Fundamentacion de Auditoria
EL SISTEMA NACIONAL DE CONTROL FISCAL EN VENEZUELA
El Control Fiscal es el conjunto
de actividades realizadas por Instituciones competentes para lograr, mediante
sistemas y procedimientos diversos, la regularidad y corrección de la
administración del Patrimonio Público.
Se entiende por Sistema Nacional de Control Fiscal, el
conjunto de órganos, estructuras, recursos y procesos que, integrados bajo la
rectoría de la Contraloría General de la República, interactúan coordinadamente
a fin de lograr la unidad de dirección de los sistemas y procedimientos de
control que coadyuven al logro de los objetivos generales de los distintos
entes y organismos sujetos a la Ley Orgánica de la Contraloría General de la
República y el Sistema Nacional de Control Fiscal, así como también al buen
funcionamiento de la Administración Pública.
Artículo 1. La presente Ley tiene por objeto regular las
funciones de la Contraloría General de la República, el Sistema Nacional de
Control Fiscal y la participación de los ciudadanos en el ejercicio de la
función contralora.
Artículo 2. La Contraloría General de la República, en los
términos de la Constitución de la República Bolivariana de Venezuela y de esta
Ley, es un órgano del Poder Ciudadano, al que corresponde el control, la
vigilancia y la fiscalización de los ingresos, gastos y bienes públicos, así
como de las operaciones relativas a los mismos, cuyas actuaciones se orientarán
a la realización de auditorías, inspecciones y cualquier tipo de revisiones
fiscales en los organismos y entidades sujetos a su control.
La Contraloría, en el ejercicio de sus funciones, verificará
la legalidad, exactitud y sinceridad, así como la eficacia, economía,
eficiencia, calidad e impacto de las operaciones y de los resultados de la
gestión de los organismos y entidades sujetos a su control.
Corresponde a la Contraloría ejercer sobre los
contribuyentes y responsables, previstos en el Código Orgánico Tributario, así
como sobre los demás particulares, las potestades que específicamente le
atribuye esta Ley.
Parágrafo Único: La Contraloría realizará todas las actividades
que le asigne el Consejo Moral Republicano, de conformidad con la Constitución
de la República Bolivariana de Venezuela y las Leyes.
Artículo 3. La Contraloría General de la República en el
ejercicio de sus funciones no está subordinada a ningún otro órgano del Poder
Público. Goza de autonomía funcional, administrativa y organizativa e
igualmente de la potestad para dictar normas reglamentarias en las materias de
su competencia.
Artículo 4. A los fines de esta Ley, se entiende por Sistema
Nacional de Control Fiscal, el conjunto de órganos, estructuras, recursos y
procesos que, integrados bajo la rectoría de la Contraloría General de la
República, interactúan coordinadamente a fin de lograr la unidad de dirección
de los sistemas y procedimientos de control que coadyuven al logro de los
objetivos generales de los distintos entes y organismos sujetos a esta Ley, así
como también al buen funcionamiento de la Administración Pública.
Artículo 5. La función de control estará sujeta a una
planificación que tomará en cuenta los planteamientos y solicitudes de los
órganos del Poder Público, las denuncias 3 recibidas, los resultados de la
gestión de control anterior, así como la situación administrativa, las áreas de
interés estratégico nacional y la dimensión y áreas críticas de los entes
sometidos a su control.
Artículo 6. Los órganos que integran el Sistema Nacional de
Control Fiscal adoptarán, de conformidad con la Constitución de la República
Bolivariana de Venezuela y las Leyes, las medidas necesarias para fomentar la
participación ciudadana en el ejercicio del control sobre la gestión pública.
Artículo 7. Los entes y organismos del sector público, los
servidores públicos y los particulares están obligados a colaborar con los
órganos que integran el Sistema Nacional de Control Fiscal, y a proporcionarles
las informaciones escritas o verbales, los libros, los registros y los
documentos que les sean requeridos con motivo del ejercicio de sus
competencias. Asimismo, deberán atender las citaciones o convocatorias que les
sean formuladas.
Artículo 8. Las funciones que la Constitución de la
República Bolivariana de Venezuela y las Leyes atribuyen a la Contraloría
General de la República y a los demás órganos del Sistema Nacional de Control
Fiscal deben ser ejercidas con objetividad e imparcialidad.
Artículo 9. Están sujetos a las disposiciones de la presente
Ley y al control, vigilancia y fiscalización de la Contraloría General de la
República:
· 1. Los
órganos y entidades a los que incumbe el ejercicio del Poder Público Nacional.
· 2. Los
órganos y entidades a los que incumbe el ejercicio del Poder Público Estadal.
· 3. Los
órganos y entidades a los que incumbe el ejercicio del Poder Público en los
Distritos y Distritos Metropolitanos.
· 4. Los
órganos y entidades a los que incumbe el ejercicio del Poder Público Municipal
y en las demás entidades locales previstas en la Ley Orgánica de Régimen
Municipal.
· 5. Los
órganos y entidades a los que incumbe el ejercicio del Poder Público en los
Territorios Federales y Dependencias Federales.
· 6. Los
institutos autónomos nacionales, estadales, distritales y municipales.
· 7. El Banco
Central de Venezuela.
· 8. Las
universidades públicas.
· 9. Las demás
personas de Derecho Público nacionales, estadales, distritales y municipales.
· 10. Las
sociedades de cualquier naturaleza en las cuales las personas a que se refieren
los numerales anteriores tengan participación en su capital social, así como
las que se constituyan con la participación de aquéllas.
· 11. Las
fundaciones y asociaciones civiles y demás instituciones creadas con fondos
públicos, o que sean dirigidas por las personas a que se refieren los numerales
anteriores o en las cuales tales personas designen sus autoridades, o cuando
los aportes presupuestarios o contribuciones efectuados en un ejercicio
presupuestario por una o varias de las personas a que se refieren los numerales
anteriores representen el cincuenta por ciento (50%) o más de su presupuesto.
· 12. Las
personas naturales o jurídicas que sean contribuyentes o responsables, de
conformidad con lo previsto en el Código Orgánico Tributario, o que en
cualquier forma contraten, negocien o celebren operaciones con cualesquiera de
los organismos o entidades mencionadas en los numerales anteriores o que
reciban 4 aportes, subsidios, otras transferencias o incentivos fiscales, o que
en cualquier forma intervengan en la administración, manejo o custodia de
recursos públicos.
CONTROL INTERNO
El Control Interno: es un
instrumento de gestión que comprende el plan de la organización y el conjunto
de métodos y procedimientos adoptados dentro de una entidad para proteger su
patrimonio, verificar la exactitud y veracidad de su información financiera y
administrativa, promover la eficiencia en las operaciones, propender al
cumplimiento de las metas y objetivos programados.
Según William L. Chapman[1]por Control Interno se entiende:
el programa de organización y el conjunto de métodos y procedimientos
coordinados y adoptados por una empresa para salvaguardar sus bienes, comprobar
la eficacia de sus datos contables y el grado de confianza que suscitan a
afectos de promover la eficiencia de la administración y lograr el cumplimiento
de la política administrativa establecida por la dirección de a empresa.
CONTROL INTERNO SEGÚN COSO
COSO (Committee of Sponsoring Organizations of the Treadway)
es una Comisión voluntaria constituida por representantes de cinco
organizaciones del sector privado en EEUU, para proporcionar liderazgo
intelectual frente a tres temas interrelacionados: la gestión del riesgo
empresarial (ERM), el control interno, y la disuasión del fraude
Según COSO el control interno es un proceso, ejecutado por
la Junta Directiva o Consejo de Administración de una entidad, por su grupo directivo (gerencial) y por el resto
del personal, diseñado específicamente para proporcionarles seguridad razonable
de conseguir en la empresa las tres siguientes categorías de objetivos:
· Efectividad
y eficiencia de las operaciones.
· Suficiencia
y confiabilidad de la información financiera.
· Cumplimiento
de las leyes y regulaciones aplicables.
Esta definición enfatiza ciertos conceptos o características
fundamentales sobre el Control Interno, como son:
· Es un
proceso que parte de los demás sistemas y procesos de la empresa incorporando
en la función de administración y dirección, no adyacente a éstos.
· Orientado a
objetivos es un medio, no un fin en sí mismo.
· Es
concebido y ejecutado por personas de todos los niveles de la organización a
través de sus acciones y palabras.
· Proporciona
una seguridad razonable, más que absoluta, de que se lograrán sus objetivos.
El control interno consta de cinco componentes
interrelacionados, que se derivan de la forma como la administración maneja el
ente, y están integrados a los procesos administrativos, los cuales se
clasifican como:
· Ambiente de
Control.
· Evaluación
de Riesgos .
· Actividades
de Control.
· Información
y Comunicación.
· Supervisión
y Seguimiento.
Ambiente de Control
Cosiste en el establecimiento de un entorno que se estimule
e influencie la actividad del personal con respecto al control de sus
actividades.
Es la base de los demás componentes de control a proveer
disciplina y estructura para el control e incidir en la manera como:
• Se estructuran las actividades del negocio.
• Se asigna autoridad y responsabilidad.
• Se organiza y desarrolla la gente.
• Se comparten y comunican los valores y creencias.
• El personal toma conciencia de la importancia del control
Evaluación de Riesgos
Es la identificación y análisis de riesgos relevantes para
el logro de los objetivos y la base para determinar la forma en que tales
riesgos deben ser mejorados. Así mismo, se refiere a los mecanismo necesarios
para identificar y manejar riesgos específicos asociados con los cambios, tanto
los que influyen en el entrono de la organización como en su interior
Actividades de
Control
Son aquellas que realiza la gerencia y demás personal de la
organización para cumplir diariamente con las actividades asignadas. Estas
actividades están expresadas en las políticas, sistemas y procedimientos.
Información y
Comunicación
Los sistemas de información y tecnología son y serán sin
duda un medio para incrementar la productividad y competitividad. Ciertos hallazgos
sugieren que la integración de la estrategia, la estructura organizacional y la
tecnología de información es un concepto clave para el nuevo siglo.
Supervisión y Seguimiento a gerencia debe llevar a cabo la
revisión y evaluación sistemática de los componentes y elementos que forman
parte de los sistemas de control para prevenir que eta pierda su eficiencia por
factores externo e internos .
LAS NORMAS DE AUDITORIA
Estas normas se definen como aquellas que se refieren a la
capacidad profesional del personal al debido cuidado profesional con que debe
practicarse la auditoría y se preparen los informes respectivos, a la
independencia de la organización de auditoría y de su personal, y a la
aplicación de controles de calidad generalmente se distinguen de las
relacionadas con la ejecución del trabajo y con la preparación de los informes
correspondientes.
Las normas de auditoría también se conocen como Normas de
Auditoría Generalmente Aceptadas (NAGAS) son los principios y requisitos que
debe cumplir el auditor en el desempeño de sus funciones de modo que pueda
expresar una opinión técnica responsable, también son llamadas Normas Técnicas
de Auditoría.
Estas normas pueden diferir de país en país (por lo general
son dictadas por el colegio de contadores de cada país) pero, en general, son
10 y se agrupan en tres grandes renglones:
· Normas personales o generales
· Normas relativas a la ejecución del trabajo
· Normas relativas a la preparación de los informes
Y estas se definen como:
Entrenamiento y capacidad profesional: La auditoría debe ser
ejecutada por un personal que tenga el entrenamiento técnico adecuado y
criterio como auditor. No basta con la obtención del título profesional de
contador público, sino que es necesario tener una capacitación constante
mediante seminarios, charlas, conferencias, revistas, manuales, trabajos de
investigación, etcétera, y el entrenamiento en el campo para que pueda existir
un criterio profesional para evitar los juicios de valor y sea ed carácter
imparcial.
Cuidado y diligencia profesional: Debe ponerse todo el
cuidado profesional en la ejecución de la auditoría y en la preparación del
informe. El debido cuidado impone la responsabilidad sobre cada una de las
personas que componen la organización de una auditoría independiente y exige
cumplir las normas relativas al trabajo y al informe. El ejercicio del cuidado
debido requiere de una revisión crítica en cada nivel de supervisión del
trabajo ejecutado y del criterio empleado por aquellos que intervinieron en el
examen.
Independencia: Para que los interesados confíen en la
información financiera este debe ser dictaminado por un contador público
independiente que de antemano haya aceptado el trabajo de auditoría , ya que su
opinión no este influenciada por nadie, es decir, que su opinión es objetiva,
libre e imparcial.
NORMAS DE AUDITORIA EN VENEZUELA
El 13 de diciembre de 2013, el Directorio de la Federación
de Colegios de Contadores Públicos de la República Bolivariana de Venezuela
(FCCPV), aprobó una Resolución ("la Resolución") sobre la Aplicación
de las Normas Internacionales de Auditoría ("NIA´s") y otros asuntos,
que se considera importante por la trascendencia que tendrá en relación con los
trabajos que desempeñan los contadores públicos en Venezuela y por su impacto
en la comunidad de negocios.
Entre otros, la Resolución indica los siguientes
considerandos
"Que en la Sesión Plenaria del Directorio Nacional
Ampliado (DNA) reunido en Acarigua-Araure, estado Portuguesa, el día 31 de
enero de 2004, se decidió la adopción de estándares internacionales de
información financiera (NIC/NIIF), normas internacionales de contabilidad del
sector público (NICSP) y las normas
Internacionales de auditoría (NIA).
Que en la Sesión Plenaria del Directorio Nacional Ampliado
reunido en Puerto La Cruz, estado Anzoátegui, el día 27 de julio de 2013 se
ratificó la decisión tomada en el DNA reunido en Acarigua-Araure, estado
Portuguesa, los días 30 y 31 de enero de 2004 con respecto a la adopción de
Estándares Internacionales de Auditoría, describiendo como tales a las Normas
Internacionales de Auditoría, Revisión, Atestiguamiento y Servicios
Relacionados; así como también las Declaraciones Internacionales de Prácticas
de Auditoría y las Normas sobre Control de Calidad emitidas por el IFAC y se
aprobó como fecha efectiva para la entrada en vigencia y aplicación en
Venezuela, a partir del 01 de Enero de 2014.
Que la preparación y presentación de los estados financieros
en Venezuela se fundamenta en los principios de contabilidad generalmente
aceptados (VEN NIF), cuya vigencia es desde el 01 de enero de 2008, VEN NIF GE,
para el caso de las grandes entidades y desde el 01 de enero de 2011 (VEN NIF
PYME), para el caso de las pequeñas y medianas entidades."
La Resolución ratifica la aplicación en Venezuela de las
Normas Internacionales de Auditoría y Revisión de Estados Financieros de 2010,
así como también las Declaraciones Internacionales de Prácticas de Auditoría y
las Normas sobre Control de Calidad emitidas por el IFAC, para los ejercicios
que se inicien el 1o. de enero de 2014 y para la aplicación de las Normas
Internacionales de Atestiguamiento y Servicios Relacionados, emitidos por el
IFAC.
También se establece que para las auditorías y trabajos de
revisión de estados financieros de los ejercicios iniciados antes del 1o. de
enero de 2014, se permite la aplicación anticipada de las Normas
Internacionales de Auditoría y Revisión de Estados Financieros de 2010, así
como también las Declaraciones Internacionales de Prácticas de Auditoría y las
Normas sobre Control de Calidad emitidas por el IFAC, incluyendo en el informe
del auditor la expresión de dicha aplicación anticipada.
A partir del 1o. de enero de 2014 se iniciará el proceso de
transición a las Normas Internacionales de Atestiguamiento y Servicios
Relacionados. Sin embargo, se permite la aplicación anticipada de las Normas
Internacionales de Atestiguamiento y Servicios Relacionados, emitidas por el
IFAC, para los trabajos de atestiguamiento y servicios relacionados realizados
en el período de transición, incluyendo en el informe del contador la expresión
de dicha aplicación anticipada.
Se señala también que el período de transición finalizará al
concluir el programa de divulgación a los colegios federados, usuarios de la
información financiera y entes reguladores. La fecha de término del período de
transición se establecerá mediante resolución del Directorio del FCCPV, en el
transcurso del año 2014.
Posteriormente, la Resolución señala cuáles son las Normas
de Referencia, las Normas Vigentes y las Disposiciones Derogatorias, las
Disposiciones Transitorias y las Normas No Derogadas.
NORMAS GENERALES DE AUDITORIA DE ESTADO
DISPOSICIONES GENERALES
Artículo 3°.- La auditoría de Estado es externa cuando la
realiza directamente la Contraloría General de la República, las Contralorías
Estadales y Municipales o las sociedades de auditores externos o profesionales
independientes contratados para tales fines, y es interna cuando la practican
los órganos de control interno de cada organismo o entidad.
La auditoría debe ser realizada por personas acreditadas
para tales fines.
NORMAS RELATIVAS A LA EJECUCIÓN
Artículo 15.- Para realizar labores de auditoría externa o
interna, el auditor deberá estar formalmente acreditado ante el respectivo
organismo, entidad o dependencia.
En la auditoria seguridad de los sistemas
Los objetivos de la auditoría Informática son:
Ø El análisis de la eficiencia de los Sistemas Informáticos
Ø La verificación del cumplimiento de la Normativa en este
ámbito
Ø La revisión de la eficaz gestión de los recursos
informáticos.
La auditoría informática sirve para mejorar ciertas características
en la empresa como:
Ø Desempeño, Fiabilidad, Eficacia, Rentabilidad, Seguridad,
Privacidad. Por otro lado la seguridad de la información genera o produce
estabilidad, fortaleza y sobre todo confianza en la generación de alternativas
para la mejor toma de decisiones en la organización o empresa.
También existen otros tipos de auditoría:
Ø Auditoría operacional: Se refiere a la revisión de la
operación de una empresa y juzga la eficiencia de la misma
Ø Auditoría administrativa: Se refiere a la organización y
eficiencia de la estructura del personal con la que cuenta el personal y los
procesos administrativos en que actúa dicho personal.
Ø Auditoría social: Se refiere a la revisión del entorno
social en que se ubica y desarrolla una empresa, con el fin de valorar aspectos
externos e internos que interfieren en la productividad de la misma.
Sus beneficios son:
Ø Mejora la imagen pública.
Ø Confianza en los usuarios sobre la seguridad y control de
los servicios de TI.
Ø Optimiza las relaciones internas y del clima de trabajo.
Ø Disminuye los costos de la mala calidad (re-procesos,
rechazos, reclamos, entre otros).
Ø Genera un balance de los riesgos en TI.
Ø Realiza un control de la inversión en un entorno de TI, a
menudo impredecible.
VULNERABILIDAD, AMENAZA, RIESGOS Y CONTROLES INFORMÁTICOS
VULNERABILIDAD:
· INFORMÁTICA: Es el punto o aspecto del sistema que es
susceptible de ser atacado o de dañar la seguridad del mismo.
· FÍSICA: Está a nivel del entorno físico del sistema, se
relaciona con la posibilidad de entrar o acceder físicamente al sistema para robar,
modificar o destruirlo.
· NATURAL: Se refiere al grado en que el sistema puede verse
afectado por desastres naturales o ambientales, que pueden dañar el sistema
· HARDWARE Y SOFTWARE: Desde el punto de vista del hardware,
ciertos tipos de dispositivos pueden ser más vulnerables que otros, ya que
depende del material que está construido. Ciertos fallos o debilidades del
software del sistema hacen más fácil acceder al mismo y lo hacen menos fiable.
Las vulnerabilidades en el software son conocidos como Bugs del sistema.
· DE LOS MEDIOS O DISPOSITIVOS: Se refiere a la posibilidad
de robar o dañar los discos, cintas, listados de impresora, etc.
· EMANACIÓN: Todos los dispositivos eléctricos y
electrónicos emiten radiaciones electromagnéticas. Existen dispositivos y
medios de interceptar estas emanaciones y descifrar o reconstruir la
información almacenada o transmitida.
· DE LAS COMUNICACIONES: La conexión de los computadores a
redes incrementa la vulnerabilidad del sistema, ya que al aumentar el acceso de
personas pueden tener acceso al mismo y intentar tenerlo, también está el
riesgo de la intercepción de las comunicaciones.
AMENAZAS
INFORMÁTICA: Es un posible peligro del sistema. Puede ser
una persona (cracker), un programa (virus, caballo de Troya, etc.), o un suceso
natural o de otra índole (fuego, inundación, etc.). Representan los posibles
atacantes o factores que aprovechan las debilidades del sistema.
LAS AMENAZAS PUEDEN CLASIFICARSE EN 4 TIPOS:
· INTERCEPCIÓN: Cuando una persona, programa o proceso logra
el acceso a una parte del sistema a la que no está autorizada.
· MODIFICACIÓN: Este tipo de amenaza se trata no sólo de
acceder a una parte del sistema a la que no se tiene autorización, sino también
de cambiar su contenido o modo de funcionamiento.
· INTERRUPCIÓN: Se trata de la interrupción mediante el uso
de algún método el funcionamiento del sistema.
· GENERACIÓN: Generalmente se refiere a la posibilidad de
añadir información a programas no autorizados en el sistema.
EL ORIGEN DE LAS AMENAZAS SE CLASIFICAN:
· NATURALES O FÍSICAS: Las amenazas que ponen en peligro los
componentes físicos del sistema son llamadas naturales, dentro de ellas se
puede distinguir los desastres naturales
· INVOLUNTARIAS: Están relacionadas con el uso no apropiado
del equipo por falta de entrenamiento o de concienciación sobre la seguridad
· INTENCIONADAS: son aquellas que proceden de personas que
quieren acceder al sistema para borrar, modificar o robar la información o
sencillamente para bloquearlo o por simple diversión.
· RIESGO INFORMÁTICO: corresponde al potencial de pérdidas
que pueden ocurrirle al sujeto o sistema expuesto, resultado de la relación de
la amenaza y la vulnerabilidad
LOS PRINCIPALES RIESGOS INFORMÁTICOS SON:
· INTEGRIDAD: Aquí están todos los riesgos asociados con la
autorización, completitud y exactitud de la entrada, procesamiento y reportes
de las aplicaciones informáticas utilizadas en una organización. Estos riesgos
aplican en cada aspecto de un sistema de soporte de procesamiento de negocio y
se dan en múltiples lugares y momentos
· DE RELACIÓN: Se refieren al uso oportuno de la información
creada por una aplicación y están relacionados directamente con la información
de toma de decisiones
· DE ACCESO: Se enfocan en el inapropiado acceso a sistemas,
datos e información. Dentro de estos riesgos se encuentran los riesgos de
segregación inapropiada de funciones en el trabajo, los riesgos asociados con
la integridad de la información de sistemas de bases de datos y los riesgos
asociados a la confidencialidad de la información.
· DE UTILIDAD: Están enfocados en tres diferentes niveles de
riesgo: los riesgos que pueden ser enfrentados por el direccionamiento de
sistemas antes de que los problemas ocurran; las técnicas de
recuperación/restauración usadas para minimizar la ruptura de los sistemas; y
los backups y planes de contingencia que controlan desastres en el
procesamiento de la información.
· EN LA INFRAESTRUCTURA: están relacionados con la no
existencia de una estructura de información tecnológica efectiva (hardware,
software, redes, personas y procesos) para soportar adecuadamente las
necesidades presentes y futuras de la organización con un costo eficiente.
Estos riesgos están asociados con los procesos de la información tecnológica
que definen, desarrollan, mantienen y operan un entorno de procesamiento de
información y las aplicaciones asociadas (servicio al cliente, contabilidad,
cartera, facturación, etc.).
UNA AUDITORÍA DE SEGURIDAD INFORMÁTICA O AUDITORÍA DE SEGURIDAD DE
SISTEMAS DE INFORMACIÓN (SI)
Es el estudio que comprende el análisis y gestión de
sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente
describir las diversas vulnerabilidades que pudieran presentarse en una
revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o
servidores.
Una vez obtenidos los resultados, se detallan, archivan y
reportan a los responsables quienes deberán establecer medidas preventivas de
refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a
los administradores mejorar la seguridad de sus sistemas aprendiendo de los
errores cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el
momento de su realización cuál es la situación exacta de sus activos de
información en cuanto a protección, control y medidas de seguridad.
Las vulnerabilidades de los sistemas informáticos (SI) las
podemos agrupar en función de:
Diseño
· Debilidad en el diseño de protocolos utilizados en las
redes.
· Políticas de seguridad deficiente e inexistente.
Implementación
· Errores de programación.
· Existencia de “puertas traseras” en los sistemas
informáticos.
· Descuido de los fabricantes.
Uso
· Configuración inadecuada de los sistemas informáticos.
· Desconocimiento y falta de sensibilización de los usuarios
y de los responsables de informática.
· Disponibilidad de herramientas que facilitan los ataques.
· Limitación gubernamental de tecnologías de seguridad.
Vulnerabilidad del día cero
· Cuando no exista una solución “conocida” para una
vulnerabilidad, pero si se conoce como explotarla, entonces se le conoce como
“vulnerabilidad 0 days”.
Globalmente clasificamos las vulnerabilidades en:
· Vulnerabilidades de desbordamiento de buffer.
Se produce cuando un programa no controla la cantidad de
datos que se copian en buffer, de forma que si esa cantidad es superior a la
capacidad del buffer los bytes sobrantes se almacenan en zonas de memoria
adyacentes, sobrescribiendo su contenido original. Se puede aprovechar para
ejecutar código que nos de privilegios de administrador.
· Vulnerabilidades de condición de carrera (race condition).
La condición de carrera se da principalmente cuando varios
procesos acceden al mismo tiempo a un recurso compartido, por ejemplo una
variable, cambiando su estado y obteniendo de esta forma un valor no esperado
de la misma.
· Vulnerabilidades de error de formato de cadena (format
string bugs).
La principal causa de los errores de cadena de formato es
aceptar sin validar la entrada de datos proporcionada por el usuario.
Es un error de programación y el lenguaje más afectado es
C/C++. Un ataque puede conducir de manera inmediata a la ejecución de código
arbitrario y a revelación de información.
· Vulnerabilidades de Cross Site Scripting (XSS).
Abarcaban cualquier ataque que permitiera ejecutar scripts
como VBScript o JavaScript, en el contexto de otro sitio web. Estos errores se
pueden encontrar en cualquier aplicación que tenga como objetivo final
presentar la información en un navegador web.
Un uso de esta vulnerabilidad es hacer phishing. La víctima
ve en la barra de direcciones un sitio, pero realmente está en otro. La víctima
introduce su contraseña y se la envía al atacante.
· Vulnerabilidades de Inyección SQL.
Una inyección SQL se produce cuando, de alguna manera, se
inserta o "inyecta" código SQL invasor dentro del código SQL
programado, a fin de alterar el funcionamiento normal del programa y lograr así
que se ejecute la porción de código "invasor" incrustado, en la base
de datos.
· Vulnerabilidades de denegación del servicio.
La denegación de servicio provoca que un servicio o recurso
sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la
conectividad de la red por el consumo del ancho de banda de la red de la
víctima o sobrecarga de los recursos informáticos del sistema de la víctima.
· Vulnerabilidades de ventanas engañosas (Windows Spoofing).
Las ventanas engañosas son aquellas que dicen que eres el
ganador de tal o cual cosa, lo cual es mentira y lo único que quieren es que
des información. Hay otro tipo de ventanas que, si las sigues, obtienen datos
del ordenador para luego realizar un ataque.
TIPOS Y CLASES DE AUDTIORIAS
Auditoria De Desarrollo de Proyectos o Aplicaciones: Es una
auditoria que examina de forma exhaustiva cada etapa en el desarrollo de
Aplicaciones, en la cual se va a comprobar desde la seguridad de una Aplicación
hasta la satisfacción del usuario, intentando reducir costos entre cada etapa
de producción hasta las ergonomía en los interfaces de las mismas.
Esta auditoría dentro de la Observación y Análisis pasa por
4 fases a considerar:
1) Examen de
Metodologías Utilizadas: Se revisa la mejor metodología a usar a fin de
seleccionar la que más se moldee al desarrollo de la Aplicación y se pueda
realizar el más fácil mantenimiento de la misma.
2) Revisión
Interna de Aplicaciones: Estas fase se ejecuta siguiendo los siguientes
parámetros:
a. Estudio de
Aptitud de la Aplicación: Esta fase se realiza en las Aplicaciones complejas,
largas y caras.
b. Definición
Lógica de la Aplicación: Se examinará si la aplicación cumple con los
propósitos para los cuales fueron creadas en función de la metodología
seleccionada y la finalidad del proyecto.
c. Desarrollo
Técnico de la Aplicación: Se verificará que la Aplicación esté ordenada y
correcta.
d. Diseño de
Algoritmos: Deberán ser lo más sencillo posible con la menor utilización de
recursos.
e. Metodología de
Ensayos: Se realizan de acuerdo a como se instalaron. en la cual se prueban las
Aplicaciones sin utilizar datos reales.
f.
Documentación de la Aplicación: Deberá cumplir la normativa de
instalación desde su desarrollo hasta la puesta en Explotación.
g. Recursos
Humanos Utilizados: Es la fijación de las tareas para el personal o el grupo a
desarrollar la Aplicación.
3) Satisfacción
de Usuarios: Es una prueba de satisfacción al usuario que solicitó la
aplicación, posee grandes ventajas ya que de esta se evitará reprogramaciones y
disminuirá el mantenimiento de la misma.
4) Control de
Procesos y Ejecuciones Criticas: El auditor revisa y confirma que no existan
módulos o segmentos adicionales a los que estaban planificados, ya que si los
programas fuente y los programas módulos no coinciden se pueden provocar desde
errores (Bugs) con altos costos de mantenimiento, también fraudes, sabotajes,
espionaje industrial, etc. Para ello se deben de cumplir las siguientes
recomendaciones:
a. Copiar el
programa fuente en el módulo de Explotación y que nadie más tenga acceso a
dicha aplicación, si hay que hacer una modificación extraer solo el modulo para
su corrección.
Auditoria de Explotación: La Explotación se encarga de
producir mediciones o resultados en base a datos analizados y mostrarlos en
archivos o impresos o en órdenes automatizadas para ejecutar o modificar
procesos industriales, dichos procesos se ejecutan mediante programas
informáticos dicha Auditoria se realiza en las siguientes fases:
1) Control de
Entradas de Datos: Se verificará la integridad, calidad y lapsos de entrega de
los datos de acuerdo a las normas.
2) Planificación
y Recepción de Aplicaciones: Se auditan las normas para la entrega de las
aplicaciones por parte del Departamento de Desarrollo, verificando su cumplimiento
y calidad de entrega.
3) Centro de
Control y seguimiento de Trabajos: Se analiza cómo se prepara, se lanza y se
sigue la producción diaria, que básicamente se realiza ejecutando procesos por cadenas de lotes o en tiempo real, por
ser muy complejos los datos a analizar los programas durante el día y la noche
recopilan y relacionan toda la información y al final la muestra como reporte.
4) Operación.
Salas de Ordenadores: Se encarga de verificar la coherencia de los cargos de
personal y sus salarios, equidad en la asignación de los turnos de trabajo, el
grado de automatización de comandos, verificación de los manuales de operación
y el cumplimiento de los mismos, planes de formación al personal (cursos y
otros), revisión de la duración de las cintas o los cartuchos y el papel que se
maneja.
5) Centro de Control de Red y Centro de
Diagnosis: El Centro de control de red verifica la fluidez de las
comunicaciones en conjunto con los dispositivos conectados, se analizan en
conjunto estos elementos. El Centro de Diagnosis presta apoyo a informáticos
que trabajan para la empresa pero que están distantes, bajo este esquema la
auditoria se realiza en base a la calidad sobre el servicio que se presta.
Auditoria de Sistemas: Se encarga de analizar la actividad
de los sistemas en su totalidad, aunque cada faceta se estudia por separado, se
realiza bajo las siguientes áreas:
1) Sistemas
Operativos: se analizan los sistemas operativos, sus últimas versiones,
incompatibilidades con otros productos, posibles errores y si siguen las
recomendaciones aconsejadas por los constructores.
2) Software
Básico: Es esencial para el auditor conocer los productos de software básico
que se le han colocado a las pc y que no vienen preestablecida de fábrica. Ya
que se verifica el costo de dichos productos y si funcionan correctamente en
las maquinas. Si el software es desarrollado por el personal de la empresa
verifica que no agreda ni condiciona el sistema.
3) Software de
Teleproceso (Tiempo Real): Es muy parecida al anterior solo que son software
especializado, pero las recomendaciones de la fase anterior se aplican de igual
manera a este.
4) Tunning: Es el
conjunto de técnicas de observación y de medidas dirigidas a evaluar el
comportamiento de los sistemas y subsistemas en conjunto, es una revisión más
profunda y dirigida a realizar recomendaciones en base a los síntomas
observados, está se puede realizar cuando se sospeche de actividades inusuales
del sistema y/o de modo periódico, por ejemplo cada 6 meses o cada año.
5) Optimización
de los Sistemas y Subsistemas: Son técnicas de sistemas que realizan acciones
de optimización permanentes como consecuencia de realización de Tunning pre
programado, el auditor verificará que dichas acciones de optimización no
comprometieron la operatividad de los sistemas ni el plan de explotación
diario.
6) Administración
de Base de Datos: Los diseños de las bases de datos son actividades complejas y
sofisticadas, el auditor de sistemas verificará errores en base de datos y la
experiencia que el operador posee para solventar dichos problemas, se analizara
la integridad y consistencia de los datos así como la ausencia de redundancia
entre ellos.
7) Investigación
y Desarrollo: La auditoría informática deberá cuidar que las actividades de
Investigación y desarrollo de aplicaciones y utilidades en una empresa sean
solo para su uso interno, y no sea filtrado hacia otras empresas foráneas e
igualmente no interfiera ni dificulte las tareas fundamentales internas.
Auditoria de Comunicación y Redes: Esta auditoria es
especializada ya que va dirigida al análisis del servicio telefónico que presta
el soporte, comunicaciones y redes locales propias, el auditor de
comunicaciones deberá revisar la utilización de las líneas contratadas e
informaciones de tiempo en desuso de dichas líneas, y revisión de contratación
e instalación de líneas hacia puestos de trabajo.
Una auditoría de seguridad informática o auditoría de
seguridad de sistemas de información (SI) es el estudio que comprende el
análisis y gestión de sistemas llevado a cabo por profesionales para
identificar, enumerar y posteriormente describir las diversas vulnerabilidades
que pudieran presentarse en una revisión exhaustiva de las estaciones de
trabajo, redes de comunicaciones o servidores.
Una vez obtenidos los resultados, se detallan, archivan y
reportan a los responsables quienes deberán establecer medidas preventivas de
refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a
los administradores mejorar la seguridad de sus sistemas aprendiendo de los
errores cometidos con anterioridad.
Las auditorías de seguridad de SI permiten conocer en el
momento de su realización cuál es la situación exacta de sus activos de
información en cuanto a protección, control y medidas de seguridad.
TIPOS DE AUDITORÍA
Los servicios de auditoría pueden ser de distinta índole:
• Auditoría
de seguridad interna. En este tipo de auditoría se contrasta el nivel de
seguridad y privacidad de las redes locales y corporativas de carácter interno
• Auditoría
de seguridad perimetral. En este tipo de análisis, el perímetro de la red local
o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las
entradas exteriores
• Test de
intrusión. El test de intrusión es un método de auditoría mediante el cual se
intenta acceder a los sistemas, para comprobar el nivel de resistencia a la
intrusión no deseada. Es un complemento fundamental para la auditoría
perimetral.
• Análisis
forense. El análisis forense es una metodología de estudio ideal para el
análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo
se ha penetrado en el sistema, a la par que se valoran los daños ocasionados.
Si los daños han provocado la inoperabilidad del sistema, el análisis se
denomina análisis postmortem.
• Auditoría
de páginas web. Entendida como el análisis externo de la web, comprobando
vulnerabilidades como la inyección de código sql, Verificación de existencia y
anulación de posibilidades de Cross Site Scripting (XSS), etc.
• Auditoría
de código de aplicaciones. Análisis del código tanto de aplicaciones páginas
Web como de cualquier tipo de aplicación, independientemente del lenguaje
empleado
Realizar auditorías con cierta frecuencia asegura la
integridad de los controles de seguridad aplicados a los sistemas de
información. Acciones como el constante cambio en las configuraciones, la
instalación de parches, actualización de los softwares y la adquisición de
nuevo hardware hacen necesario que los sistemas estén continuamente verificados
mediante auditoría.
ESTÁNDARES DE AUDITORÍA INFORMÁTICA Y DE SEGURIDAD
