Universidad Galileo

Facultad de Ingeniera de Sistemas, Informtica y Ciencias de la Computacin

Postgrado en Sistemas de Informacin
Auditora de Sistemas
Lic. Ernesto Ren Gonzlez Guzmn

Resumen 8 Captulos CISA

Carlos Vinicio Ros Mrida

Carn: 9900402
1

ndice
Introduccin ................................................................................................................................................. 3
Previniendo los conflictos ticos .............................................................................................................. 5
Entender el propsito de una auditora ................................................................................................... 5
Clasificacin de los tipos de auditoras ................................................................................................... 5
Diferencias entre el auditor y los roles de auditora .............................................................................. 6
Planificacin de la estrategia de control de la organizacin ................................................................ 6
Usando COBIT ........................................................................................................................................... 7
Descripcin del programa de auditora ................................................................................................... 7
Gestin de los programas. Los programas son una serie de acciones............................................. 7
Auditora objetivos y el alcance del programa ....................................................................................... 7
Aplicacin de un enfoque sistemtico para la planificacin ................................................................ 8
Empleando el software como servicio (SaaS) ....................................................................................... 8
Cloud computing......................................................................................................................................... 9
Desarrollo de software de gestin ........................................................................................................... 9
Sistemas de apoyo para la toma de decisiones .................................................................................. 10
Presentar datos de apoyo a la toma de decisiones ............................................................................ 11
Utilizando inteligencia artificial ............................................................................................................... 11
Proteccin administrativa ........................................................................................................................ 11
Atribuciones en la administracin de la seguridad de la informacin .............................................. 11
La gobernanza de la seguridad de IT ................................................................................................... 12
Tipos de clasificacin............................................................................................................................... 12
Funciones de las autoridades de los datos .......................................................................................... 13
Gestin de problemas ............................................................................................................................. 14
Tratamiento de incidencias ..................................................................................................................... 14
Reconocer tipos de amenazas y delitos informticos ........................................................................ 15
Conocer mtodos de ataque .................................................................................................................. 15
Definir recuperacin de desastres ......................................................................................................... 17
Comprender el inters del auditor en los planes de BC/ DR............................................................. 17
Conclusiones............................................................................................................................................. 18
Recomendaciones ................................................................................................................................... 19
Bibliografa ................................................................................................................................................ 20

Introduccin
Durante mucho tiempo, el control predominante en una organizacin ha sido la
auditora financiera. No obstante el robo y el fraude han existido siempre, la expectativa
general es que casi en todas las organizaciones se pueden confiar sin tener algn tipo
de regulaciones. El mundo moderno tiene ahora un nmero progresivo de reglamentos
que son bastante intrusivos. La cultura empresarial moderna se est desplazando
rpidamente a tener menos confianza con ms pruebas a fin de reducir las
posibilidades de corrupcin. Se ha observado que la codicia es un gran motivador para
muchos empleados con posicin de autoridad.
Es imperativo poseer dos elementos bsicos:

Pruebas de integridad operacional.

Pruebas de controles internos para proteger los activos.

Se entiende que los activos son todos aquellos bienes tangibles e intangibles que son
bien valorados y de inters para los objetivos de negocio, es decir, se incluyen las
marcas, patentes, recetas secretas, bienes duraderos, archivos de datos, personal
competente, y los clientes. A pesar de que los empleados no se incluyen como activos
de la empresa, la prdida de personas clave es una autntica amenaza empresarial. Es
importante definir a una amenaza como un evento negativo que podra provocar una
prdida si se hubiera producido. El camino que permite a una amenaza hacerse
realidad se le conoce como vulnerabilidad. El trabajo del auditor de sistemas de
informacin es la de verificar que los activos, amenazas, vulnerabilidades estn
debidamente identificados y poder as reducir el riesgo.
La gobernabilidad est presente si el derecho de autoridad identifica el problema, y si
adems efecta una decisin inteligente y toma las medidas oportunas. Gobernabilidad
es sinnimo de liderazgo proactivo. Uno de las metodologas admisibles para la
mayora es a travs de declaracin de polticas, con compatibilidad con los estndares
y directrices. Los resultados se deberan evidenciar a travs de auditoras.
Muchas administraciones eficientes utilizan la documentacin como medio para
especificar detalles operativos y de control. Las organizaciones suelen tener cuatro
tipos de documentos:
Las polticas. Una poltica es una disposicin ejecutiva para identificar una cuestin de
riesgo para evitar o prevenir. Las polticas son documentos de alto nivel firmados por
una persona de gran parte de la autoridad con el poder de forzar la cooperacin. La
poltica es un documento que indica que un objetivo de control a alto nivel es
importante para el xito de la organizacin.

El cumplimiento es obligatorio cuando la poltica es una disposicin oficial.

La autoridad de la persona que ordena una poltica determinar el alcance de la
aplicacin.
3

El nivel ms alto de autoridad son las personas que ocupan posiciones de alta
direccin. Los emisores de las polticas que reciben un amplio apoyo son funcionarios
electos, los directores de los organismos, los miembros de la junta directiva de las
empresas, directores ejecutivos, funcionarios de finanzas, operaciones, vicepresidente
etc.
Las Normas. Estas son documentos de nivel medio que contienen puntos de
control para certificar una ejecucin uniforme en apoyo de una poltica. Luego de que la
administracin identifica lo que es imperativo proteger, mediante la declaracin de una
poltica, el paso siguiente es especificar un estndar que contiene una lista de puntos
de medicin para obtener el cumplimiento. Los exmenes de la gestin, las pruebas y
auditoras se manejan para comparar un objeto de la norma con el propsito de
legitimar un nivel mnimo de cumplimiento. Se hace la aclaracin que las normas no
contienen el flujo de trabajo para el cumplimiento, pero si identifican puntos especficos
de control necesarios para el cumplimiento.
El trabajo de la direccin es manejar cada uno de los puntos de cada estndar para
establecer procedimientos en un flujo de trabajo con el objetivo de conseguir el
cumplimiento dentro de la organizacin. Un estndar se implementa con diferentes
niveles de influencia. El nivel de autoridad de la persona que ordena una poltica tendr
un efecto profundo sobre la aplicacin y la autoridad hace una diferencia en el espacio
de aplicacin que incluye el nivel de esfuerzo.
Las normas se pueden agrupar en cuatro categoras bsicas:
Estndar regulatorio. Se trata de un control regulatorio, cuando es emitido por una ley
del gobierno para proteger la economa, la sociedad o el medio ambiente.
Estndar industrial. Un rpido progreso en el desarrollo de nuevas tecnologas, siempre
supera estndares oficiales.
Estndar organizacional. La administracin ejecutiva de las organizaciones establece
sus propias normas para ayudar a conseguir sus objetivos. La organizacin puede ser
una asociacin, organismo cooperativo, organizacin sin fines de lucro, o con fines de
lucro. CISA es un estndar profesional establecido por la organizacin ISACA.
Estndar personal. Una norma personal interna regir la vida diaria. Estas normas no
oficiales pueden cambiar con la edad, la educacin, o las experiencias de la vida.
Directrices. Estas tienen por objeto suministrar orientacin de cmo los objetivos
organizacionales se pueden obtener en la ausencia de una norma. La intencin es
suministrar la informacin que le ayude en la toma de decisiones sobre objetivos, es
decir, que debera hacer, alternativas tiles (que podra hacer), y de las acciones que
no crean problemas.

Los procedimientos. Estas son las frmulas que proveen un flujo de trabajo de tareas
concretas para lograr un mnimo cumplimiento de una norma. Las referencias estn
escritos en formato paso a paso desde el principio hasta el final.
Previniendo los conflictos ticos
Los auditores son hostigados por parte de algunas personas que tratan de convencer
de desviarse del correcto camino de honestidad. No se debe permitir a que participen
en situaciones que pudieran empaar la imagen de un auditor.
Algunos ejemplos de tica o conducta criminal que se deben evitar:

Robo de propiedad intelectual.

Las violaciones del derecho de autor.
Violacin de la Ley
No informar sobre violaciones con prontitud.

Entender el propsito de una auditora

Una auditora es un resumen de la historia pasada. Se espera que el auditor de
sistemas de informacin siga el proceso de auditora, que establezca los criterios de la
auditora, rena pruebas significativas, y emita una opinin independiente sobre los
controles internos. La auditora se fundamenta en aplicar mtodos para reunir pruebas
especficas, y realizar un cotejo de las pruebas de auditora segn la norma de
referencia.
Un punto importante para el xito de la fiscalizacin es informar con precisin los
hallazgos, es decir, sea buena o mala o indiferente. Un buen auditor producir
resultados verificables.
Clasificacin de los tipos de auditoras
Las auditoras se pueden clasificar en tres categoras:
Las auditoras internas y evaluaciones. Esto implica tener auditores dentro de la propia
organizacin que se pretende descubrir evidencia de lo que est ocurriendo, es decir,
una autoevaluacin. Estas auditoras tienen limitaciones en su espacio de aplicacin.
Las auditoras externas. En una auditora externa, el cliente audita al
vendedor/proveedor para cotejar la integridad de las actividades comerciales, los
controles internos, cumplimiento o toda la relacin. El objetivo es garantizar que el nivel
esperado de desempeo en condiciones bilateralmente acordadas en sus contratos.
Auditoras independientes. Las auditoras independientes estn fuera del clienteproveedor.

Diferencias entre el auditor y los roles de auditora

Slo hay dos ttulos para las personas implicadas directamente en la auditora. En
primer lugar es el auditor, el que investiga. En segundo lugar, la entidad auditada, el
objeto de la auditora.
Auditor. El auditor es la persona competente que realiza la auditora.
Organizacin auditada. Son las personas que estn siendo auditados que se conocen
como la entidad auditada.
Cliente. El cliente es la persona o la organizacin con la autoridad para solicitar la
auditora.
Planificacin de la estrategia de control de la organizacin
Estrategia se define como una adaptacin de comportamiento o estructura con un
elaborado plan sistemtico y de accin, es decir, es crear un cambio en la forma en que
la estructura lleva a cabo actividades comerciales. La gestin de las empresas es
definida por ISACA como tica en la conducta de los ejecutivos de la empresa a los
accionistas y a las partes interesadas a fin de maximizar el retorno de una inversin
financiera.
Tres objetivos de alto nivel de gestin sern verificados:

Una alineacin estratgica entre IT y los objetivos de las empresas. Es

necesario una correcta planificacin para expandir los recursos en el lugar
correcto por la razn correcta. La administracin siempre es responsable de
hacerlo, es decir, el gobierno corporativo, controles preventivos, etc.

Un proceso de control de las prcticas de gestin ejecutiva. Los altos ejecutivos

deben comprender lo que realmente est ocurriendo en la organizacin.

Una intervencin como sea necesario para eliminar, modificar o corregir todos
los errores que se producen, es decir, implementar las medidas correctivas
correspondientes.

Utilizando el Balanced Scorecard

Para establecer un objetivo estratgico sin una planificacin adecuada y significativa
sera negligente e imprudente. Una de las ms eficaces herramientas de planificacin
ejecutiva es el balanced scorecard (BSC). El BSC es una metodologa estratgica
diseada para altos ejecutivos.
El criterio de puntuacin convierte los objetivos organizacionales de la percepcin de
los clientes, procesos de negocio, crecimiento y aprendizaje del empleado y objetivos
6

financieros en una serie de acciones definidas. El BSC se refiere a proyectos y

programas como iniciativas.
Usando COBIT
Saber qu hacer es un reto para todos los auditores. Uno de los objetivos de cada
asociacin es la de agregar valor mediante la mejora del rendimiento de sus miembros.
ISACA ha entregado en este objetivo. El marco definitivo para auditora son los
objetivos de control para la Informacin y Tecnologa Relacionada, tambin conocido
como COBIT.
Este marco de control contiene un conjunto de las estrategias, los procesos y
procedimientos necesarios para los ejecutivos de la organizacin de TI.
Descripcin del programa de auditora
Un programa de auditora es una sucesin continua de auditoras a fin de certificar que
la organizacin est ejecutando las medidas indispensables para continuar siendo
compatible con la evolucin de las reglamentaciones del mercado.
Gestin de los programas. Los programas son una serie de acciones administrados por
un vicepresidente ejecutivo. Los jefes de los programas operan dentro de la estructura
de la organizacin normal al mismo tiempo que suministra los avances e informes de
estado de la organizacin o programa. El programa har innecesario el empleo de los
trabajadores, por lo que es necesario contratar y formar las sustituciones para continuar
los trabajos. Los programas incluyen gestin de la calidad, la contabilidad financiera, la
gestin de los recursos humanos, gestin de activos, el marketing y las ventas, y el
mantenimiento, por nombrar algunos.
Proyecto. Un proyecto es un conjunto de actividades a corto plazo gestionadas por un
director de proyectos operando fuera de la estructura normal de la organizacin. El
alcance del proyecto es limitado, y los objetivos estn bien definidos y tiene una fecha
precisa de finalizacin del mismo. Es sustancial entender que el programa de auditora
incluye todos los requisitos de la organizacin en un plan integral de cumplimiento.
Cada reglamento se enumera detalladamente en un registro de requisitos y se
convierte en parte de la vigilancia permanente seguimiento para el ao en curso.
Auditora objetivos y el alcance del programa
Cada programa de auditora debe tener una lista de objetivos y los objetivos de alto
nivel pueden venir de un orden ejecutiva, ordenanzas o normas. El auditor deber
esperar que el programa de auditora y los objetivos puedan variar de acuerdo al
departamento, las tareas, el propsito, o un paso puntual en su flujo de trabajo dentro
el proceso. Las estructuras de mayor tamao tienen ms objetivos para auditar y las
organizaciones ms pequeas suelen tener menos debido a que la administracin tiene
un mejor control con menos problemas de comunicacin.
7

Aplicacin de un enfoque sistemtico para la planificacin

Cada auditora es un enfoque sistemtico son ejemplos de anlisis para medir el
cumplimiento de la norma.
Dos objetivos base de auditora:

Prueba de control de la ejecucin para ver si el auditado ha aplicado garantas

adecuadas
Para cumplir con requisitos legales que especifican los procedimientos
necesarios para seguir siendo legtimo.

No es raro descubrir la ausencia de documentos de los requisitos legales. La intencin

del proceso de gua tcnica es un curso repetido de una firme mejora de un proceso o
sistema.
Se debe implementar la prctica de los cuatro pasos que se usan para llevar a cabo el
proceso tcnico Shewhart, es decir Plan, Hacer, Verificar, Actuar):
Plan. Existe un plan o un mtodo? El auditor podr hallar pruebas incluido un
resumen, procedimientos, diagramas, especificaciones, o notas.
Hacer. Se debe buscar para ver si el plan, procedimiento o mtodo es seguido de
acuerdo con su plan.
Verificar. Existe un control de calidad o revisin por pares se utiliza? Si es as, cul
es el criterio aceptable?
Actuar. Inevitablemente existen diferencias entre lo que se espera en el plan y los
resultados reales.
Empleando el software como servicio (SaaS)
Desde el comienzo de la industria de la informtica, los proveedores de programas
informticos han trabajado para procesar datos para los usuarios. Los departamentos
de servicios subcontratan proveedores para el alojamiento de aplicaciones de
proveedores situado algn centro de datos remoto. Internet ha cambiado la forma en
que nos enlaza al proveedor, pero el concepto de la actividad sigue siendo el mismo. El
proveedor introdujo el trmino proveedor de servicios de aplicaciones (ASP) y software
como servicio (SaaS) para este servicio. Los usuarios todava dependen de que
alguien de otro servidor debe procesar los datos. Los auditores reconocen el aumento
de los riesgos de los servicios de terceros para el procesamiento de datos privados y
confidenciales. Casi cualquier persona puede configurar un servidor de red con licencia
comercial software y se llaman a s mismos un proveedor de SaaS.

Ventajas

Menor coste inicial porque el proveedor proporciona la infraestructura.

Escalabilidad instantnea porque el usuario puede ampliar o actualizar para
obtener ms utilidad.
Seguridad. El proveedor proporciona los controles y la supervisin con plena
responsabilidad.
Soporte al usuario ms barato porque puede utilizar slo una parte del servicio
segn sea necesario.

Desventajas

Pagar ms por gastos. En la medida que una avanza o crece la facturacin

puede incrementarse porque el volumen de procesamiento aumenta.
El proveedor tiene el control sobre los datos del suscriptor.
Responsabilidad de los acuerdos contienen exclusiones de responsabilidad.

Es muy difcil, si no imposible, asegurarse de que los datos de los abonados se

destruyen correctamente despus de su eliminacin. Se sabe que los datos eliminados
pueden ser recuperable de los discos de almacenamiento.
El suscriptor de la ASP/proveedor de SaaS se suele retener la responsabilidad por
cualquier error a menos que un contrato es negociado.
El principal motivo para usar software como servicio fue para bajar el costo de la
infraestructura y los costos de operacin. Para algunos clientes, el juego fue un rpido
desarrollo de las aplicaciones sin la participacin del departamento de TI.
Cloud computing
Esto se ha convertido en la referencia genrica para el procesamiento de datos a
travs de Internet en un servidor remoto operado por un proveedor. Al igual que en el
ASP/SaaS el modelo de funcionamiento es muy parecido, el proveedor ofrece el uso de
los recursos informticos por una tarifa para el suscriptor.
Desarrollo de software de gestin
Toda organizacin se esfuerza por equilibrar los gastos con los ingresos. El objetivo es
aumentar los ingresos y reducir los costes operativos. Uno de los mtodos ms
eficaces para reducir los costes de operacin es la automatizacin software.
Los programas de ordenador pueden ser personalizados o comprados en un esfuerzo
por mejorar la automatizacin. Todas las aplicaciones de negocios pasan por un
proceso comn de anlisis de necesidades, diseo funcional, desarrollo de software,
implementacin, produccin, uso y mantenimiento continuo. Al final, cada programa

ser sustituido por una versin ms reciente, la versin antigua ser retirada. Esto es lo
que se conoce como el ciclo de vida.
Se dice que el 85 por ciento de las funciones de una empresa estn relacionados con
las tareas de administracin. Las funciones administrativas son generalmente
automatizadas por software disponible comercialmente. Las empresas no necesitan
desarrollar software para el procesamiento de textos y hojas de clculo. Estas
funciones bsicas se pueden abordar mediante software tradicional que se puede
comprar en el mercado abierto. Este tipo de software de productos requiere poca
personalizacin. Las ventajas financieras sern pequea pero tiles. El 15 por ciento
restante de las funciones de negocios puede ser nico o requieren un alto nivel de
personalizacin. El desafo es asegurar que el software cumple con los objetivos
estratgicos de la organizacin.
Sistemas de apoyo para la toma de decisiones
Los progresos en tecnologa de programacin informtica y bases de datos han llevado
a la creacin de sistemas de soporte de decisiones. Un sistema de soporte de
decisiones (DSS) es una base de datos que puede representar informacin oportuna
para ayudar a los usuarios a tomar una decisin. Existen tres tipos bsicos de sistemas
de soporte a la decisin:
Referencia de contexto. Este tipo de fuentes sistema de apoyo para la toma de
decisiones del usuario con respuestas sobre la base de un nivel estimado de
relevancia.
Colega o Asociado, Nivel. Este proporciona apoyo para los ms molestos clculos,
pero deja las decisiones reales para el usuario.
Nivel de expertos. El sistema experto es generalmente escrito para capturar datos
especializados de una persona que ha estado realizando el trabajo deseado durante 20
o 30 aos.
Cada sistema de apoyo para la toma de decisiones se basa en una base de datos. Los
datos en la base de datos se recuperan para el uso de las reglas del programa,
tambin conocido como heurstica, para ordenar a travs de la base de conocimientos
utilizando tcnicas de razonamiento deductivo y bsqueda de respuestas posibles. Esto
es conocido como el motor de inferencia. Las reglas del programa heurstico pueden
estar basadas en una lgica difusa mediante estimacin, medios, y los promedios para
calcular un resultado probable.
Minera de datos. Despus que la base de datos y las reglas se crean, el siguiente paso
en la operacin de un sistema de apoyo para la toma de decisiones es ir hacia abajo a
travs de los datos y de las correlaciones donde se pueden representar las respuestas.
La bsqueda de las correlaciones se conoce como minera de datos.

10

Almacn de datos. Es el trabajo en el almacn de datos para llevar a cabo el trabajo

de combinar los datos procedentes de distintos sistemas.
Data Mart. El data mart es un repositorio de los resultados de minera de datos del
almacn. Se puede considerar un data mart como el equivalente de un almacn de
conveniencia. Todas las solicitudes ms comunes estn listas para que el usuario las
tome. Un sistema de apoyo para la toma de decisiones recupera los resultados de la
minera de datos y los muestra al usuario en un programa de presentacin,
normalmente una interfaz grfica de usuario.
Presentar datos de apoyo a la toma de decisiones
La informacin que se presenta en el data mart podran indicar las correlaciones de
importancia para los usuarios del sistema. Los altos ejecutivos pueden encontrar esta
informacin es muy til para detectar las prximas tendencias o reas de preocupacin
en toda la organizacin.
Utilizando inteligencia artificial
Inteligencia artificial (IA). El concepto es que el equipo ha evolucionado hasta el poder
de hacer sus propias decisiones. Inteligencia Artificial es til para las mquinas en un
entorno hostil. El Mars Rover por ejemplo, requiere un cierto grado de inteligencia
artificial para que pueda responder a un peligro sin esperar a que alguien le transmita
instrucciones.
Proteccin administrativa
El primer paso de una estrategia de proteccin administrativa tiene por objeto crear las
normas de trabajo. Los controles de gestin administrativa se utilizan para suministrar
por escrito orientacin poltica y procedimiento para los empleados. Estos controles de
gestin ayudan a atenuar el dficit de la limitada aplicacin de controles tcnicos.
Gestin de la seguridad de la informacin es la base de la informacin proteccin de
activos. Veamos algunos de los mtodos de gestin utilizados para proteger los datos:
gestin de la seguridad de la informacin, gestin de la seguridad, retencin de datos,
rutas de acceso documentacin y otras tcnicas.
El objetivo de gestin de la seguridad de la informacin es para garantizar la
confidencialidad, integridad y disponibilidad de los recursos informticos.
Atribuciones en la administracin de la seguridad de la informacin
Jefe de la oficina de seguridad de la informacin. La oficina de seguridad de la
informacin es una funcin de conceder el ms alto nivel de autoridad superior a la
seguridad de los sistemas de informacin oficial.

11

Jefe de privacidad. Nuevos requerimientos en materia de privacidad de los clientes han

creado la necesidad de un jefe de privacidad. Esta posicin es igual a o directamente
debajo del jefe de seguridad. Esta es una posicin de ttulo en lugar de una verdadera
autoridad corporativa y es responsable de proteger la informacin confidencial de sus
clientes y empleados.
Administrador de seguridad de los sistemas de informacin. Es responsable del
proceso del da a da del cumplimiento de seguridad del sistema. Este sigue las
directrices de las organizaciones de la sociedad civil para el cumplimiento de la poltica.
La gobernanza de la seguridad de IT
El concepto de gobernabilidad de IT para la seguridad se basa en las polticas de
seguridad, las normas y los procedimientos. Para que estos controles administrativos
sean eficaces es necesario definir las funciones especficas, las responsabilidades y los
requisitos. El siguiente paso sera determinar el nivel especfico de los controles
obligatorios para cada tipo de dato. Los datos se pueden clasificar en grupos en funcin
de su valor o sensibilidad. El proceso de clasificacin de datos definir los controles de
informacin necesarios para garantizar la confidencialidad.
Cada empresa debe utilizar un sistema de gestin de registros de informacin, es decir,
un sistema de clasificacin para sus datos. La norma Internacional ISO 15489 para la
gestin de la documentacin junto con la norma ISO 27002 de gestin de la seguridad
de la informacin establecen los requisitos para identificar, conservar y proteger los
registros utilizados en el curso de los negocios. Es el nico mtodo para asegurar la
integridad y el correcto manejo.
Tipos de clasificacin
Pblica. Informacin aprobada para el consumo pblico. Es importante comprender
que los datos clasificados como pblicos tienen que ser revisados y editados para
asegurar que el mensaje correcto es transmitido.
Sensible. Es un tipo particular de datos que necesitan ser divulgados en algunas
partes, pero no a todos. Esta informacin puede ser una cuestin de registro o hecho
jurdico.
Privado, slo para uso interno. La clasificacin de los datos slo para uso interno se
aplica comnmente a los procedimientos operativos y los niveles de empleo. Los
detalles de los procedimientos operativos son normalmente en funcin de las
necesidades de conocimiento para impedir que una persona de disear un mtodo
para derrotar al procedimiento.
Informacin confidencial. Esta es la categora ms alta de la clasificacin de seguridad
de informacin confidencial fuera del gobierno. Puede ser subdividido en confidencial y
secretos comerciales altamente confidenciales.
12

El objetivo general de informacin mediante un sistema de clasificacin formal es para

garantizar el tratamiento basado en el contenido de la informacin y el
contexto. Contexto se refiere a la utilizacin de la informacin.
Dos riesgos principales estn presentes en la ausencia de una clasificacin de la
informacin. El primer riesgo es que la informacin se manipula. El segundo riesgo es
que sin una clasificacin de la informacin, todos los datos de la organizacin pueden
ser objeto de examen en los procedimientos judiciales.
Funciones de las autoridades de los datos
Para la aplicacin de polticas, normas y procedimientos, es necesario identificar a las
personas por su autoridad. Tres niveles de autoridad en cuanto a los ordenadores y los
datos: propietario, custodio y el usuario.
Propietario de los datos. El propietario de los datos se refiere a los ejecutivos o
directivos responsables del contenido de los datos. El papel del propietario de los datos
es la de realizar los siguientes pasos:

Asumir la responsabilidad por el contenido de los datos.

Especificar la informacin nivel de clasificacin.
Especificar controles apropiados.
Especificar uso aceptable de los datos.
Identificar los usuarios autorizados.
Nombrar al custodio de datos.

Usuario de los datos. El usuario de los datos es la persona de negocios que se

benefician de los datos informatizados. Los usuarios pueden ser internos o externos a
la organizacin. El papel de los usuarios de los datos incluye las siguientes tareas:

Seguir las normas de uso aceptable.

Cumplir con los controles del propietario.
Mantener la confidencialidad de los datos.
Informar sobre actividad no autorizada.

Custodio de los datos. Es el responsable de aplicar las garantas de almacenamiento

de los datos para garantizar la disponibilidad de los datos. Si algo va mal, es la
responsabilidad del custodio atender el problema con prontitud. Las funciones del
custodio de los datos incluyen los siguientes:

Aplicar controles de clasificacin de la informacin.

Seguridad de datos para vigilar las violaciones.
Administrar controles de acceso del usuario.
Garantizar la integridad de los datos mediante controles de procesamiento.
Realizar copias de seguridad de los datos que se deben proteger de la prdida.
Estar disponible para resolver cualquier problema.
13

Gestin de problemas
El personal de las operaciones de TI debe tener un proceso de gestin de problemas.
Una eficaz gestin de problemas proporciona una respuesta oportuna mediante
procedimientos predefinidos que incluyen un mtodo de escalado de problemas.
Situaciones que requieren gestin de problemas incluyen los siguientes:
Los procedimientos vs trabajo actual. Los procedimientos utilizados en la operacin de
los sistemas de tecnologa de la informacin deben reflejar el trabajo real realizado. El
objetivo de un procedimiento tiene por objeto garantizar la coherencia con el resultado
deseado. Trabajo actual que no coincide con el procedimiento indica un error de control
de gestin.
Controles ineficaces e ineficientes. Un proceso de examen de la gestin debera existir
para hacer frente con controles ineficaces e ineficientes. No se deben revisar los
controles por mrito e impacto potencial. Un control compensador puede aplicarse para
superar un control ineficaz.
Violacin de poltica de uso aceptable. Esta podra incluir el uso indebido de los
recursos empresariales o la presencia de materiales indebidos. El descubrimiento de la
violacin debe activar el proceso de gestin de incidentes y la notificacin a Recursos
Humanos.
Contabilidad de los trabajos. Los procesos de cmputo siempre estn sujetos a los
problemas. Las condiciones de trabajo son las terminaciones anormales y el
tratamiento de excepciones. Otros problemas pueden incluir los trabajos que se
ejecutan demasiado rpido o demasiado lento por el volumen de trabajo. Los trabajos
que terminar demasiado rpido pueden indicar que una parte de los trmites se omite,
por citar un ejemplo.
Los programas de capacitacin de los usuarios y el personal es una buena respuesta
para impedir la repeticin de un problema. Deben existir planes de formacin, de
orientacin, capacitacin de los usuarios, y otras actividades de formacin para los
nuevos empleados contratados.
Tratamiento de incidencias
Algunos sucesos deben ser analizados personas competentes con la formacin
adecuada. Toda organizacin necesita un equipo disponible para dar respuesta a
incidentes. Cada vez que alguien descubre o sospecha que se ha producido un
incidente, este equipo es llamado a la accin. Uno o ms miembros del equipo inician
la investigacin de analizar los datos disponibles para determinar el posible impacto. El
objetivo es limitar el dao.
14

Reconocer tipos de amenazas y delitos informticos

No hay nada nuevo acerca de las amenazas que enfrentan las organizaciones.
Tenemos que tener una rpida revisin de las amenazas y los crmenes que debern
ser mitigados con controles administrativos, fsicos y tcnicos.
Robo. El robo de informacin, diseos, planes, y las listas de clientes podra ser
catastrfica para una organizacin. Se deben examinar los controles que se llevan a
cabo para evitar el robo de dinero o malversacin de fondos. Se deben tener controles
equivalentes en lugar de evitar el robo de propiedad intelectual valiosa.
Fraude. El engao para obtener una ventaja es la definicin de fraude. Los registros
electrnicos pueden ser objeto de manipulacin remota con el fin mentir, supresin y
obtener beneficio. El fraude puede ocurrir con o sin el computador.
Sabotaje. El sabotaje se define destruccin intencional de propiedad de un empleador,
a menudo durante un conflicto laboral o malicioso a causa interferencia con las
actividades normales.
Chantaje. El chantaje es la exigencia ilegal de dinero o bienes bajo amenaza de hacer
dao.
Espionaje Industrial. El mundo est lleno de competidores y espas. Espionaje es un
delito por parte de los individuos y los gobiernos con la intencin de recoger, transmitir,
o lanzar informacin a cualquier organizacin extranjera.
Divulgacin no autorizada. Revelacin no autorizada es la liberacin de informacin sin
su permiso. El propsito puede ser fraude o sabotaje. La divulgacin no autorizada de
registros de los clientes podra causar una violacin de las leyes de privacidad, por no
mencionar los detalles que sera valioso de un competidor.
Prdida de credibilidad. Prdida de credibilidad es el dao a la imagen de la
organizacin, marca o gestin ejecutiva. Esto puede afectar negativamente los ingresos
y la capacidad de la organizacin para continuar. El fraude, el sabotaje, el chantaje, y
divulgacin no autorizada puede ser utilizada para destruir credibilidad.
Prdida de la Informacin de propiedad. El manejo indebido de la informacin puede
resultar en la prdida de los secretos comerciales. Valiosa informacin sobre futuros
diseos de sistemas, planes de marketing y las empresas frmulas podran ser
liberados sin mtodos de recuperacin de los datos.
Conocer mtodos de ataque

15

Los clientes esperan que la empresa tenga el conocimiento de los diferentes mtodos
de atacar a los computadores. Los ataques informticos pueden ser ejecutados con
una computadora o contra la computadora. Hay bsicamente dos tipos de ataques:
pasivo y activo.
Los ataques pasivos
Los ataques pasivos se caracterizan por las tcnicas de observacin. La intencin de
un ataque pasivo es para obtener informacin adicional antes de lanzar un ataque
activo. Tres ejemplos de ataques pasivos son anlisis de red, anlisis de trfico y
escuchas.
Ataques activos
Los ataques pasivos tienden a ser relativamente invisible, mientras que ataques activos
son los ms fciles de detectar. El atacante proceder a ejecutar un ataque activo
despus de obtener suficientes antecedentes. El ataque activo est diseado para
ejecutar un acto de robo o provocar un trastorno de procesamiento del ordenador
normal. Siguiente es una lista de ataques activos:
Del mito a la realidad
Una cruda realidad para muchos profesionales es que los elementos ms importantes
que proteger son las personas con el conocimiento adecuado y con el acceso a los
registros. Un profesional experto de TI que no tiene lealtad a un proveedor determinado
y en su lugar se centra en la adaptacin a los requisitos de flujo de la unidad de
negocio, mejora el valor de la organizacin.
Comprensin de las cinco disciplinas llamado Continuidad de Negocio
En funcin de su sector, nivel de autoridad, los objetivos, la continuidad de negocio es
un trmino demasiado usado que representan cinco disciplinas contradictorias.
Continuidad de ingresos del negocio. Esta es la definicin ms precisa de un de inters
ejecutivo tanto en el mundo de los negocios y agencias del gobierno. Una organizacin
sera incapaz de sobrevivir sin ingresos o la financiacin. El dinero compra tiempo y
proporciona opciones.
Continuidad de las operaciones. El objetivo es continuar las operaciones
ininterrumpidas con o sin financiacin. Esto es a menudo el objetivo de los servicios
sociales esenciales para la vida o de los proveedores de servicios pblicos.
Gestin de situaciones de emergencia. Asistencia de rescate puede utilizar estrategia
ofensiva (lucha) o defensiva (proteger) con ayuda mdica. Gestin de situaciones de
emergencia se basa en detener las operaciones normales y apagar dispositivos
mientras se evacan personas con la esperanza de salvar vidas. Su objetivo es detener
16

toda la actividad cuando algo va mal. El objetivo principal es rescatar a los que no
podan salir por sus propios medios.
Continuidad del gobierno. Esta disciplina permite el uso o apropiacin de todos los
recursos disponibles para evitar el fracaso o cada de la gobernanza.
Recuperacin ante desastres. Este es el proceso de reconstruccin.
Definir recuperacin de desastres
Durante el decenio de 1980, el trmino recuperacin ante desastres se hizo popular
como una definicin para la reconstruccin y recuperacin despus de un desastre
natural. Todo el enfoque de la recuperacin de desastres se podra resumir con una
sola palabra: reconstruir.
Comprender el inters del auditor en los planes de BC/ DR
El auditor puede utilizar los siguientes puntos de la evaluacin:

Comparar los resultados del impacto en el negocio y anlisis de riesgos para

seleccionar las diferentes estrategias para cada actividad en el proceso general
escala de tiempo.
Los retrasos son absolutos verdugos de los planes de continuidad de negocio.
Trabajo atrasado existe todos los das en el mundo de los negocios. Mtodos
manuales son debidos al bajo costo; sin embargo, las pruebas sustanciales sera
necesaria para demostrar que la organizacin podra mantener manualmente
con el volumen de trabajo.

17

Conclusiones
Una auditora proporciona niveles apropiados y correctos de asistencia para conseguir
la efectividad de los procesos de control. Conseguir un aseguramiento total es muy
difcil de conseguir debido a factores como la necesidad de anlisis, utilizacin de
pruebas, tambin existe ciertas limitaciones sujetas al control interno y mucha de la
evidencia utilizable por el auditor de sistemas de informacin es persuasiva ms que
concluyente.
Cualquier revisin brinda un nivel intermedio de aseguramiento para conseguir el efecto
deseado de los procesos de control. El nivel de aseguramiento provisto por una
auditora, tiene un alcance muy aceptable porque el trabajo de anlisis es bastante
extensivo, y los objetivos, la duracin y alcance de los procedimientos realizados
proporcionan suficiente evidencia para permitir al auditor de sistemas de informacin a
que formule una opinin objetiva.
El objetivo de la auditora, es permitir al auditor concluir si, en base a los
procedimientos algo ha llevado al auditor a creer que los procedimientos de control no
fueron fundamentados en criterios reconocidos. El dictamen de un auditor est basado
en los procedimientos que se han definido como obligatorios para la recoleccin de
evidencia necesaria y conveniente.
Los sistemas de gobernanza, los hbitos y la cultura empresarial pueden impedir
anomalas en los procesos de gestin, pero no son mtodos que no fallen en algn
momento. Un contexto seguro de control puede ayudar a atenuar la posibilidad de que
estas anomalas ocurran. Un contexto de control ineficaz puede dificultar la efectividad
de los procedimientos de control en la estructura del control interno.
En resumen, la seguridad de los datos se fundamenta en un conjunto de controles que
intentan conservar la integridad, la confidencialidad y la disponibilidad de la
informacin. Los controles de acceso a los recursos de informacin, se disean para
proteger contra el acceso no autorizado a los mismos. La integridad, la confidencialidad
y disponibilidad son objetivos principales de la poltica de seguridad de los sistemas de
informacin.

18

Recomendaciones
El proceso de administracin de la seguridad de la informacin est catalogado como
un proceso constante y de mejora continua en las distintas metodolgicas. En este
contexto, es vital y que los expertos que trabajan en seguridad de TI no se estanquen y
continen el proceso de actualizacin de conocimientos.
Es importante tambin que las corporaciones capaciten a sus empleados en ese
sentido. Adems si las condiciones econmicas lo permiten deberan invertir en
auditora de TI competente que utilicen normas ISO 27001, COBIT, ITIL y estndares y
mtodos de buenas prcticas equivalentes como referencias de comparacin.
Es preciso contratar a auditores que tengan conocimiento amplio sobre tecnologas de
informacin, posean seriedad, capacidad, minuciosidad y responsabilidad; las
consecuencias de contar con equipo deficiente llevar a realizar una auditora mal
hecha que puede conducir a tener resultados nocivos, especialmente econmicas.

19

Bibliografa
Certified Information Systems Auditor, Study Guide, Third Edition

20