Auditoria

Auditoría en
Informática
Equipo No. 7
Auditoría en Informática
TEMARIO.
I. INTRODUCCIÓN A LA AUDITORIA INFORMÁTICA................................................................................. 4

I.I CONCEPTOS DE AUDITORIA INFORMÁTICA ........................................................................................... 4
I.II TIPOS DE AUDITORIA ............................................................................................................................. 5
I.III CAMPO DE LA AUDITORIA INFORMÁTICA ......................................................................................... 6
I.IV CONTROL INTERNO ........................................................................................................................... 7
I.V MODELOS DE CONTROL ......................................................................................................................... 8
I.VI PRINCIPIOS APLICADOS A AUDITORES INFOMÁTICOS .................................................................... 10
I.VII RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR ................................................... 12
II. PLANEACIÓN DE LA AUDITORIA INFORMÁTICA ................................................................................. 15
II.I FASES DE LA AUDITORIA ......................................................................................................................... 15
La Planeación ........................................................................................................................................... 15
Revisión preliminar .................................................................................................................................. 15
Revisión detallada .................................................................................................................................... 15
Examen y evaluación de la información. ................................................................................................. 16
Pruebas sustantivas. ................................................................................................................................ 16
II.II EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESGO ............................................................................... 16
II.III. INVESTIGACIÓN PRELIMINAR .......................................................................................................... 22
II.IV PERSONAL PARTICIPANTE. .............................................................................................................. 28
III. AUDITORIA DE LA FUNCIÓN INFORMÁTICA. ...................................................................................... 31
III.I. INTRODUCCIÓN .......................................................................................................................................... 31
III.II. RECOPILACIÓN DE INFORMACIÓN ORGANIZACIONAL. ........................................................................................ 31
III.III. EVALUACIÓN DE RECURSOS HUMANOS. ........................................................................................................ 33
III.IV. ENTREVISTAS CON PERSONAL DE INFORMÁTICA. ............................................................................................. 36
III.V. ENTREVISTAS CON EL PERSONAL USUARIO. ..................................................................................................... 37
III.VI. SITUACIÓN PRESUPUESTAL Y FINANCIERA EN LA AUDITORIA INFORMÁTICA............................................................ 38
Presupuestos Auditoria Informática ........................................................................................................ 39
Recursos Financieros y Materiales Auditoria Informática ....................................................................... 39
IV. EVALUACIÓN DE LA SEGURIDAD.................................................................................................... 42
IV.I. GENERALIDADES DE SEGURIDAD AREA FÍSICA ...................................................................................... 42
IV.II SEGURIDAD LÓGICA Y CONFIDENCIAL ................................................................................................... 43
IV.III SEGURIDAD EN EL PERSONAL. ...................................................................................................................... 46
IV.IV CLASIFICACIÓN DE LOS CONTROLES DE SEGURIDAD. .......................................................................................... 48
IV.V SEGURIDAD DE DATOS Y SOFTWARE DE APLICACIÓN. ......................................................................................... 50
IV.VI. CONTROLES PARA EVALUAR SOFTWARE DE APLICACIÓN ................................................................... 51
IV.VII. CONTROLES PARA PREVENIR FRAUDES INFORMATICOS.................................................................... 52
IV.VIII. PLAN DE CONTINGENCIA Y PROCEDIMIENTOS DE RECUPERACIÓN DE DESASTRES .......................... 54
IV.IX TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FÍSICA Y PERSONAL. ..................... 57
IV.X TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD EN DATOS Y SOFTWARE DE
APLICACIÓN. ................................................................................................................................................. 58
V. AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMÁTICA .................................................................. 63
V.I. GENERALIDADES DE LA SEGURIDAD DE LA TELEINFORMATICA .............................................................. 64
V.II. OBJETIVOS Y CRITERIOS DE AUDITORIA PARA TELEINFORMATICA ........................................................ 65
V.III. SINTOMAS DE RIESGOS EN TELEINFORMATICA............................................................................... 67
V.IV. TECNICAS Y HERRAMIENTAS DE AUDITORIA RELACIONADAS CON LA SEGURIDAD EN LA
TELEINFORMATICA ....................................................................................................................................... 68
Equipo No. 7 Página 1

VI. INFORME DE LA AUDITORIA INFORMATICA ......................................................................................... 71

VI.I. GENERALIDADES DE LA SEGURIDAD DEL AREA FISICA.. ........................................................................ 71
VI.II CARACTERISTICAS DEL INFORME .......................................................................................................... 72
VI.III. ESTRUCTURA DEL INFORME ............................................................................................................... 74
VI.IV. FORMATO PARA EL INFORME ............................................................................................................. 75

UNIDAD I

I. INTRODUCCIÓN A LA AUDITORIA INFORMÁTICA

CONCEPTO DE AUDITORIA:
La Auditoría puede definirse como «un proceso sistemático para obtener y evaluar de manera
objetiva las evidencias relacionadas con informes sobre actividades económicas y otros
acontecimientos relacionados, cuyo fin consiste en determinar el grado de correspondencia del
contenido informativo con las evidencias que le dieron origen, así como establecer si dichos
informes se han elaborado observando los principios establecidos para el caso».
La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas
independientes del sistema auditado.
Función a desarrollar de una Auditoria
 Investigación constante de planes y objetivos Estudio de las políticas y sus prácticas

 Revisión constante de la estructura orgánica
 Estudio constante de las operaciones de la empresa
 Analizar la eficiencia de la utilización de recursos
 humanos y materiales
 Revisión del equilibrio de las cargas de trabajo
 Revisión constante de los métodos de control.
I.I CONCEPTOS DE AUDITORIA INFORMÁTICA

Proceso metodológico ejecutado por especialistas del área de auditoría y de informática.
Orientado a la verificación y aseguramiento de que las políticas y procedimientos establecidos
para el manejo y uso adecuado de la tecnología de información, se lleven a cabo de manera
oportuna y eficiente.
Que operen en un ambiente se seguridad y control para generar confiabilidad, integridad,

exactitud, etc. en los datos.
Debe generar un informe que indique las observaciones, recomendaciones y áreas de oportunidad
para el mejoramiento y optimización de las Tecnologías de Información.
Los objetivos de la auditoría Informática son:
 El control de la función informática

 El análisis de la eficiencia de los Sistemas Informáticos
 La verificación del cumplimiento de la Normativa en este ámbito
 La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
 Eficiencia

 Eficacia
 Rentabilidad
 Seguridad
I.II TIPOS DE AUDITORIA
 AUDITORIA INFORMATICA
o AUDITORIA INTERNA
o AUDITORIA EXTERNA
La auditoría interna
Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los
empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe
por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier
momento.
La auditoría interna nace de la práctica sin unos principios generales o un cuerpo teórico general.
Por ello se puedes distinguir tres etapas:
 La primera de ellas comprende la necesidad de obtener precisión en las cuentas y la

prevención del fraude.
 La segunda etapa como consecuencia de la depresión (después de la segunda guerra

mundial) la comisión de valores y bolsa hizo responsable a los gerentes financieros de la
fiabilidad de sus estados financieros, surgiendo la necesidad de implantar en las empresas
un control financiero y contable, así como a intervenir en cuestionar las tomas de
decisiones, la salvaguarda de activos y el profundizar en aspectos relativos a la gestión
empresarial.
La auditoría externa
Es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una
mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y
auditados.
Aplicando el concepto general, se puede decir que la auditoría Externa es el examen crítico,
sistemático y detallado de un sistema de información de una unidad económica, realizado por un
Contador Público sin vínculos laborales con la misma, utilizando técnicas determinadas y con el
objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control
interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinión
independiente tiene trascendencia a los terceros, pues da plena validez a la información generada
por el sistema ya que se produce bajo la figura de la Fe Pública, que obliga a los mismos a tener
plena credibilidad en la información examinada.

La Auditoría Externa examina y evalúa cualquiera de los sistemas de información de una

organización y emite una opinión independiente sobre los mismos, pero las empresas
generalmente requieren de la evaluación de su sistema de información financiero en forma
independiente para otorgarle validez ante los usuarios del productode este, por lo cual
tradicionalmente se ha asociado el término Auditoría Externa a Auditoría de Estados Financieros,
lo cual como se observa no es totalmente equivalente, pues puede existir Auditoría Externa del
Sistema de Información Tributario, Auditoría Externa del Sistema de Información Administrativo,
Auditoría Externa del Sistema de Información Automático etc.
La Auditoría Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y
autenticidad de los estados, expedientes y documentos y toda aquella información producida por
los sistemas de la organización.
Una Auditoría Externa se lleva a cabo cuando se tiene la intención de publicar el producto del
sistema de información examinado con el fin de acompañar al mismo una opinión independiente
que le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiando
en las declaraciones del Auditor.
La Auditoria Interna:
 El auditor tiene relación con la empresa.

 La relación con la empresa puede influir en la emisión del juicio sobre la evaluación de las
áreas de la empresa.
 Informe para uso interno.
 Permite detectar problemas y desviaciones.
 Puede actuar periódicamente como parte de su Plan Anual.
 Los auditados conocen estos planes y se habitúan a las Auditorías.
 Las Recomendaciones habidas benefician su trabajo.
La Auditoria Externa
 El auditor no tiene relación con la empresa

 Revisión independiente con total libertad de criterio sin ninguna influencia
 Realizadas por despachos de auditores
 Generalmente solicitado por instituciones gubernamentales
I.III CAMPO DE LA AUDITORIA INFORMÁTICA
Algunos campos de aplicación de la informática son las siguientes:
Investigación científica y humanística: Se usan las computadoras para la resolución de cálculos

matemáticos, recuentos numéricos, etc. Algunas de estas operaciones:
 Resolución de ecuaciones.
 Análisis de datos de medidas experimentales, encuestas etc.
 Análisis automáticos de textos.

Aplicaciones técnicas: Usa la computadora para facilitar diseños de ingeniería y de productos

comerciales, trazado de planos, etc. Algunas de estas operaciones:
 Análisis y diseño de circuitos de computadora.

 Cálculo de estructuras en obras de ingeniería.
 Minería.
 Cartografía.
Documentación e información: Es uno de los campos más importantes para la utilización de

computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la
recuperación controlada de los mismos en bases de datos.
Ejemplos de este campo de aplicación son:
 Documentación científica y técnica.

 Archivos automatizados de bibliotecas.
 Bases de datos jurídicas.
Gestión administrativa: Automatiza las funciones de gestión típicas de una empresa. Existen
programas que realizan las siguientes actividades:
 Contabilidad.
 Facturación.
 Control de existencias.
 Nóminas.
Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento

de la mente humana. Los programas responden como previsiblemente lo haría una persona
inteligente.
Aplicaciones como:
 Reconocimiento del lenguaje natural.

 Programas de juego complejos (ajedrez).
Instrumentación y control:Instrumentación electrónica, electromedicina, robots industriales,

entre otros.
I.IV CONTROL INTERNO
Se puede definir el control interno como "cualquier actividad o acción realizada manual y/o
automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.
Los controles internos se clasifican en los siguientes:
 Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad

que impida los accesos no autorizados al sistema.

 Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto
antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el
registro de la actividad diaria para detectar errores u omisiones.etc.
 Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido

incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias
de seguridad.
Para la implantación de un sistema de controles internos informáticos habrá que definir:
 Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base
para el diseño y la implantación de los sistemas de información y de los controles
correspondientes.
 Administración de sistemas: Controles sobre la actividad de los centros de datos y otras

funciones de apoyo al sistema, incluyendo la administración de las redes.
 Seguridad: incluye las tres clases de controles fundamentales implantados en el software

del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.
 Gestión del cambio: separación de las pruebas y la producción a nivel del software y
controles de procedimientos para la migración de programas software aprobados y
probados.
I.V MODELOS DE CONTROL

En la actualidad existen una gran cantidad de modelos de control interno. Los modelos de control
interno COSO y COBIT son los dos modelos más difundidos en la actualidad.
COSO esta enfocado a toda la organización, contempla políticas, procedimientos y estructuras
organizativas además de procesos para definir el modelo de control interno.
Mientras que COBIT (Control Objectives for Information and Related Technology, Objetivos de
Control para Tecnología de Información y Tecnologías relacionadas) se centra en el entorno IT,
contempla de forma específica la seguridad de la información como uno de sus objetivos, cosa que
COSO no hace. Además el modelo de control interno que presenta COBIT es más completo, dentro
de su ámbito.
Existen otros tipos de modelos los cuales se mencionan a continuación:
 OECD (Organization for Economic Cooperation and Development)

 GAPP (Generaly Accepted Principles and Practices). National Institute of Standards and
Technology (NIST)
 BS 7799 (British Standard Institute)
 SAC (Security Auditability and Control). The Inst. of Internal Audit.
 COSO (Internal Control Integrated Framework. Committee of Sponsoring Organizations)
 SSE CMM (Systems Security Engineering Capability Maturity Model)
 National Security Agency (NSA) Defense- Canada.
 CoCo (Criteria of Control Board of The Canadian Institute of Chartered Accountants.)

 ITCG (Information Technology Control Guidelines). Canadian Institute of Chartered

Accountants (CICA)
 GASSP (Generaly Accepted System Security Principles). International Information Security
Foundation (IISF)
 Cobit (Control Objectives for Information and Related Technologies)
 FISCAM (Federal Information Systems Controls Audit Manual). GAO
 SysTrust (AICPA/CICA SysTrust Principles and Criteria for System Reliability)
 SSAG (System Self-Assessment Guide for Information Technology Systems). NIST
DEFINICION DE COBIT
 Es un marco de control interno de

TI.
 Parte de la premisa de que la TI
requiere proporcionar información
para lograr los objetivos de la
organización.
 Promueve el enfoque y la propiedad
de los procesos.
Apoya a la organización al proveer un marco

que asegura que:
 La Tecnología de Información (TI)

esté alineada con la misión y visión.
 LA TI capacite y maximice los beneficios.
 Los recursos de TI sean usados responsablemente.
 Los riesgos de TI sean manejados apropiadamente
ESTRUCTURA DE COBIT
COBIT – REQUERIMIENTOS DE LA
INFORMACIÓN DEL NEGOCIO
Requerimientos de Calidad
 Calidad.
 Costo.
 Oportunidad.
Requerimientos Financieros (COSO)
 Efectividad y eficiencia operacional.

 Confiabilidad de los reportes financieros

 Cumplimiento de leyes y regulaciones.
Requerimientos de Seguridad
 Confidencialidad.
 Integridad.
 Disponibilidad.
Efectividad: Información relevante y pertinente, proporcionada en forma oportuna, correcta,
consistente y utilizable
Eficiencia: Empleo óptimo de los recursos.
Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada
Integridad: Información exacta y completa, así como válida de acuerdo con las expectativas de la
organización.
Disponibilidad: accesibilidad a la información y la salvaguarda de los recursos y sus capacidades.
Cumplimiento: Leyes, regulaciones y compromisos contractuales.
Confiabilidad: Apropiada para la toma de decisiones adecuadas y el cumplimiento normativo
COBIT – PROCESOS DE TI – TRES NIVELES
I.VI PRINCIPIOS APLICADOS A AUDITORES INFOMÁTICOS
PRINCIPIO DE BENEFICIO DE AUDITADO
En este principio el auditor debe conseguir la máxima eficacia y rentabilidad de los medios
informáticos de la empresa auditada, no debe de ningún modo obtener beneficio propio.
PRINCIPIO DE CALIDAD
En el auditor deberán prestar sus servicios conforme las posibilidades de la ciencia y medios a su
alcance con absoluta libertad respecto a la utilización de dichos medios y en unas condiciones
técnicas adecuadas para el idóneo cumplimiento de su labor.
PRINCIPIO DE CONFIANZA
El auditor deberá facilitar e incrementar la confianza del auditora en base a una actuación de
transparencia en su actividad profesional sin alardes científicos-técnicos.
PRINCIPIO DE CAPACIDAD
El auditor debe estar plenamente capacitado para la realización de la auditoría encomendada,
maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser
extremadamente difícil verificar sus recomendaciones y evaluar correctamente la precisión de las
mismas.
PRINCIPIO DE COMPORTAMIENTO PROFESIONAL
El auditor, tanto en sus relaciones con el auditado como con terceras personas, deberá, en todo
momento, actuar conforma a las normas, implícitas o explícitas, de dignidad de la profesión y de
corrección en el trato personal.
PRINCIPIO DE CRITERIO PROPIO

El auditor durante la ejecución deberá actuar con criterio propio y no permitir que esté
subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el
mismo.
PRINCIPIO DE CONCENTRACION EN EL TRABAJO
El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de concentración y
precisión en cada una de las tareas a él encomendadas, y a que la estructuración y dispersión de
trabajos suele a menudo, si no está debidamente controlada, provocar la conclusión de los
mismos sin las debidas garantías de seguridad.
PRINCIPIO DE DISCRECIÓN
El auditor deberá en todo momento mantener una cierta discreción en la divulgación de datos,
aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecución de la auditoria.
PRINCIPIO DE ECONOMÍA
El auditor deberá proteger, en la medida de sus conocimientos, los derechos económicos del
auditado evitando generar gastos innecesarios en el ejercicio de su actividad.
PRINCIPIO DE FORMACIÓN CONTINUADA
Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente
actualización de sus conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda
y a las exigencias de la competencia de la oferta.
PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA
PROFESIÓN
La defensa de los auditados pasa por el fortalecimiento de la profesión de los auditores
informáticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad
desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el
idóneo cumplimiento de la finalidad de las auditorias.
PRINCIPIO DE INDEPENDENCIA
Este relacionado con el principio de criterio propio, obliga al auditor, tanto si actúa como
profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la
auditoria informática, a exigir una total autonomía e independencia en su trabajo.
PRINCIPIO DE INFORMACIÓN SUFICIENTE
Este principio obliga al auditor a aportar, en forma pormenorizada, clara, precisa e inteligible para
el auditado, información de los puntos y conclusiones relacionados con la auditoria.
PRINCIPIO DE INTEGRIDAD MORAL
Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto,
leal y diligente en el desempeño de su misión, a ajustarse a las normas morales de justicia y
prioridad.
PRINCIPIO DE LEGALIDAD
La primacía de esta obligación exige del auditor un comportamiento activo de oposición a todo
intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto
integrado en el derecho positivo.
PRINCIPIO DE LIBRE COMPETENCIA
La actual economía de mercado exige que el ejercicio de la profesión se realice en el marco de la
libre competencia siendo rechazables, por tanto, las prácticas colusorias tendentes a impedir o
limitar la legítima competencia de otros profesionales.
PRINCIPIO DE NO DISCRIMINACIÓN
El auditor en su actuación previa, durante y posterior a la auditoria deberá evitar cualquier tipo de
condicionantes personalizados y actuar en todos los casos con similar diligencia.
PRINCIPIO DE NO INJERENCIA

El auditor, deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y
eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma, deberá
igualmente evitar aprovechar los datos.
PRINCIPIO DE PRECISIÓN
Este principio exige del auditor la no conclusión de su trabajo hasta estar convencido, en la medida
de lo posible, de la viabilidad de sus propuestas.
PRINCIPIO DE PUBLICIDAD ADECUADA

La oferta y promoción de los servicios de auditoria deberán en todo momento ajustarse a las
características, condiciones y finalidad perseguidas.
PRINCIPIO DE RESPONSABILIDAD
El auditor deberá, como elemento intrínseco de todo comportamiento profesional,
responsabilizarse de lo que haga, diga o aconseje.
PRINCIPIO DE SECRETO PROFESIONAL

La confidencia y confianza entre el auditor y el auditado e imponen al primero la obligación de
guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad
profesional.
PRINCIPIO DE SERVICIO PÚBLICO

La aplicación de este principio debe incitar al auditor a hacer lo que este en su mano y sin perjuicio
de los intereses de su cliente, para evitar daños sociales.
PRINCIPIO DE VERACIDAD
El Auditor en sus comunicaciones con el auditado deberá tener siempre presente la obligación de
asegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto,
corrección, y secreto profesional.
I.VII RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR
El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo
tiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar las
siguientes actividades:
 Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.
 Análisis de la administración de Sistemas de Información, desde un punto de vista de
riesgo de seguridad, administración y efectividad de la administración.
 Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de
aplicaciones.
 Auditoría del riesgo operativo de los circuitos de información
 Análisis de la administración de los riesgos de la información y de la seguridad implícita.
 Verificación del nivel de continuidad de las operaciones.
 Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias
empresariales que un desfase tecnológico puede acarrear.
 Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas
y operativas de información de la empresa.

RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR
Organización de la función de Auditoría Informática

La función de la auditoría informática se ha convertido en una función que desarrolla un trabajo
más acorde con la importancia que para las organizaciones tienen los SI, que son su objeto de
estudio y análisis. El auditor informático pasa a ser auditor y consultor de empresas en materias
de:
 Seguridad
 Control interno operativo
 Eficiencia y eficacia
 Tecnologías de Información
 Continuidad de operaciones
 Administración de riesgos
Su localización puede estar ligada a la auditoría interna operativa y financiera (aunque exista una
coordinación lógica entre ambos departamentos), con independencia de objetivos, planes de
formación y presupuestos.
Debe ser un grupo independiente del de auditoría interna, con acceso total a los SI y demás
tecnología, que depende de la misma persona que la auditoría interna (Director General o
Consejero).
La dependencia debe ser del máximo responsable de la organización, nunca del departamento de
sistemas o del financiero. Esto es para que no se pueda sospechar que existe sesgo al momento de
realizar el trabajo de auditoría y ofrecer conclusiones y recomendaciones.
Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada
de personas con formación en auditoría y organización y con perfil informático (especialidades).

UNIDAD II

II. PLANEACIÓN DE LA AUDITORIA INFORMÁTICA
II.I Fases de la auditoria
La Planeación
En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla

desde el punto de vista de los dos objetivos:
 Evaluación de los sistemas y procedimientos.

 Evaluación de los equipos de cómputo.
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre
la organización y sobre la función de informática a evaluar.
Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en
esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y
documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
Con ello podremos determinar el número y características del personal de auditoría, las
herramientas necesarias, el tiempo y costo, así como definir los alcances de la auditoría para, en
caso necesario, poder elaborar el contrato de servicios.
¿Cómo actúa en la etapa de planeación?
Análisis en los grados de preparación técnica, experiencia y capacidad profesional de los auditores.
 Revisión del plan general del trabajo, definición de objetivos.

 Discusión del plan de trabajo.
Discusión y fijación del presupuesto del tiempo.
Revisión preliminar
El objetivo de esta fase es revisar la instalación para obtener información sobre como llevar a cabo
la auditoria. Al finalizarla, el auditor puede proceder de tres maneras:
 No continuar con la auditoria.

 Pasar a la siguiente fase para realizar la revisión detallada de los controles internos,
esperando poder confiar en ellos, y reducir los Test de Apoyo.
 Pasa directamente a la fase de pruebas de sustantivas.
Revisión detallada
El objetivo de esta fase es obtener información necesaria para tener un conocimiento detallado
(profundo) de los controles utilizados en la instalación. Al finalizarla, el auditor puede tomar una
de las siguientes decisiones:
 No continuar con la auditoria.

 Pasar a la fase pruebas de controles de usuario, esperando poder confiar en los controles
internos.

 Pasar directamente a la fase de pruebas sustantivas.
Examen y evaluación de la información.
Consiste en el examen y evaluación periódica de los recursos informativos.

Su objetivo es conocer la utilización que se hace de la información, las barreras que se le impone y
el establecimiento de procesos de mejora.
Mediante una revisión adecuada de los recursos informáticos, y el uso de formatos bien diseñados
para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para
control del cliente.
Pruebas sustantivas.
¿Qué es una prueba sustantiva?
Son aquellas pruebas que diseña el auditor como el objeto de conseguir evidencia que permita
opinar sobre la integridad, razonabilidad y validez de los datos producidos por el sistema contable
de la empresa auditada.
Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen
analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la
información
¿De que dependen las pruebas sustantivas?
Dependerán del tipo de volumen de errores que pudieran ocurrir en los procesos contables de la
empresa que no fueron descubiertos por los procedimientos de control interno empleados.
A menor cantidad de errores de importancia que pudieran ocurrir, mayor será la limitación del
alcance de las pruebas sustantivas.
II.II Evaluación de los sistemas de acuerdo al riesgo
Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que se dan, son las
raíces de la incertidumbre y el riesgo que las organizaciones confrontan.
La administración de riesgos en un marco amplio implica que las estrategias, procesos, personas,
tecnología y conocimiento están alineados para manejar toda la incertidumbre que una
organización enfrenta.
Por el otro lado los riesgos y oportunidades van siempre de la mano, y la clave es determinar los
beneficios potenciales de estas sobre los riesgos.

Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de los Sistemas de Control

Interno, en los cuales se asumen tres tipos de Riesgo:
 Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de Control Interno.
 Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su revisión
no detecten deficiencias en el Sistema de Control Interno.
 Riesgo Inherente: Son aquellos que se presentan inherentes a las características del
Sistema de Control Interno.
Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado.
Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva
la existencia de varias metodologías para llevar a cabo una auditoria informática.
Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de
manera ordenada y eficaz.
Objetivos
 Contar con una herramienta que le permita realizar el trabajo de forma eficiente.
 Contar con los formatos e indicadores, para las diferentes fases de los procesos.
 Ser lo suficientemente flexible para adaptarse a las necesidades y requerimientos de cada
revisión, de acuerdo a las condiciones concretas de cada dependencia.
¿Como deben de ser las metodologías?
La metodología usada por el auditor interno debe ser diseñada y desarrollada por el propio auditor
-Se basa en su grado de experiencia y habilidad
-Se deben crear las metodologías necesarias para auditar los distintos aspectos definidos en el
plan auditor informático.
Partes que conforman el plan de auditoria:
 Funciones.
 Procedimientos.
 Tipos de auditorías que realiza.
 Sistema de evaluación.
 Nivel de exposición.
 Lista de distribución de informes.
 Seguimiento de acciones correctoras.
 Plan de trabajo.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el control

informático, se puede agrupar en dos grandes familias:
 Cuantitativas

 Metodologías de los auditores internos
Están formuladas por recomendaciones de plan de trabajo , números , historiales, indicadores.
 Cualitativas
 Controles generales
El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador Dependen en
gran medida de la experiencia de los profesionales que las usan.
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo.
Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad
por tener asignados unos valores numéricos. Estos valores son datos de probabilidad de
ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el número de
incidencias tiende al infinito.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo,

para seleccionar en base al experiencia acumulada. Basadas en métodos estadísticos y lógica
borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.
Ventajas:
 Enfoque lo amplio que se desee.

 Plan de trabajo flexible y reactivo.
 Se concentra en la identificación de eventos.
Desventajas
 Depende fuertemente de la habilidad y calidad del personal involucrado.

 Identificación de eventos reales más claros al no tener que aplicarles probabilidades
complejas de calcular.
 Dependencia profesional.
En la actualidad existen tres tipos de metodologías de auditoria informática:
 R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen.

 CHECKLIST o cuestionarios.
 AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestión de
base de Datos DB2; paquete de seguridad RACF, etc.).
CRMR son las siglas de “Computer resource management review”, su traducción más adecuada,
Evaluación de la gestión de recursos informáticos. En cualquier caso, esta terminología quiere
destacar la posibilidad de realizar una evaluación de eficiencia de utilización de los recursos por
medio del management.

Una revisión de esta naturaleza no tiene en sí misma el grado de profundidad de una auditoría
informática global, pero proporciona soluciones más rápidas a problemas concretos y notorios.
Supuestos de aplicación
En función de la definición dada, la metodología abreviada CRMR es aplicable más a deficiencias

organizativas y gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de un
Centro de Procesos de Datos.
El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:
 Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.

 Los resultados del Centro de Procesos de Datos no están a disposición de los usuarios en el
momento oportuno.
Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a las
condiciones de aplicación señaladas en punto anteriores:
 Gestión de Datos
 Control de Operaciones
 Control y utilización de recursos materiales y humanos
 Interfaces y relaciones con usuarios
 Planificación
 Organización y administración.
Ciertamente, el CRMR no es adecuado para evaluar la procedencia de adquisición de nuevos

equipos (Capacity Planning) o para revisar muy a fondo los caminos críticos o las holguras de un
Proyecto complejo.
OBJETIVOS
CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los
procedimientos y métodos de gestión que se observan en un Centro de Proceso de Datos. Las
Recomendaciones que se emitan como resultado de la aplicación del CRMR, tendrán como
finalidad algunas de las que se relacionan:
 Identificar y fijar responsabilidades.

 Mejorar la flexibilidad de realización de actividades.
 Aumentar la productividad.
 Disminuir costes.
 Mejorar los métodos y procedimientos de Dirección.
Se fijarán los límites que abarcará el CRMR, antes de comenzar el trabajo.
Se establecen tres clases:
1. Reducido. El resultado consiste en señalar las áreas de actuación con potencialidad

inmediata de obtención de beneficios.

2. Medio. En este caso, el CRMR ya establece conclusiones y Recomendaciones, tal y como se

hace en la auditoría informática ordinaria.
3. Amplio. El CRMR incluye Planes de Acción, aportando técnicas de implementación de las

Recomendaciones, a la par que desarrolla las conclusiones.
Supuestos de aplicación
En función de la definición dada, la metodología abreviada CRMR es aplicable más a deficiencias

organizativas y gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de un
Centro de Procesos de Datos.
El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:
 Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.

 Los resultados del Centro de Procesos de Datos no están a disposición de los usuarios en el
momento oportuno
Se genera con alguna frecuencia información errónea por fallos de datos o proceso.
 Existen sobrecargas frecuentes de capacidad de proceso.

 Existen costes excesivos de proceso en el Centro de Proceso de Datos.
Efectivamente, son éstas y no otras las situaciones que el auditor informático encuentra con
mayor frecuencia. Aunque pueden existir factores técnicos que causen las debilidades descritas,
hay que convenir en la mayor incidencia de fallos de gestión.
Áreas de Aplicación
Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a las
condiciones de aplicación señaladas en punto anteriores:
 Gestión de Datos
 Control de Operaciones
 Control y utilización de recursos materiales y humanos
 Interfaces y relaciones con usuarios
 Planificación
 Organización y administración
Información necesaria para la evaluación del CRMR
Se determinan en este punto los requisitos necesarios para que esta simbiosis de auditoría y
consultoría pueda llevarse a cabo con éxito.
1. El trabajo de campo del CRMR ha de realizarse completamente integrado en la estructura

del Centro de Proceso de Datos del cliente, y con los recursos de éste.
2. Se deberá cumplir un detallado programa de trabajo por tareas.

3. El auditor-consultor recabará determinada información necesaria del cliente.
Se tratan a continuación los tres requisitos expuestos:
1.- Integración del auditor en el Centro de Procesos de Datos a revisar.
No debe olvidarse que se están evaluando actividades desde el punto de vista gerencial. El
contacto permanente del auditor con el trabajo ordinario del Centro de Proceso de Datos permite
a aquél determinar el tipo de esquema organizativo que se sigue.
2. - Programa de trabajo clasificado por tareas.
Todo trabajo habrá de ser descompuesto en tareas. Cada una de ellas se someterá a la siguiente
sistemática:
 Identificación de la tarea
 Descripción de la tarea
 Descripción de la función de dirección cuando la tarea se realiza incorrectamente.
 Test para la evaluación de la práctica directiva en relación con la tarea
 Posibilidades de agrupación de tareas
 Ajustes en función de las peculiaridades de un departamento concreto
 Registro de resultados, conclusiones y Recomendaciones.
El cliente es el que facilita la información que el auditor contrastará con su trabajo de campo.
Se exhibe a continuación una Checklist completa de los datos necesarios para confeccionar el
CRMR:
 Datos de mantenimiento preventivo de Hardware

 Informes de anomalías de los sistemas
 Procedimientos estándar de actualización.
 Procedimientos de emergencia.
 Monitoreo de los Sistemas.
 Informes del rendimiento de los Sistemas.
 Mantenimiento de las Librerías de Programas.
 Gestión de Espacio en disco.
 Documentación de entrega de Aplicaciones a Explotación.
 Documentación de alta de cadenas en Explotación.
 Utilización de CPU, canales y discos.
 Datos de paginación de los Sistemas.
 Volumen total y libre de almacenamiento.
 Ocupación media de disco.
 Manuales de Procedimientos de Explotación.

II.III. INVESTIGACIÓN PRELIMINAR
Descripción general de los sistemas instalados y de los que estén por instalarse que contengan
volúmenes de información.
 Manual de formas.
 Manual de procedimientos de los sistemas.
 Descripción genérica.
 Diagramas de entrada, archivos, salida.
 Salidas.
 Fecha de instalación de los sistemas.
 Proyecto de instalación de nuevos sistemas.
Objetivos de una evaluación
 Comparar alternativas, para encontrar la mejor.

 Determinar el impacto de una nueva característica, por ejemplo, añadir un disco duro
nuevo.
 Sintonizar el sistema, hacer que funcione mejor según algún punto de vista.
 Identificar prestaciones relativas entre diferentes sistemas.
 Depuración de prestaciones, identificar los fallos del sistema que hacen que vaya más
lento.
 Poner unas expectativas sobre el uso del sistema, por ejemplo, cuántas conexiones es
capaz de soportar una base de datos simultáneamente, o cuántas peticiones un sitio web.
Evaluación en un sistema informático es realizada en:
 Diseñadores, usuarios y administradores de un sistema informático.

 Para obtener el mejor rendimiento con los menores costes.
Los sistemas deben ser evaluadas con mucho detalle, para lo cual se debe revisar si existen
realmente sistemas entrelazados como un todo o bien si existen programas aislados.
Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o
si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos.
El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos
estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos
(hardware, software y comunicaciones) deberán ser compatibles con la arquitectura y la
tecnología, conque se cuenta actualmente.
En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de
información de la dependencia.
¿Qué estudios van a ser realizados al respecto?

¿Qué metodología se utilizará para dichos estudios?
¿Quién administrará y realizará dichos estudios?

En el momento de hacer la planeación de la auditoría, debemos evaluar que pueden presentarse

las siguientes situaciones.
Se solicita la información y se ve que:
 No tiene y se necesita.
 No se tiene y no se necesita.
Se tiene la información pero:
 No se usa.
 Es incompleta.
 No esta actualizada.
 No es la adecuada.
 Se usa, está actualizada, es la adecuada y está completa.
 En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria.

 En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo
con las necesidades y con el uso que se le va a dar.
 En el caso de que se tenga la información pero no se utilice, se debe analizar por que no se
usa.
 En caso de que se tenga la información, se debe analizar si se usa, si está actualizada, si es la
adecuada y si está completa.
El plan estratégico deberá establecer los servicios que se presentarán en un futuro contestando
preguntas como las siguientes:
¿Cuáles servicios se implementarán?

¿Cuándo se pondrán a disposición de los usuarios?
¿Qué características tendrán?
¿Cuántos recursos se requerirán?
La estrategia de desarrollo deberá establecer las nuevas aplicaciones, recursos y la arquitectura en

que estarán fundamentados:
¿Qué aplicaciones serán desarrolladas y cuando?

¿Qué tipo de archivos se utilizarán y cuando?
¿Qué bases de datos serán utilizarán y cuando?
¿Qué lenguajes se utilizarán y en que software?
¿Qué tecnología será utilizada y cuando se implementará?
¿Cuantos recursos se requerirán aproximadamente?
¿Cuál es aproximadamente el monto de la inversión en hardware y software?
En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y los
controles establecidos.
Por último, el plan estratégico determina la planeación de los recursos.

¿Contempla el plan estratégico las ventajas de la nueva tecnología?

¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios?
Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen:
1.=Requerimientos del usuario. 2.=Estudio de factibilidad.

3.=Análisis de riesgo 4.=Diseño general.
5.=Análisis 6.=Diseño lógico
7.=Desarrollo físico 8. =Pruebas.
9.=Implementación 10.=Evaluación.
11.=Modificaciones 12.=Instalación
13.=Mejoras.
Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.
1=Requerimientos del usuario

1). Investigación Preliminar: La solicitud para recibir ayuda de un sistema de información puede
originarse por varias razones: sin importar cuales sean estas, el proceso se inicia siempre con la
petición de una persona.
2). Determinación de los requerimientos del sistema: El aspecto fundamental del análisis de
sistemas es comprender todas las facetas importantes de la parte de la empresa que se encuentra
bajo estudio. Los analistas, al trabajar con los empleados y administradores, deben estudiar los
procesos de una empresa para dar respuesta a las siguientes preguntas clave:
¿Qué es lo que hace?

¿Cómo se hace?
¿Con que frecuencia se presenta?
¿Qué tan grande es el volumen de transacciones o decisiones?
¿Cuál es el grado de eficiencia con el que se efectúan las tareas?
¿Existe algún problema? ¿Qué tan serio es? ¿Cuál es la causa que lo origina?
2=Estudio de factibilidad
La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el
sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable
elaborarlo.
Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en

operación, así como los que estén en la fase de análisis para evaluar si se considera la
disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la
necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que
reportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos tendrán
sobre el sistema y la congruencia de los diferentes sistemas.
En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio de

factibilidad con los puntos señalados y compararse con la realidad con lo especificado en el
estudio de factibilidad.

Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una serie de
beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y
evaluar si se satisficieron las necesidades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de
los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo,
personal y operación, cosa que en la práctica son costos directos, indirectos y de operación.
Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de
operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una
mejoría en los procedimientos de control, mayor confiabilidad y seguridad.
3.Análisis riesgo
RIESGO Planificación insuficiente

EJEMPLO Cuando los desarrolladores de software superan en tiempo establecido para la
terminación del software.
CONTROL Debe analisarse minuciosamente la planeación del desarrollo del programa para un
desarrollo rápido.
RIESGO Cambio de requerimientos

EJEMPLO Este caso se presenta cuando no se definieron claramente los requerimientos del
software y al desarrollador, analista le toca rediseñaran y volver a programar
CONTROL Realizar cuidadosamente el estudio antes de comenzar el desarrollo, aplicando los
diferentes métodos obtención de requerimientos
RIESGO Tiempo de desarrollo

EJEMPLO Cuando los desarrolladores de software su pera en tiempo establecido para la
terminación del software.
CONTROL Debe analizarse minuciosamente la planeación del desarrollo del programa
RIESGO Pérdida de manuales

EJEMPLO En una empresa que se necesite la actualización de un sistema
CONTROL Proteger los manuales en lugares seguros en donde los operadores, analistas,
desarrolladores tengan acceso; y no se dañen.
RIESGO Diseño inadecuado

EJEMPLO En el proceso de desarrollo los diseñadores no escatiman el tiempo necesario para la
creación del diseño por la rapidez de completar la planeación.
CONTROL Determinar en la planeación el tempo justo para el desarrollo de diseño y darle su
importancia.
4. Diseño
El diseño de un sistema de información produce los detalles que establecen la forma en la que el
sistema cumplirá con los requerimientos identificados durante la fase de análisis. Los especialistas
en sistemas se refieren, con frecuencia, a esta etapa como diseño lógico en contraste con la del
desarrollo del software, a la que denominan diseño físico.

5. Análisis.
Hemos de estudiar las tareas realizadas por cada uno de estos elementos del sistema y determinar
cuáles de estas funciones se pueden automatizar, por ejemplo, si deseamos realizar una aplicación
para gestionar una empresa, hemos de ver qué funciones realiza la empresa, cuáles de éstas se
realizan manualmente por personas y cuáles están automatizadas, se realizan mediante
ordenador, se intentará automatizar el mayor número de funciones posible.
Antes de comenzar a diseñar el software hemos de especificar ciertos aspectos del mismo, como
son, funciones que debe realizar, interacción con el resto de los elementos del sistema,
rendimiento, fiabilidad, etc., en cada una de las dos fases mencionadas se genera unos
documentos que nos permiten fijar la estructura funcional de la organización y todos los
requerimientos que se exigirán al software que se va a desarrollar, los documentos, tanto del
análisis del sistema como del software, se revisan con el cliente hasta que realmente reflejen la
realidad de la organización y sus necesidades.
6. Diseño lógico.
 Traduce los escenarios de uso creados en el diseño conceptual en un conjunto de objetos de

negocio y sus servicios.
 Se convierte en parte en la especificación funcional que se usa en el diseño físico.
 Es independiente de la tecnología.
 Refina, organiza y detalla la solución de negocios y define formalmente las reglas y políticas
específicas de negocios.
En el diseño lógico conceptualmente se divide en tres niveles de servicios con el fin de que la
aplicación resulte flexible ante los cambios de requerimientos y/o de tecnología cambiando
únicamente la capa o capas necesarias. Los tres niveles son: servicios de usuario, servicios de
negocio y servicios de datos.
7. Desarrollo físico
Plasmamos el diseño de la fase anterior en programas escritos en un lenguaje de programación

adecuado, dependiendo del tipo de aplicación, si el diseño se ha hecho correctamente y de forma
detallada, la codificación puede realizarse mecánicamente, es decir, sería un simple proceso de
traducción, de cambio de representación.
El diseño físico traduce el diseño lógico en una solución implementable y costo-efectiva o

económica.
El componente es la unidad de construcción elemental del diseño físico. Las características de un

componente son:
 Se define según cómo interactúa con otros.

 Encapsula sus funciones y sus datos.
 Es reusable a través de las aplicaciones.
 Puede verse como una caja negra.
 Puede contener otros componentes.

El diseño físico debe involucrar:

 El diseño para distribución – debe minimizarse la cantidad de datos que pasan como
parámetros entre los componentes y éstos deben enviarse de manera segura por la red.
 El diseño para multitarea – debe diseñarse en términos de la administración concurrente
de dos o más tareas distintas por una computadora y el multithreading o múltiples hilos de
un mismo proceso)
 El diseño para uso concurrente – el desempeño de un componente remoto depende de si
está corriendo mientras recibe una solicitud.
8. Pruebas
Consiste en comprobar si hemos construido el software que se deseaba, es decir, comprobar que
los programas se corresponden con el diseño, realizan correctamente sus funciones, y satisfacen
los requisitos indicados.
9. Implementación
La implantación es el proceso de verificar e instalar nuevo equipo, entrenar a los usuarios, instalar
la aplicación y construir todos los archivos de datos necesarios para utilizarla. Una vez instaladas,
las aplicaciones se emplean durante muchos años. Sin embargo, las organizaciones y los usuarios
cambian con el paso del tiempo, incluso el ambiente es diferente con el paso de las semanas y los
meses.
10. Evaluación
Ocurre a lo largo de cualquiera de las siguientes dimensiones:
*Evaluación operacional: Valoración de la forma en que funciona el sistema, incluyendo su

facilidad de uso, tiempo de respuesta, lo adecuado de los formatos de información, confiabilidad
global y nivel de utilización.
Impacto organizacional: Identificación y medición de los beneficios para la organización en áreas

tales como finanzas, eficiencia operacional e impacto competitivo. También se incluye el impacto
sobre el flujo de información externo e interno.
Opinión de loa administradores: evaluación de las actividades de directivos y

administradores dentro de la organización así como de los usuarios finales.
Desempeño del desarrollo: La evaluación de proceso de desarrollo de acuerdo con

criterios tales como tiempo y esfuerzo de desarrollo, concuerdan con presupuestos y estándares, y
otros criterios de administración de proyectos. También se incluye la valoración de los métodos y
herramientas utilizados en el desarrollo.
Las características que deben evaluarse en los sistemas son:
 Dinámicos (susceptibles de modificarse).

 Estructurados (las interacciones de sus componentes o subsistemas deben actuar como un
todo)

 Integrados (un solo objetivo). En él habrá sistemas que puedan ser interrelacionados y no
programas aislados.
 Accesibles (que estén disponibles).
 Necesarios (que se pruebe su utilización).
 Comprensibles (que contengan todos los atributos).
 Oportunos (que esté la información en el momento que se requiere).
 Funcionales (que proporcionen la información adecuada a cada nivel).
 Estándar (que la información tenga la misma interpretación en los distintos niveles).
 Modulares (facilidad para ser expandidos o reducidos).
 Jerárquicos (por niveles funcionales).
 Seguros (que sólo las personas autorizadas tengan acceso).
 Únicos (que no duplique información).
11. Modificaciones
Es la última etapa del ciclo de vida de los sistemas, consiste en realizar todas las actividades
necesarias a fin de mantener el sistema trabajando adecuadamente, respetando los niveles de
calidad establecidos.
12. Instalación
Es la actividad FINAL.
Existen varias estrategias de INSTALACION: Gradual, distribuida, completa.
Un aspecto importante de esta actividad es la CAPACITACION
13. Mejoras
El software sufrirá cambios después de que se entregue al cliente debidos fundamentalmente a la

existencia de errores, la necesidad de adaptar el software, nuevo Sistema Operativo, nueva
máquina específica, etc., nuevas necesidades del cliente que requiere aumentos funcionales o de
rendimiento del software.
II.IV PERSONAL PARTICIPANTE.
Una de las partes más importantes en la planeación de la auditoria en informática es el personal

que deberá participar, ya que se debe contar con un equipo seleccionado y con ciertas
características que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo
estimado.
Número de persona que deberán participar
Esto depende de las dimensiones de la organización, de los sistemas y de los equipos, lo que se
deberá considerar son exactamente las características que debe cumplir cada uno del personal
que habrá de participar en la auditoria.
Uno de los esquemas generalmente aceptados para tener un adecuado control es:

 Que el personal que intervenga capacitado.

 Que tenga un alto sentido de moralidad.
 Exija la optimización de recursos (eficiencia).
 Se le retribuya o compense justamente por su trabajo.
Con estas bases debemos considerar los conocimientos, la práctica profesional y la capacitación
que debe tener el personal que intervendrá en la auditoria.
Primeramente, debemos pensar que hay personal asignado por la organización, que debe tener el
suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos toda la
información que se solicite y programar las reuniones y entrevistas requeridas.
También se deben contar con personas asignadas por los usuarios para que en el momento que se
solicite información, o bien se efectúe alguna entrevista de comprobación de hipótesis, nos
proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que
debemos analizar no sólo el punto de vista de la dirección de informática, sino también el del
usuario del sistema.
Se deben tener personas con las siguientes características:
1. Técnico en informática.
2. Conocimientos de Admón., contaduría y finanzas.
3. Experiencia en el área de informática.
4. Experiencia en operación y análisis de sistemas.
5. Conocimientos y experiencias en psicología industrial.
6. Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones,
dependiendo del área y características a auditar.
7. Conocimientos de los sistemas más importantes.
Se deben tener personas con las siguientes características:
Técnico en informática.
Conocimientos de Admón., contaduría y finanzas.
Experiencia en el área de informática.
Experiencia en operación y análisis de sistemas.
Conocimientos y experiencias en psicología industrial.
Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo
del área y características a auditar.
Conocimientos de los sistemas más importantes.
En el caso de sistemas complejos se deberá contar con personal con conocimientos y experiencias
en áreas específicas como base de datos, redes y comunicaciones, etcétera.
Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias
señaladas, pero si que deben intervenir una o varias personas con las características apuntadas.
Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta la
carta (convenio de servicios profesionales – en el caso de auditores externos -) y el plan de trabajo.

UNIDAD III

III. AUDITORIA DE LA FUNCIÓN INFORMÁTICA.
III.I. Introducción
Toda la información tiene un valor en sí misma, el método de obtención de información está

directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso
de cada una de estas herramientas, su utilidad dependerá del objetivo que se busque y los medios
para llevar acabo esa recolección de datos en tiempo y forma para su posterior análisis.
Cualquier empresa, en algún momento, se encuentra inmersa en cierta fase de lo que he llamado
ciclo de crecimiento competitivo, dentro del cual la informática juega un papel protagónico y
definitivo. Dependiendo de la fase por la cual la empresa este pasando, la informática se puede
aprovechar de manera preponderante, siempre y cuando se esté preparado para hacerlo.
En este punto radica una gran deficiencia del área de informática, pues al encontrarse aislada y
ajena a los objetivos de negocio de la empresa, generalmente no puede actuar de manera
oportuna ni efectiva, y aunque apoya, en esencia esto no es solo lo que se quiere de ella.
El área de informática debe estar activa durante todo ese ciclo, no solo cuando su apoyo sea
urgente para resolver algún problema. Mientras la estructura organizacional interna del área de
informática se encuentre centralizada, vista como un simple apoyo (aunque ahora se acepte como
un apoyo fundamental) y no diseminada en toda la organización de manera descentralizada,
contempla como una función vital, ésta deficiencia permanecerá irremediablemente de manera
indefinida.
III.II. Recopilación de información organizacional.
Información organizacional.
La información organizacional se refiere a la Información canalizada por la función de

Comunicación Externa, la Información de contenidos puramente Operativos, y la Información
procedente en su mayor parte de la función de Recursos Humanos o Personal.
¿Cómo se divide?
Horacio Andrade hace un análisis de la Información en la organización encuadrándola en tres

grandes grupos que, en su conjunto, nos facilitan recopilar la información organizacional en una
auditoria informática:
 La Información relacionada con la organización.

 La Información acerca del trabajo.
 La Información sobre asuntos que afectan la vida personal.

Análisis de la información corporativa de las primeras empresas y estudio del aprovechamiento

de los portales corporativos en estrategias de imagen empresarial.
Personal involucrado en la recopilación de la información
En una auditoria informática se recopila la información organizacional para hacer una evaluación
objetiva de problemas que se presenten en la misma.

El desarrollo de nuevas tecnologías, principalmente a través de la implantación de Intranets en las

empresas, ha multiplicado exponencialmente los defectos típicos de nuestra Comunicación
empresarial”.
Para que un proceso de D.O. tenga éxito debe comenzar por obtener un diagnostico con
información verdadera y a tiempo de lo que sucede en la organización bajo análisis, esta
obtención de la información debe ser planeada en forma estructurada para garantizar una
generación de datos que ayuden posteriormente su análisis. Es un ciclo continuo en el cual se
planea la recolección de datos, se analiza, se retroalimentan y se da un seguimiento.
La recolección de datos puede darse de varias maneras:
 Cuestionarios
 Entrevistas
 Observación
 Información documental (archivo)
Toda la información tiene un valor en si misma, el método de obtención de información esta

directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso
de cada una de estas herramientas, su utilidad dependerá del objetivo que se busque y los medios
para llevar acabo esa recolección de datos en tiempo y forma para su posterior análisis.
III.III. Evaluación de recursos Humanos.
“La evaluación está presente en todo momento de la ejecutoria de un empleado dentro de una
organización”. Desde la entrevista inicial, la valoración del desempeño, hasta la carta de
recomendación cuando se desea mover a otro empleo, las personas están siendo evaluadas.
Las organizaciones suelen realizar una valoración del rendimiento con fines administrativos y de
desarrollo.
Proceso técnico a través del cual, en forma integral, sistemática y continua realizada por parte de
los jefes inmediatos.
Se valora el conjunto de actitudes, rendimientos y comportamiento laboral del colaborador en el
desempeño de su cargo y cumplimiento de sus funciones, en términos de oportunidad, cantidad y
calidad de los servicios producidos.
La información obtenida de la evaluación de los colaboradores, sirve también para determinar
las necesidades de formación y desarrollo, tanto para el uso individual como de la organización.
Otro uso importante de la evaluación del personal, es el fomento de la mejora de resultados. En

este aspecto, se utilizan para comunicar a los colaboradores como están desempeñando sus
puestos y proponer los cambios necesarios del comportamiento, actitud, habilidades, o
conocimientos.
La evaluación se hace por una razón. La enciclopedia mediana y pequeña empresa enfatiza una
serie de objetivos sobre la evaluación, como:
1. Mejorar el desarrollo y comunicación de los trabajadores.

2. Desarrollar y mejorar el conjunto de los sistemas de la organización.

3. Logra un mayor ajuste persona/puesto y en el conocimiento profesional del propio

evaluado.
Los criterios de evaluación son de importancia consideración para ser aplicados en las diversas
organizaciones:
Se sugieren que se pueden establecer según dos modelos:
1. En función de los objetivos: Consiste en la identificación por parte del jefe y empleado de las
áreas de responsabilidad y los indicadores para medir resultados.
2. En función de los factores de valor: Se trata de evaluar el desempeño según el perfil socio-
profesional (habilidades, capacidades, actitudes, organización, resolución de problemas, toma de
decisiones, etc.) de cada puesto de trabajo.
Existen varios métodos para evaluar, como:
1. Clasificación: Se trata de elaborar una lista de los evaluados en orden de sucesión según su
ámbito profesional.
2. Comparación: Una vez agrupados los empleados según puestos de trabajo o áreas, se efectúa
un análisis comparativo entre los individuos del mismo grupo.
3. Curva de rendimiento: Se ubica a los empleados según su rendimiento en la parte

correspondiente de una curva.
4. Listados de características: Se confecciona una lista con las características y los objetivos de
cada puesto de trabajo y grado de ejecución de los empleados.
5. Evaluación abierta: Consiste dejar abierto el campo de los aspectos que se deben evaluar.
6. Evaluación del personal jerárquico: Puede hacerse de manera directa, a través de un

protocolo de preguntas que los empleados contestarán.
7. Autovaloración: Puede ser estructurada o abierta. En el primer caso se pasará un protocolo

que el empleado deberá cumplimentar, mientras que en el segundo caso éste tendrá que exponer
cuáles son a su parecer sus logros y cuáles son sus puntos débiles.
8. Evaluación entre áreas: Cada miembro de los sectores dentro de una organización evaluará a
los empleados del otro departamento.
Existen también varios obstáculos para medir eficazmente el rendimiento, entre estos:
1. Los errores y el sesgo de la persona que realiza la evaluación.

2. La influencia de los gustos.
3. La política de la organización.
4. El enfoque hacia el individuo o hacia el grupo.
5. Las cuestiones legales.

Existen varias claves para los directivos sobre como informar a los empleados de su
rendimiento, entre estas:

 Documentar el rendimiento del empleado.
 Solicite la participación del empleado.
 Céntrese en los comportamientos.
 Sea específico y de tiempo.
 Dirija su información sólo a facetas de la situación de rendimiento que el empleado puede
cambiar.
 Informe a los trabajadores sobre cualquier deficiencia.
 Desarrolle un plan de acción y otro de seguimiento.
 Revise su propio rendimiento. (Como se ha relacionado con el empleado)
Presenta varias claves que el empleado puede utilizar para obtener información sobre su
rendimiento personal, entre estas:
 En el momento oportuno pida a su director y a los demás que contribuyan a valorar su

rendimiento.
 Mantenga un registro de sus logros y de sus fallos.
 Invite a su director/evaluador a ofrecer sus sugerencias para mejorar.
 Si recibe comentarios críticos no discuta ni se ponga sensible. Analice como puede
mejorar.
 Distinga entre acción e información. Escuche la información y aprenda todo lo que pueda
de ella.
 Distinga entre usted y su rendimiento. Recuerde que su valor como ser humano no está
puesto en duda.
 Gestión del rendimiento:
 Como punto final se puede mencionar la valoración de la gestión del rendimiento. El
objetivo de la evaluación radica en gestionar y mejorar el rendimiento de los empleados.
 Este hecho enfatiza el que los directivos tienen que analizar las causas de los problemas
relacionados al rendimiento, dirigir la atención a esas causas, desarrollar planes de acción
y facilitar el que los empleados encuentren soluciones, así como utilizar una comunicación
centrada en el rendimiento.
Para mejorar el rendimiento se recomienda:
 Analizar las causas de los problemas de rendimiento.

 Atender directamente las causas de los problemas.
 Desarrollar un plan de acción para facilitar que los trabajadores alcancen una solución.
 Comunicación directamente sobre el rendimiento e información eficaz.

III.IV. Entrevistas con personal de informática.
Definición
¿Que es la entrevista en auditoria?
Método de recolección de información a través de un conjunto de preguntas y observaciones. La

entrevista es la base para la recolección e interpretación de información en la auditoría.
Entrevistas con el personal de informática
La entrevista es una de las actividades personales más importante del auditor; en ellas, éste
recoge más información, y mejor matizada, que la proporcionada por medios propios puramente
técnicos o por las respuestas escritas a cuestionarios.
La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de
interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor
informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente
establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa
posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas,
también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una
preparación muy elaborada y sistematizada, y que es diferente para cada caso particular.
PARA FORMULAR LAS PREGUNTAS

HAGA PREGUNTAS UTILIZANDO LOS 6 AMIGOS DE AUDITOR.
¿CÓMO ¿QUÉ
? ?
¿QUIÉN ¿POR
? QUÉ?
¿DÓNDE ¿CUÁNDO
? ?
EN CUANTO A LAS PREGUNTAS
 Deben dirigirse a la información relevante.

 No deben sugerir respuestas.
 No deben contener expresividad o implicaciones emocionales.
 Usar palabras coloquiales.
 Se incorporan en la conversación.
 Se debe evitar hacer un ejercicio de preguntas y respuestas.

Son útiles y en muchos casos imprescindibles. Terminadas las entrevistas, el auditor califica las
respuestas del auditado (no debe estar presente) y procede al levantamiento de la información
correspondiente.
La evaluación de las Checklists, las pruebas realizadas, la información facilitada por el personal de
informática y el análisis de todos los datos disponibles, configuran todos los elementos necesarios
para calcular y establecer los resultados de la auditoria, que se materializarán en el informe final.
III.V. Entrevistas con el personal usuario.
La entrevista se deberá llevar a cabo para comparar datos proporcionados y la situación de la

dirección de informática desde el punto de vista de los usuarios.
OBJETIVO DE LA ENTREVISTA:
Es conocer la opinión que tienen los usuarios sobre los servicios proporcionados, así como la
difusión de las aplicaciones de la computadora y de los sistemas en operación.
Se deberán hacer, en caso de ser posible, a todos los usuarios o bien en forma aleatoria a algunos
usuarios, tanto de los más importantes como de los de menor importancia, en cuanto al uso del
equipo.
Desde el punto de vista del usuario los sistemas deben:

1) Cumplir con los requerimientos totales del usuario.
2) Cubrir todos los controles necesarios.
3) Serán fácilmente modificables.
4) Para que un sistema cumpla con los requerimientos del usuario se necesita:
5) Una comunicación completa entre usuario y el responsable del desarrollo del sistema.
6) Definir la calidad de la información que será procesada, estableciéndose los riesgos de la
misma y la forma de minimizarlos.
7) Esta etapa habrá de ser cuidadosamente verificada por el auditor interno especialista
en sistemas y por el auditor en informática, para comprobar que se logró una adecuada
comprensión de los requerimientos del usuario y un control satisfactorio de información.
A continuación se presenta una guía de cuestionario para aplicarse durante la entrevista con el
usuario.
1.¿Considera que la dirección de informática le da los resultados esperados?

SI( ) NO( ) ¿Por qué?
2.¿Cómo considera usted, en general, el servicio proporcionado por la dirección de informática?
1. Deficiente
2. Aceptable ( ) ¿Por qué?
3. Satisfecho
4. Excelente
3.¿Cubre sus necesidades de procesamiento?
1. No las cubre
2. Parcialmente ( ) ¿Porqué?
3. La mayor parte
4. Todas

4.¿Cómo considera la calidad del procesamiento que se le proporciona?

1. Deficiente
2. Aceptable ( ) ¿Porqué?
3. Satisfecho
4. Excelente
III.VI. Situación presupuestal y financiera en la auditoria informática.
Se deberá obtener información sobre la situación del personal del área, para lo cual se puede
utilizar la tabla de recursos humanos y la tabla de proyección de recursos humanos.
Se presenta un ejemplo de cuestionario para obtener información sobre los siguientes aspectos:
DESEMPEÑO Y COMPORTAMIENTO
1) ¿Es suficiente el número de personal para el desarrollo de las funciones del área?
SI NO
2) ¿Se deja de realizar alguna actividad por falta de personal?
SI NO
3) Es adecuada la calidad del trabajo del personal?
SI NO, por qué
CAPACITACION
Uno de los puntos que se deben evaluar con mas detalle dentro del área de informática es
la capacitación; esto se debe al proceso cambiante y al desarrollo de nuevas tecnologías
del área.
1) Se desarrollan programas de capacitación para el personal del área?

SI NO, Por qué
Recomendación:
Solicite el plan de capacitación para el presente año.
ORGANIZACIÓN EN EL TRABAJO
1 ¿Se prevén las necesidades del personal con anterioridad?
En calidad; SI NO
En cantidad; SI NO
¿Está prevista la sustitución del personal clave?

SI NO

La administración de recursos financieros supone un control presupuestal y significa llevar a cabo

toda la función de tesorería (ingresos y egresos). Es decir, todas las salidas o entradas de efectivo
deben estar previamente controladas por el presupuesto. Para estar en condiciones de evitar
fallas y de aplicar correcciones oportunamente, corresponde al área financiera realizar los
registros contables necesarios.
Estos registros contables deben corresponder al presupuesto efectuándose por unidad

organizacional.
La administración financiera consiste en:

Obtener oportunamente y en las mejores condiciones de costo, recursos financieros para cada
unidad orgánica de la empresa que se trate, con el propósito de que se ejecuten las tareas, se
eleve la eficiencia en las operaciones y se satisfagan los intereses de quienes reciben los bienes o
servicios:
Presupuestos Auditoria Informática
El estudio del presupuesto de seguridad evaluando los medios en función del sevicio que prestan y
conforme a la probabilidad de fallo que pueden tener. También se examinará la seguridad del
material suplementario y los formularios que contienen talonarios y letras.
La conservación se evalúa a partir de los contratos y de los informes de indisponibilidad. Puede ser
preventiva (mantenimiento) o curativa (restauración).
Recursos Financieros y Materiales Auditoria Informática
Recursos Financieros
La administración de recursos financieros supone un control presupuestal y significa llevar a cabo
toda la función de tesorería (ingresos y egresos). Es decir, todas las salidas o entradas de efectivo
deben estar previamente controladas por el presupuesto.
Para estar en condiciones de evitar fallas y de aplicar correcciones oportunamente, corresponde al
área financiera realizar los registros contables necesarios.
Estos registros contables deben corresponder al presupuesto efectuándose por unidad
organizacional.
La administración financiera consiste en:
Obtener oportunamente y en las mejores condiciones de costo, recursos financieros para cada
unidad orgánica de la empresa que se trate, con el propósito de que se ejecuten las tareas, se
eleve la eficiencia en las operaciones y se satisfagan los intereses de quienes reciben los bienes o
servicios.
Recursos Materiales
Estos resultan fundamentales para el éxito o fracaso de una gestión administrativa, lo básico en su
administración es lograr el equilibrio en su utilización. Tan negativo es para la empresa en su
escasez como su abundancia. Cualquiera de las dos situaciones resulta antieconómica; de ahí que
la administración de recursos materiales haya cobrado tanta importancia actualmente.
La administración de recursos materiales consiste en:

Obtener oportunamente, en el lugar preciso, en las mejores condiciones de costo, y en la cantidad

y calidad requerida, los bienes y servicios para cada unidad orgánica de la empresa de que se
trate, con el propósito de que se ejecuten las tareas y de elevar la eficiencia en las operaciones.

UNIDAD IV

IV. EVALUACIÓN DE LA SEGURIDAD
La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser
confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a
personas que hagan mal uso de esta.
También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial
de la actividad computacional.
Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede
provocar retrasos sumamente costosos.
La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica.

La seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como a la
de los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes,
robos, catástrofes naturales, etc.
La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos,
procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la
información.
El sistema integral de seguridad debe comprender:
 Elementos técnicos y procedimientos

 Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto
redes como terminales.
 Aplicación de los sistemas de seguridad, incluyendo datos y archivos
 El papel de los auditores, tanto internos como externos
 Planeación de programas de desastre y su prueba.
IV.I. GENERALIDADES DE SEGURIDAD AREA FÍSICA
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema
informático
Consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de
prevención y contramedidas ante amenazas a los recursos e información confidencial“-
Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo
así como los medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.
Tipos de Desastres
 Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el
hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.
 Las principales amenazas que se prevén en la seguridad física son:
 Desastres naturales, incendios accidentales tormentas e inundaciones.

 Amenazas ocasionadas por el hombre.

 Disturbios, sabotajes internos y externos deliberados.
Acciones Hostiles
 Robo
Las computadoras son posesiones valiosas de las empresas y están expuestas, de la misma
forma que lo están las piezas de stock e incluso el dinero.
El software, es una propiedad muy fácilmente sustraíble y las cintas y discos son
fácilmente copiados sin dejar ningún rastro
 Fraude
Cada año, millones de dólares son sustraídos de empresas y, en muchas ocasiones, las
computadoras han sido utilizadas como instrumento para dichos fines.
 Sabotaje
El peligro más temido en los centros de procesamiento de datos, es el sabotaje. Empresas
que han intentado implementar programas de seguridad de alto nivel, han encontrado
que la protección contra el saboteador es uno de los retos más duros.
Control de Accesos
 Utilización de Guardias
 Utilización de Detectores de Metales
Utilización de Sistemas Biométricos
 Verificación Automática de Firmas (VAF)
 Seguridad con Animales
 Protección Electrónica
IV.II SEGURIDAD LÓGICA Y CONFIDENCIAL
Seguridad lógica:
La seguridad lógica se encarga de los controles de acceso que están diseñados para salvaguardar la
integridad de la información almacenada en una computadora, así como de controlar el mal uso
de la información.
Objetivos de la seguridad lógica.
 Restringir el acceso a los programas y archivos.

 Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan
modificar los programas ni los archivos que no correspondan.
 Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el
procedimiento correcto.
 Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada
y no a otro.
 Que la información recibida sea la misma que ha sido transmitida.
 Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos.
 Que se disponga de pasos alternativos de emergencia para la transmisión de información.

Estos controles reducen el riesgo de caer en situaciones adversas.

La falta de seguridad lógica o su violación puede traer las siguientes consecuencias a la
Organización:
 Cambio de los datos antes o cuando se le da entrada a la computadora.

 Copias de programas y / o información.
 Código oculto en un programa.
 Entrada de virus.
El sistema integral de seguridad debe comprender:
 Elementos administrativos.
 Definición de una política de seguridad.
 Organización y división de responsabilidades.
Uno de los puntos más importantes a considerar para poder definir la seguridad de un sistema es
el grado de actuación que puede tener un usuario dentro de un sistema
 Propietario
 Administrador
 Usuario principal
 Usuario de consulta
 Usuario de explotación
 Usuario de auditoria
 Para conservar la integridad, confidencialidad y disponibilidad de los sistemas de
información se debe tomar en cuenta lo siguiente:
 La integridades responsabilidad de los individuos autorizados para modificar datos o

programas o de los usuarios a los que se otorgan accesos a aplicaciones de sistema o
funciones fuera de sus responsabilidades normales de trabajo .
 La confidencialidades responsabilidad de los individuos autorizados para consultar
para bajar archivos importantes para microcomputadoras.
 La disponibilidad es responsabilidad de individuos autorizados para alterar los
parámetros de control de acceso al sistema operativo, al sistema manejador de base
de datos, al monitoreo de teleproceso o al software de telecomunicaciones.
Claves de acceso.
Se implementan en el SO sobre los sistemas de aplicación en BD, en un paquete especifico de
seguridad o cualquier otro utilitario. Protegen al NOS, al sistema de aplicación y otros software de
la utilización o modificación no autorizada, mantienen la integridad de la información y la
resguardan de accesos no autorizados.
El National Institute for Standars and Techn ha resumido los siguientes estándares de seguridad
mínimos en cualquier sistema:
 Identificación y Autentificación
Se denomina Identificación al momento en que el usuario se da a conocer en el
sistema; y Autenticación a la verificación que realiza el sistema sobre esta
identificación.

Existen cuatro tipos de técnicas que permiten la autenticación de la identidad del

usuario, pueden ser utilizadas individualmente o combinadas.
Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso
o password, una clave criptográfica, un número de identificación personal o PIN,
etc.
Algo que la persona posee: por ejemplo una tarjeta magnética.
Algo que el individuo es y que lo identifica unívocamente: por ejemplo las huellas
digitales o la voz.
Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.
Teniendo en cuenta que las claves son frecuentemente olvidadas las tarjetas se
pierdan o dañen, por ello es conveniente que sean identificados y autenticados
una vez, esto se denomina single login o sincronización de passwords.
 Roles
El acceso a la información también puede controlarse a través de la función o rol
del usuario que requiere dicho acceso. (Porgramador, loder del proyecto, gerente
de un area usuaria, administrador, etc.)
 Transacciones
También pueden implementarse controles a través de las transacciones, por
ejemplo solicitando una clave al requerir el procesamiento de una transacción
determinada.
 Limitaciones a los Servicios
Estos controles se refieren a las restricciones que dependen de parámetros
propios de la utilización de la aplicación o preestablecidos por el administrador del
sistema. Ej. (En la organización se disponga de licencias para la utilización
simultánea de un determinado producto de software para cinco personas, en
donde exista un control a nivel sistema que no permita la utilización del producto
a un sexto usuario. )
 Modalidad de Acceso
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la
información. Esta modalidad puede ser:
 Lectura (Puede leer o ver la informacion sin alterar, puede ser copiada)
 Escritura(Permite agregar datos, modificar o borrar informacion)
 Ejecución(Permite ejecutar programas)
 Borrado(Permite eliminar recursos del sistemas)
 Todas las anteriores
 modalidades de acceso especiales
 Creación(Permite crear nuevos archivos , registros, campos)
 Búsqueda(Permite listar os archivos de un directorio determinado)
 Ubicación y Horario
El acceso a determinados recursos del sistema puede estar basado en la ubicación
física o lógica de los datos o personas. En cuanto a los horarios, este tipo de
controles permite limitar el acceso de los usuarios a determinadas horas de día o a
determinados días de la semana. De esta forma se mantiene un control más
restringido de los usuarios y zonas de ingreso. Siempre deben ir acompañados de
alguno de los controles anteriormente mencionados.
 Control de Acceso Interno
o Palabras Claves (Passwords)

o Encriptación
o Listas de Control de Accesos
o Límites sobre la Interfase de Usuario
o Etiquetas de Seguridad
 Control de Acceso Externo
o Dispositivos de Control de Puertos
o Firewalls o Puertas de Seguridad
o Acceso de Personal Contratado o Consultores
o Accesos Públicos
 Administración de Seguridad
o Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es
necesario realizar una eficiente administración de estas medidas de seguridad
lógica, lo que involucra la implementación, seguimientos, pruebas y
modificaciones sobre los accesos de los usuarios de los sistemas.
IV.III Seguridad en el Personal.
Dentro de una organización la seguridad es muy indispensable, ya que las operaciones efectuadas
requieren un alto grado de confiabilidad, todo esto depende en gran medida de la integridad,
estabilidad y lealtad de personal, por lo que al momento de reclutarlos es conveniente hacerle
exámenes psicológicos, médicos y tener muy en cuenta sus antecedentes de trabajo.
 deben considerar los valores sociales, en general, su estabilidad ya que normalmente son
personas que trabajan bajo presión y con mucho estrés, por lo que importan mucho su
actitud y comportamiento.
 También se deben tener políticas de rotación de personal que disminuyan la posibilidad de
fraudes,
 Esto se debe hacer principalmente en funciones de alto nivel de confianza, aunque
impliquen un alto costo. Este procedimiento de rotación de personal nos permita además,
detectar los indispensables y eliminarlos.
 Se deberá también evaluar la motivación del personal, ya que un empleado motivado
normalmente tiene un alto grado de lealtad y disminuirá la posibilidad de ataques
intencionados a la organización.
 El programador honesto en ocasiones elabora programas que ponen en peligro la
seguridad de la empresa, ya que no se consideran procedimientos de auditoria dentro de
los programas tales que excluyan las posibilidades de fraude.
 En muchas ocasiones el mayor riesgo de fraude o mal uso de la información está dentro
del mismo personal, y la mayor seguridad está en contar con personal leal, honesto y con
ética. Para lograr esto se debe contar con personal capacitado, motivado y con
remuneraciones adecuadas.
 Pero también se debe prever la posibilidad de personal mal intencionado, para lo cual se
debe tener los controles de seguridad señalados, los cuales deben de ser observados
principalmente por el personal del área de informática. El auditor debe de estar
consciente que los primeros que deben implantar y observar los controles son los del
personal de informática.

Se refiere a la seguridad y protección de los operadores, analistas, programadores y demás

personal que está en contacto directo con los sistemas, así como a la seguridad de los
beneficiarios de la información. El objetivo principal es evitar, hasta donde humanamente sea
posible, los accidentes acaecidos en el trabajo que constituyen los riesgos de trabajo.
Planes de contingencia
Es el control de las contingencias y riesgos que se pueden presentar en el área de sistemas.
Se pueden evitar a través de planes y programas preventivos específicos detallando las actividades
antes, durante y después de alguna contingencia.
En estos planes se incluyen:
* Simulacros de contingencias (Evacuación ante siniestro)
* Reportes de actuaciones (Documento de hallazgos)
* Bitácoras de seguimiento de las actividades (Documento de E/S, actividades)
* Eventos que se presenten en el área de sistemas
Seguros y fianzas para el personal, equipos y sistemas.

Medidas preventivas para garantizar la reposición de los activos informáticos de la empresa en
caso de ocurrir alguna contingencia.
Estas medidas se establecen para asegurar la vigencia de las pólizas de los activos informáticos
asegurados, así como sus coberturas.
Al momento de reclutar al personal se debe aplicar:
• Exámenes médicos y psicológicos
• Verificar sus antecedentes de trabajo
• Verificar sus valores sociales
Señales de alerta
• Se debe tener una adecuada política de vacaciones.
• Se deben tener políticas de rotación de personal.
• Evaluar la motivación del personal.
• Planes de capacitación al personal (interna y/o externa).
• Difusión de conocimientos y desarrollo general.
• Creación de instructores propios de la compañía.
• Capacitación permanente y motivación general del personal.
Seguridad de la PC
• Password del BIOS (contraseña eficaz).
• Prioridades de arranque (no iniciar desde disquete o CD).
Seguridad en el SO
• Contraseñas (complicadas, mayúsculas, minúsculas, números, símbolos)
• Poledit (Administración de políticas sobre usuarios)
• Programas comunes (Software con posibilidad de contraseñas)
Encriptar
Cifrar la información para que sea ininteligible por seres humanos.
Internet
Cuando estamos en una red a la escucha, un recurso a compartir o con un software con fallos
conocidos, somos propensos a que entren a nuestro sistema.

Herramientas de intrusos instalados en equipos aparte de virus:

*Troyano: Programa que abre servicios y es utilizado a distancia remotamente.
*Keyloger: Programa que monitorea todas las ordenes del teclado.
*Capturador de sesiones: Programa que captura imágenes y pulsaciones del teclado en la sesión.
*Correo electrónico: Spam.
Virus
Programas ejecutables que pueden llegar a causar problemas serios o simples bromas.
Antivirus
Programa que detecta y elimina archivos maliciosos y virus informáticos.
Spyware
Programa espía que recopila información sobre las actividades de la PC.
IV.IV Clasificación de los controles de seguridad.
El documento publicado por el REA(Registro de Economistas Auditores) dice: “los Controles

Generales son una parte del entorno general de control y son aquellos que afectan, en un centro
de proceso electrónico de datos, a toda la información por igual y a la continuidad de este servicio
en la entidad.
 La debilidad o ausencia de estos controles pueden tener un impacto significativo en la

integridad y exactitud de los datos.
Los procedimientos de control de las organizaciones persiguen diferentes objetivos y se aplican en

el procesamiento de la información de los distintos niveles.
Estos procedimientos deben asegurar los siguientes objetivos:
 La debida autorización de las transacciones y los procesos.

 La adecuada segregación de las funciones y la correcta asignación de las
responsabilidades.
 El diseño y el uso de los documentos y de sus correspondientes registros.
 El establecimiento de dispositivos de seguridad que protejan los activos.
 Auditorías independientes de las actuaciones y de la evaluación de las operaciones
registradas.
Los controles son acciones y mecanismos definidos para prevenir o reducir el impacto de los
eventos no deseados que ponen en riesgo a los activos de una organización.
También protege a las organizaciones frente a posibles pérdidas y corrige las desviaciones que se
presentan en el desarrollo normal de las actividades.
Deben ser suficientes, comprensibles, eficaces, económicos y oportunos y, para ello, es preciso
conocer la naturaleza de los riesgos y su frecuencia, así como las consecuencias que implican.
Tipos de control
Preventivos actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de
ocurrencia, y constituyen la primera línea de defensa. También actúan para reducir la acción de los
agentes generadores de riesgos.

Detectivos se diseñan para descubrir un evento, irregularidad o resultado no previsto, alertan

sobre la presencia de riesgos y permiten tomar medidas inmediatas, pudiendo ser manuales o
automáticos. Sirven para supervisar la ejecución del proceso y se usan para verificar la eficacia de
los controles preventivos. Constituyen la segunda barrera de seguridad y pueden informar y
registrar la ocurrencia de los hechos no deseados, accionar alarmas, bloquear la operación de un
sistema, monitorizar o alertar a las autoridades.
Correctivos permiten el restablecimiento de la actividad después de ser detectado el evento no

deseable y la modificación de las acciones que propiciaron su ocurrencia. Estos controles se
establecen cuando los anteriores no operan y permiten mejorar las deficiencias; por lo general,
actúan con los controles detectivos, implican retrocesos y son más costosos porque actúan cuando
ya se han presentado los hechos que implican pérdidas para la organización. La mayoría son de
tipo administrativo y requieren políticas o procedimientos para su ejecución.
El ambiente de control
En ella se apoya toda la estructura del control de las organizaciones se debe contar con empleados
capaces de resolver una situación de crisis, apoyen y promuevan los controles.
La dirección especificara el grado de capacitación de empleados a cargo del control proveerá
recursos, conocimientos y habilidades.
Por ultimo el consejo de administración, el consejero delegado o el propietario, si se trata de una
pequeña empresa, es el responsable general del sistema de control.
Clasificación de los controles de seguridad.
 Controles generales y controles de las aplicaciones.

 Los Controles de las Aplicaciones son aquellos relacionados con la captura, entrada y
registro de datos en un sistema informático, así como los relacionados con su
procesamiento, cálculo y salida de la información y su distribución”.
 Controles generales
 Controles Operativos y de Organización:
 Controles sobre el desarrollo de programas y su documentación:
 Controles sobre los Programas y los Equipos:
 Controles de acceso:
 Controles sobre los procedimientos y los datos.
Controles Operativos y de Organización:

 Segregación de Funciones entre el Servicio de Información y los usuarios.
 Existencia de Autorización general en lo que respecta a la ejecución y a las transacciones
del Departamento (por ejemplo: prohibir al Servicio de Información que inicie o autorice
transacciones).
 Segregación de funciones en el seno del Servicio de Información.
 Controles sobre el desarrollo de programas y su documentación:
 Realización de revisiones, pruebas y aprobación de los nuevos sistemas.
 Controles de las modificaciones de los programas.
 Procedimientos de documentación.
Controles sobre los Programas y los Equipos:

 Características para detectar, de manera automática, errores.

 Hacer mantenimientos preventivos periódicos.
 Procedimientos para salir de los errores de los equipos (hardware).
 Control y autorización adecuada en la implementación de sistemas y en las modificaciones
de los mismos.
Controles de acceso
Sirven para detectar y/o prevenir errores accidentales o deliberados, causados por el uso o
la manipulación inadecuada de los archivos de datos y por el uso incorrecto o no
autorizado de los programas.
 Controles sobre los procedimientos y los datos:

 Manuales escritos como soporte de los procedimientos y los sistemas de aplicación.
 Controles de las conciliaciones entre los datos fuente y los datos informáticos.
 Capacidad para restaurar archivos perdidos, deteriorados o incorrectos.
 De las aplicaciones
 Los controles de las aplicaciones están relacionados con las propias aplicaciones
informatizadas. Los controles básicos de las aplicaciones son tres: captura, proceso y
salida.
Controles sobre la captura de datos:

 Altas de movimientos.
 Modificaciones de movimientos.
 Consultas de movimientos.
 Mantenimiento de los archivos.
 troles de proceso. Normalmente se incluyen en los programas. Se diseñan para
detectar o prevenir los siguientes tipos de errores:
 Entrada de datos repetidos.
 Procesamiento y actualización de archivo o archivos equivocados.
 Entrada de datos ilógicos.
 Pérdida o distorsión de datos durante el proceso.
Controles de salida y distribución.

 Los Controles de salida se diseñan para asegurarse de que el resultado del proceso es
exacto y que los informes y demás salidas los reciben sólo las personas que estén
autorizadas.
IV.V Seguridad de datos y software de aplicación.
La protección de los datos puede tener varios enfoques respecto a las características:
La confidencialidad, disponibilidad e integridad. Puede haber datos críticos en cuanto a su
confidencialidad, como datos médicos u otros la disponibilidad: si se pierden o no se pueden
utilizar a tiempo pueden causar perjuicios graves y, en los casos más extremos poner en peligro la
continuidad de la entidad, y finalmente otros datos críticos atendiendo a su integridad,
especialmente cuando su pérdida no puede detectarse fácilmente o una vez detectada no es fácil
reconstruirlos.

Ciclo de vida de los datos

El ciclo de vida de datos es lo que revisa la auditoria:
 Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede incluir
preparación, autorización, incorporación al sistema
 Proceso de los datos
 Salida de resultados
 Retención de la información y protección en función de su clasificación
 Respecto a cliente-servidor es necesario verificar los controles en varios puntos, y no sólo
en uno central como en otros sistemas, y a veces en plataformas heterogéneas, con
niveles y características de seguridad muy diferentes, y con posibilidad de transferencia de
archivos o de captación y exportación de datos que pueden perder sus protecciones al
pasar de una plataforma a otra.
IV.VI. CONTROLES PARA EVALUAR SOFTWARE DE APLICACIÓN
Evaluación del software.
 El auditor debe evaluar qué software se encuentra instalado en la organización. Este

software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc.
OBJETIVOS DE LA AUDITORÍA DEL SOFTWARE DE APLICACIÓN
 VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES.

Para satisfacer:
La instalación del software
La operación y seguridad del software.
La administración del software
 DETECTAR EL GRADO DE CONFIABILIDAD.
Grado de confianza, satisfacción y desempeño
 Investigar si existen políticas con relación al software.

Detectar si existen controles de seguridad.
Verificar que sea software legalizado.
Actualización del software de aplicación
Organización
El auditor debe de verificar que existan políticas para:
 La evaluación del software
 Adquisición o instalación.
 Soporte a usuarios
 Seguridad

PROTECCIÓN DE LOS REGISTROS Y DE LOS ARCHIVOS
 FORMAS EN QUE SE PUEDEN PERDER LOS ARCHIVOS:

1. Su presencia en un ambiente destructivo.
2. Manejo indebido por parte del operador.
3. Mal funcionamiento de la máquina.
PLAN DE PRESERVACIÓN DE LA INFORMACIÓN
 DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo de entrada
deben ser retenidos intactos hasta el momento en que el archivo sea comprobado.
 ARCHIVO DE DISCOS: Una característica del archivo de discos es que el registro anterior es
destruído, no produce una copia automáticamente una copia en duplicado.
 VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel de
impresión.
ORGANIZACIÓN
El auditor debe de verificar que existan políticas para:
 La evaluación del software.

 Adquisición o instalación.
 Soporte a usuarios.
Seguridad.
INSTALACIÓN Y LEGALIZACIÓN
 Procedimientos para la instalación del software.
El auditor debe investigar si existen procedimientos que aseguren la oportuna instalación
del software.
 Actividades durante la instalación.
Por ejemplo: revisión de contenido del paquete, fecha de instalación, número de máquina,
responsable de instalación, etc.
IV.VII. CONTROLES PARA PREVENIR FRAUDES INFORMATICOS.
Una vez que la organización conoce y ha definido políticas respecto a los riesgos y al perfil de los
posibles perpetradores, debe implementar mecanismos para mitigar el riesgo de fraude interno.
Control de datos fuente y manejo de cifras de control.
La mayoría de los delitos por computadora son cometidos por modificaciones de datos fuente al:
 Suprimir u omitir datos.

 Adicionar datos.
 Alterar datos.
 Duplicar procesos.

Controles para prevenir crímenes informáticos.
Esto es de suma importancia en el caso de sistemas en línea, en los que los usuarios son
responsables de la captura y modificación de la información. Por ello, se debe tener un adecuado
control con señalamiento de responsables de los datos.
Niveles de acceso
 El primer nivel es en el que se pueden hacer únicamente consultas.

 El segundo nivel es aquel en el que se puede hacer captura, modificaciones y consultas.
 El tercer nivel es aquel en el que se puede hacer todo lo anterior y además se pueden
realizar bajas.
Lo primero que debemos evaluar es la entrada de la información y que se tengan las cifras de
control necesarias para determinar la veracidad de ésta, para lo cual se puede utilizar el siguiente
cuestionario.
Control de operación
La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente afectados

por la calidad e integridad de la documentación requerida para el proceso en la computadora.
Si la documentación es incompleta o inadecuada lo obliga a improvisar o suspender los procesos

mientras investiga lo conducente, generando probablemente errores, reprocesos, desperdicio de
tiempo de máquina; se incrementan, pues, los costos del procesamiento datos.
Control de salida
 Control de asignación de trabajo
Se relaciona con la dirección de las operaciones de la computadora en términos de la eficienciay

satisfacción del usuario. Esta sección debe ser comparada con la conla opinión del usuario.
Aspectos para la función clave del personal.
 Satisfacer las necesidades de tiempo del usuario.

 Ser compatible con los programas de recepción y transcripción de datos.
 Permitir niveles efectivos de utilización de los equipos y sistemas de operación.
 Volver la utilización de los equipos en línea.
 Entregar a tiempo y correctamente los procesos en lotes (batch).
Control de almacenamiento masivo
Los dispositivos de almacenamiento representan, para cualquier centro de cómputo, archivos

extremadamente importantes, cuya pérdida parcial o total podría tener repercusiones muy serias,
no sólo en la unidad de informática, sino en la dependencia en la cual se presta servicio.

Control de mantenimiento
 El contrato de mantenimiento total.

 El segundo tipo de mantenimiento es “por llamada”.
 El tercer tipo de mantenimiento es el que se conoce como “en banco”.
IV.VIII. PLAN DE CONTINGENCIA Y PROCEDIMIENTOS DE RECUPERACIÓN

DE DESASTRES
Un Plan de contingencias es un instrumento de gestión para el buen gobierno de las Tecnologías

de la Información y las Comunicaciones en el dominio del soporte y el desempeño.
Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la
continuidad del negocio y las operaciones de una compañía.
El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA (plan-do-check-act, es decir,
planificar-hacer-comprobar-actuar).
El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidas
necesarias en cada momento del tiempo respecto a la materialización de cualquier amenaza:
1. El plan de respaldo. Contempla las contramedidas preventivas antes de que se materialice

una amenaza. Su finalidad es evitar dicha materialización.
2. El plan de emergencia. Contempla las contramedidas necesarias durante la materialización
de una amenaza, o inmediatamente después. Su finalidad es paliar los efectos adversos de
la amenaza.
El plan de recuperación. Contempla las medidas necesarias después de materializada y controlada

la amenaza. Su finalidad es restaurar el estado de las cosas tal y como se encontraban antes de la
materialización de la amenaza.
Amenaza: Incendio. (los activos afectados son los anteriores).
Impacto: (es un ejemplo ficticio)
 Perdida de un 10% de clientes.

 Imposibilidad de facturar durante un mes.
 Imposibilidad de admitir pedidos durante un mes.
 Reconstrucción manual de pedidos y facturas a partir de otras fuentes.
 Sanciones por accidente laboral.
 Inversiones en equipamiento y mobiliario.
 Rehabilitación del local.
Todas estas consecuencias pueden valorarse en términos monetarios, que junto a la probabilidad
de materialización ofrecen una estimación del riesgo

Se cree que algunas empresas gastan hasta el 25 % de su presupuesto en proyectos de

recuperación de desastre, sin embargo, esto lo hacen para evitar pérdidas más grandes.
Existen diferentes riesgos que pueden impactar negativamente las operaciones normales de una
organización. Una evaluación de riesgo debería ser realizada para ver que constituye el desastre y
a que riesgos es susceptible una empresa específica, incluyendo:
Catástrofes.
 Fuego.
 Fallas de energía.
 Ataques terroristas.
 Interrupciones organizadas o deliberadas.
 Sistema y/o fallas de equipo.
 Error humano.
 Virus informáticos.
 Cuestiones legales.
 Huelgas de empleados.
Prevención ante los desastres
 Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se
pierda más que los datos de una semana.
 Incluir el software así como toda la información de datos, para facilitar la recuperación.
 Si es posible, usar una facilidad remota de reserva para reducir al mínimo la pérdida de
datos.
 Áreas de Almacenaje de Redes (SANs) en múltiples sitios son un reciente desarrollo (desde
2003) que hace que los datos estén disponibles inmediatamente sin la necesidad de
recuperarlos o sincronizarlos.
 Protectores de línea para reducir al mínimo el efecto de oleadas sobre un delicado equipo
electrónico.
 El suministro de energía ininterrumpido (SAI).
 La prevención de incendios - más alarmas, extintores accesibles.
 El software del antivirus.
El seguro en el hardware.
Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa:
"Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores que
hay que tomar en cuenta. Los más importantes son:
 El árbol telefónico: para notificar todo el personal clave del problema y asignarles tareas
enfocadas hacia el plan de recuperación.
 Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario
grabarlas. Si se usan servicios remotos de reserva se requerirá una conexión de red a la
posición remota de reserva (o Internet).
 Clientes: la notificación de clientes sobre el problema reduce al mínimo el pánico.
 Instalaciones: teniendo sitios calientes o sitios fríos para empresas más grandes.
Instalaciones de recuperación móviles están también disponibles en muchos proveedores.

 Trabajadores con conocimiento. Durante desastre a los empleados se les requiere trabajar
horas más largas y más agotadoras. Debe haber un sistema de apoyo para aliviar un poco
de tensión.
 La información de negocio. Las reservas deben estar almacenadas completamente
separadas de la empresa. La seguridad y la fiabilidad de los datos es clave en ocasiones
como estas.
Proceso de recuperación
 Comprar nuevo equipo (el hardware) o reparar o quitar virus, etc.

 Llamar el abastecedor de software e instalar de nuevo el software.
 Recuperar los discos de almacenaje que estén fuera de sitio.
 Reinstalar todos los datos de la fuente de respaldo.
 Volver a meter los datos de las pasadas semanas.
 Tener estrategias periodicas de respaldos de base de datos.
SIMULACRO
Ejercicio práctico de simulación de situaciones y responsabilidades que se lleva a cabo en un

escenario real o construido, con la finalidad de comprobar la confiabilidad del Plan de Respuesta a
Emergencias
AUDITORIA DEL PLAN DE RESPUESTA A EMERGENCIAS
El Comité Central de Atención a Emergencias debe conformar un equipo auditor (interno o

externo) que tenga la formación y experiencia en la administración y operación de Planes de
Respuesta a Emergencias
Los objetivos de la auditoria deben ser:
 Medir la efectividad del PRE,

 Identificar fortalezas y oportunidades de mejora,
 Generar recomendaciones para fortalecer aspectos que lo ameriten,
 Presentar resultados obtenidos y hacer comparaciones correspondientes.
AUDITORIA DEL PLAN DERESPUESTA A EMERGENCIAS.
Criterios de Auditoria:
 Documentación (PRE, procedimientos y registros),

 Formación de las personas,
 Nivel de conciencia y habilidades del personal en una emergencia,
 Disponibilidad y estado de equipos y sistemas de emergencia,
 Disponibilidad de las instalaciones,
 Tiempos de respuesta,
 Ejecución de procedimientos,
 Consecución de objetivos.

IV.IX TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD

FÍSICA Y PERSONAL.
Seguridad Física
Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas
computacionales de la empresa, tales como el hardware, periféricos, y equipos asociados, las
instalaciones eléctricas, las instalaciones de comunicación y de datos.
Igualmente todo lo relacionado con la seguridad y salvaguarda de las construcciones, el mobiliario
y equipo de oficina, así como la protección a los accesos al centro de sistematización.
En sí, es todo lo relacionado con la seguridad, la prevención de riesgos y protección de los recursos
físicos informáticos de la empresa.
Controles necesarios para la seguridad física del área
 Inventario del hardware, mobiliario y equipo.

 Resguardo del equipo de cómputo.
 Bitácoras de mantenimiento y correcciones.
 Controles de acceso del personal al área de sistemas.
 Control del mantenimiento a instalaciones y construcciones.
 Seguros y fianzas para el personal, equipos y sistemas.
 Contratos de actualización, asesoría y mantenimiento del hardware.
 Señales de alerta
1. Se considera a las posibles causales de riesgos en el área donde se desempeña el personal.

 Se deberá revisar el número de extintores que están disponibles en el área, su
capacidad, fácil acceso, peso y si el tipo de producto que utiliza es el adecuado.
 Contar con detectores de humo que indiquen la posible presencia de fuego.
 Capacitar al personal para el uso adecuado de los equipos contra incendio.
 Verificar que las salidas de emergencia estén libres y puedan ser utilizadas.
 Los ductos del aire acondicionado deben de estar limpios.
 Se debe tener equipo de fuente no interrumpible.
 Restringir el acceso a los centros de cómputo sólo al personal autorizado.
 Definición y difusión de las horas de acceso al centro de cómputo.
2. Se debe indicar si se cuenta con controles y procedimientos para:
 Clasificación y justificación del personal con acceso a los centros de cómputo del
negocio y a las oficinas donde se encuentra papelería o accesorios relacionados con
informática.
3. Definir la aceptación de la entrada a visitantes.
4. Manejo de bitácoras especiales para los visitantes de los centros de cómputo.
Seguridad en el Personal
Se refiere a la seguridad y protección de los operadores, analistas, programadores y
demás personal que está en contacto directo con los sistemas, así como a la seguridad de
los beneficiarios de la información.
El objetivo principal de la auditoria de la seguridad del personal es evitar, hasta
donde humanamente sea posible, los accidentes acaecidos en el trabajo
que constituyen los riesgos de trabajo.

Técnicas y herramientas de auditoría relacionadas con la seguridad
 Protección a los procedimientos de procesamiento y los equipos contra las

intervenciones exteriores:
 sólo se debe permitir al personal autorizado que maneje los equipos de
procesamiento.
 Sólo se permitirá la entrada al personal autorizado y competente.
 Se deben verificar las fechas de vencimientos de las pólizas de seguros, pues puede
suceder que se tenga la póliza adecuada pero vencida.
 También se debe asegurar la pérdida de los programas (software).
 Seleccionar al personal mediante la aplicación de exámenes integrales: médico,
psicológico, aptitudes, etc.
 Contratar personal que viva en zonas cercanas a la empresa.
 Acondicionar los locales, de acuerdo con las normas de seguridad.
 Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la
manera de evitarlos.
 Practicar con periodicidad exámenes médicos al personal.
IV.X TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD EN

DATOS Y SOFTWARE DE APLICACIÓN.
Seguridad de Datos
Podemos entender como seguridad un estado de cualquier tipo de información (informático o no)
que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o
daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen
del mismo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico
porque no existe un sistema 100% seguro.
Para que un sistema se pueda definir como seguro debe tener estas cuatro características:
Integridad:
La información sólo puede ser modificada por quien está autorizado y de manera controlada.
Confidencialidad:
La información sólo debe ser legible para los autorizados.
Disponibilidad:
Debe estar disponible cuando se necesita.
Irrefutabilidad (No repudio):

El uso y/o modificación de la información por parte de un usuario debe ser irrefutable, es decir,
que el usuario no puede negar dicha acción.
Dependiendo de las fuentes de amenaza, la seguridad puede dividirse en tres partes: seguridad
física, seguridad ambiental y seguridad lógica.

Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y
procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las
personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar
prohibido" y ésta debe ser la meta perseguida. Los medios para conseguirlo son:
1.- Restringir el acceso (de personas de la organización y de las que no lo son) a los
programas y archivos.
2.- Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión minuciosa).
3.- Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
4.- Asegurar que la información transmitida sea la misma que reciba el destinatario
al cual se ha enviado y que no le llegue a otro.
5.- Asegurar que existan sistemas y pasos de emergencia alternativos de

transmisión entre diferentes puntos.
6.- Organizar a cada uno de los empleados por jerarquía informática, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas o
aplicaciones empleadas.
7.- Actualizar constantemente las contraseñas de accesos a los sistemas de

cómputo.
La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo
que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo
referente a elaborar una política de seguridad, conviene:
 Elaborar reglas y procedimientos para cada servicio de la organización.
 Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una
posible intrusión
 Sensibilizar a los operadores con los problemas ligados con la seguridad delos sistemas
informáticos.
Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y
no por los administradores informáticos, los cuales tienen que conseguir que los recursos y
derechos de acceso sean coherentes con la política de seguridad definida.
Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que
derivar a la directiva cualquier problema e información relevante sobre la seguridad, y
eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la
comunicación a los trabajadores sobre problemas y recomendaciones en término de seguridad.

Técnicas para asegurar datos.
Codificar la información:
Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos
personales del individuo.
Vigilancia de red.
 Tecnologías repelentes o protectoras:
Cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para
protección de software, etc. Mantener los sistemas de información con las actualizaciones
que más impacten en la seguridad.
 Consideraciones de software:
Tener instalado en la máquina únicamente el software necesario reduce riesgos.
El control del software asegura la calidad de la procedencia del mismo.
En todo caso un inventario de software proporciona un método correcto de asegurar la
reinstalación en caso de desastre.
El software con métodos de instalación rápidos facilita también la reinstalación en caso de
contingencia.
Existe un software que es conocido por la cantidad de agujeros de seguridad que
introduce, se pueden buscar alternativas que proporcionen iguales funcionalidades pero
permitiendo una seguridad extra.
Consideraciones de una red:
1) Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada
de ficheros desde discos, o de ordenadores ajenos, como portátiles.
2) Mantener al máximo el número de recursos de red sólo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los
permisos de los usuarios al mínimo.
3) Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan
trabajar durante el tiempo inactivo de las máquinas.
4) Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación,
cómo se ha introducido el virus.
Que es el software de Aplicación ?
Es aquel que hace que el computador coopere con el usuario en la realización de tareas
típicamente humanas, tales como gestionar una contabilidad o escribir un texto.
Es en este software de Aplicación donde se aprecia en forma más clara la ayuda que puede
suponer un computador en las actividades humanas, ya que la máquina se convierte en un auxiliar
del hombre, liberándole de las tareas repetitivas.
Los programadores de aplicaciones, a diferencia de los programadores de sistemas, no necesitan
conocer a fondo el modo de funcionamiento interno del hardware.
Dentro de los programas de aplicación, puede ser útil una distinción entre aplicaciones verticales,
de finalidad específica para un tipo muy delimitado de usuarios (médicos, abogados,
arquitectos…), y aplicaciones horizontales, de utilidad para una amplísima gama de usuarios de
cualquier tipo.

El control de cambios de software de aplicación son imprescindibles para el mantenimiento del

estado de validado. Un software de aplicación y/o un sistema se encuentra validado sólo cuando
existen pruebas documentales que garantizan, en mayor medida, que éste producirá, de forma
consistente y repetida, el resultado previsto.
La documentación que da soporte a la validación debe mantenerse actualizada, es decir, debe

responder a la realidad del sistema validado. Esta realidad está sujeta a variaciones motivadas por
adaptaciones, nuevos productos o bajas de los existentes, optimización de procesos y mejoras de
tipo tecnológico. Cuando una de estas variaciones ocurre y es crítica, debe realizarse un control de
cambios sobre la documentación de validación.
validado. El control de cambios es un proceso integrado por varias etapas, que van desde la
solicitud del cambio hasta la realización del mismo y, en el caso de que sea crítico, su revalidación.
El camino a seguir pasa por el análisis de la solicitud, la propuesta de acciones, la evaluación del
impacto potencial sobre el sistema validado, la influencia sobre la documentación de validación y
del sistema, la revisión de los análisis efectuados y la aprobación de los mismos.
Los inconvenientes que tradicionalmente ocurren son:
1.- Pueden existir cambios realizados no contemplados el procedimiento de control de cambios

(cambios descontrolados). El proceso de control de cambios es complejo, puesto que intervienen
varias personas y documentos. Por querer agilizar el cambio puede caerse en la “tentación” de
“olvidar” el procedimiento.
2.- Pueden existir controles de cambios ejecutados de forma incompleta. La mayoría de veces se
debe a la dificultad de comunicación entre los responsables del control de cambios. Se trata de la
situación del papel traspapelado entre el montón de papeles pendientes.

UNIDAD V

V. AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMÁTICA

La Seguridad Informática es el conjunto de reglas, planes y acciones que permiten asegurar la
información contenida en un sistema de la información.
La auditoria de la seguridad informática
Permite realizar una evaluación detallada de su Arquitectura de Seguridad mediante un análisis a
nivel técnico (servidores, networking, firewalls, routers,..., a nivel de procedimientos (procesos de
revisiones y actualizaciones, políticas de accesos, contraseñas, planes de contingencia...).
EL informe de Auditoría le ayudará a evitar riesgos de seguridad teniendo en cuenta todos los
componentes que garanticen la Confidencialidad, Integridad y Disponibilidad de sus datos.
Áreas que cubre la seguridad informática
 Políticas de Seguridad
 Seguridad Física
 Autentificación
 Integridad
 Confidencialidad
 Control de Acceso
 Auditoría
SEGURIDAD INFORMÁTICA Y PROTECCIÓN DE DATOS
Protección de datos, Análisis de vulnerabilidades, Cortafuegos, Copias de seguridad, Antivirus,

Otras mejoras, Conclusiones.
Aumenta un 600% el número de nuevos códigos maliciosos detectados en septiembre,
Existe un solo motivo por el cual se pierde información: la falta de backups, para una correcta
realización y seguridad de backups.
¿Cuál es la selección de aplicaciones de seguridad informática para cualquier pequeña empresa u

organización?
 Esta es la gran pregunta que se formulan todos los responsables con los que se suele
hablar.
 Algunos lo tienen claro y aplican soluciones de seguridad informática antes de que se
produzca algún problema más o menos grave, ya sea porque solicitan asesoramiento
experto o porque poseen una base de conocimientos para emprender tales acciones.
 En realidad, para abordar la implantación de medidas de seguridad informática, existen
algunas metodologías de trabajo. Una de las más usadas es la OSSTMM (Open Source
Security Testing Methodology Manual) de Pete Herzog.
En resumen, lo que se propone es medir la seguridad de los siguientes factores:
 revisión de privacidad y recolección de documentos, seguridad de los procesos físicos
(personas confiables).
 verificación de posibles vulnerabilidades.
 identificación de sistemas y puertos.
 implantación de sistemas de seguridad de intrusos y cortafuegos
 elaboración de políticas de seguridad, testeo de modems,

 seguridad inalámbrica, entre otros.
V.I. GENERALIDADES DE LA SEGURIDAD DE LA TELEINFORMATICA
En las políticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y
procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por
seguridad y por productividad, tal vez salvo emergencias concretas si así se ha especificado, y más
bien para comunicaciones por voz.
En función de la clasificación de los datos se habrá previsto el uso de cifrado, en la auditoría se

evaluará o se llegará a recomendar, y se revisarán la generación, longitud, comunicación,
almacenamiento y vigencia de las claves, especialmente de las maestras.
Cada usuario sólo debe recibir en el menú lo que pueda seleccionar realmente.
Los usuarios tendrán restricción de accesos según dominios, únicamente podrán cargar los
programas autorizados, y sólo podrán variar las configuraciones y componentes los técnicos
autorizados.
Deberán existir protecciones de distinto tipo, y tanto preventivas como de detección, ante
posibles accesos sobre todo externos, así como frente a virus por diferentes vías de infección,
incluyendo el correo electrónico.
Se revisarán especialmente las redes cuando existan repercusiones económicas porque se trate de
transferencia de fondos o comercio electrónico.
Algunos de los puntos complementarios a revisar son:
 Tipos de redes y conexiones.

 Información y programas transmitidos, y uso de cifrado.
 Tipos de transacciones.
 Tipos de terminales y protecciones: físicas, lógicas, llamada de retorno.
 Protección de transmisiones por fax si el contenido está clasificado, si bien es preferible
evitar el uso de este medio en ese caso.
 Protección de conversaciones de voz en caso necesario.
 Transferencia de archivos y controles existentes.
Internet e Intranet
Separación de dominios e implantación de

medidas especiales, como normas y cortafuegos
(firewall), y no sólo en relación con la seguridad
sino por accesos no justificados por la función
desempeñada, como a páginas de ocio o
eróticas, por lo que pueden suponer para la
productividad.
El correo electrónico, tanto por privacidad (PGP,

Pretty Good Privacy se está usando mucho) y para evitar virus como para que el uso del correo sea
adecuado y referido a la propia función, y no utilizado para fines particulares como se ha
intentado hacer en muchas entidades y no siempre con éxito, con otros recursos anteriores como
teléfono, fax, fotocopiadoras, o el uso de los propios computadores.
Otro de los aspectos que preocupan es la protección de programas, y tanto la prevención del uso
no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso, como la
carga o transmisión de otros de los que no se tenga licencia o simplemente para los que no exista
autorización interna.
V.II. OBJETIVOS Y CRITERIOS DE AUDITORIA PARA TELEINFORMATICA
Cada vez más las comunicaciones están tomando un papel determinante en el tratamiento de
datos, cumpliéndose el lema “el computador es la red”.
Mientras que comúnmente el directivo informático tiene amplios conocimientos de

comunicaciones están a la misma altura, por lo que el riesgo de deficiente anclaje de la gerencia
de comunicaciones en el esquema organizativo existe.
Por su parte, los informáticos a cargo de las comunicaciones suelen auto considerarse
exclusivamente técnicos, obviando considerar las aplicaciones organizativas de su tarea.
Todos estos factores convergen en que la auditoría de comunicaciones no siempre se practique

con la frecuencia y profundidad equivalentes a las de otras áreas del proceso de datos.
Por tanto, el primer punto de una auditoría es determinar que la función de gestión de redes y
comunicaciones esté claramente definida, debiendo ser responsable, en general, de las siguientes
áreas:

Gestión de la red, inventario de equipamiento y normativa de conectividad.
Monitorización de las comunicaciones, registro y resolución de problemas.
Revisión de costos y su asignación de proveedores y servicios de transporte, balanceo de tráfico

entre rutas y selección de equipamiento.
Como objetivos del control, se debe marcar la existencia de:
 Una gerencia de comunicaciones con autoridad para establecer procedimientos y

normativa.
 Procedimientos y registros de inventarios y cambios.
 Funciones de vigilancia del uso de la red de comunicaciones, ajustes de rendimiento,

registro de incidencias y resolución de problemas.
 Procedimientos para el seguimiento del costo de las comunicaciones y su reparto a las

personas o unidades apropiadas.
Auditando la red física
En una primera división, se establecen distintos riesgos para los datos que circulan dentro del
edificio de aquellos que viajan por el exterior. Por tanto, ha de auditarse hasta qué punto las
instalaciones físicas del edificio ofrecen garantías y han o estudiadas las vulnerabilidades
existentes.
En general, muchas veces se parte del supuesto de que si no existe acceso físico desde el exterior a
la red interna de una empresa las comunicaciones internas quedan a salvo
 El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a

personas autorizadas.
 La seguridad física de los equipos de comunicaciones, tales como controladores de
comunicaciones, dentro de las salas de computadores sea adecuada.
 Sólo personas con responsabilidad y conocimientos están incluidas en la lista de personas
permanentemente autorizadas para entrar en las salas de equipos de comunicaciones.
 Se toman medidas para separar las actividades de electricistas y personal de tendido y
mantenimiento de tendido de líneas telefónicas, así como sus autorizaciones de acceso,
de aquéllas del personal bajo control de la gerencia de comunicaciones.
 Facilidades de traza y registro del tráfico de datos que posean los equipos de
monitorización.
 Procedimientos de aprobación y registro ante las conexiones a líneas de comunicaciones
en la detección y corrección de problemas.
 En el plan general de recuperación de desastres para servicios de información presta
adecuada atención a la recuperación y vuelta al servicio de los sistemas de comunicación
de datos.
 Existen planes de contingencia para desastres que sólo afecten a las comunicaciones,
como el fallo de una sala completa de comunicaciones.

 Las alternativas de respaldo de comunicaciones, bien sea con las mismas salas o con salas
de respaldo, consideran la seguridad física de estos lugares.
 Las líneas telefónicas usadas para datos, cuyos números no deben ser públicos, tienen
dispositivos/procedimientos de seguridad tales como retrollamada, códigos de conexión o
interruptores para impedir accesos no autorizados al sistema informático.
Auditando la red lógica
Cada vez más se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera
que sea la red de comunicaciones el substrato común que les une.
Simplemente si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente
mensajes, puede ser capaz de bloquear la red completa y por tanto, al resto de los equipos de la
instalación.
Es necesario monitorizar la red, revisar los errores o situaciones anómalas que se producen y tener
establecidos los procedimientos para detectar y aislar equipos en situación anómala.
En general, si se quiere que la información que viaja por la red no pueda ser espiada, la única
solución totalmente efectiva es la encriptación.
Como objetivos de control, se debe marcar la existencia de:
 Contraseñas y otros procedimientos para limitar y detectar cualquier intento de acceso no

autorizado a la red de comunicaciones.
 Facilidades de control de errores para detectar errores de transmisión y establecer las

retransmisiones apropiadas.
 Controles para asegurar que las transmisiones van solamente a usuarios autorizados y que
los mensajes no tienen por qué seguir siempre la misma ruta.
V.III. SINTOMAS DE RIESGOS EN TELEINFORMATICA
Todos los sistemas de comunicación, desde el punto de vista de auditoría, presentan en general
una problemática común:
La información transita por lugares físicamente alejados de las personas responsables.
Esto presupone un compromiso en la seguridad, ya que no existen procedimientos físicos

para garantizar la inviolabilidad de la información.
En las redes de comunicaciones, por causas propias de la tecnología, pueden producirse

básicamente tres tipos de incidencias.
1a Alteración de bits. Por error en los medios de transmisión, una trama puede sufrir variación en
parte de su contenido. La forma más habitual de detectar, y corregir en su caso, este tipo de
incidencias, es sufijar la trama con un Código de Redundancia Cíclico (CRC) que detecte cualquier
error y permita corregir errores que afecten hasta unos pocos bits en el mejor de los casos.

2a Ausencia de tramas. Por error en el medio, o en algún nodo, o por sobrecarga, alguna trama
puede desaparecer en el camino del emisor al receptor. Se suele atajar este riesgo dando un
número de secuencia a las tramas.
3a Alteración de Secuencia. El orden en el que se envían y se reciben las tramas no coincide. Unas
tramas han adelantado a otras. En el receptor, mediante el número de secuencia., se reconstruye
el orden original.
En el propio puesto de trabajo puede haber peligros, como grabar/retransmitir la imagen que se
ve en la pantalla, teclados que guardan memoria del orden en que se han pulsado las teclas, o
directamente que las contraseñas estén escritas en papeles a la vista.
Dentro de las redes locales, el mayor peligro es que alguien instale una “escucha” no autorizada.
Al viajar en claro la información dentro de la red local, es imprescindible tener una organización
que controle estrictamente los equipos de escucha, bien sean éstos físicos (“sniffer”) o lógicos
(“traceadores”). Ambos escuchadores, físicos y lógicos, son de uso habitual dentro de cualquier
instalación de cierto tamaño. Por tanto, es fundamental que ese uso legítimo esté controlado y no
devenga en actividad espuria.
El riesgo de interceptar un canal de comunicaciones, y poder extraer de él la información, tiene

unos efectos relativamente similares a los de poder entrar, sin control, en el sistema de
almacenamiento del computador.
Hay un punto especialmente crítico en los canales de comunicaciones que son las contraseñas de
usuario. Mientras que en el sistema de almacenamiento las contraseñas suelen guardarse cifradas,
es inhabitual que los terminales u computadores personales sean capaces de cifrar la contraseña
cuando se envía al computador central o al servidor.
V.IV. TECNICAS Y HERRAMIENTAS DE AUDITORIA RELACIONADAS CON

LA SEGURIDAD EN LA TELEINFORMATICA
Actualmente las telecomunicaciones y las redes de computadoras son un pilar sobre el cual se
sostienen la mayoría de las operaciones que se realizan en una organización.
Dada su rápida expansión, es muy común que hoy en día muchas organizaciones tengan una gran
infraestructura de red y de telecomunicaciones.
No se concibe una empresa que no tenga sus aplicaciones de software para las operaciones
cotidianas, usando una red de computadoras. Por tanto, es casi seguro de que si ocurriera un fallo
en la infraestructura de telecomunicaciones, la organización quedaría prácticamente paralizada.
 No debe permitirse la entrada a la red a personas no autorizadas, ni usar las terminales.
 Debe existir un software de comunicación efectivo y controlado.
 Restringir el acceso a las instalaciones del procesamiento de red.

 Se debe contar con un sistema de codificación para la información confidencial.
 Realizar periódicamente una verificación física del uso de terminales y de los reportes
obtenidos.
 Se deben monitorear periódicamente el uso que le está dando a las terminales.
 Se deben hacer auditorias periódicas sobre el área de operación.

 Verificar que los datos recolectados sean procesados correctamente.
 Deben realizarse revisiones regulares de seguridad a los usuarios.
 Documentación y capacitación del personal de la red.
 Deben existir planes de respaldo y contingencias de la red.
Programas de Trabajo de Auditoria Relacionado con las Telecomunicaciones
Los siguientes son ejemplos de programas de trabajo que se pueden evaluar en una auditoria:
Instalación
 Que existan procedimientos que aseguren la oportuna y adecuada instalación de los

diferentes componentes de la red.
 Que exista un registro de las actividades que se realizan durante el proceso de instalación
de los componentes de la red, hardware y software.
 Registro de la planeación y evaluación formal de las compras de los elementos de la red.
 Seguro de dichas compras.
 Control de software que se encuentra instalado.
 Para dar de alta al personal especializado que hará uso de los centros terminales, el centro
de cómputo debe facilitar los medios para registrarlos y mantener actualizado dicho
registro a través de:
 La unidad administrativa que sea responsable de un centro terminal debe registrar y dar
de alta a todo el personal que haga uso del equipo de dicho centro.

UNIDAD VI

VI. INFORME DE LA AUDITORIA INFORMATICA
VI.I. GENERALIDADES DE LA SEGURIDAD DEL AREA FISICA..
Este informe es considerado un informe estándar porque consiste de tres párrafos que contienen
frases y terminologías estándar con un significado específico. El primer párrafo identifica los
estados financieros que fueron auditados y describe la responsabilidad de la gerencia por los
estados financieros y la responsabilidad del auditor por expresar una opinión sobre esos estados
financieros. El segundo párrafo describe los elementos clave de una auditoría que proporcionan la
base para sustentar la opinión sobre los estados financieros. El auditor indica explícitamente que
la auditoría le proporcionó una base razonable para formarse una opinión sobre dichos estados
financieros. En el tercer párrafo, el auditor comunica su opinión. El auditor independiente expresa
una opinión sobre los estados financieros.
El informe estándar, conocido también como opinión sin salvedad u opinión limpia. Esta opinión se
utiliza cuanto no existen limitaciones significativas que afecten la realización de la auditoría, y
cuando la evidencia obtenida en la auditoría no revela deficiencias significativas en los estados
financieros o circunstancias poco usuales que afecten el informe del auditor independiente.
Seguidamente se explica el significado específico de este informe estándar.

 Título del informe
 Destinatario del informe
 Párrafo introductorio
 Párrafo de alcance
 Párrafo de opinión
 Revelación inadecuada
 Cambios en la contabilización

VI.II CARACTERISTICAS DEL INFORME
¿Qué es el informe de auditoria?

Es el medio formal para comunicar los objetivos de la auditoría, las normas utilizadas, alcance,
resultados, conclusiones y recomendaciones de la auditoría.
El reporte debe ser objetivo, claro, conciso, constructivo y oportuno.
Existen esquemas recomendados con los requisitos mínimos aconsejables respecto a estructura y
contenido.
Generalidades De Seguridad Área Física

Es muy importante ser consciente que por más que nuestra empresa sea la más segura desde el
punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad
de la misma será nula si no se ha previsto como combatir un incendio. La seguridad física es uno
de los aspectos más olvidados a la hora del diseño de un sistema informático. Si bien algunos de
los aspectos tratados a continuación se prevén, otros, como la detección de un atacante interno a
la empresa que intenta a acceder físicamente a una sala de operaciones de la misma, no.
Esto puede derivar en que para un atacante sea más fácil lograr tomar y copiar una cinta de la sala,
que intentar acceder vía lógica a la misma.
Características del informe de auditoría:
1. Es un documento mercantil o público.

2. Muestra el alcance del trabajo.
3. Contiene la opinión del auditor.
4. Se realiza conforme a un marco legal.
Principales afirmaciones que contiene el informe:
Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qué normas de
auditoría.
Expresa si las cuentas anuales contienen la información necesaria y suficiente y han sido
formuladas de acuerdo con la legislación vigente y, también, si dichas cuentas han sido elaboradas
teniendo en cuenta el principio contable de uniformidad.
Asimismo, expresa si las cuentas anuales reflejan, en todos los aspectos significativos, la imagen
fiel del patrimonio, de la situación financiera, de los resultados y de los recursos obtenidos y
aplicados.
Se opina también sobre la concordancia de la información contable del informe de gestión con la
contenida en las cuentas anuales.
En su caso, explica las desviaciones que presentan los estados financieros con respecto a unos
estándares preestablecidos.
Podemos sintetizar que el informe es una presentación pública, resumida y por escrito del trabajo
realizado por los auditores y de su opinión sobre las cuentas anuales.

Tiene características propias que la diferencian netamente de los escritos literarios, como el
cuento, la novela, el ensayo, la poesía o el drama, y aun el periodismo.
1- el informe es generalmente redactado para un superior, como una obligación profesional del
autor, y muy rara vez para otra persona; en muy pocos casos se redacta un informe para un
publico amplio.
2- El contenido del informe no depende de la elección del autor, sino de la exigencias de una tarea
o empleo, y versa por lo general sobre un asunto técnico, sobre hechos, reconocimientos,
investigaciones, estudios o labores realizadas por el informante.
3- Admite libremente toda clase de medios que contribuyen a trasmitir claramente el
pensamiento: fotografías, diagramas, gráficos, estadísticas, cuadros numéricos, documentos
originales, anexos ilustrativos o demostrativos.
La elaboración del informe de auditoría operativa es el punto final del proceso de captación y
tratamiento de la información obtenida de la organización auditada. Esta información ha de ser
suficiente para que el auditor, con su experiencia y conocimiento, sea capaz de realizar un
diagnóstico y realizar unas recomendaciones
La captación de la información de auditoría.
La información es la materia prima con la que trabaja el auditor, esto da origen a pregunto-se:
¿Qué información hay que buscar?,
¿Dónde se encuentra?,
¿Cómo darle una coherencia?
y otras más.
El auditor operativo, antes de iniciar la recopilación de información necesita:
Saber que información es significativa y cual no lo es.
Tener un esquema conceptual con el que ordenarla y clasificarla.
Saber cuales son los medios para obtenerla.
Saber cómo se puede obtener al menor coste posible.
Obtención de Información
Explotación de la información propia de la unidad de auditoría. Análisis documental.
La información necesaria se puede obtener accediendo a las bases de datos corporativas, o a la
memoria de actividades de la organización, sin necesidad de requerir información a la unidad
auditada. Por ejemplo información relativa al personal o la ejecución del presupuesto.
Básicamente se trata de realizar un análisis documental que nos permita hacemos una
composición del lugar de la organización a auditar. Recogeremos información diversa, en cantidad
y calidad, la analizaremos y la clasificaremos para su uso posterior.
 Resolver las características formales de la propuesta del grupo. Esta presente todo el
material necesario.
 Falto discriminar materiales, o se aprecia carencia de solución para uno de los aspectos
solicitados.
 Las características solicitadas o lo hacen insuficientemente
 Comprender el sentido de la selección.
 Contenido: Organizado y orden lógico de los puntos presentados 5
 Contenido: Expone el mensaje con claridad 3
 Contenido: Ideas fundamentales: Un tema principal por diapositiva 3
 Contenido: Actualizado, originalidad 5
 Contenido: Dominio del material, no lee las diapositivas 7

 Contenido: Resume los principales puntos efectivamente 3

 Comunicación: Demuestra seguridad y confianza 5
 Comunicación: Voz fuerte y clara, pausado y tono apropiado 3
 Comunicación: Gestos y expresiones faciales apropiadas 3
 Comunicación: Contacto visual con la audiencia, no a las diapositivas 4
 Concordancia: entre la información de la diapositiva y el tema elaborado 5
 Lenguaje/Ortografía: Claro y preciso; términos y ortografía correcta 5
 Reacción del Grupo: Genera discusión y crea inquietudes futuras 5
 Reacción del Grupo: Logró participación del grupo 6
 Reacción del Grupo: Control del grupo; mantiene atento a la audiencia 3
 Uso del Tiempo: Buena distribución 3
 PPT: Texto: Palabras y oraciones cortas 3
 PPT: Contraste de Colores: Combinación de colores son legibles 5
 PPT: Font: San serif, Tamaño apropiado (se puede leer en el salón) 5
 PPT: Regla 5 X 7 o no más de 6 líneas por diapositivas 5
 PPT: Botones de navegación 3
 PPT: Gráficas x-y, Diagramas/organizadores gráficos, imágenes, tablas 5
 Referencias: Incluye referencias y está actualizada 3
 Literatura/Informe Escrito: Repartió el informe a los estudiantes
VI.III. ESTRUCTURA DEL INFORME
El formato para informes finales está enfocado a apoyar y facilitar el proceso de evaluación de los
resultados de los proyectos financiados por la sede Bogotá, con respecto a los compromisos
adquiridos en el proyecto aprobado. Además de reportar sobre el cumplimiento de los objetivos y
el impacto logrado a partir del uso y obtención de los resultados esperados y de las actividades de
investigación científica.
• Los informes finales técnico y financiero, deben ser entregados a la Dirección de Investigación de
la sede, al finalizar el periodo de ejecución del proyecto.
• El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada Facultad,
Centro o Instituto.
• El informe debe contener un índice. Cada página del informe debe estar numerada.
• Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados.
• El informe técnico final deberá presentarse en versión impresa y magnética (CD o disquete).
La estructura y el formato del informe de auditoría ha de ser coherente y atractivo para su
destinatario, ha de incitar a ser leído.
Es recomendable que el informe este dividido:
Introducción.
Objetivo de la auditoría y origen de la misma: quién la pide y por qué razón.
Alcance: espacio físico, temático y temporal que se audita; periodo durante el cual se realiza la
auditoría.
Resumen del Informe.

Opinión de auditoría: juicio del auditor sobre el tema, proceso, actividades estudiadas.

Resumen de las observaciones principales: conclusiones, recomendaciones y acciones propuestas.
Cuerpo del Informe.

Cabes dos alternativas: estructurar el cuerpo del informe basándose en los temas auditados
analizando la situación de cada unidad funcional respecto al tema o, a la inversa, estructurándolo
según las unidades funcionales y analizando todos los temas que afecta la unidad.
Se estructure según un modelo u otro, el cuerpo del informe deberá contener:

Observaciones: incluyen una breve descripción del proceso analizado, hechos detectados
(anomalías, puntos débiles detectados al comparar con las referencias); causas han generado las
anomalías y debilidades; recomendaciones que no se han aplicado y que se hablan hecho en
informes anteriores.
Datos: cifras y detalles en las que se basan las observaciones.
Conclusiones: posición definida sobre las observaciones, que ha de deducirse lógicamente de los
hechos detectados, sustentados en datos.
OBSERVACIONES Y RECOMENDACIONES
Es una técnica que nos permite captar con todos nuestro sentido la realidad de la organización y
puede ser de dos tipos. No participante es aquella en que el auditor observa externamente el
proceso sin interferir en ellos. Y participante es aquella en la que el auditor participa en los
procesos de la unidad auditada, sea integrándose en el grupo y sus actividades. En cualquier caso
hay que definir el objetivo de la observación (cuál es el motivo de su realización), las variables de
la observación (que queremos observar, planificación de la observación (que haremos durante la
observación y trascripción de la observación (como se expresara la observación, por escrito,
visualmente, etc)
Recomendaciones:
 No recopilar información indiscriminadamente (costo tiempo y esfuerzo intelectual).

Un estricto orden en la clasificación de la información (tratamiento efectivo).
 Deberá entenderse por sí sola, por simple lectura.
 Deberá estar suficientemente soportada en el propio texto.
 Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementación.
 La recomendación se redactará de forma que vaya dirigida expresamente a la persona o
personas que puedan implementarla.
VI.IV. FORMATO PARA EL INFORME
El formato para informes finales está enfocado a apoyar y facilitar el proceso de evaluación de los
resultados de la auditoria, con respecto a los compromisos adquiridos en el proyecto aprobado.
Además de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y
obtención de los resultados esperados y de las actividades de investigación científica.

Características generales del informe
 Los informes finales técnico y financiero, deben ser entregados a la Dirección de la

empresa.
 El informe debe ser aprobado previamente por el área auditada.
 El informe debe contener un índice. Cada página del informe debe estar numerada.
 Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de
resultados.
 El informe técnico final deberá presentarse en versión impresa y magnética (CD o
disquete).
CONTENIDO DEL INFORME
1. Título y código del proyecto.

2. Nombre del investigador principal y de la Facultad, Centro o Instituto al que pertenece.
3. Fecha de entrega del Informe.
4. Sinopsis divulgativa.
5. Resumen técnico de los resultados obtenidos durante la realización del proyecto y de las
principales conclusiones (máximo cinco páginas).
6. Cuadro de resultados obtenidos.
7. Descripción del impacto actual o potencial de los resultados.
8. Conclusiones
PRESENTACION
La presentación de las conclusiones de la auditoría podrá hacerse en la siguiente forma:

1.- Una breve descripción de la situación actual en la cual se reflejen los puntos más importantes.
(Ésta presentación es para el nivel más alto de la organización.)
2.- Una descripción detallada que comprende:
Los problemas detectados.
Posibles causas, problemas y fallas que originaron la situación presentada.
Repercusiones que pueden tener los problemas detectados.
Alternativas de solución.
Comentarios y observaciones de la dirección de informática y de los usuarios sobre las soluciones
propuestas.
La presentación de las conclusiones de la auditoría podrá hacerse en la siguiente forma:

1.- Una breve descripción de la situación actual en la cual se reflejen los puntos más importantes.
(Ésta presentación es para el nivel más alto de la organización.)
2.- Una descripción detallada que comprende:
Los problemas detectados.
Posibles causas, problemas y fallas que originaron la situación presentada.
Repercusiones que pueden tener los problemas detectados.
Alternativas de solución.
Comentarios y observaciones de la dirección de informática y de los usuarios sobre las soluciones
propuestas.

Auditoria

Transféré par

Informations du document

Description originale:

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Auditoria

Transféré par

Droits d'auteur :

Formats disponibles

Auditoría en

I. INTRODUCCIÓN A LA AUDITORIA INFORMÁTICA................................................................................. 4

Equipo No. 7 Página 1

VI. INFORME DE LA AUDITORIA INFORMATICA ......................................................................................... 71

Equipo No. 7 Página 2

Equipo No. 7 Página 3

I. INTRODUCCIÓN A LA AUDITORIA INFORMÁTICA

Función a desarrollar de una Auditoria

 Investigación constante de planes y objetivos Estudio de las políticas y sus prácticas

I.I CONCEPTOS DE AUDITORIA INFORMÁTICA

Que operen en un ambiente se seguridad y control para generar confiabilidad, integridad,

Los objetivos de la auditoría Informática son:

 El control de la función informática

La auditoría informática sirve para mejorar ciertas características en la empresa como:

Equipo No. 7 Página 4

I.II TIPOS DE AUDITORIA

 La primera de ellas comprende la necesidad de obtener precisión en las cuentas y la

 La segunda etapa como consecuencia de la depresión (después de la segunda guerra

Equipo No. 7 Página 5

La Auditoría Externa examina y evalúa cualquiera de los sistemas de información de una

 El auditor tiene relación con la empresa.

 El auditor no tiene relación con la empresa

I.III CAMPO DE LA AUDITORIA INFORMÁTICA

Algunos campos de aplicación de la informática son las siguientes:

Investigación científica y humanística: Se usan las computadoras para la resolución de cálculos

Equipo No. 7 Página 6

Aplicaciones técnicas: Usa la computadora para facilitar diseños de ingeniería y de productos

 Análisis y diseño de circuitos de computadora.

Documentación e información: Es uno de los campos más importantes para la utilización de

Ejemplos de este campo de aplicación son:

 Documentación científica y técnica.

Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento

 Reconocimiento del lenguaje natural.

Instrumentación y control:Instrumentación electrónica, electromedicina, robots industriales,

I.IV CONTROL INTERNO

Los controles internos se clasifican en los siguientes:

 Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad

Equipo No. 7 Página 7

 Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido

 Administración de sistemas: Controles sobre la actividad de los centros de datos y otras

 Seguridad: incluye las tres clases de controles fundamentales implantados en el software

I.V MODELOS DE CONTROL

Existen otros tipos de modelos los cuales se mencionan a continuación:

 OECD (Organization for Economic Cooperation and Development)

Equipo No. 7 Página 8

 ITCG (Information Technology Control Guidelines). Canadian Institute of Chartered

 Es un marco de control interno de

Apoya a la organización al proveer un marco

 La Tecnología de Información (TI)

Equipo No. 7 Página 9

 Confiabilidad de los reportes financieros

I.VI PRINCIPIOS APLICADOS A AUDITORES INFOMÁTICOS

PRINCIPIO DE BENEFICIO DE AUDITADO

Equipo No. 7 Página 10

Equipo No. 7 Página 11

PRINCIPIO DE PUBLICIDAD ADECUADA

PRINCIPIO DE SECRETO PROFESIONAL

PRINCIPIO DE SERVICIO PÚBLICO

I.VII RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

Equipo No. 7 Página 12

RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

Organización de la función de Auditoría Informática

Equipo No. 7 Página 13