miércoles, 15 de diciembre de 2010

Evaluación de Riesgos de Auditoría

La selección de proyectos de auditoría a incluir en el plan anual de auditoría es uno de los más importantes problemas que confronta la gerencia de auditoría. Si se desean lograr los objetivos de la función de auditoría interna, se deben asignar los recursos disponibles de una manera efectiva y eficiente. Las fallas en la selección de los proyectos adecuados resultarán en oportunidades no aprovechadas de mejorar el control y la eficiencia operativa.
Subyacente al plan de prioridades de auditoría está la suposición de que la evaluación de los proyectos potenciales de auditoría será más efectiva si se sigue un proceso formal para obtener la información necesaria para tomar las decisiones de selección de proyectos. El enfoque que se describe en las siguientes líneas es básicamente una estructura en la cual aplicar el sentido común y el juicio profesional.
El universo de auditoría al cual se aplicará el plan de prioridades de auditoría será determinado por los gerentes de auditoría y el director de auditoría interna. Su determinación del universo de auditoría estará basada en el conocimiento del plan estratégico y de las operaciones de la compañía, la revisión de los cuadros de organización, funciones y responsabilidades de los distintos componentes de la empresa y discusiones con el nivel gerencial responsable.
La metodología que se presenta es relativamente simple, sin embargo, en la gran mayoría de los casos, es suficiente para alcanzar decisiones de selección de proyectos razonables, prudentes y por sobre todo defendibles.
El Análisis de Riesgos constituye una herramienta muy importante para el trabajo del auditor y la calidad del servicio, por cuanto implica el diagnóstico de los mismos para velar por su posible manifestación o no.
Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que se dan, son las raíces de la incertidumbre y el riesgo que las organizaciones confrontan. Las fusiones, la competencia global y los avances tecnológicos, las desregulaciones, y las nuevas regulaciones, el incremento en la demanda de los consumidores y de los habitantes, la responsabilidad social y ambiental de las organizaciones así como, la transparencia generan un ambiente operativo, cada día más riesgoso y complicado, surgiendo en adición nuevos retos con los cuales lidiar, resultado de los problemas que se presentan en las organizaciones que operan al margen de la ley o de conductas éticas.
La administración de riesgos en un marco amplio implica que las estrategias, procesos, personas, tecnología y conocimiento están alineados para manejar toda la incertidumbre que una organización enfrenta.
Por el otro lado los riesgos y oportunidades van siempre de la mano, y la clave es determinar los beneficios potenciales de estas sobre los riesgos.

martes, 14 de diciembre de 2010

Aspectos y elementos fisicos

Los aspectos y elementos físicos en el área de informática permiten tomar medidas de seguridad en una estructura definida usada para prevenir o detener el acceso no autorizado a material confidencial de una organización.
La seguridad física identifica las amenazas, vulnerabilidades y las medidas que pueden ser utilizadas para proteger físicamente los recursos y la información de la organización. Los recursos incluyen el personal, el sitio donde ellos laboran, los datos, equipos y los medios con los cuales los empleados interactúan, en general los activos asociados al mantenimiento y procesamiento de la información. La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema informático. Así, la Seguridad Física consiste en la aplicación de barreras físicas y procedimientos de control, como medidas de prevención y contramedidas ante amenazas a los recursos e información confidencial, la seguridad física Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo así como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.
Las principales amenazas que se prevén en la seguridad física son:
  1. Desastres naturales, incendios accidentales tormentas e inundaciones.
  2. Amenazas ocasionadas por el hombre.
  3. Disturbios, sabotajes internos y externos deliberados.
A continuación se analizan los peligros más importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevención, reducción, recuperación y corrección de los diferentes tipos de riesgos.
1. Inundaciones
Se las define como la invasión de agua por exceso de escurrimientos superficiales o por acumulación en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cómputos.
Además de las causas naturales de inundaciones, puede existir la posibilidad de una inundación provocada por la necesidad de apagar un incendio en un piso superior.
2.      Robo
Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma forma que lo están las piezas de stock e incluso el dinero.
Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de máquina. La información importante o confidencial puede ser fácilmente copiada. Muchas empresas invierten millones de dólares en programas y archivos de información, a los que dan menor protección que la que otorgan a una máquina de escribir o una calculadora. El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son fácilmente copiados sin dejar ningún rastro
3.      Fraude
Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines.
Sin embargo, debido a que ninguna de las partes implicadas (compañía, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que más bien pierden en imagen, no se da ninguna publicidad a este tipo de situaciones.
4.      Sabotaje
El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la protección contra el saboteador es uno de los retos más duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa.
Físicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la información desaparece, aunque las cintas estén almacenadas en el interior de su funda de protección. Una habitación llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos.
Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras.
Evaluar y controlar permanentemente la seguridad física del edificio es la base para o comenzar a integrar la seguridad como una función primordial dentro de cualquier organismo.
Tener controlado el ambiente y acceso físico permite:
·         Disminuir siniestros
·         Trabajar mejor manteniendo la sensación de seguridad
·         Descartar falsas hipótesis si se produjeran incidentes
·         Tener los medios para luchar contra accidentes





lunes, 13 de diciembre de 2010

Impacto en la Organizacion

         El reto es asignar estratégicamente los recursos para equipo de seguridad y bienes que intervengan, basándose en el impacto potencial para la organizacion, respecto a los diversos incidentes que se deben resolver. Para determinar el establecimiento de prioridades, el sistema de gestión de incidentes necesita saber el valor de los sistemas de información que pueden ser potencialmente afectados por incidentes de seguridad. Esto puede implicar que alguien dentro de la organización asigne un valor monetario a cada equipo y un archivo en la red o asignar un valor relativo a cada sistema y la información sobre ella. Dentro de los Valores para el sistema se pueden distinguir: Confidencialidad de la información, la Integridad (aplicaciones e información) y finalmente la Disponibilidad del sistema. Cada uno de estos valores es un sistema independiente de la organización, supongamos el siguiente ejemplo, un servidor Web público puede poseer los requisitos de confidencialidad de baja (ya que toda la información es pública),pero de alta disponibilidad y los requisitos de integridad. En contraste, un sistema de planificación de recursos empresariales (ERP), sistema puede poseer alta puntaje en los tres variables. Los incidentes individuales pueden variar ampliamente en términos de alcance e importancia.