Auditoria de Sistemas Ti

Universidad Tecnolgica de
Netzahualcyotl
AUDITORIA DE SISTEMAS EN TI
Auditoria de Sistemas TI
Contenido
1.1 Auditoria de la Funcin Informtica...........................................................................................................................4

1.1.1 Definir conceptos de Auditoria y Auditoria Informtica......................................................................................4
1.1.2 Describir la estructura organizacional y funciones de la auditoria Informtica..................................................4
1.1.3 Reconocer las TI y sus caractersticas..............................................................................................................5
1.2 Polticas de la Organizacin (Reglas de la Organizacin)........................................................................................5
1.2.1 Describir el concepto de Poltica........................................................................................................................5
1.2.2 Describir la importancia del manual de Polticas de la Organizacin................................................................6
1.3 Interpretacin del Manual de Procedimientos de la organizacin.............................................................................6
1.3.1 Reconocer los conceptos de procesos, roles y funciones.................................................................................6
1.3.2 Definir el concepto de manual...........................................................................................................................7
1.3.3 Describir los tipos de manuales de la organizacin y sus apartados................................................................7
1.4 Recursos Humanos...................................................................................................................................................7
1.4.1 Definir el concepto de Capital Humano.............................................................................................................7
1.4.2 Describir la Gestin de Recursos Humanos......................................................................................................9
1.5 Diagnostico de la Situacin Actual..........................................................................................................................10
1.5.1 Describir los pasos para realizar un diagnostico de la situacin actual de una organizacin.........................11
1.5.2 Explicar el diagnostico del negocio u organizacin..........................................................................................11
1.5.3 reas de Oportunidad de TI dentro de la Organizacin..................................................................................12
1.6 Control Interno.........................................................................................................................................................13
1.6.1 Describir el concepto de control Interno, sus funciones y tipos de Control.....................................................13
1.6.2 Describir la metodologa para el establecimiento de Controles.......................................................................16
2.1 Planeacin de la auditoria Informtica....................................................................................................................17
2.1.1 Reconocer las normas y estndares relacionados con proyectos de TI.........................................................17
2.1.2 Identificar las fases de la auditoria Informtica................................................................................................17
2.1.3 Definir los elementos de la planeacin de la auditoria Informtica..................................................................18
2.1.4 Definir el concepto de la lista de Verificacin..................................................................................................18
2.2 Evaluacin de la Seguridad.....................................................................................................................................19
2.2.1 Identificar los modelos de Seguridad...............................................................................................................19
2.2.2 Identificar las areas y fases que pueda cubrir la auditoria de la seguridad...................................................19
2.2.3 Definir la auditoria de seguridad fsica lgica de los datos..............................................................................20
2.3 Seleccin de proveedores.......................................................................................................................................21
2.3.1 Reconocer las caractersticas que debe tener un proveedor..........................................................................22
2.3.2 Reconocer los procedimientos vigentes o existentes para la seleccin de proveedores................................22
2.4 Licenciamiento del Software...................................................................................................................................23
2.4.1 Identificar los diferentes tipos de licenciamientos de software y condiciones de uso.....................................23
2.5 Evaluacin de Hardware y Software.......................................................................................................................24
2.5.1 Describir las caractersticas del Hardware y software apropiado para tareas especficas..............................25
2.6 Evaluacin de sistemas...........................................................................................................................................26
2.6.1 Describir los pasos para evaluar los sistemas de informacin de acuerdo al ciclo de vida............................26
2.6.2 Explicar los elementos de la evaluacin de anlisis de sistemas....................................................................26
2.6.3 Explicar los elementos de la evaluacin del diseo lgico.............................................................................27
2.6.4 Explicar los elementos de la evaluacin del desarrollo del sistema................................................................27
2.7 Evaluacin de la red................................................................................................................................................28
2.7.1 Reconocer los elementos que debe contener una red local con base en el estndar ANSI/TIA 569 A y B....28
2.7.2 Reconocer los elementos que debe contener una red inalmbrica con base en el estndar ANSI EIA/TIA
802.11x......................................................................................................................................................................29
2.7.3 Reconocer normas para establecer un site de Telecomunicaciones (ANSI EIA/TIA 569)...............................30
2.7.4 Reconocer el modelo OSI y el protocolo TCP/IP.............................................................................................30
2.7.5 Describir la vulnerabilidad de las redes...........................................................................................................32
2.7.6 Explicar la auditoria de la red fsica y lgica....................................................................................................34

3.1 Conceptos Bsicos..................................................................................................................................................36
3.1.1 Describir el concepto de evidencia, las irregularidades, los papeles de trabajo o documentacin.................36
3.2 Interpretacin de los resultados de la Auditoria Informtica...................................................................................36
3.2.1 Identificar los tipos de opiniones......................................................................................................................36
3.2.2 Describir los componentes, caractersticas y tendencias de un informe.........................................................37
3.3 Identificar los tipos de conclusiones de la Auditoria Informtica.............................................................................37
3.3.1 Identificar los tipos de de conclusiones...........................................................................................................37
3.4 reas de oportunidad e las ITIL.............................................................................................................................38
3.4.1 Reconocer el concepto de FODA y sus componentes....................................................................................38
3.4.2 Definir el concepto de ITIL...............................................................................................................................39
3.4.3 Describir los lineamientos y/o estndares que ayudan en el control, operacin, administracin de recursos y
servicios informticos................................................................................................................................................39
1.1 Auditoria de la Funcin Informtica
1.1.1 Definir conceptos de Auditoria y Auditoria Informtica
Auditoria: Es la revisin y examen de una funcin, cifra, proceso o reporte, efectuados por personal
independiente a la operacin, para apoyar la funcin ejecutiva.
La Auditoria de tecnologas de informacin (T.I.), como se le conoce actualmente, (Auditoria informtica
o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de
conocimientos cierto y consistente, respondiendo a la acelerada evolucin de la tecnologa informtica de
los ltimos 10 aos. En algunos pases altamente desarrollados es catalogada como una actividad de
apoyo vital para el mantenimiento de la infraestructura crtica de una nacin, tanto en el sector pblico
como privado, en la medida en que la informacin es considerada un activo tan o ms importante que
cualquier otro en una organizacin. Existe pues, un cuerpo de conocimientos, normas, tcnicas y buenas
prcticas dedicadas a la evaluacin y aseguramiento de la calidad, seguridad, razonabilidad, y
disponibilidad de la informacin tratada y almacenada a travs del computador y equipos afines, as como
de la eficiencia, eficacia y economa con que la administracin de un ente estn manejando dicha
INFORMACION y todos los recursos fsicos y humanos asociados para su adquisicin, captura,
procesamiento, transmisin, distribucin, uso y almacenamiento. Todo lo anterior con el objetivo de emitir
una opinin o juicio, para lo cual se aplican tcnicas de auditora de general aceptacin y conocimiento
tcnico especfico.
1.1.2 Describir la estructura organizacional y funciones de la

auditoria Informtica
Especialidad profesional apoyada por un conjunto de conocimientos profundos acerca de la tecnologa
informtica, de tcnicas y procedimientos de auditora y de conocimientos contables suficientes, para
evaluar la calidad, fiabilidad y seguridad de un entorno informtico dado, as como brindar seguridad
razonable acerca de la utilidad de la informacin almacenada y procesada en ellos, con el fin de emitir un
juicio al respecto. Complementariamente, su trabajo, deber permitir la emisin de un juicio u opinin
acerca de lo adecuado del control interno informtico. Finalmente, deber expresar su opinin acerca de el
grado de eficiencia, eficacia y economa con que estn siendo usados - administrados todos los recursos
de tecnologa informtica a cargo de la administracin, incluido el factor humano.
Rol de la auditoria/auditor de T.I. en la empresa El auditor de sistemas debe jugar un rol proactivo a
travs de todas las etapas del proceso de sistematizacin del negocio. Adicionalmente debe apoyar a la
Auditoria Financiera en su proceso de obtencin de evidencia y validacin de procedimientos de control a
travs del uso de C.A.A.T. (computer audit assisted technologies) y del computador
1.1.3 Reconocer las TI y sus caractersticas

Las TIC conforman el conjunto de recursos necesarios para manipular la informacin y particularmente los
ordenadores, programas informticos y redes necesarias para convertirla, almacenarla, administrarla,
transmitirla y encontrarla.
Se puede reagrupar las TIC segn:

Las redes.
Los terminales.
Los servicios.
Ejemplos de tic
Las redes
Telefona fija
Banda ancha
Telefona mvil
Redes de televisin
Redes en el hogar
Los terminales
Ordenador personal
Navegador de Internet
Sistemas operativos para ordenadores
Telfono mvil
Televisor
Reproductores porttiles de audio y vdeo
Consolas de juego
1.2 Polticas
Organizacin)
de
la
Organizacin
(Reglas
de
la
1.2.1 Describir el concepto de Poltica

La poltica, Es la actividad humana que tiende a gobernar o dirigir la accin del Estado en beneficio de la
sociedad. Es el proceso orientado ideolgicamente hacia la toma de decisiones para la consecucin de los
objetivos de un grupo. La ciencia poltica es una ciencia social que estudia dicha conducta de una forma
acadmica utilizando tcnicas de anlisis poltico; los profesionales en esta ciencia adquieren el ttulo
de politlogos, mientras quienes desempean actividades profesionales a cargo del Estado o se presentan
a elecciones se denominan polticos
1.2.2 Describir la importancia del manual de Polticas de la

Organizacin
Los Manuales representan una gua prctica que se utiliza como herramienta de soporte para la
organizacin y comunicacin, que contiene informacin ordenada y sistemtica, en la cual se establecen
claramente los objetivos, normas, polticas y procedimientos de la empresa, lo que hace que sean de
mucha utilidad para lograr una eficiente administracin. Son considerados uno de los elementos ms
eficaces para la toma de decisiones en la administracin, ya que facilitan el aprendizaje y proporcionan la
orientacin precisa que requiere la accin humana en cada una de las unidades administrativas que
conforman a la empresa, fundamentalmente a nivel operativo o de ejecucin, pues son una fuente de
informacin que trata de orientar y mejorar los esfuerzos de sus integrantes para lograr la adecuada
realizacin de las actividades que se le han encomendado.
1.3 Interpretacin del Manual de Procedimientos de la

organizacin
1.3.1 Reconocer los conceptos de procesos, roles y funciones
Son los documentos en los que se integra toda la informacin operativa y administrativa de las unidades,
con la finalidad de lograr la estandarizacin de operaciones, procesos, procedimientos, imagen y servicio.
Manual de procedimientos
Un manual de procedimientos es el documento que contiene la descripcin de actividades que deben
seguirse en la realizacin de las funciones de una unidad administrativa, o de dos ms de ellas.
Incluye:
Puestos o unidades Administrativas
Informacin y formatos de formularios
Autorizaciones o documentos necesarios
Funciones:
Permite conocer el funcionamiento interno por lo que respecta a descripcin de tareas, ubicacin,
requerimientos y a los puestos responsables de su ejecucin.
Auxilian en la induccin del puesto y al adiestramiento y capacitacin del personal

Sirve para el anlisis o revisin de los procedimientos de un sistema
Interviene en la consulta de todo el personal
Sirve Para establecer un sistema de informacin o bien modificar el ya existente.
Para uniformar y controlar el cumplimiento de las rutinas de trabajo y evitar su alteracin arbitraria.
Determina en forma ms sencilla las responsabilidades por fallas o errores.
Facilita las labores de auditora, evaluacin del control interno y su evaluacin.
Aumenta la eficiencia de los empleados, indicndoles lo que deben hacer y cmo deben hacerlo.
Ayuda a la coordinacin de actividades y evitar duplicidades.
Construye una base para el anlisis posterior del trabajo y el mejoramiento de los sistemas,
procedimientos y mtodos
1.3.2 Definir el concepto de manual
Instrumento administrativo que contiene en forma explcita, ordenada y sistemtica informacin sobre
objetivos, polticas, procedimientos etc.
1.3.3 Describir los tipos de manuales de la organizacin y sus
apartados
Tipos de Manuales:
Manual de Organizacin
Describe la Organizacin Formal de la Empresa consignando:
Misiones: enunciacin sinttica del objetivo que persigue el rea de la Organizacin.
Funciones Bsicas de la Autoridad: Quienes dependen de l y l de quien depende
Responsabilidad Caractersticas y Especificaciones de la Posicin.
Manual de Procedimientos.
Describe en detalle las operaciones que integran los procedimientos administrativos en orden
secuencial de su ejecucin y las normas a cumplir por los miembros de la organizacin
compatibles con dichos procedimientos.
La estructura de un Manual de Procedimientos debe contemplar: Cartula de Presentacin:
indicando Tema, N de Procedimiento, Vigencia, reas afectadas y Analista Actuante.
Objetivos y Alcance Instrucciones acerca de codificaciones utilizadas o de la forma de
actualizacin.
Manual del Puesto de Trabajo.
Describe en forma pormenorizada la intervencin que le corresponde a la posicin en cada uno de
los procedimientos en los que le toca intervenir. El Cmo, el Porqu y el Para Qu.
Su contenido debe responder a la siguiente estructura:
Objetivos.
Funciones del Sector.
Descripcin de Procedimientos.
Tareas a realizar.
Instrucciones.
Responsabilidad
1.4 Recursos Humanos

1.4.1 Definir el concepto de Capital Humano
Se denomina recursos humanos al trabajo que aporta el conjunto de los empleados o colaboradores de
una organizacin. Pero lo ms frecuente es llamar as a la funcin que se ocupa de seleccionar, contratar,
formar, emplear y retener a los colaboradores de la organizacin. Estas tareas las puede desempear una
persona o departamento en concreto (los profesionales en Recursos Humanos) junto a los directivos de la
organizacin.
El capital humano es un trmino usado en ciertas teoras econmicas del crecimiento para designar a un
hipottico factor de produccin dependiente no slo de la cantidad, sino tambin de la calidad del grado de
formacin y productividad de las personas involucradas en un proceso productivo.
A partir de ese uso inicialmente tcnico, se ha extendido para designar el conjunto de recursos
humanos que posee una empresa o institucin econmica. Igualmente se habla de modo informal de
mejora en el capital humano cuando aumenta el grado de destreza, experiencia o formacin de las
personas de dicha institucin econmica.
En las instituciones educativas se designa al "conjunto de conocimientos, habilidades, destrezas y talentos
que posee una persona y la hacen apta para desarrollar actividades especficas"
Capital: cantidad de dinero o valor que produce inters o utilidad. Elemento o factor de la produccin formado
por la riqueza acumulada que en cualquier aspecto se destina de nuevo a aquella unin del trabajo y de
los agentes naturales.
Humano: relativo al hombre o propio de l.
Gestin: efectuar acciones para el logro de objetivos.
Competencia: aptitud; cualidad que hace que la persona sea apta para un fin. Suficiencia o idoneidad para
obtener y ejercer un empleo. Idneo, capaz, hbil o propsito para una cosa. Capacidad y disposicin para
el buen de desempeo. Estos trminos por separado no nos dan mucha claridad o luz de su utilizacin en la
administracin del RRHH, sin embargo veamos las interacciones que se suceden entre ellos.
Capital Humano: Es el aumento en la capacidad de la produccin del trabajo alcanzada con mejoras en las
capacidades de trabajadores. Estas capacidades realzadas se adquieren con el entrenamiento,
la educacin y la experiencia. Se refiere al conocimiento prctico, las habilidades adquiridas y las
capacidades aprendidas de un individuo que lo hacen potencialmente.
En sentido figurado se refiere al trmino capital en su conexin con lo que quiz sera mejor llamada la
"calidad del trabajo" es algo confuso. En sentido ms estricto del trmino, el capital humano no es
realmente capital del todo.
El trmino fue acuado para hacer una analoga ilustrativa til entre la inversin de recursos para aumentar
el stock del capital fsico ordinario (herramientas, mquinas, edificios, etc.) para aumentar la productividad del
trabajo y de la "inversin" en la educacin o el entrenamiento de la mano de obra como medios alternativos
de lograr el mismo objetivo general de incrementar la productividad.
La empresa es una entidad econmica donde se combinan dinmicamente factores que son necesarios
para el proceso de produccin, entre estos factores esenciales est el capital, el capital humano, el trabajo
y la direccin empresarial.
1.4.2 Describir la Gestin de Recursos Humanos
La gestin de los recursos humanos se encarga de obtener y coordinar a las personas de una
organizacin, de forma que consigan las metas establecidas. Para ello es muy importante cuidar las
relaciones humanas.
Las fases por las que ha pasado la gestin de los RRHH son cuatro:
1. Administrativa: Es puramente burocrtico y acta sobre la disciplina y las remuneraciones. Las
medidas a adoptar son de tipo reactivo.
2. Gestin: Se empieza a considerar las necesidades de tipo social y sociolgico de las personas.
Las medidas a adoptar son de tipo pro activo.
3. Desarrollo: Se busca la conciliacin entre las necesidades de los trabajadores y las necesidades
econmicas de la empresa. Se considera que las personas son elementos importantes para la
empresa y se busca su motivacin y eficiencia.
4. Gestin estratgica de los RRHH: La gestin de los RRHH esta ligada a la estrategia de la
empresa. Los trabajadores son la fuente principal de la ventaja competitiva de la empresa. Esta
evolucin ha sido protagonizada por:
Objetivos de la gestin de recursos humanos
Atraer a los candidatos al puesto de trabajo que estn potencialmente cualificados

Retener a los mejores empleados
Motivar a los empleados
Ayudar a los empleados a crecer y desarrollarse en la organizacin
Aumento de la productividad
Mejorar la calidad de vida en el trabajo
Cumplimiento de la normativa y legislacin.
A continuacin se sintetizan algunas de las funciones ms importantes de la Gestin de los Recursos

Humanos:
El proceso de seleccin
1 el formulario de solicitud: la preseleccin.
En este punto vamos a analizar los distintos currculos o formularios de solicitud que hayamos recoger
viendo el grado de adecuado de los candidatos al perfil deseado. Para ello clasificaremos los datos en
excluyentes, valorables o ponderables e indicativos.
2 pruebas de seleccin
Son unas operaciones por medio de las cuales se juzgan las cualidades y el valor de cada candidato en
relacin con el puesto que se quiere cubrir. Estas pruebas tienen un carcter prospectivo en el sentido en
que tratan de predecir el comportamiento futuro de una persona interpretando y extrapolando los
resultados de las pruebas. Tenemos pruebas profesionales, en las que se simulan las condiciones reales
de trabajo; pruebas psicotcnicas, otras pruebas son juegos de empresas, ejercicios dinmicos de grupo,
grafologa, etc.
La entrevista de seleccin
En primer lugar hay que determinar la preparacin del entrevistador y seleccionarlo. Hay que programarse
la entrevista, y decidir los objetivos perseguidos con la misma. Hay que crear un ambiente apropiado, y
citar a los candidatos, generalmente por telfono, y hacer que no coincida en la sala de espera.
Conocimiento del puesto a cubrir y del perfil ideal. Hay que reconocer a cada candidato
-La gestin del desempeo est estrechamente vinculada a la evaluacin de las competencias, del
potencial y a los resultados obtenidos, lo que permite tener un estimado de cmo se est
desarrollando el trabajo a la vez que constituye un ente motivador del mismo y de su desempeo
respecto a las nuevas exigencias, que logre elevar la motivacin con nuevas formas de
estimulacin y contribuya a hacer coincidir las necesidades de los individuos que trabajan en la
organizacin con la misin y los objetivos de esta, dando respuesta en cuanto a eficiencia, eficacia
y efectividad.
La remuneracin parte de la valoracin de los puestos de trabajo y se basa en los resultados
obtenidos de forma individual y colectiva, por lo que tender a ser un componente variable
favoreciendo la eficacia que debe primar en las organizaciones.
Las promociones se apoyan cada vez ms en la competencia de los individuos, por lo que el
concepto de evaluacin del desempeo, de evaluacin del potencial y el desarrollo de carrera
prevn la evolucin futura de los recursos humanos dentro de la organizacin.
Evaluacin del desempeo

Toda evaluacin es un proceso para estimular o juzgar el valor, la excelencia las cualidades de alguna
persona.
Los objetivos fundamentales de la evaluacin del desempeo son:
Permitir condiciones de medicin del potencial humano en el sentido de determinar su plena

aplicacin.
Permitir el tratamiento de los recursos humanos como un recurso bsico de la empresa y cuya
productividad puede desarrollarse indefinidamente, dependiendo la forma de administracin.
Dar oportunidades de crecimiento y condiciones de efectiva participacin a todos los miembros de
la organizacin, teniendo en cuenta, por una parte, los objetivos empresariales y, por la otra, los
objetivos individuales.
Estos sistemas efectivos de evaluacin del desempeo pueden aplicarse a travs de:
Tcnicas orientadas a la tarea
Tcnicas orientadas a las personas
Sistemas de retroalimentacin
Sistemas de mejora del rendimiento
1.5 Diagnostico de la Situacin Actual
El diagnostico de la situacin actual busca analizar tanto el entorno como la empresa en si. El anlisis del
entorno tiene que ver con la totalidad de los sistemas que rodean a la empresa y que interactan con ella.
Interesa identificar le conjunto de elementos y actores formales e informales que afectan o pudieran
afectar sus operaciones y decisiones actuales o futuras. Se supone, por lo general que la empresa tiene
poca o ninguna posibilidad de dominio sobre el entorno donde se encuentra y actual.
1.5.1 Describir los pasos para realizar un diagnostico de la

situacin actual de una organizacin
Los programas de cambio organizacional planeado, parten del reconocimiento previo de que el
comportamiento humano presenta una complejidad en su estudio derivada de su carcter
multidimensional, de tal forma que se reconoce de antemano, la influencia de factores sociales e
individuales que determinan el comportamiento individual y grupal. Por ello, es necesario precisar que para
alcanzar la objetividad y garantizar mejores resultados en las intervenciones de agentes de cambio en
organizaciones formales, se requiere la adopcin de un enfoque multidisciplinario que retome las
aportaciones de diferentes ciencias sociales que comparten como objeto de estudio el comportamiento
humano en general y organizacional en particular.
Revitalizar una organizacin implica intensificar las acciones de capacitacin e incrementar la contribucin
de los directivos, trabajadores y la organizacin como un todo, de manera que puedan hacer frente a las
exigencias de un entorno social cada vez ms competitivo. La revitalizacin implica partir de un
diagnstico adecuado e integral de la organizacin como fase previa a la implementacin de cambios
planeados. La planeacin de todo cambio organizacional debe incluir como una de sus primeras acciones
la realizacin de un diagnstico organizacional, que sirva como punto de partida y referencia para una
retroalimentacin posterior. Esta nueva filosofa de la organizacin ha venido a reducir la confianza
exclusiva en la autoridad de la direccin, en las reglas rgidas y en las divisiones de trabajo estrictas y
cerradas. Resaltan en cambio, como verdaderas necesidades de cambio las siguientes:
a. Involucrar a los miembros de la organizacin en el proceso de toma de decisiones en base a un
modelo horizontal
b. Integracin de equipos de trabajo en las diferentes reas de la organizacin
c. Crear, fortalecer y mantener diversos canales de comunicacin organizacional, a travs de los
cuales fluya la informacin referente al rendimiento y el entorno competitivo que rodea a la
organizacin.
d. Desarrollo de una identidad organizacional que aumente los niveles de compromiso y
responsabilidad a lo largo de toda la estructura ocupacional de la organizacin
e. Fortalecimiento del proceso de socializacin organizacional con el objeto de mejorar el contrato
psicolgico entre el individuo y su organizacin
1.5.2 Explicar el diagnostico del negocio u organizacin

Diagnstico organizacional es una actividad vivencial que involucra a un grupo de personas de una
empresa o institucin interesadas en plantear soluciones a situaciones problemticas o conflictivas,
sometindose a un auto-anlisis que debe conducir a un plan de accin concreto que permita solucionar la
situacin problemtica.
La base del diagnstico organizacional es que, al igual que las personas, las empresas o instituciones
deben someterse a exmenes peridicos, para identificar posibles problemas antes de que estos se tornen
graves. Estos exmenes peridicos constituyen un sistema de control que permite optimizar el
funcionamiento de las empresas e instituciones, al identificar problemas en el funcionamiento de stas,
surgen acciones dirigidas a su eliminacin o disminucin, que en conjunto constituyen una parte
importante de la planeacin operativa.
Se debe notar que en un diagnstico se est evaluando el comportamiento de un sistema contra un
modelo normativo, aunque es posible que este modelo nunca sea definido en forma explcita. De la misma
manera que el mdico examina a un paciente y lo compara mentalmente con el funcionamiento de una
persona sana, el analista tiene un modelo mental de lo que debera ser su organizacin funcionando
correctamente. Esta analoga es muy clara, ya que el paciente (organizacin) proporciona una serie de
sntomas (funciones corporales alteradas) al mdico (analista de sistemas), el cual puede identificar la
enfermedad del paciente y proponer una terapia. En la figura N 1 Se muestra un diagrama que ejemplifica
la situacin anteriormente mencionada.
De aqu se puede ver que existen tres factores importantes a tomar en cuenta cuando se realiza un
diagnstico organizacional. Estos factores son muy importantes tanto para determinar la problemtica,
como para dar soluciones a la misma y son:
La situacin de la empresa dentro del contexto de su rama industrial.
La posicin de la empresa en el ciclo de vida de las organizaciones.
El sistema social que prevalece dentro de la empresa.
Adems desde un punto global, un diagnstico, aunque no necesariamente un Diagnstico
Organizacional, es el obligado punto de partida de un proceso de planeacin, en donde es necesario saber
dnde se est antes de decidir a dnde se quiere ir, y como se llegar a ese punto. La figura N 2 que se
muestra a continuacin describe el proceso de planeacin.
Asignar
recursos
Realizacin de los planes
Planes detallados
Plan estratgico (a dnde se va)
Diagnstico
(dnde se est)
Incentivos
Asignacin de responsabilidades y funciones
Monitoreo y control
1.5.3 reas de Oportunidad de TI dentro de la Organizacin
El objetivo del diagnstico organizacional es someter a la organizacin a un auto-anlisis que le permita

identificar sntomas presentes en la organizacin, y a travs de ellos, encontrar los problemas que
podramos llamar de fondo, y que deben ser resueltos para preservar la salud organizacional.
Como en todo sistema participativo, el proceso es tan importante como el resultado, ya que el espritu de
grupo generado y el conocimiento de las opiniones y problemas de otros componentes de la organizacin
son beneficios casi tan importantes como el de identificar y resolver el problema.
El procedimiento general del Diagnstico Organizacional consta de los siguientes pasos:
Seleccin del grupo de trabajo
Entrenamiento del grupo de trabajo
Generacin de sntomas individuales
Generacin de la lista colectiva
Proceso de sntesis y generacin de problemas
Clasificacin de problemas
Planteamiento de soluciones
Generacin de un plan de trabajo
1.6 Control Interno

El control interno es de importancia para la estructura administrativa contable de una empresa. Esto
asegura que tanto son confiables sus estados contables, frente a los fraudes y eficiencia y eficacia
operativa.
1.6.1 Describir el concepto de control Interno, sus funciones y

tipos de Control
El sistema de control interno comprende el plan de la organizacin y todos los mtodos coordinados y
medidas adoptadas dentro de una empresa con el fin de salvaguardar sus activos y verificara la
confiabilidad de los datos contables.
Pero cuando tenemos empresas que tienen ms de un dueo, muchos empleados, y muchas tareas
delegadas. Por lo tanto los dueos pierden control y es necesario un mecanismo de control interno. Este
sistema deber ser sofisticado y complejo segn se requiera en funcin de la complejidad de la
organizacin.
Con la organizacin de tipo multinacional, los directivos imparten rdenes hacia sus filiales en distintos
pases, pero el cumplimiento de las mismas no puede ser controlado con su participacin frecuente. Pero
si as fuese su presencia no asegura que se eviten los fraudes.
Entonces cuanto ms se alejan los propietarios de las operaciones mas es necesario se hace la existencia
de un sistema de control interno estructurado.
Limitaciones de un sistema de control interno
Ningn sistema de control interno puede garantizar su cumplimiento de sus objetivos ampliamente, de
acuerdo a esto, el control interno brinda una seguridad razonable en funcin de:
Costo beneficio:
El control no puede superar el valor de lo que se quiere controlar.

La mayora de los controles hacia transacciones o tareas ordinarias.
Debe establecerse bajo las operaciones repetitivas y en cuanto a las extraordinarias, existe la
posibilidad que el sistema no sepa responder
El factor de error humano
Posibilidad de conclusiones que pueda evadir los controles.
Polucin de fraude por acuerdo entre dos o ms personas. No hay sistema de control no
Vulnerable a estas circunstancias.
Control interno administrativo y control interno contable

Dos tipos de controles internos (administrativos y contables)
El control interno administrativo no est limitado al plan de la organizacin y procedimientos que se
relaciona con el proceso de decisin que lleva a la autorizacin de intercambios
Entonces el control interno administrativo se relaciona con la eficiencia en las operaciones establecidas
por el ente.
El control interno contable comprende el plan de la organizacin y los registros que conciernen a la
salvaguarda de los activos y a la confiabilidad de los registros contables. Estos tipos de controles brindan
seguridad razonable:
1. Los intercambios son ejecutados de acuerdo con autorizaciones generales o especificas de la
gerencia
2. Se registran los cambios para: * mantener un control adecuado y * permitir la preparacin de los
ee.cc.
3. Se salvaguardan los activos solo accesandolos con autorizacin
4. Los activos registrados son comparados con las existencias.
Clasificacin de los controles internos
Generales: No tienen un impacto sobre la calidad de las aseveraciones en los estados contables , dado
que no se relacionan con la informacin Contable.
Especficos: Se relacionan con la informacin Contable y por lo tanto con las aseveraciones de los
saldos de los estados contables. Este tipo de controles estn desde el origen de la informacin hasta los
saldos finales.
Tipos de controles generales
Conciencia de control
La gerencia es responsable del establecimiento de una conciencia favorable de control interno de la

organizacin. Es importante que la gerencia no viole los controles establecidos porque el sistema es
ineficaz.
La Gerencia se podra motivar a violarlos por las siguientes causas:
Cuando el ente est experimentando numerosos fracasos.
Cuando le falte capacidad de capital de trabajo o crdito.
Cuando la remuneracin de los administradores este ligada al resultado.
Cuando el ente se va a vender en base a sus ee.cc.
Cuando se obtienen beneficios en exponer resultados ms bajos.
Cuando la gerencia se encuentra bajo presin en cumplir sus objetivos.
Estructura organizacional
Establecida una adecuada estructura en cuanto al establecimiento de divisiones y departamentos
funcionales y as como la asignacin de responsabilidades y polticas de delegacin de autoridad.
Esto incluye la existencia de un departamento de control interno que dependa del mximo nivel de la
empresa.
Personal
Calidad e integridad del personal que esta encargado de ejecutar los mtodos y procedimientos
prescriptos por la gerencia para el logro de los objetivos. Proteccin de los activos y registros
Polticas adoptadas para prevenir la destruccin o acceso no autorizado a los activos, a los medios de
procesamiento de los datos electrnicos y a los datos generados. Adems incluye medidas por el cual el
sistema contable debe estar protegido ante la eventualidad de desastres ( incendio , inundacin, etc. )
Separacin de funciones
La segregacin de funciones incompatibles reduce el riesgo de que una persona este en condiciones tanto
de cometer o ocultar errores o fraudes en el transcurso normal de su trabajo. Lo que se debe evaluar para
evitar la colusin de fraudes son: autorizacin, ejecucin , registro, custodia de los bienes, realizacin de
conciliaciones.
Control circundante en el procesamiento electrnico de datos
El funcionamiento de los controles generales dependa la eficacia del funcionamiento de los controles
especficos. El mismo procedimiento debe ser aplicado a la empresa con procesamiento computarizado.
Los controles generales en el procesamiento electrnico de datos ( PED ) tiene que ver con los siguientes
aspectos.
Organizacin
El personal de PED (sistemas) no realice las siguientes tareas:

iniciar y autorizar intercambios que no sean para suministros y servicios propios del departamento.
Registro de los intercambios
Custodia de activos que no sean los del propio departamento
Correccin de errores que no provengan de los originados por el propio dpto.
En cuanto a la organizacin dentro del mismo departamento, las siguientes funciones deben estar
segregadas:
Programacin del sistema operativo
Anlisis, programacin y mantenimiento
Operacin
Ingreso de datos
Control de datos de entrada / salida
Archivos de programas y datos.
Desarrollo y mantenimiento de sistemas
Las tcnicas de mantenimiento y programacin operativos del sistema deben estar normalizadas y
documentadas.
Operacin y procedimientos
Deben existir controles que aseguren el procesamiento exacto y oportuno de la informacin contable.
Instrucciones por escrito sobre procedimiento para preparar datos para su ingreso y
procesamiento
La funcin de control debe ser efectuada por un grupo especfico e independiente.
Instrucciones por escrito sobre la operacin de los equipos.
Solamente operadores de computador deben procesar los SIST OP.
Controles de equipos y programas del sistema
Debe efectuarse un control de los equipos:
Programacin del mantenimiento preventivo y peridico
Registro de fallas de equipos
Los cambios del sist. Op. Y la programacin.
Controles de acceso
El acceso al PED debe estar restringido en todo momento. Tambin debe controlarse:
El acceso los equipos debe estar restringido a aquellos autorizados
El acceso de la documentacin solo aquellos autorizados
El acceso a los archivos de datos y programas solo limitados a operadores
1.6.2 Describir la metodologa para el establecimiento de

Controles
Metodologas ms comunes
Entre las metodologas ms comunes de evaluacin de sistemas se encuentra:
Control interno informtico. Sus mtodos y procesamientos. Las herramientas de control
Funcin de Control;
En la auditoria Informtica; esta tiene funcin de vigilancia y evaluacin mediante dictmenes, los
auditores de tienen diferentes objetivos de los de cuentas, ellos evalan eficiencia, costos y la seguridad
con mayor visin, y realizan evaluaciones de tipo cualitativo.
Control interno informtico; Cumplen funciones de control dual en los diferentes departamentos, que puede
ser normativa, marco jurdico, la funciones del control interno es la siguientes determinar los propietarios y
los perfiles segn la clase de informacin, permitir a dos personas intervenir como medida de control,
realizar planes de contingencias, dictar normas de seguridad informtica, controla la calidad de software,
los costos, los responsables de cada departamento, control de licencias, manejo de claves De cifrado,
vigilan el cumplimiento de normas y de controles, es clara que esta medida permite la seguridad
informtica. Metodologas de clasificacin de informacin y de obtencin de procedimientos de control;
Es establecer cules son las entidades de informacin a proteger, dependiendo del grado de importancia
de la informacin para el establecimiento de contramedidas.
Herramientas de control;
Las herramientas de control, son de dos tipos lgicos y fsicos , des del punto lgico son programas que
brindar seguridad, las principales herramientas son las siguientes; seguridad lgica del sistema, seguridad
lgica complementaria del sistema, seguridad lgica en entornos distribuidos, control de acceso fsico,
control de copias, gestin de soporte magnticos, gestin de control de impresin y envo de listados por
red, control de proyectos y versiones , gestin de independencia y control de cambios. Y fsicos los
cifradores
2.1 Planeacin de la auditoria Informtica

Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos
previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus
sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental,
pues habr que hacerla desde el punto de vista de los dos objetivos:
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.
2.1.1 Reconocer las normas y estndares relacionados con

proyectos de TI
En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los objetivos
que debe cumplir, tiempos , herramientas y conocimientos previos, as como de crear su equipo de
auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.
Los objetos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga un
profundo entendimiento de los controles usados dentro del rea de informtica.
2.1.2 Identificar las fases de la auditoria Informtica
El examen de los objetivos de la auditora, sus normas, procedimientos y sus relaciones con el concepto
de la existencia y evaluacin, nos lleva a la conclusin de que el papel del computador afecta
significativamente las tcnicas a aplicar.
Mediante una revisin adecuada del sistema de procesamiento electrnico de datos del cliente, y el uso de
formatos bien diseados para su captura, el auditor puede lograr un mejor conocimiento de los
procedimientos para control del cliente.
2.1.3 Definir los elementos de la planeacin de la auditoria

Informtica
Una de las partes ms importantes en la planeacin de la auditora en informtica es el personal que
deber participar, ya que se debe contar con un equipo seleccionado y con ciertas caractersticas que
puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado.
2.1.4 Definir el concepto de la lista de Verificacin

La Lista de Verificacin, se usa para determinar con qu frecuencia ocurre un evento a lo largo de un
perodo de tiempo determinado.
En la Lista de Verificacin se pueden recoger informaciones de eventos que estn sucediendo o aquellos
que ya sucedieron.
A pesar de que la finalidad de la Lista de verificacin es el registro de datos y no su anlisis,
frecuentemente indica cul es el problema que muestra esa ocurrencia.
La lista de verificacin permite observar, entre otros, los siguientes aspectos:
Nmero de veces que sucede una cosa.
Tiempo necesario para que alguna cosa suceda.
Costo de una determinada operacin, a lo largo de un cierto perodo de tiempo.
Impacto de una actividad a lo largo de un perodo de tiempo.
Se usa para:
Registrar informaciones sobre el desempeo de un proceso.
Cmo usarla?
Determine exactamente lo que debe ser observado.
Defina el perodo durante el cual los datos sern recolectados.
Construya un formulario simple y de fcil manejo para anotar los datos.
Haga la recoleccin de datos, registrando la frecuencia de cada tem que est siendo observado.
Sume la frecuencia de cada tem y regstrela en la columna Total.
Checklist:
El auditor profesional y experto es aqul que reelabora muchas veces sus cuestionarios en funcin de los
escenarios auditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son vitales para el
trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de someter al
auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor
conversar y har preguntas "normales", que en realidad servirn para la complementacin sistemtica de
sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de
preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. Pero esto no es usar
Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno
de informacin a fin de obtener respuestas coherentes que permitan una correcta descripcin de puntos
dbiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse
flexiblemente.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto,
bajo apariencia distinta, el auditor formular preguntas equivalentes a las mismas o a distintas personas,
en las mismas fechas, o en fechas diferentes. De este modo, se podrn descubrir con mayor facilidad los
puntos contradictorios; el auditor deber analizar los matices de las respuestas y reelaborar preguntas
complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El
entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomar las
notas imprescindibles en presencia del auditado, y nunca escribir cruces ni marcar cuestionarios en su
presencia.
2.2 Evaluacin de la Seguridad

Para realizar una evaluacin de la Seguridad, es importante conocer cmo desarrollar y ejecutar la
implantacin de un Sistema de Seguridad.
Desarrollar un Sistema de Seguridad implica: planear, organizar, coordinar dirigir y controlar las actividades
relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin
informtica, as como el resguardo de los activos de la empresa.
2.2.1 Identificar los modelos de Seguridad
Definir elementos administrativos

Definir Polticas de Seguridad: A nivel departamental, a nivel institucional
Organizar y dividir las responsabilidades
Contemplar la Seguridad Fsica contra catstrofes (incendios, terremotos, inundaciones, etc.)
Definir prcticas de Seguridad para el personal: Plan de emergencia, Plan de evacuacin, Uso de
recursos de emergencia (extinguidores, etc.)
Definir el tipo de Plizas de Seguros
Definir elementos tcnicos de procedimientos: Tcnicas de aseguramiento del sistema
Codificar la informacin: Criptografa
Contraseas difciles de averiguar (letras maysculas, minsculas, nmeros y smbolos ) que
deben ser cambiadas peridicamente
Vigilancia de Red: Tecnologas repelentes o protectoras (Cortafuegos (firewalls), sistema de
deteccin de intrusos, etc.)
2.2.2 Identificar las areas y fases que pueda cubrir la
auditoria de la seguridad
Anti-spyware, antivirus, llaves para proteccin de software, etc.

Mantener los sistemas de informacin (sistemas operativos y programas) con las actualizaciones
que ms impacten en la Seguridad
Definir las necesidades de Sistemas de Seguridad para hardware y software
Flujo de energa
Cableados locales y externos
Aplicacin de los Sistemas de Seguridad, incluyendo datos y archivos
Planificacin de los papeles de los Auditores internos y externos
Planificacin de programas de contingencia o recuperacin de desastre y sus respectivas pruebas
(Simulacin)
Planificacin de Pruebas al Plan de Contingencia con carcter peridico
Poltica de Destruccin de basura, copias, fotocopias, discos duros, etc.
Dentro de las reas generales, se establecen las siguientes divisiones de Auditora Informtica: de
Explotacin, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Areas
Especificas de la Auditora Informtica ms importantes.
reas Especficas
reas Generales
Explotacin
Interna
Direccin
Usuario
Seguridad
Desarrollo
Sistemas
Comunicaciones
Seguridad
2.2.3 Definir la auditoria de seguridad fsica lgica de los datos

La seguridad fsica garantiza la integridad de los activos humanos, lgicos y materiales.
La auditora fsica no se debe limitar a comprobar la existencia de los medios fsicos, sino tambin su
funcionalidad, racionalidad y seguridad.
Existen tres tipos de seguridad:
Seguridad lgica.
Seguridad fsica.
Seguridad de las comunicaciones.
EL PLAN DE CONTINGENCIA DE TENER LO SIGUIENTE:
Realizar un anlisis de riesgos de los sistemas crticos.
Establecer un periodo crtico de recuperacin.
Realizar un anlisis de las aplicaciones crticas estableciendo periodos de proceso.
Establecer prioridades de proceso por das del ao de las aplicaciones y orden de los procesos.
Establecer objetivos de recuperacin que determine el periodo de tiempo entre la declaracin del
desastre y el momento en el que el centro alternativo puede procesar las aplicaciones crticas.
Designar entre los distintos tipos existentes en un centro alternativo de proceso de datos.
Asegurar la capacidad de las comunicaciones.
Asegurar los servicios de bookup.
Tcnicas:
Observacin de las instalaciones, sistemas, cumplimiento de Normas y Procedimientos.
Revisin analtica de: documentacin, polticas, normas, procedimientos de seguridad fsica y
contratos de seguros.
Entrevistas con directivos y personal.
Consultas a tcnicos y peritos.
Fases de la Auditoria:
Alcance de la Auditora
Adquisicin de Informacin General
Administracin y Planificacin
Plan de Auditora
Resultado de las Pruebas
Conclusiones y Comentarios
Borrador de Informe
Discusin con los Responsables de rea
Informe Final
2.3 Seleccin de proveedores

Una vez que se han buscado proveedores, se procede a la seleccin de los ms adecuados; esto implica
el estudio exhaustivo de los posibles proveedores y su eliminacin sucesiva basndose en los criterios de
seleccin que se hayan elegido, hasta reducir la cantidad a unos pocos proveedores. Con la informacin
que se recabe en el proceso de seleccin se realiza el siguiente trabajo:
Una ficha de cada proveedor para formar un fichero de proveedores en el que se reflejarn las
caractersticas de los artculos que cada proveedor puede suministrar y las condiciones
comerciales que ofrece.
Modelo de ficha de proveedores.
2.3.1 Reconocer
proveedor
las
caractersticas
que
debe
tener
un
La investigacin de proveedores consiste en investigar y estudiar los posibles proveedores de los

materiales requeridos. Esta investigacin generalmente se hace mediante la verificacin de los
proveedores previamente registrados en el organismo de compras.
El organismo de compras debe tener un fichero o banco de datos sobre los proveedores registrados, que
contengan los abastecimientos que hayan efectuado y las condiciones en que se negocio, este fichero
debe permitir una evaluacin del mercado de proveedores para cada material como modelo para comprar
las caractersticas de cada proveedor potencial.
La seleccin del proveedor ms adecuado dentro de los investigados consiste en comparar las diversas
propuestas y cotizaciones de venta de varios proveedores y escoger cual es el que mejor atiende a las
conveniencias de la empresa, condiciones de pago, posibles descuentos, plazos de entrega, etc.
Negociacin con el proveedor
Una vez escogido el proveedor, compras comienzan a negociar con la adquisicin del material requerido,
dentro de las condiciones ms adecuadas del precio de pago. La negociacin sirve para definir como se
har la emisin del pedido de compra del proveedor.
El pedido de compra es un contrato formal entre la empresa y el proveedor, en donde se especifican las
condiciones en que se hizo la negociacin. El comprador es el responsable de las condiciones y
especificaciones contenidas en el pedido de compra.
Acompaamiento del pedido
Hecho el pedido de compra, el organismo de compras necesita asegurarse de que la entrega del material
se har dentro de los plazos establecidos y en la cantidad y calidad negociadas, debe haber un
acompaamiento o seguimiento del pedido, a travs de constantes contactos personales o telefnicos con
el proveedor, para conocer el avance de la produccin del material requerido, este seguimiento representa
una constante supervisin del pedido y una cobranza permanente de resultados, esto permite localizar
anticipadamente problemas y evitar sorpresas desagradables, pues a travs de el, compras puede
asegurar el pedido, exigir la entrega en los plazos establecidos o intentar complementar el atraso con
oreos proveedores.
2.3.2 Reconocer los procedimientos vigentes o existentes para

la seleccin de proveedores
Para la seleccin de los proveedores se utilizan bsicamente criterios econmicos y de calidad, aunque se
puede utilizar una combinacin de ambos.
Criterios econmicos
La seleccin se realiza teniendo en cuenta el precio de los artculos, los descuentos comerciales, el pago
de los gastos ocasionados (transporte, embalajes, carga y descarga, etc.), los descuentos por volumen de
compra (rappels) y los plazos de pago.
Se elegir el proveedor cuyo precio final sea ms bajo. Lgicamente, cuando dos productos renan las
mismas condiciones econmicas, se elegir el de mayor calidad.
Criterios de calidad
Cuando a la hora de la seleccin el proveedor le conceda una gran importancia a la calidad de los
artculos, stos han de ser sometidos a un meticuloso estudio comparativo de sus caractersticas tcnicas,
analizar muestras, realizar pruebas, etctera. Este criterio se utiliza cuando lo que prima en la empresa es
conseguir un producto de una determinada calidad, que no tiene que ser necesariamente la mejor, sino la
que interese al comprador en ese momento.
Tambin se utilizan criterios de calidad cuando el producto ha de responder a unas caractersticas tcnicas
determinadas. Cuando los artculos sean de la misma calidad se elegir el que resulte ms econmico.
No siempre la oferta ms barata es la ms conveniente, puesto que tambin se pueden considerar como
parmetros de calidad aspectos no directamente relacionados con los productos como, por ejemplo:
servicio postventa, periodo de garanta, imagen que el producto y el proveedor tengan en el mercado,
existencia de servicios de atencin al cliente, etctera. Tambin se toman en cuenta del proveedor, su
prestigio, localizacin, instalaciones, fuerza tcnica, capacidad financiera y nivel organizativo y de
administracin.
2.4 Licenciamiento del Software
Es un contrato entre el licenciante (autor/titular de los derechos de explotacin/distribuidor) y el
licenciatario del programa informtico (usuario consumidor /usuario profesional o empresa), para utilizar el
software cumpliendo una serie de trminos y condiciones establecidas dentro de sus clusulas.
Las licencias de software pueden establecer entre otras cosas: la cesin de determinados derechos del
propietario al usuario final sobre una o varias copias del programa informtico, los lmites en la
responsabilidad por fallos, el plazo de cesin de los derechos, el mbito geogrfico de validez del contrato
e incluso pueden establecer determinados compromisos del usuario final hacia el propietario, tales como la
no cesin del programa a terceros o la no reinstalacin del programa en equipos distintos al que se instal
originalmente.
2.4.1 Identificar los diferentes tipos de licenciamientos de

software y condiciones de uso
Elementos personales de una licencia de software
Licenciante
El licenciante o proveedor-licenciante es aquel que provee el software ms la licencia al licenciatario, la
cual, le permitir a este ltimo tener ciertos derechos sobre el software. El rol de licenciante lo puede
ejercer cualquiera de los siguientes actores:
Autor: El desarrollador o conjunto de desarrolladores que crea el software, son por antonomasa
quienes en una primera instancia poseen el rol de licenciante, al ser los titulares originales del
software.
Titular de los derechos de explotacin: Es la persona natural o jurdica que recibe una cesin de
los derechos de explotacin de forma exclusiva del software desde un tercero, transformndolo en
titular derivado y licenciante del software.
Distribuidor: Es la persona jurdica a la cual se le otorga el derecho de distribucin y la posibilidad
de generar sublicencias del software mediante la firma de un contrato de distribucin con el titular
de los derechos de explotacin.
Garanta de titularidad
Es la garanta ofrecida por el licenciante o propietario, en la cual, asegura que cuenta con suficientes
derechos de explotacin sobre el software como para permitirle proveer una licencia al licenciatario.
Licenciatario
El licenciatario o usuario-licenciatario es aquella persona fsica o jurdica que se le permite ejercer el
derecho de uso ms algn otro derecho de explotacin sobre un determinado software cumpliendo las
condiciones establecidas por la licencia otorgada por el licenciante.
Usuario consumidor: Persona natural que recibe una licencia de software otorgada por el licenciante, la
cual, se encuentra en una posicin desventajosa ante los trminos y condiciones establecidas en ella.
Usuario profesional o empresa: Persona natural o jurdica que recibe una licencia de software otorgada por
el licenciante, la cual, se encuentra en igualdad de condiciones ante el licenciante para ejercer sus
derechos y deberes ante los trminos y condiciones establecidos en la licencia.
Elementos objetivos de una licencia de software
Plazo
El plazo determina la duracin en el tiempo durante la cual se mantienen vigentes los trminos y
condiciones establecidos en licencia. Las licencias en base a sus plazos se pueden clasificar en:
Licencias con plazo especfico.
Licencias de plazo indefinido.
Licencias sin especificacin de plazo.
Precio
El precio determina el valor el cual debe ser pagado por el licenciatario al licenciante por el concepto de la
cesin de derechos establecidos en la licencia.
2.5 Evaluacin de Hardware y Software

Cuando se utiliza el trmino Hardware se estn englobando todos los aspectos materiales, es decir, que
se VEN y se TOCAN dentro la funcin informtica de la Empresa.
Existen una serie de Objetivos de la Auditoria Informtica del entorno Hardware:
Determinar si el Hardware se utiliza eficientemente
Revisar los Informes de la direccin sobre la utilizacin del Hardware.
Revisar el Inventario Hardware
Verificar los procedimientos de seguridad Fsica
Revisar si el equipo se utiliza por el personal Autorizado.
Comprobar las condiciones Ambientales
Comprobar los Procedimientos de Prevencin, Deteccin, Correccin frente a cualquier tipo de
Desastre.
Evaluacin del Software
La evaluacin del Software en una empresa va a permitir determinar si este esta siendo bien utilizado
Revisar cada cuando se le da mantenimiento, y si el que se le brinda es confiable y seguro.
Si todos los cambios son suficientemente controlados.
El Auditor debe someter a evaluaciones peridicas el software operativo y deber obtener resultados que
le permitan asegurarse de las fortalezas del Software.
2.5.1 Describir las caractersticas del Hardware y software

apropiado para tareas especficas
El Software de sistemas es un conjunto de programas que interactan con el entre el hardware y el

software.
El software es el conjunto de instrucciones que las computadoras emplean para manipular datos. Sin el
software, la computadora sera un conjunto de medios sin utilizar.
Sus Componentes:
Procesamiento de texto
Bases de datos
Graficas
Servicios en lnea
Programas
Caractersticas del Hardware para tareas Especficas
Sus Componentes son:
Teclado
Mouse
CPU
Monitor
Impresora
Memoria ROM
Memoria RAM
Consta de:
1.- Evaluacin de los Sistemas
2.- Evaluacin de los equipos
Capacidades
Utilizacin
Seguridad y evaluacin fsica y lgica
3.- Evaluacin de la Seguridad
4.-La seguridad en la informtica
5.- La seguridad lgica
2.6 Evaluacin de sistemas

La auditora en informtica es de vital importancia para el buen desempeo de los sistemas de
informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un
buen nivel de seguridad. Adems debe evaluar todo (informtica, organizacin de centros de informacin,
hardware y software).
2.6.1 Describir los pasos para evaluar

informacin de acuerdo al ciclo de vida
los
sistemas
de
En esta etapa se evaluarn las polticas, procedimientos y normas que se tienen para llevar a cabo el
anlisis.
Se deber evaluar la planeacin de las aplicaciones que pueden provenir de tres fuentes principales:
La planeacin estratgica: agrupadas las aplicaciones en conjuntos relacionados entre s y no como
programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados
en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificacin en el
momento de la planeacin.
Los requerimientos de los usuarios.
El inventario de sistemas en proceso al recopilar la informacin de los cambios que han sido solicitados,
sin importar si se efectuaron o se registraron.
2.6.2 Explicar los elementos de la evaluacin de anlisis de

sistemas
En esta etapa se evaluarn las polticas, procedimientos y normas que se tienen para llevar a cabo el
anlisis.
Se deber evaluar la planeacin de las aplicaciones que pueden provenir de tres fuentes principales:
La planeacin estratgica: agrupadas las aplicaciones en conjuntos relacionados entre s y no como
programas aislados. Las aplicaciones deben comprender todos los sistemas que puedan ser desarrollados
en la dependencia, independientemente de los recursos que impliquen su desarrollo y justificacin en el
momento de la planeacin.
Los requerimientos de los usuarios.
El inventario de sistemas en proceso al recopilar la informacin de los cambios que han sido solicitados,
sin importar si se efectuaron o se registraron.
La situacin de una aplicacin en dicho inventario puede ser alguna de las siguientes:
Planeada para ser desarrollada en el futuro.
En desarrollo.
En proceso, pero con modificaciones en desarrollo.
En proceso con problemas detectados.
En proceso sin problemas.
En proceso espordicamente.
2.6.3 Explicar los elementos de la evaluacin del diseo lgico

En esta etapa se debern analizar las especificaciones del sistema.
Qu deber hacer?, Cmo lo deber hacer?, Secuencia y ocurrencia de los datos, el proceso y salida
de reportes?
Una vez que hemos analizado estas partes, se deber estudiar la participacin que tuvo el usuario en la
identificacin del nuevo sistema, la participacin de auditora interna en el diseo de los controles y la
determinacin de los procedimientos de operacin y decisin.
Al tener el anlisis del diseo lgico del sistema debemos compararlo con lo que realmente se est
obteniendo en la cual debemos evaluar lo planeado, cmo fue planeado y lo que realmente se est
obteniendo.
2.6.4 Explicar los elementos de la evaluacin del desarrollo del

sistema
En esta etapa se debern analizar las especificaciones del sistema.
Qu deber hacer?, Cmo lo deber hacer?, Secuencia y ocurrencia de los datos, el proceso y salida
de reportes?
Una vez que hemos analizado estas partes, se deber estudiar la participacin que tuvo el usuario en la
identificacin del nuevo sistema, la participacin de auditora interna en el diseo de los controles y la
determinacin de los procedimientos de operacin y decisin.
Al tener el anlisis del diseo lgico del sistema debemos compararlo con lo que realmente se est
obteniendo en la cual debemos evaluar lo planeado, cmo fue planeado y lo que realmente se est
obteniendo.
BASES DE DATOS.
Fases:
1.
2.
3.
4.
5.
6.
Anlisis de requisitos.
Diseo conceptual.
Eleccin del sistema gestor de bases de datos.
Diseo lgico.
Diseo fsico.
Instalacin y mantenimiento.
La seguridad en Bases de Datos Est compuesta de

Control de acceso
Permisos y Privilegios
Definicin de roles y perfiles
Control de Acceso a Bases de Datos:
Acceso al Sistema Operativo
Acceso a la Base de Datos
Acceso a los objetos de la base de datos
2.7 Evaluacin de la red

2.7.1 Reconocer los elementos que debe contener una red local
con base en el estndar ANSI/TIA 569 A y B
ANSI/TIA/EIA-568-A
Alambrado de Telecomunicaciones para Edificios Comerciales
Este estndar define un sistema genrico de alambrado de telecomunicaciones para edificios comerciales
que puedan soportar un ambiente de productos y proveedores mltiples.
El propsito de este estndar es permitir el diseo e instalacin del cableado de telecomunicaciones
contando con poca informacin acerca de los productos de telecomunicaciones que posteriormente se
instalarn.
La instalacin de los sistemas de cableado durante el proceso de instalacin y/o remodelacin son
significativamente ms baratos e implican menos interrupciones que despus de ocupado el edificio
Esta norma gua la seleccin de sistemas de cableado al especificar los requisitos mnimos de sistemas y
componentes, y describe los mtodos de pruebas de campo necesarios para satisfacer las normas.
Propsito del Estndar EIA/TIA 568-A:
Establecer un cableado estndar genrico de telecomunicaciones que respaldar un ambiente
multiproveedor.
Permitir la planeacin e instalacin de un sistema de cableado estructurado para construcciones
comerciales.
Establecer un criterio de ejecucin y tcnico para varias configuraciones de sistemas de cableado
El estndar especifica:
Requerimientos mnimos para cableado de telecomunicaciones dentro de un ambiente de oficina
Topologa y distancias recomendadas
Parmetros de medios de comunicacin que determinan el rendimiento
La vida productiva de los sistemas de telecomunicaciones por cable por ms de 10 aos (15
actualmente)
ANSI/TIA/EIA-568-B
El estndar TIA/EIA-568-B se publica por primera vez en 2001. Sustituyen al conjunto de estndares
TIA/EIA-568-A que han quedado obsoletos.
TIA/EIA-568-B tres estndares que tratan el cableado comercial para productos y servicios de
telecomunicaciones. Los tres estndares oficiales: ANSI/TIA/EIA-568-B.1-2001, -B.2-2001 y -B.3-2001.
El contenido de 568-B.3 se refiere a los requerimientos de rendimiento mecnico y de transmisin del
cable de fibra ptica, hardware de conexin, y cordones de conexin, incluyen el reconocimiento de la fibra
multi-modo y el uso de conectores de fibra de factor de forma pequeo
TIA/EIA 568-B.3
Cables de fibra
se reconoce la fibra de 50 mm
se reconocen tanto la fibra multimodo como la modo-simple para el rea de trabajo
Conectores de fibra
el conector 568SC dplex permanece como estndar en el rea de trabajo
otros conectores pueden se usados en otro sitios
Deben con Fiber Optic Connector Intermateability Standard (FOCIS)
2.7.2 Reconocer los elementos que debe contener una red

inalmbrica con base en el estndar ANSI EIA/TIA 802.11x
Una red inalmbrica 802.11 est basada en una arquitectura celular en la que el sistema se divide en
clulas llamadas BSS (Basic Service Set). Cada clula est controlada por una estacin base llamada AP
(Access Point).
Un sistema puede constar de una o varias clulas; en el caso pluricelular los diferentes AP se conectan
entre s mediante un backbone llamado DS (Distribution System), tpicamente Ethernet, aunque en
algunos casos tambin puede ser inalmbrico.
Todo este conjunto de clulas interconectadas se ve como una nica red desde los protocolos de las
capas superiores, y se llama ESS (Extended Service Set). Cada ESS tiene un identificador conocido como
SSID, que debe ser el mismo en todos los AP del ESS.
El protocolo 802.11 puede utilizarse para soportar la conexin inalmbrica de puntos de acceso, de forma
que el sistema de distribucin se vuelve inalmbrico. Esta opcin recibe el nombre de WDS (Wireless
Distribution System). Los AP que soportan WDS pueden actuar con dos funciones: bridge inalmbrico o
repetidor.
El protocolo 802.11 define la capa fsica y la capa MAC. Hay distintas posibilidades para la capa fsica
dependiendo del tipo de red (a, b, g, h), e incluso distintas opciones dentro del mismo tipo. Actualmente el
tipo ms comn es el 802.11b, cuyas caractersticas de la capa fsica son:
La banda de frecuencia de 2,4 GHz.

El DSSS (Direct Sequence Spread Spectrum).
La codificacin CCK (para las velocidades de 5,5 y 11 Mbit/s).
La capa MAC, adems de la funcionalidad tpica de estas capas, realiza funciones que normalmente se
implementan en capas superiores: fragmentacin, retransmisin de paquetes, y asentimientos .Esto es as
debido a las caractersticas de los enlaces radio, con errores altos, que aconsejan un tamao pequeo de
los paquetes, pero debindose preservar desde el punto de vista de las capas superiores los paquetes de
1.518 bytes tpicos de Ethernet.
2.7.3 Reconocer normas para establecer

Telecomunicaciones (ANSI EIA/TIA 569)
un
site
de
Estndar ANSI/TIA/EIA-569 de Rutas y Espacios de telecomunicaciones para Edificios Comerciales

El Grupo de Trabajo de la Asociacin de Industrias de Telecomunicaciones (TIA)TR41.8.3 encargado de
Trayectorias & Espacios de Telecomunicaciones public la Norma ANSI/TIA/EIA-569-A ('569-A) en 1998.
Este estndar reconoce tres conceptos fundamentales relacionados con telecomunicaciones y
edificios:
Los edificios son dinmicos. Durante la existencia de un edificio, las remodelaciones son ms la
regla que la excepcin. Este estndar reconoce, de manera positiva, que el cambio ocurre.
Los sistemas de telecomunicaciones y de medios son dinmicos. Durante la existencia de un
edificio, los equipos de telecomunicaciones cambian dramticamente. Este estndar reconoce
este hecho siendo tan independiente como sea posible de proveedores de equipo.
Telecomunicaciones es ms que datos y voz. Telecomunicaciones tambin incorpora otros
sistemas tales como control ambiental, seguridad, audio, televisin, alarmas y sonido. De hecho,
telecomunicaciones incorpora todos los sistemas de bajo voltaje que transportan informacin en
los edificios.
A continuacin los rasgos sobresalientes de la Norma '569-A:
Objetivo
Estandarizar las prcticas de construccin y diseo.
Provee un sistema de soporte de telecomunicaciones que es adaptable a cambios durante la vida til de la
instalacin.
Alcance
Trayectorias y espacios en los cuales se colocan y terminan medios de telecomunicaciones.
Trayectorias y espacios de telecomunicaciones dentro y entre edificios.
Diseo de edificios comerciales para viviendas unifamiliares y multifamiliares.
2.7.4 Reconocer el modelo OSI y el protocolo TCP/IP

El modelo de referencia de Interconexin de Sistemas Abiertos (OSI, Open System Interconnection) es el
modelo de red descriptivo creado por la Organizacin Internacional para la Estandarizacin lanzado en
1984. Es decir, es un marco de referencia para la definicin de arquitecturas de interconexin de sistemas
de comunicaciones.
Capa fsica (Capa 1)
Es la que se encarga de las conexiones fsicas de la computadora hacia la red, tanto en lo que se refiere al
medio fsico como a la forma en la que se transmite la informacin.
Capa de enlace de datos (Capa 2)
Esta capa se ocupa del direccionamiento fsico, de la topologa de la red, del acceso a la red, de la
notificacin de errores, de la distribucin ordenada de tramas y del control del flujo.
Capa de red (Capa 3)
El objetivo de la capa de red es hacer que los datos lleguen desde el origen al destino, an cuando ambos
no estn conectados directamente. Los dispositivos que facilitan tal tarea se denominan encaminadores,
aunque es ms frecuente encontrar el nombre ingls routers y, en ocasiones enrutadores. Los routers
trabajan en esta capa, aunque pueden actuar como switch de nivel 2 en determinados casos, dependiendo
de la funcin que se le asigne. Los firewalls actan sobre esta capa principalmente, para descartar
direcciones de mquinas.
Capa de transporte (Capa 4)
Capa encargada de efectuar el transporte de los datos (que se encuentran dentro del paquete) de la
mquina origen a la de destino, independizndolo del tipo de red fsica que se est utilizando. La PDU de
la capa 4 se llama Segmento o Datagrama, dependiendo de si corresponde a TCP o UDP. Sus protocolos
son TCP y UDP; el primero orientado a conexin y el otro sin conexin.
Capa de sesin (Capa 5)
Esta capa es la que se encarga de mantener y controlar el enlace establecido entre dos computadores que
estn transmitiendo datos de cualquier ndole.
Capa de presentacin (Capa 6)
El objetivo es encargarse de la representacin de la informacin, de manera que aunque distintos equipos
puedan tener diferentes representaciones internas de caracteres los datos lleguen de manera reconocible.
Capa de aplicacin (Capa 7)
Ofrece a las aplicaciones la posibilidad de acceder a los servicios de las dems capas y define los
protocolos que utilizan las aplicaciones para intercambiar datos, como correo electrnico (POP y SMTP),
gestores de bases de datos y servidor de ficheros (FTP). Hay tantos protocolos como aplicaciones
distintas y puesto que continuamente se desarrollan nuevas aplicaciones el nmero de protocolos crece
sin parar.
Modelo TCP/IP
El Protocolo de Internet (IP) y el Protocolo de Transmisin (TCP), fueron desarrollados inicialmente en
1973 por el informtico estadounidense Vinton Cerf como parte de un proyecto dirigido por el ingeniero
norteamericano Robert Kahn y patrocinado por la Agencia de Programas Avanzados de Investigacin
(ARPA, siglas en ingls) del Departamento Estadounidense de Defensa. Internet comenz siendo una red
informtica de ARPA (llamada ARPAnet) que conectaba redes de ordenadores de varias universidades y
laboratorios en investigacin en Estados Unidos. World Wibe Web se desarroll en 1989 por el informtico
britnico Timothy Berners-Lee para el Consejo Europeo de Investigacin Nuclear (CERN, siglas en
francs).
DEFINICION TCP / IP
Se han desarrollado diferentes familias de protocolos para comunicacin por red de datos para los
sistemas UNIX. El ms ampliamente utilizado es el Internet Protocol Suite, comnmente conocido como
TCP / IP.
Es un protocolo DARPA que proporciona transmisin fiable de paquetes de datos sobre redes. El nombre
TCP / IP Proviene de dos protocolos importantes de la familia, el Transmission Control Protocol (TCP) y el
Internet Protocol (IP). Todos juntos llegan a ser ms de 100 protocolos diferentes definidos en este
conjunto.
Las capas estn jerarquizadas. Cada capa se construye sobre su predecesora. El nmero de capas y, en
cada una de ellas, sus servicios y funciones son variables con cada tipo de red. Sin embargo, en cualquier
red, la misin de cada capa es proveer servicios a las capas superiores hacindoles transparentes el modo
en que esos servicios se llevan a cabo. De esta manera, cada capa debe ocuparse exclusivamente de su
nivel inmediatamente inferior, a quien solicita servicios, y del nivel inmediatamente superior, a quien
devuelve resultados.
Capa 4 o capa de aplicacin: Aplicacin, asimilable a las capas 5 (sesin), 6 (presentacin) y 7
(aplicacin) del modelo OSI.la capa de aplicacin deba incluir los detalles de las capas de sesin y
presentacin OSI. Crearon una capa de aplicacin que maneja aspectos de representacin, codificacin y
control de dilogo.
Capa 3 o capa de transporte: Transporte, asimilable a la capa 4 (transporte) del modelo OSI.
Capa 2 o capa de red: Internet, asimilable a la capa 3 (red) del modelo OSI.
Capa 1 o capa de enlace: Acceso al Medio, asimilable a la capa 1 (fsica) y 2 (enlace de datos) del
modelo OSI.
2.7.5 Describir la vulnerabilidad de las redes

El anlisis de la vulnerabilidad, a veces llamado exploracin de la vulnerabilidad, es el acto de determinar
qu agujeros y vulnerabilidades de la seguridad pueden ser aplicables a la red. Para hacer esto,
examinamos las mquinas identificadas dentro de la red para identificar todos los puertos abiertos y los
sistemas operativos y los usos que los anfitriones estn funcionando (nmero de versin incluyendo, nivel
del remiendo, y paquete del servicio). Adems, comparamos esta informacin con varias bases de datos
de la vulnerabilidad del Internet para comprobar qu vulnerabilidades y hazaas actuales pueden ser
aplicables a la red.
Dado el constreimiento del tiempo nos podemos estar debajo durante un contrato y el nmero de
anfitriones dentro del alcance, puede ser necesario centrarse inicialmente en los anfitriones crticos. Sin
embargo, si el pelado abajo de la lista de la blanco necesita ser hecho, l se hace generalmente durante el
paso siguiente.
Nota: Es importante tomar en la consideracin que los resultados del silbido de bala autoritariamente no
demuestran a que un anfitrin est abajo. En la luz de esto, si hay alguna duda si el target(s) est filtrado o
protegido con eficacia contra silbido de bala o est realmente abajo, recomendamos el continuar con una
exploracin portuaria. Mantenga el nmero de puertos tales exploraciones abajo que estas exploraciones
tiendan para tomar a una cantidad de tiempo ms larga. Si es necesario explorar una gran cantidad de
puertos en los anfitriones insensibles, es el mejor hacer esto durante la noche.
En el extremo de esta etapa, tenemos gusto de poder documentar todos los anfitriones de la blanco (vivos
y de otra manera) en una tabla junto con el OS, el IP address, los usos corrientes, cualquier informacin de
la bandera disponible, y vulnerabilidades sabidas. Esta informacin es til durante la etapa de la
explotacin y para la presentacin al cliente de modo que el cliente sea enterado de las vulnerabilidades
en la red y la cantidad de informacin que un forastero puede recopilar antes de comprometer la red.
Identificacin del OSI
Identificando el sistema operativo, podemos procurar predecir los servicios que pueden funcionar en el
anfitrin y adaptar nuestras exploraciones del puerto basadas en esta informacin. Nmap, la herramienta
principal usada para realizar la identificacin del OS, hace esto analizando la respuesta del apilado del
TCP de la blanco a los paquetes que Nmap envi. Vario RFCs gobierna cmo el apilado del TCP debe
responder cuando est preguntado. Sin embargo, los detalles de la puesta en prctica se dejan al
vendedor. Por lo tanto, las diferencias en cmo los vendedores satisfacen el RFCs permiten que sean
identificados. Mientras que este mtodo no es a toda prueba, la deteccin del OS de Nmap es bastante
confiable y aceptada bien por la industria. Cambiar la firma del OS de una computadora es posible pero no
trivial, y no ha sido nuestra experiencia que las compaas realizan este nivel de enmascarar.
La identificacin del OS va una manera larga en la ejecucin de la enumeracin de la red y de la
exploracin de la vulnerabilidad. Tan pronto como sepamos el OS de una mquina particular, podemos
comenzar a generar una lista de agujeros y de vulnerabilidades potencialesa menudo de propio sitio del
Web del vendedor. Por ejemplo, tan pronto como sepamos una mquina es Windows NT, podemos
comprobar si el puerto 139 del TCP est abierto y procurar una conexin nula a la parte del IP. Si
identificamos una caja de UNIX, podemos buscar los puertos de X Windows (60006063).
Enumeracin Del Uso
De los resultados de la exploracin portuaria, ganamos una lista de puertos abiertos en las mquinas
receptoras. Un puerto abierto no indica enteramente lo que puede ser activo el servicio que escucha. Los
puertos debajo de 1024 se han asignado a los varios servicios y si stos se encuentran abiertos, indican
generalmente el servicio asignado. Adems, otros usos se han funcionado en ciertos puertos para tan de
largo que se han convertido en el estndar de hecho, tal como puerto 65301 para el pcAnywhere y 26000
para el temblor. Por supuesto los administradores de sistema pueden cambiar el puerto que un servicio
funciona encendido en una tentativa de ocultarla (un ejemplo de la seguridad con oscuridad). Por lo
tanto, procuramos conectar con el puerto abierto y asir una bandera para verificar el funcionamiento del
servicio.
Investigacin Del Internet
Una vez que la lista de usos se sepa, el paso siguiente es investigar la lista y determinarse existen qu
vulnerabilidades. Mientras que usted realiza pruebas de penetracin, usted hace familiar con ciertas
vulnerabilidades populares y puede determinarse rpidamente si un uso es vulnerable. Sin embargo, es
importante tener presente que las nuevas vulnerabilidades estn fijadas sobre una base diaria, y usted
debe comprobar sus bases de datos preferidas de la vulnerabilidad para saber si hay todos los usos,
servicios, y sistemas operativos que usted encuentra en cada contrato.
2.7.6 Explicar la auditoria de la red fsica y lgica
Auditoria De La Red Fsica
Se debe garantizar que exista:
reas de equipo de comunicacin con control de acceso.

Proteccin y tendido adecuado de cables y lneas de comunicacin para evitar accesos fsicos.
Control de utilizacin de equipos de prueba de comunicaciones para monitorizar la red y el trafico
en ella.
Prioridad de recuperacin del sistema.
Control de las lneas telefnicas.
Comprobando que:
El equipo de comunicaciones ha de estar en un lugar cerrado y con acceso limitado.
La seguridad fsica del equipo de comunicaciones sea adecuada.
Se tomen medidas para separar las actividades de los electricistas y de cableado de lneas
telefnicas.
Las lneas de comunicacin estn fuera de la vista.
Se d un cdigo a cada lnea, en vez de una descripcin fsica de la misma.
Haya procedimientos de proteccin de los cables y las bocas de conexin para evitar pinchazos a
la red.
Existan revisiones peridicas de la red buscando pinchazos a la misma.
El equipo de prueba de comunicaciones ha de tener unos propsitos y funciones especficas.
Existan alternativas de respaldo de las comunicaciones.
Con respecto a las lneas telefnicas: No debe darse el nmero como pblico y tenerlas
configuradas con retrollamada, cdigo de conexin o interruptores.
AUDITORIA LOGICA
En sta, debe evitarse un dao interno, como por ejemplo, inhabilitar un equipo que empieza a enviar
mensajes hasta que satura por completo la red.
Para ste tipo de situaciones:

Se deben dar contraseas de acceso.
Controlar los errores.
Garantizar que en una transmisin, sta solo sea recibida por el destinatario. Para esto,
regularmente se cambia la ruta de acceso de la informacin a la red.
Registrar las actividades de los usuarios en la red.
Encriptar la informacin pertinente.
Evitar la importacin y exportacin de datos.
Que se comprueban si:
El sistema pidi el nombre de usuario y la contrasea para cada sesin:

En cada sesin de usuario, se debe revisar que no acceda a ningn sistema sin autorizacin, ha
de inhabilitarse al usuario que tras un nmero establecido de veces erra en dar correctamente su
propia contrasea, se debe obligar a los usuarios a cambiar su contrasea regularmente, las
contraseas no deben ser mostradas en pantalla tras digitarlas, para cada usuario, se debe dar
informacin sobre su ltima conexin a fin de evitar suplantaciones.
Inhabilitar el software o hardware con acceso libre.
Generar estadsticas de las tasas de errores y transmisin.
Crear protocolos con deteccin de errores.
Los mensajes lgicos de transmisin han de llevar origen, fecha, hora y receptor.
El software de comunicacin, ha de tener procedimientos correctivos y de control ante mensajes
duplicados, fuera de orden, perdidos o retrasados.
Los datos sensibles, solo pueden ser impresos en una impresora especificada y ser vistos desde
una terminal debidamente autorizada.
Se debe hacer un anlisis del riesgode aplicaciones en los procesos.
Se debe hacer un anlisis de la conveniencia de cifrar los canales de transmisin entre diferentes
organizaciones.
Asegurar que los datos que viajan por Internet vayan cifrados.
Si en la LAN hay equipos con modem entonces se debe revisar el control de seguridad asociado
para impedir el acceso de equipos forneos a la red.
Deben existir polticas que prohban la instalacin de programas o equipos personales en la red.
Los accesos a servidores remotos han de estar inhabilitados.
La propia empresa generar propios ataques para probar solidez de la red y encontrar posibles fallos en
cada una de las siguientes facetas:
Servidores = Desde dentro del servidor y de la red interna.

Servidores web.
Intranet = Desde dentro.
Firewall = Desde dentro.
Accesos del exterior y/o Internet.
3.1 Conceptos Bsicos

3.1.1 Describir el concepto de evidencia, las irregularidades,
los papeles de trabajo o documentacin
De acuerdo al diccionario de la real academia espaola, una evidencia es un conocimiento que se

nos aparece intuitivamente de tal manera que podemos afirmar la validez de su contenido, como
verdadero, con certeza y sin sombra de duda
La evidencia es la base de juicio del auditor. Es con lo que se sustentara la correcta ejecucin de
los procesos, procedimientos o instrucciones de trabajo.
3
Este tipo de opinin es aplicable cuando el auditor concluye que existen una o varias de las circunstancias
que se relacionan en este apartado, siempre que sean significativas en relacin con las cuentas anuales
tomadas en su conjunto.
Opinin con Salvedades
En una opinin favorable, el auditor manifiesta de forma clara y precisa que las cuentas anuales
consideradas expresan en todos los aspectos significativos la imagen fiel del patrimonio y de la situacin
financiera, de los resultados de sus operaciones y de los recursos obtenidos y aplicados durante el
ejercicio, y contienen la informacin necesaria y suficiente para su interpretacin y comprensin adecuada.
Opinin Favorable:
3.2.1 Identificar los tipos de opiniones

El informe de auditora financiera tiene como objetivo expresar una opinin tcnica de las cuentas anuales
en los aspectos significativos o importantes, sobre si stas muestran la imagen fiel del patrimonio, de la
situacin financiera y del resultado de sus operaciones, as como de los recursos obtenidos y aplicados
durante el ejercicio.
3.2 Interpretacin de los resultados de la Auditoria

Informtica
Es la comparacin de las cantidades de cada una de las cuentas de
activos, pasivos, ingresos y gastos con los saldos correspondientes al
periodo precedente.
Esta evidencia depende del grado de control interno exigidos en su
preparacin.
Comparaciones e ndices
Mayores y diarios
Verbal
Se obtiene a travs del contacto personal con los distintos responsables y

empleados de la compaa y con terceras personas independientes. Este
tipo de evidencia sirve para detectar puntos dbiles y confictivos en el
sistema permitiendo iniciar una investigacin sobre los mismos.
Control interno
Condiciona el alcance del trabajo de auditoria, su evaluacin determina el

nivel de pruebas que el auditor deber realizar. La evidencia de un sistema
de control interno efcaz y que adems se cumpla, constituye para el
auditor una evidencia vlida del correcto funcionamiento de la empresa.
Fsica
Permite al auditor constatar la existencia real de los activos y la calidad de

los mismos, mediante la inspeccin ocular. Puede haber ocasiones en que
el auditor necesite apoyarse en personas tcnicas, peritos, etc.
Documental
Es obtenida a travs del examen de documentos importantes y registros

contables. Hay 2 tipos: las creadas dentro de la organizacin (Se debe
considerar al control interno de la organizacin como dbil), y las creadas
fuera de la organizacin.
Analtica
Es la obtenida del conjunto de procedimientos que implican la realizacin

de clculos aritmticos y comprobaciones matemticas.
La evidencia, es uno de los fundamentos de la auditoria, la forma de solicitar evidencia y el tipo de

evidencia depender del tipo de auditora aplicada.
Opinin Desfavorable
La opinin desfavorable supone manifestarse en el sentido de que las cuentas anuales tomadas en su
conjunto no presentan la imagen fiel del patrimonio, de la situacin financiera, del resultado de las
operaciones o de los cambios de la situacin financiera de la entidad auditada, de conformidad con los
principios y normas contables generalmente aceptados.
Opinin Denegada
Cuando el auditor no ha obtenido la evidencia necesaria para formarse una opinin sobre las cuentas
anuales tomadas en su conjunto, debe manifestar en su informe que no le es posible expresar una opinin
sobre las mismas.
3.2.2 Describir los componentes, caractersticas y tendencias

de un informe
Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qu normas de auditora.
Expresa si las cuentas anuales contienen la informacin necesaria y suficiente y han sido formuladas de
acuerdo con la legislacin vigente y, tambin, si dichas cuentas han sido elaboradas teniendo en cuenta el
principio contable de uniformidad.
3.3 Identificar los tipos de conclusiones de la Auditoria

Informtica
3.3.1 Identificar los tipos de de conclusiones
La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el
exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que
son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de
apreciacin en el auditor.
Breve
Despus de aplicar los procedimientos y tcnicas de auditora, siendo auditores recurrentes, se le pide
elaborar el Dictamen de auditora por los aos terminados al 31 de diciembre de 2009 y 2008 de la
Empresa Ejemplo, S.A. tomar en consideracin que no hubo observaciones importantes de auditora que
calificaran la opinin.
Detallada
Despus de aplicar los procedimientos y tcnicas de auditora, siendo el ao 2008 auditado por otros
auditores emitiendo una opinin con salvedades, siendo esta:
Al 31 de diciembre de 2008 la empresa cuenta con una contingencia en concepto de penalizaciones por
concepto de software apcrifo para lo cual no se tiene provisin para dar cobertura a dicha contingencia.
3.4 reas de oportunidad e las ITIL

Es una estructura propuesta por la Oficina Gubernamental de Comercio (OGC) del Reino Unido que rene
las mejores prcticas del rea de la gestin de servicios de Tecnologa Informtica (TI) en una serie de
guas.
3.4.1 Reconocer el concepto de FODA y sus componentes

Es una herramienta que permite conformar un cuadro de la situacin actual de la empresa u organizacin,
permitiendo de esta manera obtener un diagnstico preciso que permita en funcin de ello tomar
decisiones acordes con los objetivos y polticas formulados.
El trmino FODA es una sigla conformada por las primeras letras de las palabras Fortalezas,
Oportunidades, Debilidades y Amenazas
De entre estas cuatro variables, tanto fortalezas como debilidades son internas de la organizacin,
por lo que es posible actuar directamente sobre ellas.
En cambio las oportunidades y las amenazas son externas, por lo que en general resulta muy
difcil poder modificarlas.
Fortalezas: son las capacidades especiales con que cuenta la empresa, y por los que cuenta con una
posicin privilegiada frente a la competencia.
Recursos que se controlan, capacidades y habilidades que se poseen, actividades que se desarrollan
positivamente, etc.
Oportunidades: son aquellos factores que resultan positivos, favorables, explotables, que se deben
descubrir en el entorno en el que acta la empresa, y que permiten obtener ventajas competitivas.
Debilidades: son aquellos factores que provocan una posicin desfavorable frente a la competencia.
Recursos de los que se carece, habilidades que no se poseen, actividades que no se desarrollan
positivamente, etc.
Amenazas: son aquellas situaciones que provienen del entorno y que pueden llegar a atentar incluso
contra la permanencia de la organizacin.
Se utilizar para desarrollar un plan que tome en consideracin muchos y diferentes factores
internos y externos para as maximizar el potencial de las fuerzas y oportunidades minimizando
as el impacto de las debilidades y amenazas.
Se debe de utilizar al desarrollar un plan estratgico, o al planear una solucin especfica a un

problema.
3.4.2 Definir el concepto de ITIL

Es proporcionar a los administradores de sistemas de TI las mejores herramientas y documentos que les
permitan mejorar la calidad de sus servicios, es decir, mejorar la satisfaccin del cliente al mismo tiempo
que alcanzan los objetivos estratgicos de su organizacin.
La ITIL est dividida en nueve reas (que corresponden a nueve libros) que abarcan todos los problemas
encontrados por los administra dores de sistemas de IT.
Soporte tcnico del servicio

Entrega del servicio
Administracin de infraestructura
Administracin de aplicaciones
Administracin del servicio
Perspectiva empresarial
Requisitos empresariales
Tecnologa
Soporte tcnico del servicio

El rea de soporte tcnico del servicio se ocupa de la operacin y soporte de la infraestructura de TI. Se
divide en los siguientes seis procesos:
3.4.3 Describir los lineamientos y/o estndares que ayudan en

el control, operacin, administracin de recursos y servicios
informticos
Los presentes lineamientos tienen por objeto establecer los mecanismos que regulen la captacin,
ejercicio, registro e informacin de los recursos externos obtenidos por los Organismos Descentralizados
del Sector Salud.
Captulo I
1. Definiciones
Para efectos de estos lineamientos se entender por:
a) Coordinadora de Sector: La Secretara de Salud.

b) Secretara: La Secretara de Hacienda y Crdito Pblico.
c) Contralora: La Secretara de Contralora y Desarrollo Administrativo.
d) Organismos Descentralizados del Sector Salud:
Las Entidades sectorizadas en el Sector Salud, es decir los Institutos Nacionales de Salud definidos por la
Ley de los Institutos Nacionales de Salud, as como el Hospital General de Mxico y el Hospital General
Dr. Manuel Gea Gonzlez, con personalidad jurdica y patrimonio propios, que tienen como objeto principal
la investigacin cientfica en el campo de la salud, la formacin y capacitacin de recursos humanos
calificados y la prestacin de servicios de atencin mdica de alta especialidad, y cuyo mbito de accin
comprende todo el territorio nacional.
e) Actividades de Investigacin: Las que se realicen con el propsito de generar conocimientos sobre la
salud o la enfermedad para su aplicacin inmediata o mediata en la atencin mdica.
f) Actividades de Enseanza: Las que contribuyen a la identificacin de necesidades de docencia,
elaboracin de planes de estudios, diseo e imparticin de cursos, tutoras y evaluacin de planes y
programas de estudio, en los niveles de pregrado, especializacin, subespecializacin, maestra y
doctorado, as como diplomados y educacin continua, en los diversos campos de la ciencia mdica.
g) Desarrollo Profesional: A las actividades cuyos resultados contribuyen a la capacitacin y
actualizacin tcnica del personal acadmico, como asistencia a cursos, simposia y congresos, estancias
de entrenamiento, estudios de posgrado, visitas a grupos y centros de investigacin o docencia, compra
de revistas, libros y organizacin de reuniones tcnicas y acadmicas.
h) Actividades de carcter acadmico: Las que incluyan la participacin especializada del personal,
como entrenamientos tcnicos, imparticin de conferencias, asesoras tcnicas y profesionales, evaluacin
de pruebas e instrumentos de investigacin, procesamiento y anlisis de muestras, anlisis estadsticos de
datos y servicios de informtica electrnica.
i) Actividades de carcter asistencial: Las relacionadas con la atencin mdica en el campo de su
especialidad.
j) Patronato: El rgano de apoyo de los rganos de Gobierno de las Entidades que contribuye a la
obtencin de recursos para coadyuvar en el cumplimiento de los objetivos institucionales y cuyo
funcionamiento se contiene en la Ley de Institutos Nacionales de Salud y en los decretos de creacin de
los hospitales generales.
k) Personal Acadmico: Todo aquel que realiza funciones directas o de apoyo en actividades acadmicas
de enseanza e investigacin.
l) Personal Operativo: Todo aquel no comprendido en el inciso anterior que realice funciones
asistenciales, de apoyo o de administracin en las actividades sustantivas y adjetivas de la Entidad.
m) Manual: Manual de Normas Presupuestarias para la Administracin Pblica Federal.
n) Recursos Externos: Los subsidios, participaciones, donativos, herencias y legados, en efectivo o en

especie, de personas fsicas o morales, pblicas o privadas, nacionales o extranjeras, que se otorguen de
manera directa a los Organismos Descentralizados a travs de su patronato. Estos recursos constituyen
ingresos extraordinarios no programables aunque si proyectables; pueden o no estar etiquetados para un
fin especfico.
o) Disponibilidad: Son los recursos no ejercidos en el ejercicio fiscal de que se trate, por lo que al tmino
del mismo adquirieren el estatus de disponibilidad final y de disponibilidad inicial al comienzo de un nuevo
ejercicio fiscal; cuyos montos permanecern en la Tesorera del Organismo Descentralizado, y su ejercicio
estar sujeto a la autorizacin expresa de la
Secretara, en funcin de la normatividad presupuestaria aplicable.
p) Responsable del Proyecto: El Servidor Pblico designado por el Director General del Organismo
Pblico para fungir como encargado directo del desarrollo de un proyecto financiad con recursos externos
con fin especfico.
q) Proyecto especfico: El desarrollo articulado de actividades de enseanza o asistenciales u otras
actividades acadmicas con objetivos y metas precisas para lo cual el Organismo Descentralizado recibe
recursos externos con un fin determinado.
2. Registro e Informacin
a) Ningn servidor pblico del Organismo Descentralizado podr recibir a ttulo personal recursos
externos.
b) Los recursos externos en efectivo que reciba el Organismo Descentralizado se debern controlar en
registros contables y presupuestales, as como en cuentas bancarias independientes de los recursos
federales. Los recursos externos forman parte del presupuesto del Organismo Descentralizado, por lo que
su registro se deber consignar en el ingreso-gasto del flujo de efectivo correspondiente y por lo tanto
quedarn debidamente identificados en los reportes del sistema integral de informacin como ingresos
diversos.
c) Los recursos externos con fin determinado se administrarn como un proyecto especfico de enseanza,
asistencial o de otras actividades acadmicas o asistenciales aplicados durante el ejercicio fiscal en curso,
y su registro presupuestal se realizar conforme a las disposiciones establecidas por el Manual.
d) Aunque los recursos externos son de captacin extraordinaria, el Organismo Descentralizado realizar
una proyeccin o estimacin anual de su monto, as como de su probable ejercicio, para ser incorporados
como ingresos diversos en el flujo de efectivo del Anteproyecto de Presupuesto anual.
e) El Organismo Descentralizado deber informar en las sesiones ordinarias del rgano de Gobierno
sobre la captacin y aplicacin real de los recursos externos.
f) La Direccin de Administracin del Organismo Descentralizado ser responsable del adecuado manejo
de los recursos externos.
3. Administracin de los Recursos Externos con fin especfico
La Direccin de Administracin tendr las siguientes funciones en la administracin de recursos externos
con un fin especfico:
a) Informar al responsable del proyecto, dentro de las 24 horas siguientes a la captacin, del depsito y
registro de los recursos externos en las cuentas bancarias autorizadas del Organismo Descentralizado
para este fin.
b) Obtener y conservar por el tiempo que determinen las leyes, la documentacin comprobatoria de la
captacin y aplicacin de los recursos externos, para su verificacin e integracin.
c) Conservar permanentemente actualizados los registros contables y auxiliares por cada proyecto,
incluyendo activos fijos.
d) Proporcionar asesora en el mbito de su competencia a los responsables de cada proyecto.
e) Elaborar los informes financieros globales y por proyecto, con el nivel de detalle que requiera la
Coordinadora Sectorial, la Secretara y la Contralora, en todos los casos previa
Conciliacin con el responsable del proyecto.
4. Obligaciones del Responsable del Proyecto
Para todos los efectos legales, es obligacin de los responsables de los proyectos, lo siguiente:
a) Informar al Director General del Organismo Pblico Descentralizado sobre el avance y desarrollo del
proyecto.
b) Contratar al personal con cargo a los recursos externos que participe en el proyecto, a travs de la
Subdireccin de Administracin y Desarrollo de Personal, sujetndose a lo dispuesto en estos
Lineamientos y dems disposiciones legales aplicables. Estas contrataciones en razn de su naturaleza
civil, slo podrn hacerse bajo el rgimen de honorarios por tiempo o por obra determinada, por lo que los
contratos que los amparen slo consignarn el derecho al pago de los emolumentos convenidos sin
ninguna otra prestacin adicional, ni podrn pagarse con recursos fiscales o transformarse en plazas
presupuestarias. Ningn contrato de honorarios podr exceder el 31 de diciembre de cada ejercicio fiscal.
c) Validar los informes sobre el avance financiero del proyecto que elabore la Direccin de Administracin
del Organismo Descentralizado, en los trminos requeridos por el rgano de Gobierno, la Coordinadora
Sectorial, la Secretara o la Contralora.
d) Integrar el informe de avance fsico del proyecto, en los trminos requeridos por el rgano de Gobierno,
la Coordinadora Sectorial, la Secretara o la Contralora.
e) Fijar, en coordinacin con el aportante de los recursos y el Organismo Descentralizado, los trminos y
condiciones para la distribucin de los recursos del proyecto en gastos de operacin, servicios personales
y gastos de inversin; en todos los casos se incluir una cantidad que no exceda de 15% del total del
monto del proyecto como aportacin al Organismo Descentralizado, para cubrir los costos de
administracin del proyecto.
f) Vigilar que los recursos externos asignados al proyecto sean suficientes para su conclusin; de ninguna
manera se le podr asignar recursos fiscales o propios.
5. De los Convenios para el ejercicio de recursos externos con fin especfico
a) El Organismo Descentralizado y el aportante de los recursos externos decidirn sobre la viabilidad de
suscribir convenios para el ejercicio de recursos externos con fin especfico que sealen las metas,
resultados a obtener y el monto de los recursos aportados, as como la periodicidad de la informacin que
deber entregarse al aportante.
b) Los convenios sern suscritos por el Director General del Organismo Descentralizado previo dictamen
favorable de su rea jurdica, y de ninguna manera podrn incluir condiciones que contravengan los
objetivos del Organismo Descentralizado.
c) El Director General del Organismo Descentralizado deber informar al rgano de Gobierno de la
suscripcin, objetivos, montos y duracin de los convenios establecidos.
Captulo II
Del control de los recursos externos y su ejercicio
5. El gasto derivado de recursos externos con o sin fin especfico se sujetar en su ejercicio y control a lo
dispuesto por la normatividad vigente, incluida la adquisicin de bienes y servicios, ejecucin de obra
pblica y servicios personales.
6. El proceso de registro, aplicacin e informacin de los recursos externos a que se refieren estos
Lineamientos podr ser sujeto de revisiones por las diferentes instancias fiscalizadoras.
7. El responsable del proyecto dispondr de hasta el 85% de los recursos externos obtenidos y asignados
a sufragar las erogaciones necesarias para el cumplimiento de los objetivos del proyecto. La disposicin
de estos recursos se sujetar a lo referido en el numeral 10 de estos Lineamientos.
8. El 15% de los recursos externos obtenidos o asignados a un proyecto con fin especfico, se destinar a
los gastos de administracin directos e indirectos siguientes:
a) Cubrir el costo administrativo del proyecto.
b) El costo por la utilizacin de la infraestructura del Organismo Descentralizado.
c) El gasto generado por mantenimiento y conservacin de las instalaciones del Organismo
Descentralizado.
d) El Director General del Organismo Descentralizado podr autorizar, en casos especficos y previa
solicitud del responsable del proyecto y con la validacin de la Direccin de Administracin del Organismo
Descentralizado, la disminucin o eliminacin del referido porcentaje, cuando las necesidades y
caractersticas del proyecto as lo requiera. De lo anterior deber informar al rgano de Gobierno.
9. Los recursos externos que perciba el Organismo Descentralizado y los productos financieros que stos
generen debern manejarse conforme a las disposiciones vigentes sobre disponibilidades financieras.
10. Todo gasto efectuado con recursos externos, deber estar amparado con la documentacin
comprobatoria correspondiente, debidamente requisitada conforme a los procedimientos y polticas
establecidas en los manuales de operacin del Organismo Descentralizado y en la normatividad
presupuestaria y fiscal aplicable.
11. Las erogaciones correspondientes a los recursos externos se efectuarn a travs de la Direccin de
Administracin, a excepcin de los gastos de carcter urgente, los que podrn realizarse por el
responsable del proyecto, previa autorizacin de la Direccin de Administracin.
En ningn caso el monto del gasto urgente podr ser mayor al 10% del costo total del proyecto.
12. La documentacin comprobatoria de los gastos se deber presentar a la Direccin de Administracin
por el responsable del proyecto a ms tardar dentro de los quince das naturales siguientes al ejercicio de
los recursos.
Captulo III
De los recursos humanos
13. El responsable del proyecto propondr al Director General del Organismo Descentralizado, al personal
del mismo Organismo Descentralizado que colaborar en el desarrollo del mismo, indicando las
actividades, remuneracin asignada y la duracin del proyecto. La relacin de personal deber contar con
el visto bueno del director o responsable del rea de que se trate.
14. Para la ejecucin de los proyectos con fin especfico, las contrataciones del personal del Organismo
Descentralizado sern realizadas por tiempo u obra determinada mediante un contrato de honorarios,
conforme a la legislacin y disposiciones presupuestarias y fiscales vigentes.
15. El personal del Organismo Descentralizado que participe en el desarrollo de proyectos Financiados
con recursos externos, tendr definidas las funciones a realizar; en contraprestacin recibir una
remuneracin. Esta participacin siempre requerir la opinin favorable de las reas jurdicas y de
recursos humanos, quienes definirn, conforme a norma, los tiempos dentro o fuera de la jornada laboral.
16. Toda remuneracin a los servidores pblicos derivada de recursos externos, deber considerar la
retencin y entero de los impuestos correspondientes, de conformidad con las disposiciones fiscales y
laborales aplicables. Dicho pago ser independiente y no crear derechos para el trabajador, ni
responsabilidad de tipo laboral o salarial para el Organismo Descentralizado
17. La remuneracin al personal del Organismo Descentralizado que participe en el desarrollo de
proyectos o actividades financiados con recursos externos, en ningn caso podr rebasar los montos
mximos de remuneracin salarial establecidos por las disposiciones normativas vigentes; lo que se har
de la siguiente manera:
A. Para mandos medios y superiores:
a) Podrn recibir compensacin los mandos medios (jefes de departamento, subdirectores y directores de
rea) y superiores (director general) cuando participen directamente en un proyecto con fin especfico,
siempre que esas actividades no vayan en detrimento de las funciones que tengan asignadas por la plaza
presupuestaria que ocupen.
b) El monto mximo de compensacin global mensual, del total de proyectos en los que participen, ser
hasta 1.5 veces el salario integrado vigente de la plaza que ocupe.
B. Para el personal acadmico:
a) El monto mximo de compensacin global mensual, del total de proyectos en los que participen, ser
hasta 1.5 veces de su salario integrado vigente.
C. Para el personal operativo:
a) El monto mximo de compensacin global mensual, del total de proyectos en los que participen, ser
hasta 1.5 veces su salario vigente.
18. El monto mximo de remuneracin mensual se asignar con base en la responsabilidad dentro del
proyecto y el tiempo adicional a su jornada laboral la cual no podr ser mayor a cuatro horas diarias. El
personal que participe en el desarrollo de un proyecto especfico estar sujeto a los controles establecidos
por el Organismo Descentralizado.
Captulo IV
Del Activo Fijo
19. Los bienes muebles e inmuebles adquiridos con recursos externos, en todos los casos, formarn parte
del patrimonio del Organismo Descentralizado, por lo que debern estar debidamente inventariados y
resguardados conforme a la normatividad vigente.
Transitorios
PRIMERO. Estos lineamientos entrarn en vigor el 1 de enero de 2003.
SEGUNDO. Los presentes lineamientos se aplicarn a los recursos que se reciban a partir de su entrada
en vigor, los estudios o trabajos que actualmente se vienen realizando con aportaciones externas se
ajustarn en un plazo no mayor de 180 das naturales despus de su entrada en vigor.
TERCERO. Se concede un plazo de 90 das naturales para que se actualice el manual de procedimientos
para el registro, operacin e informacin sobre recursos externos.
La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si

un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y
regulaciones establecidas. Tambin permiten detectar de forma sistemtica el uso de los recursos y los
flujos de informacin dentro de una organizacin y determinar qu informacin es crtica para el
cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras,
que obstaculizan flujos de informacin eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una
empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados
objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los
mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de
recuperacin ante una contingencia.
Los objetivos de la auditora Informtica son:
El control de la funcin informtica

El anlisis de la eficiencia de los Sistemas Informticos
La verificacin del cumplimiento de la Normativa en este mbito
La revisin de la eficaz gestin de los recursos informticos.
La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:
Eficiencia
Eficacia
Rentabilidad
Seguridad
Generalmente se puede desarrollar en alguna o combinacin de las siguientes areas:
Gobierno corporativo
Administracin del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Protection y Seguridad.
Planes de continuidad y Recuperacin de desastres
La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la auditora

informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT, COSO e ITIL.
Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las
ms reconocidas y avaladas por los estndares internacionales ya que el proceso de seleccin consta de
un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos)
para no perder la certificacin

Auditoria de Sistemas Ti

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Auditoria de Sistemas Ti

Transféré par

Droits d'auteur :

Formats disponibles

Universidad Tecnolgica de

1.1 Auditoria de la Funcin Informtica...........................................................................................................................4

2.7.6 Explicar la auditoria de la red fsica y lgica....................................................................................................34

1.1.2 Describir la estructura organizacional y funciones de la

1.1.3 Reconocer las TI y sus caractersticas

Se puede reagrupar las TIC segn:

1.2.1 Describir el concepto de Poltica

1.2.2 Describir la importancia del manual de Polticas de la

1.3 Interpretacin del Manual de Procedimientos de la

Auxilian en la induccin del puesto y al adiestramiento y capacitacin del personal

1.3.2 Definir el concepto de manual

1.4 Recursos Humanos

1.4.2 Describir la Gestin de Recursos Humanos

Atraer a los candidatos al puesto de trabajo que estn potencialmente cualificados

A continuacin se sintetizan algunas de las funciones ms importantes de la Gestin de los Recursos

Evaluacin del desempeo

Permitir condiciones de medicin del potencial humano en el sentido de determinar su plena

1.5 Diagnostico de la Situacin Actual

1.5.1 Describir los pasos para realizar un diagnostico de la

1.5.2 Explicar el diagnostico del negocio u organizacin

Realizacin de los planes

Plan estratgico (a dnde se va)

Asignacin de responsabilidades y funciones

1.5.3 reas de Oportunidad de TI dentro de la Organizacin

El objetivo del diagnstico organizacional es someter a la organizacin a un auto-anlisis que le permita

1.6 Control Interno

1.6.1 Describir el concepto de control Interno, sus funciones y

El control no puede superar el valor de lo que se quiere controlar.

Control interno administrativo y control interno contable

La gerencia es responsable del establecimiento de una conciencia favorable de control interno de la

El personal de PED (sistemas) no realice las siguientes tareas:

1.6.2 Describir la metodologa para el establecimiento de

2.1 Planeacin de la auditoria Informtica

2.1.1 Reconocer las normas y estndares relacionados con

2.1.2 Identificar las fases de la auditoria Informtica

2.1.3 Definir los elementos de la planeacin de la auditoria

2.1.4 Definir el concepto de la lista de Verificacin

2.2 Evaluacin de la Seguridad

2.2.1 Identificar los modelos de Seguridad

Definir elementos administrativos

Anti-spyware, antivirus, llaves para proteccin de software, etc.

2.2.3 Definir la auditoria de seguridad fsica lgica de los datos

EL PLAN DE CONTINGENCIA DE TENER LO SIGUIENTE:

2.3 Seleccin de proveedores

Modelo de ficha de proveedores.

La investigacin de proveedores consiste en investigar y estudiar los posibles proveedores de los

2.3.2 Reconocer los procedimientos vigentes o existentes para

2.4 Licenciamiento del Software

2.4.1 Identificar los diferentes tipos de licenciamientos de

2.5 Evaluacin de Hardware y Software

2.5.1 Describir las caractersticas del Hardware y software

El Software de sistemas es un conjunto de programas que interactan con el entre el hardware y el

2.6 Evaluacin de sistemas

2.6.1 Describir los pasos para evaluar

2.6.2 Explicar los elementos de la evaluacin de anlisis de

2.6.3 Explicar los elementos de la evaluacin del diseo lgico

2.6.4 Explicar los elementos de la evaluacin del desarrollo del

La seguridad en Bases de Datos Est compuesta de

2.7 Evaluacin de la red

2.7.2 Reconocer los elementos que debe contener una red

La banda de frecuencia de 2,4 GHz.

2.7.3 Reconocer normas para establecer

Estndar ANSI/TIA/EIA-569 de Rutas y Espacios de telecomunicaciones para Edificios Comerciales

2.7.4 Reconocer el modelo OSI y el protocolo TCP/IP