientes líneas es básicamente una estructura en la cual aplicar el sentido común y el juicio profesional.
El universo de auditoría al cual se aplicará el plan de prioridades de auditoría será determinado por los gerentes de auditoría y el director de auditoría interna. Su determinación del universo de auditoría estará basada en el conocimiento del plan estratégico y de las operaciones de la compañía, la revisión de los cuadros de organización, funciones y responsabilidades de los distintos componentes de la empresa y discusiones con el nivel gerencial responsable.
La metodología que se presenta es relativamente simple, sin embargo, en la gran mayoría de los casos, es suficiente para alcanzar decisiones de selección de proyectos razonables, prudentes y por sobre todo defendibles.
El Análisis de Riesgos constituye una herramienta muy importante para el trabajo del auditor y la calidad del servicio, por cuanto implica el diagnósticode los mismos para velar por su posible manifestación o no.
Por el otro lado los riesgos y oportunidades van siempre de la mano, y la clave es determinar los beneficios potenciales de estas sobre los riesgos.
los elementos o aspectos físicos en el área de la informática permite tomar medidas para detener el acceso de personas ajenas a material no autorizado de una organización ellos permiten controlar ciertas debilidades en algunos puntos donde ellos laboran , la seguridad física es la aplicación de barreras dentro de la organización como mecanismo de control dentro de la organización pero como sabemos un sistema no solo esta en peligro por personas o virus , los sistemas de seguridad están amenazados por una uerza mas poderosa , la naturaleza , ya sea por incendios , inundaciones y terremotos.
Nunca sabremos cuando estos desastres ocurrirán , pero si sabemos como proteger este sistema o el hardware m minimizando asi las perdidas.
Las personas de la misma organización son una amenaza ya que siempre habrán empleados descontentos que podrían atentar contra el sistema , robando información o estropeándolo , es por esto que se emplea una etapa de control de proceso que permite cuidadosamente dar acceso a usuarios especiales para su funcionamiento.lo recomendarle siempre sera realizar una copia de seguridad cada vez que sea necesaria , dichas copias deberán ser almacenadas muy cuidadosamente ya que una copia podria contener información de la gran mayoria de los ordenadores.
No hay comentarios:
Publicar un comentario