Académique Documents
Professionnel Documents
Culture Documents
INDICE
Presentacin.1
Incide2
Introduccin3
1.- Introduccin a la Auditoria
1.1 Conceptos de auditoria y auditoria Informtica3
1.2 Tipos de auditoria.7
1.2.1 Auditoria interna y externa.7
1.3 Campo de la auditoria informtica..8
1.4 Control interno10
1.5 Modelos de control utilizados en auditoria informtica11
1.6 Principios aplicados a los auditores informticos..16
1.7 Responsabilidades de los administradores y del auditor.19
2
Evaluacin de la seguridad.
Pgina 1
AUDITORIA INFORMTICA
4.1 Generalidades de la seguridad del rea fsica52
4.2 Seguridad lgica y confidencial. ..54
4.3 Seguridad personal. ..55
4.4 Clasificacin de los controles de seguridad. 55
4.5 Seguridad en los datos y software de aplicacin...57
4.6 Controles para evaluar software de aplicacin..59
4.7 Controles para prevenir crmenes y fraudes informticos..62
4.8 Plan de contingencia, seguros, procedimientos de recuperacin de
desastres...64
4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del
personal. 68
4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y
software de aplicacin. .69
5 Auditoria de la seguridad en la teleinformtica.
5.1 Generalidades de la seguridad en el rea de la teleinformtica70
5.2 Objetivos y criterios de la auditoria en el rea de la teleinformtica73
5.3 Sntomas de riesgo76
5.4 Tcnicas y herramientas de auditoria relacionadas con la seguridad en la
teleinformtica..80
6 Informe de la auditoria informtica.
6.1 Generalidades de la seguridad del rea fsica82
6.2 Caractersticas del informe. 85
6.3 Estructura del informe90
6.4 Formato para el informe. 106
Conclusin..111
Bibliografa.112
INTRODUCCION
En un ambiente donde la informtica esta encabezando el trabajo en las diferentes
oficinas e instituciones, el almacenamiento, ejecucin y procesamiento de los
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 2
AUDITORIA INFORMTICA
datos se esta haciendo va computadoras, por lo tanto en el trabajo de la auditoria
tambin es algo indispensable. Aunque en el ambiente de la informtica la
computadora es el medio principal para auditar pero no hay que olvidar que es a la
persona junto a la informacin la cual estamos auditando y no la computadora en
si, no se cambi el espirito de la auditora tradicional, solamente se cambi el
mtodo.
Para dar un mejor servicio a la comunidad, nuestro pas desde los aos 60 ya
empez a utilizar las procesadoras para procesar informaciones En 1982, el Yuan
Legislativo empez a promover el uso del sistema informativo, construyendo redes
informativas entre la informtica industrial y su progreso, nominando al grupo de
trabajo " Grupo de promocin de la informtica", en casi todos los lugares,
empezando por instalacin de grupos de trabajos en el procesamiento de datos e
informaciones en las provincias, ciudades y otras reas, enfocando principalmente
en las reas financieras, medicas, sistema de seguro social, impuestos,
oportunidades de trabajo y otras informaciones para facilitar el trabajo del pblico.
El Ministerio de la Auditoria, llamado tambin La Oficina de la Auditoria (NAO), por
el cambio del ambiente de trabajo tradicional a la nueva de la informtica, en estos
aos de promover la Auditoria Informtica se han obtenido muy buenos resultados
dentro de esta rea, se han hecho planes, tcticas de trabajo y lo ms importante
procesar los resultados de las inspecciones de la auditoria para poder analizarlos
despus.
Pgina 3
AUDITORIA INFORMTICA
CONCEPTO DE AUDITORIA:
La auditora es el examen crtico y sistemtico que realiza una persona o grupo de
personas independientes del sistema auditado.
FUNCIN A DESARROLLAR DE UNA AUDITORIA
Investigacin constante de planes y objetivos
Estudio de las polticas y sus prcticas
Revisin constante de la estructura orgnica
Estudio constante de las operaciones de la empresa
Analizar la eficiencia de la utilizacin de recursos humanos y materiales .
Revisin del equilibrio de las cargas de trabajo
Revisin constante de los mtodos de control
CONCEPTO DE INFORMTICA
es el campo que se encarga del estudio y aplicacin prctica de la tecnologa,
mtodos, tcnicas y herramientas relacionados con las computadoras y el manejo
de la informacin por medios electrnicos, el cual comprende las reas de la
tecnologa de informacin orientadas al buen uso y aprovechamiento de los
recursos computacionales para asegurar que la informacin de las organizaciones
fluya (entidades internas y externas de los negocios) de manera oportuna y veraz
CONCEPTOS DE AUDITORIA INFORMTICA
Proceso metodolgico ejecutado por especialistas del
rea de auditora y de
informtica.
Orientado a la verificacin y aseguramiento de que las polticas y procedimientos
establecidos para el manejo y uso adecuado de la tecnologa de informacin, se
lleven a cabo de manera oportuna y eficiente.
Que operen en un ambiente se seguridad y control para generar confiabilidad,
integridad, exactitud, etc. en los datos..
Pgina 4
AUDITORIA INFORMTICA
Debe generar un informe que indique las observaciones, recomendaciones y
reas de oportunidad para el mejoramiento y optimizacin de las Tecnologas de
Informacin.
Los objetivos de la auditora Informtica son:
- Eficiencia
- Eficacia
- Rentabilidad
- Seguridad
Importancia de la auditoria en informtica:
La tecnologa informtica (hardware, software, redes, bases de datos, etc.) es una
herramienta estratgica que brinda rentabilidad y ventajas competitivas a los
negocios frente a otros negocios similares en el mercado, pero puede originar
costos y desventajas si no es bien administrada por el personal encargado.
La solucin clara es entonces realizar evaluaciones oportunas y completas de la
funcin informtica, a cargo de personal calificado, consultores externos, auditores
en informtica o evaluaciones peridicas realizadas por el mismo personal de
informtica
Tambin es un conjunto de tareas realizadas por un especialista para la
evaluacin o revisin de polticas y procedimientos relacionados con las
diferentes reas de una empresa
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 5
AUDITORIA INFORMTICA
1.2
Administrativas.
Financieras.
Operativas.
Informtica.
Crdito.
Fiscales
TIPOS DE AUDITORIA.
Los
empleados
que
realizan
esta
tarea
son
remunerados
Pgina 6
AUDITORIA INFORMTICA
Informe para uso interno.
Permite detectar problemas y desviaciones.
Puede actuar peridicamente como parte de su Plan Anual.
Los auditados conocen estos planes y se habitan a las Auditoras.
Las Recomendaciones habidas benefician su trabajo.
El auditor no tiene relacin con la empresa
Revisin independiente con total libertad de criterio sin ninguna influencia.
Realizadas por despachos de auditores
Generalmente solicitado por instituciones gubernamentales
1.3.- CAMPO DE LA AUDITORIA INFORMTICA
Algunos campos de aplicacin de la informtica son las siguientes:
Investigacin cientfica y humanstica: Se usan las computadoras para
la resolucin de clculos matemticos, recuentos numricos, etc. Algunas
de estas operaciones:
Resolucin de ecuaciones.
Anlisis de datos de medidas experimentales, encuestas etc.
Anlisis automticos de textos.
Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y
de productos comerciales, trazado de planos, etc. Algunas de estas operaciones:
Anlisis y diseo de circuitos de computadora.
Clculo de estructuras en obras de ingeniera.
Minera.
Cartografa.
Documentacin e informacin: Es uno de los campos ms importantes para la
utilizacin de computadoras.
Estas se usan para el almacenamiento de grandes cantidades de datos y la
recuperacin controlada de los mismos en bases de datos.
Ejemplos de este campo de aplicacin son:
Documentacin cientfica y tcnica.
Archivos automatizados de bibliotecas.
Bases de datos jurdicas.
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 7
AUDITORIA INFORMTICA
Gestin administrativa: Automatiza las funciones de gestin tpicas de una
empresa. Existen programas que realizan las siguientes actividades:
Contabilidad.
Facturacin.
Control de existencias.
Inteligencia artificial: Las computadoras se programan de forma que emulen el
comportamiento de la mente humana. Los programas responden como
previsiblemente lo hara una persona inteligente.
Aplicaciones como:
Reconocimiento de lenguaje natural.
Programas de juego complejos (ajedrez).
Instrumentacin y control: Instrumentacin electrnica, electro medicina,
robots industriales, entre otros.
1.4.- CONTROL INTERNO.
Se puede definir el control interno como "cualquier actividad o accin realizada
manual y/o automticamente para prevenir, corregir errores o irregularidades que
puedan afectar al funcionamiento de un sistema para lograr o conseguir sus
objetivos.
Los controles internos se clasifican en los siguientes:
Controles preventivos: Para tratar de evitar el hecho, como un software de
seguridad que impida los accesos no autorizados al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer
cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no
autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.
Controles correctivos: Facilitan la suelta a la normalidad cuando se han
producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir
de las copias de seguridad.
Para la implantacin de un sistema de controles internos informticos habr que
definir:
Pgina 8
AUDITORIA INFORMTICA
Gestin de sistema de informacin: polticas, pautas y normas tcnicas que
sirvan de base para el diseo y la implantacin de los sistemas de
informacin y de los controles correspondientes.
Administracin de sistemas: Controles sobre la actividad de los centros de
datos y otras funciones de apoyo al sistema, incluyendo la administracin de las
redes.
Seguridad: incluye las tres clases de controles fundamentales implantados en el
software del sistema, integridad del sistema, confidencialidad (control de acceso) y
disponibilidad.
Gestin del cambio: separacin de las pruebas y la produccin a nivel del
software y controles de procedimientos para la migracin de programas
software aprobados y probados.
1.5.- MODELOS DE CONTROL
En la actualidad existen una gran cantidad de modelos de control interno.
Los modelos de control interno COSO y COBIT son los dos modelos ms
difundidos en la actualidad.
COSO est enfocado a toda la organizacin, contempla polticas, procedimientos y
estructuras organizativas adems de procesos para definir el modelo de control
interno.
Mientras que COBIT (Control Objectives for Information and Related Technology,
Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)
se centra en el entorno IT, contempla de forma especfica la seguridad de la
informacin como uno de sus objetivos, cosa que COSO no hace. Adems el
modelo de control interno que presenta COBIT es ms completo, dentro de su
mbito.
Pgina 9
AUDITORIA INFORMTICA
Existen otros tipos de modelos los cuales se mencionan a continuacin:
OECD (Organization for Economic Cooperation and Development)
GAPP (Generaly Accepted Principles and Practices). National Institute of
Standards and Technology (NIST)
BS 7799 (British Standard Institute)
SAC (Security Auditability and Control). The Inst. of Internal Audit.
COSO (Internal Control Integrated Framework. Committee of Sponsoring
Organizations)
SSE CMM (Systems Security Engineering Capability Maturity Model)
National Security Agency (NSA) Defense- Canada.
CoCo (Criteria of Control Board of The Canadian Instituteof Chartered
Accountants.)
ITCG (Information Technology Control Guidelines). Canadian Institute of
Chartered Accountants(CICA)
GASSP (Generaly Accepted System Security Principles). International
Information Security Foundation (IISF)
Cobit (Control Objectives for Information and Related Technologies)
FISCAM (Federal Information Systems Controls Audit Manual).
GAO
SysTrust (AICPA/CICA SysTrust Principles and Criteria for System
Reliability)
SSAG (System Self-Assessment Guide for Information Technology
Systems). NIST
COBIT DEFINICIN
Es un marco de control interno de TI.
Parte de la premisa de que la TI requiere proporcionar informacin para
lograr los objetivos de la organizacin.
Promueve el enfoque y la propiedad de los procesos.
Apoya a la organizacin al proveer un marco que asegura que:
La Tecnologa de Informacin (TI) est alineada con la misin y visin.
LA TI capacite y maximice los beneficios.
Los recursos de TI sean usados responsablemente.
Los riesgos de TI sean manejados apropiadamente.
COBIT PRINCIPIOS
Pgina 10
AUDITORIA INFORMTICA
COBIT ESTRUCTURA
Pgina 11
AUDITORIA INFORMTICA
Pgina 12
AUDITORIA INFORMTICA
Pgina 13
AUDITORIA INFORMTICA
casos les puede ser extremadamente difcil verificar sus recomendaciones y
evaluar correctamente la precisin de las mismas.
PRINCIPIO DE COMPORTAMIENTO PROFESIONAL
El auditor, tanto en sus relaciones con el auditado como con terceras personas,
deber, en todo momento, actuar conforma a las normas, implcitas o explcitas,
de dignidad de la profesin y de correccin en el trato personal.
PRINCIPIO DE CRITERIO PROPIO
El auditor durante la ejecucin deber actuar con criterio propio y no permitir que
est subordinado al de otros profesionales, aun de reconocido prestigio, que no
coincidan con el mismo.
PRINCIPIO DE CONCENTRACION EN EL TRABAJO
El auditor deber evitar que un exceso de trabajo supere sus posibilidades de
concentracin y precisin en cada una de las tareas a l encomendadas, y a que
la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente
controlada,
provocar
la
conclusin
de
los
mismos
sin
las
PRINCIPIO DE DISCRECIN
El auditor deber en todo momento mantener una cierta discrecin en la
divulgacin de datos, aparentemente inocuos, que se le hayan puesto de
manifiesto durante la ejecucin de la auditoria.
PRINCIPIO DE ECONOMA
El auditor deber proteger, en la medida de sus conocimientos, los derechos
econmicos del auditado evitando generar gastos innecesarios en el ejercicio de
su actividad.
PRINCIPIO DE FORMACIN CONTINUADA
Pgina 14
AUDITORIA INFORMTICA
Este principio impone a los auditores el deber y la responsabilidad de mantener
una permanente actualizacin de sus conocimientos y mtodos a fin de
adecuarlos a las necesidades de la demanda y a las exigencias de la competencia
de la oferta.
PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIN
La defensa de los auditados pasa por el fortalecimiento de la profesin de los
auditores informticos, lo que exige un respeto por el ejercicio, globalmente
considerado, de la actividad desarrollada por los mismos y un comportamiento
acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de
las auditorias.
PRINCIPIO DE INDEPENDENCIA
Esta relacionado con el principio de criterio propio, obliga al auditor, tanto si acta
como profesional externo o con dependencia laboral respecto a la empresa en la
que deba realizar la auditoria informtica, a exigir una total autonoma e
independencia en su trabajo.
Pgina 15
AUDITORIA INFORMTICA
La primaca de esta obligacin exige del auditor un comportamiento activo de
oposicin a todo intento, por parte del auditado o de terceras personas,
tendente a infringir cualquier precepto integrado en el derecho positivo.
PRINCIPIO DE LIBRE COMPETENCIA
La actual economa de mercado exige que el ejercicio de la profesin se realice en
el marco de la libre competencia siendo rechazables, por tanto, las prcticas
colusorias tendentes a impedir o limitar la legtima competencia de otros
profesionales.
PRINCIPIO DE NO DISCRIMINACIN
El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar
cualquier
tipo
de
condicionantes
personalizados
actuar
en
todos
pudieran
interpretarse
como
Pgina 16
AUDITORIA INFORMTICA
La confidencia y confianza entre el auditor y el auditado e imponen al primero la
obligacin de guardar en secreto los hechos e informaciones que conozca en el
ejercicio de su actividad profesional.
PRINCIPIO DE SERVICIO PBLICO
La aplicacin de este principio debe incitar al auditor a hacer lo que este en su
mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales.
PRINCIPIO DE VERACIDAD
El Auditor en sus comunicaciones con el auditado deber tener siempre presente
la obligacin de asegurar la veracidad de sus manifestaciones con los limites
impuestos por los deberes de respeto, correccin, y secreto profesional.
1.7.- RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR
El auditor informtico debe ser una persona con un alto grado de calificacin
tcnica y al mismo tiempo estar integrado a las corrientes organizativas
empresariales. Es responsable de realizar las siguientes actividades:
Verificacin del control interno tanto de las aplicaciones como de los SI,
perifricos, etc.
Anlisis de la administracin de Sistemas de Informacin, desde un punto de
vista de riesgo de seguridad, administracin y efectividad de la administracin.
Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del
anlisis de aplicaciones.
Auditora del riesgo operativo de los circuitos de informacin
Anlisis de la administracin de los riesgos de la informacin y de la seguridad
implcita.
Verificacin del nivel de continuidad de las operaciones.
Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las
consecuencias empresariales que un desfase tecnolgico puede acarrear.
Pgina 17
AUDITORIA INFORMTICA
La funcin de la auditora informtica se hconvertido en una funcin que desarrolla
un trabajo ms acorde con la importancia que para las organizaciones tienen los
SI, que son su objeto de estudio y anlisis. El auditor informtico pasa a ser
auditor y consultor de empresas en materias de:
Seguridad
Control interno operativo
Eficiencia y eficacia
Tecnologas de Informacin
Continuidad de operaciones
Administracin de riesgos
Su localizacin puede estar ligada a la auditora interna operativa y financiera
(aunque exista una coordinacin lgica entre ambos departamentos), con
independencia de objetivos, planes de formacin y presupuestos.
Debe ser un grupo independiente del de auditora interna, con acceso total a los
SI y dems tecnologa, que depende de la misma persona que la auditora
interna (Director General o Consejero).
La dependencia debe ser del mximo responsable de la organizacin, nunca del
departamento de sistemas o del financiero. Esto es para que no se pueda
sospechar que exista sesgo al momento de realizar el trabajo de auditora y
ofrecer conclusiones y recomendaciones.
Los recursos humanos con los que debe contar el departamento debe ser una
mezcla equilibrada de personas con formacin en auditora y organizacin y con
perfil informtico (especialidades).
Pgina 18
AUDITORIA INFORMTICA
Pgina 19
AUDITORIA INFORMTICA
Que se cumplan los objetivos de la auditora.
Que la auditora sea debidamente documentada y que se conserve la evidencia
apropiada de la supervisin.
Que los auditores cumplan con las normas profesionales de conducta.
Que los auditores en informtica posean los conocimientos, experiencias y
disciplinas esenciales para realizar sus auditoras.
Para una adecuada planeacin
Para hacer una adecuada planeacin de la auditora en informtica hay que seguir
una serie de pasos previos que permitirn dimensionar el tamao y caractersticas
del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Con
ello podremos determinar el nmero y caractersticas del personal de auditora, las
herramientas necesarias, el tiempo y costo, as como definir los alcances de la
auditora para, en caso necesario, poder elaborar el contrato de servicios.
2.1.1. PLANEACIN
El trabajo de auditora deber incluir:
La planeacin de la auditora
El examen y la evaluacin de la informacin
La comunicacin de los resultados y el seguimiento
1. Planeacin (Cont.)
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 20
AUDITORIA INFORMTICA
La planeacin deber ser documentada e incluir:
Pgina 21
AUDITORIA INFORMTICA
instalacin y los controles para reducir las prdidas y los efectos causados por
stas. Al terminar la revisin detallada el auditor debe evaluar en qu momento los
controles establecidos reduce las prdidas esperadas a un nivel aceptable. Los
mtodos de obtencin de informacin al momento de la evaluacin detallada son
los mismos usados en la investigacin preliminar,
y lo nico que difiere es la profundidad con se obtiene la informacin y se evala.
Pgina 22
AUDITORIA INFORMTICA
Los auditores debern reportar los resultados del trabajo de auditora: El auditor
deber discutir las conclusiones y recomendaciones en los niveles apropiados de
la administracin antes de emitir su informe final. Los informes debern ser
objetivos, claros, concisos, constructivos y oportunos. Los informes presentarn el
propsito, alcance y resultados de la auditora y, cuando se considere apropiado,
contendrn la opinin del auditor.
2.1.5. PRUEBAS DE CONTROLES DE USUARIO.
En algunos casos el auditor puede decidir el no confiaren los controles internos
dentro de las instalaciones informticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los controles de informtica. Estas
pruebas que compensan las deficiencias de los controles internos se pueden
realizar mediante cuestionarios, entrevistas, visitas y evaluaciones hechas
directamente con los usuarios.
2.1.6 PRUEBAS SUSTANTIVAS
El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente
que permita al auditor emitir su juicio en las conclusiones acerca de cundo
pueden ocurrir prdidas materiales durante el procesamiento de la informacin. El
auditor externo expresar este juicio en forma de opinin sobre cundo puede
existir un proceso equivocado o falta de control de la informacin. Se pueden
identificar ocho diferentes pruebas sustantivas:
Pruebas para identificar errores en el procesamiento o de falta de seguridad o
confidencialidad.
Pruebas para asegurar la calidad de los datos.
Pruebas para identificar la inconsistencia de los datos.
Pruebas para comparar con los datos o contadores fsicos.
Confirmacin de datos con fuentes externas.
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 23
AUDITORIA INFORMTICA
Pruebas para confirmar la adecuada comunicacin.
Pruebas para determinar falta de seguridad.
Pruebas para determinar problemas de legalidad
2.2 EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO
Son aquellos objetos, dispositivos, medidas, etc. que contribuyen a hacer mas
seguro el funcionamiento o el uso.
CONSIDERACIONES INMEDIATAS PARA LA AUDITORA DE LA SEGURIDAD
Uso de la Computadora
Se debe observar el uso adecuado de la computadora y su software que puede
ser susceptible a:
copia de programas de la organizacin para fines de comercializacin
(copia pirata).
acceso directo o telefnico a bases de datos con fines fraudulentos
Sistema de Acceso
Para evitar los fraudes computarizados se debe contemplar de forma clara los
accesos a las computadoras de acuerdo a:
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 24
AUDITORIA INFORMTICA
nivel de seguridad de acceso
empleo de las claves de acceso
PERSONAL
Pgina 25
AUDITORIA INFORMTICA
Se debe observar este punto con mucho cuidado, ya que hablamos de las
personas que estn ligadas al sistema de informacin de forma directa y se
deber
contemplar
principalmente:
MEDIOS DE CONTROL
Se debe contemplar la existencia de medios de control para conocer cuando se
produce un cambio o un fraude en el sistema. Tambin se debe observar con
detalle el sistema ya que podra generar indicadores que pueden actuar como
elementos de auditora inmediata, aunque esta no sea una especificacin del
sistema.
RASGOS DEL PERSONAL
Se debe ver muy cuidadosamente el carcter del personal relacionado con el
sistema, ya que pueden surgir:
malos manejos de administracin
malos manejos por negligencia
malos manejos por ataques deliberados
Pgina 26
AUDITORIA INFORMTICA
INSTALACIONES
Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan
un alto grado de riesgo. Para lo cual se debe verificar:
la continuidad del flujo elctrico
efectos del flujo elctrico sobre el software y hardware
evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc.
verificar si existen un diseo, especificacin tcnica, manual o algn tipo de
documentacin sobre las instalaciones
ESTABLECER LAS REAS Y GRADOS DE RIESGO
Es muy importante el crear una conciencia en los usuarios de la organizacin
sobre el riesgo que corre la informacin y hacerles comprender que la seguridad
es parte de su trabajo.
Pgina 27
AUDITORIA INFORMTICA
Definir prcticas de seguridad para el personal:
Plan de emergencia (plan de evacuacin, uso de recursos de emergencia
como extinguidores.
Nmeros telefnicos de emergencia
Definir el tipo de plizas de seguros
Definir elementos tcnicos de procedimientos
Definir las necesidades de sistemas de seguridad para:
Hardware y software
Flujo de energa
Cableados locales y externos
Aplicacin de los sistemas de seguridad incluyendo datos y archivos
Planificacin de los papeles de los auditores internos y externos
Planificacin de programas de desastre y sus pruebas (simulacin)
Planificacin de equipos de contingencia con carcter peridico
Control de desechos de los nodos importantes del sistema:
Poltica de destruccin de basura copias, fotocopias, etc.
Consideracin de las normas ISO 14000
Etapas para Implementar un Sistema de Seguridad
PLAN DE SEGURIDAD IDEAL (O NORMATIVO)
Un plan de seguridad para un sistema de seguridad integral debe contemplar:
El plan de seguridad debe asegurar la integridad y exactitud de los datos
Debe permitir identificar la informacin que es confidencial
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 28
AUDITORIA INFORMTICA
Debe contemplar reas de uso exclusivo
Administracin
Sistemas
ADMINISTRACIN
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 29
AUDITORIA INFORMTICA
Se recopila la informacin para obtener una visin general del departamento por
medio de observaciones, entrevistas preliminares y solicitud de documentos para
poder definir el objetivo y alcances del departamento.
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del
rea de informtica
Objetivos a corto y largo plazo.
Recursos materiales y tcnicos
Solicitar documentos sobre los equipos, nmero de ellos, localizacin y
caractersticas.
Nmero de equipos, localizacin y las caractersticas (de los equipos
instalados y por instalar y programados)
Fechas de instalacin de los equipos y planes de instalacin.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y mximas.
Planes de expansin.
Ubicacin general de los equipos.
Polticas de operacin.
Polticas de uso de los equipos.
Pgina 30
AUDITORIA INFORMTICA
SISTEMAS
Descripcin general de los sistemas instalados y de los que estn por instalarse
que contengan volmenes de informacin.
*
Manual de formas.
Descripcin genrica.
Salidas.
No tiene y se necesita
No se tiene y no se necesita.
No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Pgina 31
AUDITORIA INFORMTICA
2.4.-PERSONAL PARTICIPANTE
Una de las partes ms importantes en la planeacin de la auditoria en informtica
es el personal que deber participar, ya que se debe contar con un equipo
seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria
de manera correcta y en el tiempo estimado.
Aqu no se vera el nmero de persona que debern participar, ya que esto
depende de las dimensiones de la organizacin, de los sistemas y de los equipos,
lo que se deber considerar son exactamente las caractersticas que debe cumplir
cada uno del personal que habr de participar en la auditoria.
Uno de los esquemas generalmente aceptados para tener un adecuado control es
que el personal que intervenga este debidamente capacitado, que tenga un alto
sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y
se le retribuya o compense justamente por su trabajo.
Con estas bases debemos considerar los conocimientos, la prctica profesional y
la capacitacin que debe tener el personal que intervendr en la auditoria.
Primeramente, debemos pensar que hay personal asignado por la organizacin,
que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria,
proporcionarnos toda la informacin que se solicite y programar las reuniones y
entrevistas requeridas.
Este es un punto muy importante ya que, de no tener el apoyo de la alta direccin,
ni contar con un grupo multidisciplinario en el cual estn presentes una o varias
Pgina 32
AUDITORIA INFORMTICA
personas del rea a auditar, ser casi imposible obtener informacin en el
momento y con las caractersticas deseadas.
Tambin se deben contar con personas asignadas por los usuarios para que en el
momento que se solicite informacin, o bien se efecte alguna entrevista de
comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y
complementen el grupo multidisciplinario, ya que debemos analizar no slo el
punto de vista de la direccin de informtica, sino tambin el del usuario del
sistema.
Para complementar el grupo, como colaboradores directos en la realizacin de la
auditoria, se deben tener personas con las siguientes caractersticas:
Tcnico en informtica. Conocimientos de Admn., contadura y finanzas.
Experiencia en el rea de informtica. Experiencia en operacin y anlisis de
sistemas.
Conocimientos
Conocimientos
comunicaciones,
de
los
experiencias
sistemas
dependiendo
del
operativos,
rea
en
psicologa
bases
de
caractersticas
industrial.
datos,
a
redes
auditar.
Pgina 33
AUDITORIA INFORMTICA
La carta convenio es un compromiso que el auditor dirige a su cliente para su
confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la
auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad
y los informes que se han de entregar.
Pgina 34
AUDITORIA INFORMTICA
A) Estructura Orgnica
Jerarquas (Definicin de la autoridad lineal, funcional y de asesora)
Estructura orgnica
Funciones
Objetivos
Pgina 35
AUDITORIA INFORMTICA
Pgina 36
AUDITORIA INFORMTICA
E) Se har un levantamiento del censo de recursos humanos y anlisis
de situacin en cuanto a:
Nmero de personas y distribucin por reas
Denominacin de puestos
Salario
Capacitacin
Conocimientos
Escolaridad
Experiencia profesional
Antigedad
Historial de trabajo
Salario y conformacin
Movimientos salariales
ndice de rotacin del personal
Programa de capacitacin (vigente y capacitacin dada en el ltimo ao)
F) Por ltimo, se deber revisar el grado de cumplimiento de los
documentos administrativos.
Normas y polticas
Planes de trabajo
Controles
Estndares
Procedimientos
La informacin nos servir para determinar:
Pgina 37
AUDITORIA INFORMTICA
Si el control organizacional es el adecuado
Si se tienen los objetivos y polticas adecuadas, se encuentran vigentes y estn
bien definidas
Si existe la documentacin de las actividades, funciones y responsabilidades
Si los puestos se encuentran definidos y sealadas sus responsabilidades
Si el anlisis y descripcin de puestos est de acuerdo con el personal que los
ocupa
Si se cumplen los lineamientos organizacionales
Si el nivel de salarios comparado con el mercado de trabajo
Si los planes de trabajo concuerdan con los objetivos de la empresa
Si se cuenta con los recursos humanos necesarios que garanticen la continuidad
de la operacin o se cuenta con "indispensables
Si se evalan los planes y se determinan las desviaciones
Se utilizan varios patrones, esto pueden ser:
1) Patrones de cantidad: son los que se expresan en nmeros o en cantidades,
como nmero de empleados, porcentaje de rotacin de empleados, numero de
admisiones, ndice de accidentes, etc.
2) Patrones de calidad: son los que se relacionan con aspectos no cuantificables,
como mtodos de seleccin de empleados, resultados de entrenamiento,
funcionamiento de la evaluacin del desempeo. Etc.,
3) Patones de tiempo: consisten en la rapidez con que se integra e personal recin
admitido, la permanencia promedio del empleado en la empresa, el tiempo de
procesamiento de las requisiciones de personal, etc.
4) Patones de costo: son los costos, directos e indirectos, de la rotacin de
personal
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 38
AUDITORIA INFORMTICA
3.2.- EVALUACIN DE RECURSOS HUMANOS
La evaluacin esta presente en todo momento de la ejecutoria de un empleado
dentro de una organizacin. Desde la entrevista inicial, la valoracin del
desempeo, hasta la carta de recomendacin cuando se desea mover a otro
empleo, las personas estn siendo evaluadas.
Las organizaciones suelen realizar una valoracin del rendimiento con fines
administrativos y de desarrollo. Segn Gmez-Meja, Balkin & Cardy la valoracin
del rendimiento se utiliza administrativamente como punto de partida para tomar
decisiones sobre las condiciones laborales de un empleado, considerando las
promociones, los despidos y las recompensas.
La evaluacin del desempeo o valoracin del rendimiento, implica identificar,
medir, y gestionar el rendimiento de las personas dentro de una organizacin.
Ante este particular la evaluacin se convierte en un proceso de mejora continua
debido a que permite proyectar acciones futuras para un mayor desarrollo del
individuo
de
la
organizacin.
Para poder identificar los puntos que van a ser evaluados dentro de una
organizacin, es necesario conocer cul es la situacin general de la empresa,
definir la poltica, establecer objetivos y obtener informacin sobre las
evaluaciones
previas
sus
resultados.
Por otro lado para obtener un diagnstico de las situaciones de las empresas con
relacin a su desempeo, se pueden hacer entrevistas, cuestionarios, informes,
documentacin escrita y programas de accin.
Pgina 39
AUDITORIA INFORMTICA
La evaluacin se hace por una razn. La enciclopedia mediana y pequea
empresa enfatiza una serie de objetivos sobre la evaluacin, como:
1. Mejorar el desarrollo y comunicacin de los trabajadores.
2. Desarrollar y mejorar el conjunto de los sistemas de la organizacin.
3. Logra un mayor ajuste persona/puesto y en el conocimiento profesional del
propio evaluado.
Los criterios de evaluacin son de importancia consideracin para ser
aplicados en las diversas organizaciones:
Gmez-Meja, Balkin & Cardy sugieren que se pueden establecer segn dos
modelos:
1. En funcin de los objetivos: Consiste en la identificacin por parte del jefe y
empleado de las reas de responsabilidad y los indicadores para medir resultados.
Pgina 40
AUDITORIA INFORMTICA
4. Listados de caractersticas: Se confecciona una lista con las caractersticas y
los objetivos de cada puesto de trabajo y grado de ejecucin de los empleados.
5. Evaluacin abierta: Consiste dejar abierto el campo de los aspectos que se
deben evaluar.
6. Evaluacin del personal jerrquico: Puede hacerse de manera directa, a travs
de un protocolo de preguntas que los empleados contestarn.
7. Autovaloracin: Puede ser estructurada o abierta. En el primer caso se pasar
un protocolo que el empleado deber cumplimentar, mientras que en el segundo
caso ste tendr que exponer cules son a su parecer sus logros y cules son sus
puntos dbiles.
8. Evaluacin entre reas: Cada miembro de los sectores dentro de una
organizacin evaluar a los empleados del otro departamento.
Obstculos para medir eficazmente el rendimiento:
1. Los errores y el sesgo de la persona que realiza la evaluacin.
2. La influencia de los gustos.
3. La poltica de la organizacin.
4. El enfoque hacia el individuo o hacia el grupo.
5. Las cuestiones legales
La enciclopedia prctica de la pequea y mediana empresa presenta varias
claves para los directivos sobre como informar a los empleados de su
rendimiento, entre estas:
* Documentar el rendimiento del empleado.
*Solicite la participacin del empleado.
*Cntrese en los comportamientos.
*Sea especfico y de tiempo.
*Dirija su informacin slo a facetas de la situacin de rendimiento que el
empleado puede cambiar.
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 41
AUDITORIA INFORMTICA
La enciclopedia prctica de la pequea y mediana empresa presenta varias
claves que el empleado puede utilizar para obtener informacin sobre su
rendimiento personal, entre estas:
*En el momento oportuno pida a su director y a los dems que contribuyan a
valorar su rendimiento.
*Mantenga un registro de sus logros y de sus fallos.
*Invite a su director/evaluador a ofrecer sus sugerencias para mejorar.
*Si recibe comentarios crticos no discuta ni se ponga sensible. Analice como
puede mejorar.
Gestin del rendimiento:
Como punto final se puede mencionar la valoracin de la gestin del rendimiento.
Enfatizan que el objetivo de la evaluacin radica en gestionar y mejorar el
rendimiento de los empleados. Este hecho enfatiza el que los directivos tienen que
analizar las causas de los problemas relacionados al rendimiento, dirigir la
atencin a esas causas, desarrollar planes de accin y facilitar el que los
empleados encuentren soluciones, as como utilizar una comunicacin centrada
en el rendimiento.
Para mejorar el rendimiento se recomienda:
*Analizar las causas de los problemas de rendimiento.
*Atender directamente las causas de los problemas.
*Desarrollar un plan de accin para facilitar que los trabajadores alcancen una
solucin.
*Comunicacin directamente sobre el rendimiento e informacin eficaz.
3.3.- ENTREVISTA CON EL PERSONAL DE INFORMTICA
Pgina 42
AUDITORIA INFORMTICA
Puede entrevistarse a un grupo de personas elegidas, sus opiniones deben ser
debidamente fundamentadas.
Las opiniones determinan:
Grado de cumplimiento de la estructura organizacional administrativa.
Grado de cumplimiento de las polticas y los procesos administrativos
Satisfaccin e insatisfaccin
Capacitacin
Observaciones generales
Gua de entrevista
1.-Nombre del puesto
Ingeniero en sistemas
2.-Puesto del jefe inmediato
Directora
3.-puestos a que reporta
Directora del plantel
4.-Puestos de las personas que reportan al entrevistado
Docentes de la institucin.
5.-Numero de personas que reportan al entrevistado
5 personas
6.-Describa brevemente las actividades diarias de su puesto
Atender a los alumnos
Pgina 43
AUDITORIA INFORMTICA
8.-Actividades eventuales
Capacitacin a docentes y alumnos (Inicio de semestre)
Exmenes en lnea
Registro de calificaciones (Docentes)
Consulta de calificaciones (Alumnos)
9.-Con que manuales cuenta para el desempeo de su puesto?
__Manual de organizacin
__Manual de mantenimiento de hardware
__Instructivo de equipos
10.-Cules polticas se tienen establecidas para el puesto?
Tener el perfil para las actividades a realizar en el laboratorio.
Lic. en informtica
Ing. En sistemas
11.-Seale las lagunas que considere que hay en la organizacin.
La insistencia en una gestin de equipo de computo para cubrir las necesidades
de la institucin.
12.-En caso de que el entrevistado mencione cargas de trabajo Como las
establece?
Cargas de trabajo se dan en periodos de examen y fin de semestre. (uso
frecuente de laboratorio para investigacin y practica).
13.-Cmo las controla?
Haciendo horarios para cada grupo en los cuales se establece tiempo de
impresin, investigacin y practica, pidiendo apoyo a alumnos de servicio social.
14.-Como se deciden las polticas que han que implementarse?
Estas polticas se deciden de acuerdo a la reforma y alas necesidades que se
presenten lo establece direccin general, direccin administrativa y direccin
acadmica de colegio de bachilleres del estado de Tlaxcala.
15.-como recibe las instrucciones de los trabajos recomendados?
En reunin de academia se toman acuerdos y posteriormente el jefe de
materia (rea comunicaciones)
Pgina 44
AUDITORIA INFORMTICA
actividades y tiempo limite. Estas reuniones se realizan en receso de semestre
con el fin de que la informacin sea actualizada.
16.-Con que frecuencia recibe capacitacin y de que tipo?
La capacitacin se realiza en receso de semestre tomando como base la
planeacin para nuevo ingreso,. esta capacitacin mas que nada es para
establecer forma de trabajo, actualizar informacin por medio de cursos o talleres,
de acuerdo a las asignaturas.
17.-Sobre que tema le gustara recibir capacitacin?
Sobre como administrar un laboratorio de informtica.
18.-Mencione la capacitacin obtenida y dada a su personal durante el ltimo ao.
En la actualidad lo que se pretende es apegarse a los lineamientos que
establece la RIEMS (Reforma integral del la educacin media superior).
19.-Cmo considera el ambiente de trabajo?
Lo considero bueno y satisfactorio.
Aunque existen necesidades en esta rea de trabajo pero se puede improvisar.
20.-Observaciones.
Al realizar la entrevista la relacin fue de confianza y cordialidad esto nos
permiti obtener una informacin mas real.
Pgina 45
AUDITORIA INFORMTICA
La auditora presupuestaria tiene como objetivo analizar la forma de clculo de las
cifras, as como verificar que tengan relacin con las circunstancias, supuestos o
hiptesis bajo las cuales fueron determinadas.
Lo anterior para otorgar una opinin profesional sobre la certeza de las cifras
presupuestadas en el caso de darse los supuestos bajo los cuales fueron
estimadas o proyectadas.
3.4.1.- PRESUPUESTOS.
Un presupuesto es una herramienta de gestin conformada por un documento en
donde se cuantifican pronsticos o previsiones de diferentes elementos de un
negocio.
Los presupuestos se suelen relacionar exclusivamente con los ingresos o egresos
que realizar una empresa, sin embargo, podemos hacer uso de estas
herramientas para cuantificar pronsticos o previsiones de cualquiera de los
elementos de un negocio, por ejemplo, podemos presupuestar los cobros que
realizaremos, los pagos de nuestras de deudas, los productos que fabricaremos,
los materiales que requeriremos para producir dichos productos, etc.
Los presupuestos son herramientas fundamentales para un negocio ya que nos
permiten planificar, coordinar y controlar nuestras operaciones:
coordinacin:
los
presupuestos
sirven
como
gua
para
coordinar
Pgina 46
AUDITORIA INFORMTICA
de
recursos
materiales
haya
cobrado
tanta
importancia
actualmente.
La administracin de recursos materiales consiste en:
Obtener oportunamente, en el lugar preciso, en las mejores condiciones de costo,
y en la cantidad y calidad requerida, los bienes y servicios para cada unidad
orgnica de la empresa de que se trate, con el propsito de que se ejecuten las
tareas y de elevar la eficiencia en las operaciones.
Recursos Financieros
La administracin de recursos financieros supone un control presupuestal y
significa llevar a cabo toda la funcin de tesorera (ingresos y egresos). Es decir,
todas las salidas o entradas de efectivo deben estar previamente controladas por
el presupuesto.
Pgina 47
AUDITORIA INFORMTICA
Para
estar en
condiciones de
y del
Pgina 48
AUDITORIA INFORMTICA
Contar con los seguros necesarios que cubran las prdidas econmicas encaso
de desastre. Los motivos de los delitos por computadora normalmente son por:
Beneficio personal
Beneficios para la organizacin
Sndrome de Robn Hood (por beneficiar a otra persona)
Jugando a jugar Auditoria Informtica
Fcil de desfalcar
El individuo tiene problemas financieros
La computadora no tiene sentimientos
El departamento es deshonesto odio a la organizacin
Equivocacin de ego
Mentalidad turbada Se consideran que hay cinco factores que han permitido el
incremento de los crmenes por computadora
El aumento del nmero de personas que se encuentran estudiando computacin
El aumento del nmero de empleados que tienen acceso a los equipos
La facilidad en los equipos de cmputo
El
incremento
en
la
concentracin
del
nmero
de
aplicaciones
y,
consecuentemente, de la informacin.
En la actualidad las compaas cuentan con grandes dispositivos para seguridad
fsica de las computadoras, y se tiene la idea que los sistemas no puedan ser
violados si no se entra en el centro de cmputo, olvidando que se pueden usar
terminales y sistemas de teleproceso.
4.2.- SEGURIDAD LGICA Y CONFIDENCIAL
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 49
AUDITORIA INFORMTICA
.Se encarga de los controles de acceso que estn diseados para salvaguardar la
integridad de la informacin almacenada de una computadora, as como controlar
el mal uso de su informacin. Estos controles reducen el riesgo de caer en
situaciones adversas. seguridad lgica se encarga de controlar y salvaguardar la
informacin generada por los sistemas, por el software de desarrollo y por los
programas en aplicacin; identifica individualmente a cada usuario y sus
actividades en el sistema, y restringe el acceso a datos, a los programas de uso
general, de uso especifico, e la redes y terminales. La falta de seguridad lgica o
su violacin puede traer las siguientes consecuencias a la organizacin:
Cambio de los datos antes o cuando se le da entrada a la computadora
Copias de programas y/o informacin
Cdigo oculto en un programa
Entrada de virus
El tipo de seguridad puede comenzar desde una simple llave de acceso
(contraseas) hasta los sistemas ms complicados, pero se debe evaluar que
cuanto ms complicados sean los dispositivos de seguridad ms costosos
resultan. Los sistemas de seguridad normalmente no se consideran la posibilidad
defraude cometida por los empleados en el desarrollo de sus funciones. Un
mtodo eficaz para proteger los sistemas de computacin el software de control de
acceso. Estos paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a
informacin confidencial. El sistema integral de seguridad debe comprender:
Elementos administrativos
Definicin de una poltica de seguridad Auditoria
Organizacin y divisin de responsabilidades
4.3.- SEGURIDAD PERSONAL
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 50
AUDITORIA INFORMTICA
Uno de los punto ms importantes a considerar para poder definir la seguridad de
un sistema es el grado de actuacin que puede tener un usuario dentro de un
sistema, ya que la informacin se encuentra en un archivo normal o en una base
de datos, o bien que se posea una minicomputadora, o un sistema de red. Para
esto podemos definir los siguientes tipos de usuarios:
Propietario.- Es el dueo de la informacin y responsable de sta, y puede
realizar cualquier funcin:
Administrador.- Solo puede actualizar o modificar el software con la debida
autorizacin
Usuario principal.- Esta autorizado por el propietario para hacer modificaciones,
cambios, lecturas y utilizacin de los datos, pero no da autorizacin para que otros
usuarios entren
Usuario de consulta.- Solo puede leer la informacin
Usuario de explotacin.- Puede leer la informacin y usarla para explotacin de la
misma
Usuario de auditora.- Puede usar la informacin y rastrearla dentro del sistema
para fines de auditora Se recomienda que solo exista un usuario propietario y que
el administrador sea una persona designada por la gerencia de informtica.
4.4.- CLASIFICACIN DE LOS CONTROLES DE SEGURIDAD
El gran crecimiento de las redes, interconexiones y telecomunicaciones en
general, incluido el uso de Internet de forma casi corriente, ha demostrado que la
seguridad fsica no lo es todo. Es un punto que debe complementarse
necesariamente con la implementacin de controles para la seguridad lgica delos
sistemas y computadoras. Es esa tendencia de interconexin de redes con otras
redes, o de una simple PC a Internet la que nos da la pauta de que an si usamos
tarjetas electrnicas para acceder a nuestra oficina, hay otras puertas traseras
Pgina 51
AUDITORIA INFORMTICA
mucho menos evidentes que debemos controlar porque nuestros sistemas estn
virtualmente a la espera de que alguien intente utilizarlos. Los controles:
Identificacin y autenticacin de usuarios.- Identificacin es el proceso de
distinguir una persona de otra; y autenticacin es validar por algn medio que esa
persona es quien dice ser.
Los controles biomtricos:
Huellas dactilares
Patrones de la retina
Geometra de la mano
Dinmica de la firma
Patrones de la voz
Programas de control de acceso.- Programas diseados para administrar los
permisos de acceso a los recursos del sistema de informacin.
Controles para el software.- Sirven para asegurar la seguridad y confiabilidad del
software.
Controles para el hardware.- Controles que aseguran la seguridad fsica y el
correcto funcionamiento del hardware de cmputo.
Pgina 52
AUDITORIA INFORMTICA
El acceso a la computadora no significa tener una entrada sin restricciones. Limitar
el acceso slo a los niveles apropiados puede proporcionar una mayor seguridad.
Cada uno de los sistemas de informacin tiene una ruta de acceso, la cual puede
definirse como la trayectoria seguida en el momento de acceso al sistema. Como
se ha sealado, un usuario puede pasar por uno o mltiples niveles de seguridad
antes de obtener el acceso a los programas y datos. Los tipos derestricciones de
acceso son:
Slo de lectura
Slo de escritura
Lectura y consulta
Lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar El esquema de
las rutas de acceso sirve para identificar todos los puntos de control que pueden
ser usados para proteger los datos en el sistema.
Software de control de acceso
Este puede ser definido como el software diseado para emitir el manejo de
control y acceso a los siguientes recursos.
Programas de libreras
Archivos de datos
Jobs
Programas de aplicacin
Mdulos de funciones
Utileras
Diccionario de datos
Archivos
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 53
AUDITORIA INFORMTICA
Programas
Comunicacin
Controla el acceso a la informacin, grabando e investigando los eventos
realizados y el acceso a los recursos, por medio de identificacin del usuario. El
software de control de acceso tiene las siguientes funciones:
Definicin de usuarios
Definicin de las funciones del usuario despus de accesar el sistema
El software de seguridad protege los recursos mediante la identificacin de los
usuarios autorizados con llaves de acceso, que son archivadas y guardadas por
este software. Algunos paquetes de seguridad pueden ser usados para restringir el
acceso a programas, libreras y archivo de datos; otros pueden limitar el uso de
terminales o restringir el acceso a base de datos. La mayor ventaja del software de
seguridad es la capacidad de proteger los recursos de acceso no autorizados,
incluyendo los siguientes:
Proceso en espera de modificacin por un programa de aplicacin
Acceso por los editores en lnea
Acceso por utileras de software
Acceso a archivos de las base de datos
Acceso a terminales o estaciones no autorizadas
Existen otros tipos de software de control de acceso como son los siguientes:
Sistemas operativos
Manejadores de base de datos
Software de consolas o terminales maestras
Software de libreras software de utileras
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 54
AUDITORIA INFORMTICA
Telecomunicaciones
4.6.- CONTROLES PARA EVALUAR SOFTWARE DE APLICACIN
Controles del software de seguridad general
Aplican para todos los tipos de software y recursos relacionados y sirven para:
El control de acceso a programas y a la instalacin
Vigilar los cambios realizados
Controles de acceso a programas y datos
Cambios realizados
Diseo y cdigo de modificaciones
Coordinacin de otros cambios
Asignacin de responsabilidades
Revisin de estndares y aprobacin
Requerimientos mnimos de prueba
Procedimientos del respaldo en el evento de interrupcin
Controles de software especifico
Se presentan algunos de los controles usados por los diferentes tipos de software
especfico:
El acceso al sistema debe de ser restringido para individuos no autorizados
Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los
usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas
no autorizadas logren el acceso.
Pgina 55
AUDITORIA INFORMTICA
Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo
especifico de acceso de datos.
Para asegurar las rutas de acceso deber restringirse el acceso a secciones o
tablas de seguridad, mismas que debern ser encriptados. Debern restringirse
las modificaciones o cambios al software de control de acceso, y stos debern
ser realizados de acuerdo y a procedimientos no autorizados:
Software de sistemas operativos.
Controles que incluye:
Los password e identificadores debern ser confidenciales
El acceso al software de sistema operativo deber ser restringido
Los administradores de seguridad debern ser los nicos con autoridad para
modificar funciones del sistema
Software manejador de base de datos.
Controles que incluye:
El acceso a los archivos de datos deber ser restringido en una vista de datos
lgica
Deber controlar el acceso al diccionario de datos
La base de datos debe ser segura y se usaran las facilidades de control de
acceso construidas dentro del software DBMS
Software de consolas o terminales maestras.
Controles que incluye:
Los cambios realizados al software de consolas o terminales maestras debern
ser protegidas y controlados
Software de libreras.
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 56
AUDITORIA INFORMTICA
Controles que incluye:
Tiene la facilidad de compara dos versiones de programas en cdigo fuente y
reportar las diferencias
Deben limitarse el acceso a programas o datos almacenados por el software de
libreras
Las versiones correctas de los programas de produccin deben corresponder a
los programas objetos
Software de utileras.
Controles que incluye:
Debern restringirse el acceso a archivos de utileras
Software de sistemas operativos.
Controles que incluye:
Los password e identificadores debern ser confidenciales
El acceso al software de sistema operativo deber ser restringido
Los administradores de seguridad debern ser los nicos con autoridad para
modificar funciones del sistema
Software manejador de base de datos.
Controles que incluye:
El acceso a los archivos de datos deber ser restringido en una vista de datos
lgica
Deber controlar el acceso al diccionario de datos
La base de datos debe ser segura y se usaran las facilidades de control de
acceso construidas dentro del software DBMS
Software de consolas o terminales maestras.
Controles que incluye:
Los cambios realizados al software de consolas o terminales maestras
debern ser protegidas y controlados
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 57
AUDITORIA INFORMTICA
Software de libreras.
Controles que incluye:
Tiene la facilidad de compara dos versiones de programas en cdigo fuente y
reportar las diferencias
Deben limitarse el acceso a programas o datos almacenados por el software
de libreras
Las versiones correctas de los programas de produccin deben corresponder
a los programas objetos
Software de utileras.
Controles que incluye:
Debern restringirse el acceso a archivos de utileras
Asegurar que nicamente personal autorizado tenga acceso a corre
aplicaciones
Software de telecomunicaciones.
Controles que incluye:
Controles de acceso a datos sensibles y recursos de la red
El acceso diario al sistema debe ser monitoreado y protegido
4.7.-CONTROLES PARA PREVENIR CRMENES Y FRAUDES INFORMTICOS
Pgina 58
AUDITORIA INFORMTICA
A nivel institucional
Organizar y dividir las responsabilidades
Contemplar la seguridad fsica contra catstrofes (incendios, terremotos,
inundaciones, etc.)
Definir prcticas de seguridad para el personal:
Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como
extinguidores.
Nmeros telefnicos de emergencia
Definir el tipo de plizas de seguros
Definir elementos tcnicos de procedimientos
Definir las necesidades de sistemas de seguridad para:
Hardware y software
Flujo de energa
Cableados locales y externos
Aplicacin de los sistemas de seguridad incluyendo datos y archivos
Planificacin de los papeles de los auditores internos y externos
Planificacin de programas de desastre y sus pruebas(simulacin)
Planificacin de equipos de contingencia con carcter peridico
Control de desechos de los nodos importantes del sistema:
Poltica de destruccin de basura copias, fotocopias, etc.
Etapas para Implementar un Sistema de Seguridad
Para dotar de medios necesarios para elaborar su sistema de seguridad se debe
considerar los siguientes puntos:
Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad.
Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la
informacin en la organizacin a nivel software, hardware, recursos humanos, y
ambientales.
Pgina 59
AUDITORIA INFORMTICA
Elaborar un plan para un programa de seguridad. El plan debe elaborarse
contemplando:
Plan de Seguridad Ideal (o Normativo)
Un plan de seguridad para un sistema de seguridad integral debe contemplar:
El plan de seguridad debe asegurar la integridad y exactitud de los datos
Debe permitir identificar la informacin que es confidencial
Debe contemplar reas de uso exclusivo .
Debe proteger y conservar los activos de desastres provocados por la mano del
hombre y los actos abiertamente hostiles
Debe asegurar la capacidad de la organizacin para sobrevivir accidentes
Debe proteger a los empleados contra tentaciones o sospechas innecesarias
Debe contemplar la administracin contra acusaciones por imprudencia
4.8.-
PLAN
DE
CONTINGENCIA,
SEGUROS,
PROCEDIMIENTO
DE
RECUPERACIN DE DESASTRES
PLAN DE CONTINGENCIAS
El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la
organizacin de requerimientos para su recuperacin ante desastres. La
metodologa tiene como finalidad conducir de la manera ms efectiva un plan de
recuperacin ante una contingencia sufrida por la organizacin. El plan de
contingencia es definido como: la identificacin y proteccin de los procesos
crticos de la organizacin y los recursos requeridos para mantener un aceptable
nivel de transacciones y de ejecucin, protegiendo estos recursos y preparando
procedimientos para asegurar la sobrevivencia de la organizacin encaso de
desastre.
Entre los objetivos del plan de contingencia se encuentran:
Minimizar el impacto del desastre en la organizacin.
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 60
AUDITORIA INFORMTICA
Establecer tareas para evaluar los procesos indispensables de la organizacin.
Evaluar los procesos de la organizacin, con el apoyo y autorizacin respectivos
a travs de una buena metodologa.
Pgina 61
AUDITORIA INFORMTICA
riesgo que proviene de alguien de la organizacin es tan grande como el de
cualquier otro visitante. Solamente el personal autorizado por medio de una llave
de acceso o por la gerencia debe ingresar a dichas instalaciones.
En los centros de cmputo se pueden utilizar los siguientes recursos:
Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe ser
difcil de duplicar.
Puerta de combinacin. En este sistema se usa una combinacin de nmeros
para permitir el acceso.
Puerta electrnica. El sistema ms comn es el que usa una tarjeta de plstico
magntica como llave de entrada.
Puertas sensoriales. Son activadas por los propios individuos con alguna parte
de su cuerpo, como puede ser la huella dactilar, voz, retina, geometra de la mano
o bien por la firma.
Registros de entrada. Todos los visitantes deben firmar el registro de visitantes
indicando su nombre, su compaa, la razn para la visita, la persona a la que
visita.
Alarmas. Todas las reas deben estar protegidas contra robo o accesos fsicos
no autorizados. Las alarmas contra robo deben ser usadas hasta donde sea
posible en forma discreta, de manera que no se atraiga la atencin hacia este
dispositivo de alta seguridad
Seguros
Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino,
aunque son de gran importancia. Se tiene poco conocimiento de los riesgos que
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 62
AUDITORIA INFORMTICA
entraa la computacin, ya que en ocasiones el riesgo no es claro para las
compaas de seguros, debido a lo nuevo de la herramienta, a la poca experiencia
existente sobre desastres y al rpido avance de la tecnologa. Como ejemplo de lo
anterior tenemos las plizas de seguros contra desastres, ya que algunos
conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual
hace que se duplique el seguro, o bien que sobrevengan desastres que no son
normales en cualquier otro tipo de ambiente. El seguro debe cubrir todo el equipo
y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el
equipo con las diferentes caractersticas (existe equipo que puede ser
transportado, como computadoras personales, y otras que no se pueden mover,
como unidades de disco duro), por lo que tal vez convenga tener dos o ms
plizas por separado, cada una con las especificaciones necesarias. Como
ejemplo y en forma genrica, por lo comn un seguro de equipo de cmputo
considera lo siguiente:
Bienes que se pueden amparar.
Riesgos cubiertos.
Riesgos excluidos
Exclusiones
Suma asegurada.
Primas, cuotas y deducibles.
Indemnizacin en caso de siniestro
Pgina 63
AUDITORIA INFORMTICA
Slo se permitir la entrada al personal autorizado y competente
Seleccionar al personal mediante la aplicacin de exmenes integrales: mdico,
psicolgico, aptitudes, etc.
Contratar personal que viva en zonas cercanas a la empresa.
Acondicionar los locales, de acuerdo con las normas de seguridad.
Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la
manera de evitarlos.
Practicar con periodicidad exmenes mdicos al personal
Sostener plticas informales, directas e individuales con el personal.
Instalar carteles y propaganda mural referentes a la seguridad.
Elaborar estadsticas sobre riesgos ocurridos y derivar de ellas las medidas
concretas adoptables para evitar su repeticin.
Enterar al personal sobre dichas estadsticas y las medidas adoptadas.
Proponer otras actividades que se consideren necesarias.
Pgina 64
AUDITORIA INFORMTICA
Archivos de disco: una caracterstica sea del archivo de disco es que el
registro anterior es destruido, no produce una copia automticamente una
copia en duplicado.
Vacio a otros medios: esto puede ser vaciado a otros discos, o a papel de
impresin.
Objetivo de la auditoria de software de aplicacin:
Verificar la presencia de procedimientos y controles Para satisfacer :
La instalacin del software.
La operacin y seguridad del software.
La administracin del software.
Detectar el grado de confiabilidad:
Grado de confianza, satisfaccin y desempeo.
Investigar si existen polticas con relacin al software.
Detectar si existen controles de seguridad.
Actualizacin del software de aplicacin
Tipos de controles:
Control de distribucin.
Validacin de datos.
Totales de control.
Control de secuencia.
Pruebas de consistencia y verosimilitud.
Digito d control.
Control de distribucin.
UNIDAD 5 AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMTICA.
5.1
GENERALIDADES
DE
LA
SEGURIDAD
EN
EL
REA
DE
LA
TELEINFORMTICA
Pgina 65
AUDITORIA INFORMTICA
Introduccin
Una de las principales caractersticas de la sociedad actual es la gran importancia
que ha adquirido la posesin y el uso de la informtica. Se ha acuado el termino
de sociedad de la informacin para describir este fenmeno. El almacenismo, el
manejo y la difusin de grandes cantidades de informacin es algo habitual en
nuestros das, favorecido por el desarrollo de las denominadas nuevas tecnologas
de la informacin.
La informtica ha facilitado este hecho, pero sucede, cada vez ms, que la
informacin que se obtiene o produce en un lugar, se precisa en otro lugar distinto,
a veces muy lejano.
Es normal que los datos implicados en un determinado proceso haya que
obtenerlos de distintos orgenes, fsicamente dispersos. La sociedad actual exige,
adems, disponer de estos datos con rapidez y fiabilidad.
Ante este problema de distancia entre el lugar de produccin de datos y el lugar de
tratamiento, la obtencin de informacin distante o la comparticin de datos y el
lugar de tratamiento.
La obtencin de informacin distante o la comparticin de datos por sujetos
ubicados en distintos lugares, ha surgido una nueva tcnica que utiliza u ana la
Informtica y las Telecomunicaciones, a la cual se denomina Teleinformtica
En la actualidad tiene una gran trascendencia tanto tcnica como social, lo que se
denomina teleinformtica: la unin de la informtica y las telecomunicaciones.
Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso
de expresiones y conceptos relacionados con la teleinformtica.
Mediante esta tcnica se pueden interconectar a distancia computadoras,
terminales y otros equipos, usando para ello algn medio adecuado de
Pgina 66
AUDITORIA INFORMTICA
comunicacin, como por ejemplo lneas telefnicas, cables coaxiales, microondas,
etctera.
Los requerimientos en la seguridad de la informacin de la organizacin han
sufrido dos cambios importantes en las ltimas dcadas.
Previo a la difusin en el uso de equipo de informacin la seguridad de la misma
era considerada como valiosa para la organizacin en las reas administrativas,
por ejemplo el uso de gabinetes con candado para el almacenamiento de
documentos importantes.
Con la introduccin de las computadoras la necesidad de herramientas
automatizadas para la proteccin de archivos y otra informacin almacenada fue
evidente, especialmente en el caso de sistemas compartidos por ejemplo sistemas
que pueden ser accesados va telefnica o redes de informacin.
El nombre genrico de las herramientas para proteger la informacin as como la
invasin de hackers es la seguridad computacional.
El segundo cambio que afect la seguridad fue la introduccin de sistemas
distribuidos as como el uso de redes e instalaciones de comunicacin para enviar
informacin entre un servidor y una computadora o entre dos computadoras.
Las medidas de seguridad de redes son necesarias para proteger la informacin
durante su transmisin as como para garantizar que dicha informacin sea
autntica.
La tecnologa utilizada para la seguridad de las computadoras y de las redes
automatizadas es la inscripcin y fundamentalmente se utilizan la encripcin
convencional o tambin conocida como encripcin simtrica, que es usada para la
privacidad mediante la autentificacin y la encripcin public key.
Tambin conocida como asimtrica utilizada para evitar la falsificacin de
informacin y transacciones por medio de algoritmos basados en funciones
matemticas, que a diferencia de la encripcin simtrica utiliza dos claves para la
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 67
AUDITORIA INFORMTICA
proteccin de reas como la confidencialidad, distribucin de claves e
identificacin.
Propiedades de la informacin que protegen la seguridad informtica
La Seguridad Informtica debe vigilar principalmente por las siguientes
propiedades:
Privacidad La informacin debe ser vista y manipulada nicamente por quienes
tienen el derecho o la autoridad de hacerlo. Un ejemplo de ataque a la Privacidad
es la Divulgacin de Informacin Confidencial.
Integridad La informacin debe ser consistente, fiable y no propensa a
alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la modificacin
no autorizada de saldos en un sistema bancario o de calificaciones en un sistema
escolar.
Disponibilidad La informacin debe estar en el momento que el usuario requiera
de ella. Un ataque a la disponibilidad es la negacin de servicio (En Ingls Denial
of Service o DoS) o tirar el servidor
5.2
EL REA DE LA
TELEINFORMTICA
Cada vez ms las comunicaciones estn tomando un papel determinante en el
tratamiento de
datos, cumplindose el lema el computador es la red. Mientras que comnmente
el directivo informtico tiene amplios conocimientos de comunicaciones estn a la
misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de
comunicaciones en el esquema organizativo existe.
Por su parte, los informticos a cargo de las comunicaciones suelen auto
considerarse exclusivamente tcnicos, obviando considerar las aplicaciones
organizativas de su tarea. Todos estos factores convergen en que la auditora de
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 68
AUDITORIA INFORMTICA
comunicaciones no siempre se practique con la frecuencia y profundidad
equivalentes a las de otras reas del proceso de datos.
Por tanto, el primer punto de una auditora es determinar que la funcin de gestin
de redes y comunicaciones est claramente definida, debiendo ser responsable,
en general, de las siguientes reas
Gestin de la red, inventario de equipamiento y normativa de conectividad.
Monitorizacin de las comunicaciones, registro y resolucin de problemas.
Revisin de costos y su asignacin de proveedores y servicios de
transporte, balanceo de trfico entre rutas y seleccin de equipamiento.
Como objetivos del control, se debe marcar la existencia de:
Una gerencia de comunicaciones con autoridad para establecer procedimientos y
normativa.
Procedimientos y registros de inventarios y cambios.
Funciones de vigilancia del uso de la red de comunicaciones, ajustes de
rendimiento, registro de incidencias y resolucin de problemas.
Procedimientos para el seguimiento del costo de las comunicaciones y su
reparto a las personas o unidades apropiadas.
Auditando la red fsica
En una primera divisin, se establecen distintos riesgos para los datos que
circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de
auditarse hasta qu punto las instalaciones fsicas del edificio ofrecen garantas y
han o estudiadas las vulnerabilidades existentes.
En general, muchas veces se parte del supuesto de que si no existe acceso fsico
desde el exterior ala red interna de una empresa las comunicaciones internas
quedan a salvo.
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 69
AUDITORIA INFORMTICA
El equipo de comunicaciones se mantiene en habitaciones cerradas con
acceso limitado apersonas autorizadas.
La seguridad fsica de los equipos de comunicaciones, tales como
controladores de comunicaciones, dentro de las salas de computadores sea
adecuada.
Slo personas con responsabilidad y conocimientos estn incluidas en la
lista de personas permanentemente autorizadas para entrar en las salas
de equipos de comunicaciones.
Se toman medidas para separar las actividades de electricistas y personal
de tendido y mantenimiento de tendido de lneas telefnicas, as como sus
autorizaciones de acceso, de aqullas del personal bajo control de
la gerencia de comunicaciones.
Facilidades de traza y registro del trfico de datos que posean los equipos
de monitorizacin.
Procedimientos de aprobacin y registro ante las conexiones a lneas de
comunicaciones en la deteccin y correccin de problemas.
En el plan general de recuperacin de desastres para servicios de
informacin presta adecuada atencin a la recuperacin y vuelta al servicio
de los sistemas de comunicacin de datos.
Existen planes de contingencia para desastres que slo afecten a las
comunicaciones, como el fallo de una sala completa de comunicaciones.
Las alternativas de respaldo de comunicaciones, bien sea con las mismas
salas o con salas de respaldo, consideran la seguridad fsica de
estos lugares.
Las lneas telefnicas usadas para datos, cuyos nmeros no deben ser
pblicos, tienen dispositivos/procedimientos de seguridad tales como retroUNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 70
AUDITORIA INFORMTICA
llamada, cdigos de conexin o interruptores para impedir accesos no
autorizados al sistema informtico.
Auditando la red lgica
Cada vez ms se tiende a que un equipo pueda comunicarse con cualquier otro
equipo, de manera que sea la red de comunicaciones el substrato comn que les
une. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar
indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y
por tanto, al resto de los equipos de la instalacin.
Es necesario monitorizar la red, revisar los errores o situaciones anmalas que se
producen y tener establecidos los procedimientos para detectar y aislar equipos en
situacin anmala. En general, si se quiere que la informacin que viaja por la red
no pueda ser espiada, la nica solucin totalmente efectiva es la encriptacin.
Como objetivos de control, se debe marcar la existencia de:
Contraseas y otros procedimientos para limitar y detectar cualquier intento de
acceso no autorizado a la red de comunicaciones.
Facilidades de control de errores para detectar errores de transmisin y establecer
las retransmisiones apropiadas
Controles para asegurar que las transmisiones van solamente a usuarios
autorizados y que los mensajes no tienen por qu seguir siempre la misma ruta.
Pgina 71
AUDITORIA INFORMTICA
consumidores y de los habitantes, la responsabilidad social y ambiental de las
organizaciones.
PREVISIN DE RIESGOS
Tener en cuenta lo siguiente:
La evaluacin de los riesgos inherentes a los diferentes subprocesos de la
Auditora.
La evaluacin de las amenazas o causas de los riesgos.
Los controles utilizados para minimizar las amenazas o riesgos.
La evaluacin de los elementos del anlisis de riesgos.
EJECUCIN DE AUDITORAS
TIPOS DE RIESGO:
Riesgo de Control: Es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de Control
Interno.
Riesgo de Deteccin: Es aquel que se asume por parte de los auditores que en su
revisin no detecten deficiencias en el Sistema de Control Interno.
Riesgo Inherente: Son aquellos que se presentan inherentes a las caractersticas
del Sistema de Control Interno.
EXISTENCIA DE ERRORES O IRREGULARIDADES.
a) Cuando el auditor tiene dudas sobre la integridad de los funcionarios de la
empresa.
b) Cuando el auditor detecte que los puestos clave como cajero, contador,
administrador o gerente, tienen un alto porcentaje de rotacin.
Pgina 72
AUDITORIA INFORMTICA
c) El desorden del departamento de contabilidad de una entidad implica informes
con retraso, registros de operaciones inadecuados, archivos incompletos, cuentas
no conciliadas, etc.
VERIFICAR FUNCIONES
Aspectos:
existencia de un mtodo para cerciorarse que los datos recibidos para su
valoracin sean completos, exactos y autorizados
emplear procedimientos normalizados para todas las operaciones y examinarlos
para asegurarse que tales procedimientos son acatados;
Pgina 73
AUDITORIA INFORMTICA
1. Identificar posibles riesgos
2. Optimizar la gestin diaria
3. Fomentar la sinergia y creacin de valor de los distintos grupos de negocio
trabajando en un entorno colaborador.
4. Reforzar la identidad corporativa
5.
NIVELES
a) todas las Unidades de Negocio y reas de actividad.
b) todos los niveles de responsabilidad
c) todos los tipos de operaciones.
GESTIN DE RIESGOS
Servicios de Auditora.
Auditores internos con las dems reas de la organizacin en los procesos de
mejora continua relacionados con:
la identificacin de los riesgos relevantes a partir de la definicin de los dominios
o puntos clave de la organizacin.
La estimacin de la frecuencia con que se presentan los riesgos identificados.
La determinacin de los objetivos especficos de control ms convenientes.
Qu evalan los auditores internos?
La cantidad y calidad de las exposiciones al riesgo referidas a la
administracin, custodia y proteccin de los recursos disponibles, operaciones y
sistemas de informacin de la organizacin, teniendo en cuenta la necesidad de
garantizar a un nivel razonable.
OBJETIVOS
Pgina 74
AUDITORIA INFORMTICA
Confiabilidad e integridad de la informacin financiera y operacional.
Eficacia y eficiencia de las operaciones.
Control de los recursos de todo tipo a disposicin de la entidad.
Cumplimiento de las leyes, reglamentos, polticas y contratos.
GESTIN DE RIESGOS
Servicios de Consultora.
Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de
los trabajos de Consultora en los procesos de identificacin, anlisis y evaluacin
de las exposiciones de riesgo significativa en la organizacin.
Los riesgos pueden provenir de:
Deficiencias en actividades generales del sistema de informacin automatizado
Desarrollo y mantenimiento de programa
Soporte tecnolgico de los software de sistemas
Operaciones
Seguridad fsica
Control sobre el acceso a programas.
La naturaleza de los riesgos y las caractersticas del Control Interno
Falta de rastro de las transacciones.
Falta de segregacin de funciones.
Pgina 75
AUDITORIA INFORMTICA
Objetivos
Reducir tiempo y esfuerzo.
Capturar datos en su propia fuente.
Centralizar el control.
Aumentar la velocidad de entrega de la informacin.
Reducir costos de operacin y de captura de datos.
Aumentar la capacidad de las organizaciones, a un costo incremental
razonable.
Aumentar la calidad y la cantidad de la informacin.
Mejorar el sistema administrativo
Las tcnicas de comunicacin se estructuran en:
Niveles: fsico
Enlace de datos
Red
Transporte
Sesin
Presentacin
Aplicacin.
Redes de rea local
Red Internet y su protocolo TCP/IP
Programas de Comunicacin y Gestin de Red.
Utilizando Tcnicas teleinformticas:
Cuando se desea reducir un elevado volumen de correo, de llamadas
telefnicas o de servicios de mensajera.
En los casos en que se efecten muy a menudo operaciones repetitivas
Cuando sea necesario aumentar la velocidad de envo de la informacin
En la ejecucin de operaciones descentralizadas.
Para mejorar el control, descentralizando la captura de datos y
centralizando su procesamiento.
En los casos en que es necesario disminuir riesgos en el procesamiento
de la informacin
Cuando sea menester mejorar la actividad de planificacin en la
organizacin.
Pgina 76
AUDITORIA INFORMTICA
SINTOMAS DE RIESGO TELEINFORMATICA
Los controles directivos
El desarrollo de las polticas.
Amenazas fsicas externas.
Control de accesos adecuado
Proteccin de datos
Comunicaciones y redes
El entorno de produccin.
El desarrollo de aplicaciones en un entorno seguro
La continuidad de las operaciones
EVALUACIN DE RIESGOS
Se trata de identificar riesgos, cuantificar su probabilidad e impacto y
analizar medidas que los eliminen o que disminuyan la probabilidad de que
ocurran los hechos o mitiguen el impacto.
UNIDAD.- 6 INFORME DE LA AUDITORIA INFORMTICA .
6.1 GENERALIDADES DE LA SEGURIDAD DEL REA FSICA.
Pgina 77
AUDITORIA INFORMTICA
As, asociamos el concepto de seguridad exclusivamente a mecanismos
relativamente sofisticados de control informtico, como pueden ser entrada
restringida al sistema, denegacin de privilegios de lectura y modificacin de
ficheros, cifrado de las comunicaciones, o proteccin de las redes mediante
cortafuegos.
Las medidas de seguridad fsica servirn para proteger nuestros equipos e
informacin frente a usos inadecuados, fallos de instalacin elctrica, accidentes,
robos, atentados, desastres naturales, y cualesquiera otros agentes que atenten
directamente contra su integridad fsica.
Las amenazas a la seguridad fsica
Son muchos los agentes que pueden acabar con la buena salud de nuestro
hardware (una sobrecarga de tensin, un pequeo accidente) o incluso hacerlo
desaparecer (un robo, un incendio).
Agentes naturales, acciones del entorno y desastres
Los ordenadores son extraordinariamente vulnerables a agentes naturales que
ordinariamente se consideran de importancia menor o nula para la seguridad de
un inmueble tpico, como pueden ser el humo, el polvo, la sequedad, la
humedad,
las
temperaturas
extremas,
las
tormentas
elctricas,
las
equipos,
como
las
sobrecargas
de
tensin,
los
campos
Pgina 78
AUDITORIA INFORMTICA
Por ltimo, los desastres como el fuego, las inundaciones, las explosiones o los
terremotos tienen para los ordenadores las mismas consecuencias devastadoras
que para la generalidad de los equipos elctricos y electrnicos. En el caso del
agua, a los daos que pueden sufrir los equipos hay que aadir el riesgo de
electrocucin para el personal que los manipula.
Por ello es absolutamente necesario que el primer paso a dar para asegurar
fsicamente nuestras instalaciones sea formular un plan escrito de las
necesidades de seguridad fsica y de las medidas destinadas a cubrirlas en el
futuro.
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 79
AUDITORIA INFORMTICA
Este plan debe incluir los siguientes elementos:
Descripcin
de
los
dispositivos
fsicos
proteger,
incluyendo
ordenadores,
perifricos, cables, conexiones, soportes de datos, etc.
Descripcin del rea fsica en el que estn localizados esos dispositivos.
Descripcin del permetro de seguridad y de sus posibles agujeros.
Descripcin de las amenazas contra las que nos queremos proteger, incluyendo
una
estimacin de su probabilidad.
Descripcin de nuestras defensas.
Enumeracin de los medios para mejorarlas.
Estimacin del coste de las mejoras.
6.2 CARACTERSTICAS DEL INFORME
El Informe se inicia con la fecha de comienzo de la auditora y la fecha de
redaccin del mismo. Se incluyen asimismo los nombres del equipo auditor y los
nombres de todas las personas entrevistadas, con indicacin de la Jefatura,
responsabilidad o puesto de trabajo que ostente.
Tras estos prolegmenos, se expondrn, a saber:
1. Definicin de objetivos y alcance de la auditora( ya estudiados).
2. Enumeracin de temas considerados. Antes de tratarlos en profundidad , se
enumerarn lo ms exhaustivamente posible todos los temas objeto de la
auditora.
3. Cuerpo expositivo
Para cada tema objeto de auditora, se seguir el siguiente orden, a saber:
Pgina 80
AUDITORIA INFORMTICA
a) Situacin actual. Cuando se trate de una Revisin peridica, en la que se
analiza no solamente una situacin sino adems su evolucin en el tiempo, se
expondr la situacin prevista y la situacin real.
b) Tendencias. Se tratarn de hallar parmetros de correlacin que permitan
establecer tendencias de situacin futura. No siempre es posible tal pretensin.
c) Puntos dbiles y amenazas. Debern explicarse por s mismos, sin referencias
a otros lugrares del informe.
d) Recomendaciones y Planes de Accin. Constituyen, junto con la exposicin de
puntos dbiles, el verdadero objeto de la auditora informtica.
e) Redaccin posterior de la Carta de Introduccin o Presentacin.
Modelo conceptual de exposicin del informe final
El modelo de Informe final de auditora informtica por el que hemos optado es
utilizado por Compaas y auditores independientes prestigiosos. Se basa en los
dos principios fundamentales siguientes:
A) El Informe debe incluir solamente hechos importantes.
La inclusin de hechos poco relevantes o accesorios desva la atencin del que lo
lee y desvirta el informe en su conjunto.
B) El Informe debe consolidar los hechos que se describen en el mismo.
En auditora, el trmino de "hechos consolidados" adquiere un especial significado
de verificacin objetiva y de estar documentalmente probados y soportados.
La consolidacin de los hechos debe satisfacer, al menos, los siguientes criterios
bsicos:
1. El hecho que se incluya debe poder ser sometido a cambio.
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 81
AUDITORIA INFORMTICA
2. Las ventajas del cambio deben superar los incovenientes derivados de
mantener la situcin.
3. No deben existir alternativas viables que superen, por ms beneficiosos y
por mejor ratio prestacin/ costo, al cambio propuesto.
4. La recomendacin del auditor sobre el hecho en cuestin ha de mantener o
mejorar las Normas y estndares existentes en la instalacin.
Cumplidos los dos principios y los criterios de consolidacin expuestos, el hecho
pasa al Informe.
La aparicin de un hecho en un informe de auditora implica necesariamente la
existencia de una debilidad qu ha de ser corregida. Veamos el modelo de flujo del
hecho o debilidad, y el orden, desde su aparicin hasta la recomendacin del
auditor para eliminarla:
1.Hecho encontrado
Pgina 82
AUDITORIA INFORMTICA
4. Conclusin del hecho
Deber ser concreta y exacta en el tiempo, para que pueda ser seguida y
verificada su implementacin.
Pgina 83
AUDITORIA INFORMTICA
As como pueden existir tantas copias del Informe Final como solicite el cliente,
siempre que ste especifique los nombres de los destinatarios, la Auditora no
har copias de la citada Carta de Introduccin.
Se entiende que la Carta de Presentacin o Carta de Introduccin del Informe
debe sintetizar al mximo el contenido de aqul. El mximo responsable del
cliente debe poder formarse una idea aproximada dela situacin con la lectura de
esta sucinta Carta.
La misma, poseer los siguientes atributos:
- Tendr una longitud mxima de 4 folios, aunque la auditora tenga centenares de
ellos.
- Incluir fecha, naturaleza, objetivos y alcance.
- Cuantificar la importancia de las reas analizadas.
- Proporcionar una conclusin general, concretando las reas de gran debilidad.
- Presentar las debilidades en orden de importancia y gravedad, de mayor a
menor. (Obsrvese cmo el orden del Informe y de la Carta no tienen por qu
coincidir).
- En la Carta de Introduccin no se escribirn nunca Recomendaciones. (Las
Recomendaciones se expresan siempre en los Informes).
7.1. Pautas de Lenguaje y redaccin del informe
Ttulos: Han de ser expresivos, pero breves.
Prrafos: En cada prrafo debe tratarse un solo asunto. Cada prrafo debe tener 8
10 lneas como mximo. Cuando exceda de esta cantidad, se dividir en dos.
Pgina 84
AUDITORIA INFORMTICA
Frases: En cada frase debe existir una sola idea. La idea suele ser expresada por
el verbo. Por ello, cada frase contendr un verbo, dos como mximo.
La frase no debe superar las tres lneas.
No deben cambiarse verbos por nombres. No se debe escribir "... hemos realizado
un examen..."; hay que escribir "... hemos examinado...".
Otros:
- Utilizar lenguaje sobrio normal, no excesivamente culto. Se permiten anglicismos
y palabras tcnicas muy conocidas.
- Utilizar la voz activa o reflexiva, pero nunca la pasiva.
- Omitir palabras innecesarias. No deben usarse expresiones como "Con
referencia a", "Consecuentemente con", "en nuestra opinin", "creemos que",
"consideramos que", etc.
- Evitar redundancias de lenguaje. No podr redactarse, por ejemplo, "hemos
revisado y analizado".
-No expresarse por medio de adverbios y adjetivos simultneamente. Ejemplo: No
debe redactarse "es estrictamente necesario que ...".
6.3 ESTRUCTURA DEL INFORME
INFORME DE AUDITORA
El informe es el documento escrito mediante el cual la comisin de auditora
expone el resultado final de su trabajo, a travs de juicios fundamentados en las
evidencias obtenidas durante la fase de ejecucin, con la finalidad de brindar
suficiente informacin a los funcionarios de la entidad auditada y estamentos
pertinentes, sobre las deficiencias o desviaciones ms significativas, e incluir las
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 85
AUDITORIA INFORMTICA
recomendaciones que permitan promover mejoras en la conduccin de las
actividades operaciones del rea o reas examinadas.
INTRODUCCIN.
1. Origen del examen.
2. Naturaleza y objetivos del examen.
3. Alcance del examen.
4. Antecedentes y base legal de la entidad.
Pgina 86
AUDITORIA INFORMTICA
5. Comunicacin de hallazgos.
6. Memorndum de Control Interno.
7. Otros aspectos de importancia.
II.
OBSERVACIONES.
III.
CONCLUSIONES.
IV.
RECOMENDACIONES.
V.
ANEXOS.
FIRMA
INTRODUCCIN.
Pgina 87
AUDITORIA INFORMTICA
3.
que guarden vinculacin directa con la accin de control realizada, sobre la misin,
naturaleza legal, ubicacin orgnica y funciones realizadas de la entidad y/o reas
examinadas, as como las principales normas legales que le(s) sean de aplicacin,
con el objeto de situar y mostrar apropiadamente el mbito tcnico y jurdico que
es materia de control; evitndose, insertar simples o tediosas transcripciones
literales de textos y/o relaciones de actividades o disposiciones normativas.
5.
Comunicacin de hallazgos
Se deber indicar haberse dado cumplimiento a la comunicacin oportuna
el mismo,
Pgina 88
AUDITORIA INFORMTICA
cargo(s) desempeado(s), periodo(s) de gestin, condicin laboral y domicilio
correspondientes, con indicacin de aquellas en que estuvieren incursos en cada
caso.
6.
El
reconocimiento
de
las
dificultades o
limitaciones, de
carcter
examinada.
c)
Pgina 89
AUDITORIA INFORMTICA
Si algunos de los aspectos considerados en este punto por la comisin auditora
demandara una exposicin o desarrollo extenso, ser incluido como anexo del
Informe. Dichos aspectos, podrn lugar a la formulacin de conclusiones y
recomendaciones, si hubiera mrito para ello.
II.
OBSERVACIONES
III.
La
Comisin
Auditora
desarrollar
las
observaciones
que,
como
V.
Sumilla
Es el ttulo o encabezamiento que identifica el asunto materia de
observacin.
2.
Elementos de la observacin
Condicin: Hecho o situacin deficiente detectada.
Criterio: Norma, disposicin o parmetro de medicin aplicable al hecho
observado.
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 90
AUDITORIA INFORMTICA
Efecto:
Consecuencia
real
potencial,
cuantitativa
cualitativa,
observaciones
Son las respuestas brindadas a la comunicacin de los hallazgos
respectivos, por el personal comprendido en la observacin, las cuales deben ser
expuestas brevemente, indicndose si se acompa documentacin sustentatoria.
De no haber respuesta a la comunicacin de hallazgos o de ser extempornea, se
referenciar dicha circunstancia.
4.
CONCLUSIONES
Se indicarn los juicios de carcter profesional, basados en las
Pgina 91
AUDITORIA INFORMTICA
realizado a la entidad auditada. Al final de cada conclusin se identificar el
nmero de la(s) observacione(s) correspondiente(s) a cuyos hechos se refiere.
La comisin auditora, en casos debidamente justificados, podr formular
conclusiones sobre aspectos distintos a las observaciones, verificados en el curso
del trabajo, siempre que stos hayan sido expuestos en el Informe.
IV.
RECOMENDACIONES
Pgina 92
AUDITORIA INFORMTICA
Tambin se incluir como recomendacin, cuando existiera mrito de acuerdo a
los
hechos
revelados
en
las
observaciones,
el
procesamiento
de
las
ANEXOS
Pgina 93
AUDITORIA INFORMTICA
a)
Pgina 94
AUDITORIA INFORMTICA
circunstancias que configuran la presunta responsabilidad penal o civil, las
consideraciones jurdicas que los califican y las pruebas sustentatorias
correspondientes, recomendando la adopcin de las acciones legales respectivas
por la instancia competente.
DENOMINACIN
El Informe ser denominado Informe Especial, con indicacin de los datos
correspondientes a su numeracin e incluyendo adicionalmente un ttulo, el cual
deber ser breve, especfico y estar referido a la materia abordada en el informe.
En ningn caso, incluir informacin confidencial o nombres de personas.
ESTRUCTURA
I.
INTRODUCCIN
II.
FUNDAMENTOS DE HECHO
III.
FUNDAMENTOS DE DERECHO
IV.
V.
PRUEBAS
VI.
RECOMENDACIN
ANEXOS
I.
INTRODUCCIN
Pgina 95
AUDITORIA INFORMTICA
Origen, motivo y alcance de la accin de control, con indicacin del Oficio de
acreditacin o, en su caso, de la Resolucin de Contralora de designacin,
entidad, periodo, reas y mbito geogrfico materia de examen, haciendo
referencia a las disposiciones que sustentan la emisin del Informe Especial (Ley
del SNC y NAGU 4.50), as como su carcter de prueba preconstituida para el
inicio de acciones legales.
II.
FUNDAMENTOS DE HECHO
FUNDAMENTOS DE DERECHO
Pgina 96
AUDITORIA INFORMTICA
IV.
V.
PRUEBAS
Pgina 97
AUDITORIA INFORMTICA
exigibles para cada profesin (Ejemplos: tasacin, informe de ingeniera, informe
bromatolgico, informe grafotcnico, etc.).
VI.
RECOMENDACIN
Pgina 98
AUDITORIA INFORMTICA
VII.
ANEXOS
Contienen las pruebas que sustentan los hechos que son materia del Informe
Especial. Necesariamente deben ser precedidos de una relacin que indique su
numeracin y asunto a que se refiere cada anexo, guardando un debido
ordenamiento a la exposicin de los hechos contenidos en el Informe.
En tales casos, se deber incluir como Anexo N 01, la nmina de las personas
identificadas como partcipes en los hechos revelados, con indicacin de su cargo,
documento de identidad, periodo de desempeo de la funcin y domicilio
NIVELES DE APROBACIN DEL INFORME ESPECIAL
1.
El Informe Especial formulado por el OAI del SNC ser suscrito por el
Especial que pudiera formularse ser suscrito por el abogado y socio participante.
SITUACIONES ESPECIALES
-
Pgina 99
AUDITORIA INFORMTICA
siendo tratados por la comisin auditora y revelados en el correspondiente
informe de la accin de control, recomendndose en el mismo las medidas
inmediatas para materializar dicho recupero.
-
VI.4
Pgina 100
AUDITORIA INFORMTICA
Que es el informe de auditoria?
Pgina 101
AUDITORIA INFORMTICA
Pgina 102
AUDITORIA INFORMTICA
Pgina 103
AUDITORIA INFORMTICA
As como pueden existir tantas copias del informe Final como solicite el
cliente, la auditora no har copias de la citada carta de Introduccin.
Pgina 104
AUDITORIA INFORMTICA
CONCLUSIONES
En el proceso de promover la auditora informtica se necesita de un buen
planeamiento, mantenimiento de la ejecucin y estar preparados para
cualquier cambio que pueda traer con el pasar del tiempo, el entrenamiento
de l personal para nuevos enfrentamientos tambin es un labor de suma
prioridad. En la oficina de la Auditoria con los esfuerzos que se ha puesto
se han obtenido muy buenos resultados, como meta para el futuro es el de
poner mas esfuerzo en el entrenamiento del personal de la auditoria
informtica, crear secciones especialmente encargadas de la auditoria
informtica, tambin a la vez crear un Sistema de Soporte a la Tecnologa
de la Informacin ( Information Technology Support ) y reglamentos para el
progreso de la auditoria informtica, todo esto son metas para entrar al ao
2000, elevar y brindar un mejor servicio de calidad poner los esfuerzos que
se debe en el trabajo de la Auditoria.
UNIDAD I: INTRODUCCION A LA AUDITORIA
Pgina 105
AUDITORIA INFORMTICA
Se profundizo sobre cual es la informacin que el auditor requiere para
realizar este tipo de trabajo y con que tcnicas y herramientas la
organizacin protege su informacin, que controles se realiza al evaluar la
seguridad del software de aplicacin, y los generales.
BIBLIOGRAFIA
ECHENIQUE, Garca Jos Antonio. Auditoria en Informtica. Edit. Mc GrawHill. 2001.2 Edicin
http:// www.buenastareas.com/ensayo/Informe-Final
http://es.scribd.com/doc/19505290/Auditoria-Informatica
Auditoria Informtica
Un enfoque practico
Auditoria en Informtica
Segunda Edicin
Pagina 20
Pgina 106
AUDITORIA INFORMTICA
Editorial McGraw-Hill
Editorial: Mcmagrafi
2da Edicin
http://www.slideboom.com/presentations/299541/PRESENTACIONAUDITORIA-INFORMATICA
http://muziek-film-kunst.blogspot.com/2010/12/22-evaluacionsistemas-de-acuerdo-al.html
http://muziek-film-kunst.blogspot.com/2010/12/23-investigacionpreliminar-auditoria.html
Pgina 107