Académique Documents
Professionnel Documents
Culture Documents
Informática
Equipo No. 7
Auditoría en Informática
TEMARIO.
UNIDAD I
La Auditoría puede definirse como «un proceso sistemático para obtener y evaluar de manera
objetiva las evidencias relacionadas con informes sobre actividades económicas y otros
acontecimientos relacionados, cuyo fin consiste en determinar el grado de correspondencia del
contenido informativo con las evidencias que le dieron origen, así como establecer si dichos
informes se han elaborado observando los principios establecidos para el caso».
La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas
independientes del sistema auditado.
Debe generar un informe que indique las observaciones, recomendaciones y áreas de oportunidad
para el mejoramiento y optimización de las Tecnologías de Información.
Eficiencia
Eficacia
Rentabilidad
Seguridad
AUDITORIA INFORMATICA
o AUDITORIA INTERNA
o AUDITORIA EXTERNA
La auditoría interna
Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los
empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe
por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier
momento.
La auditoría interna nace de la práctica sin unos principios generales o un cuerpo teórico general.
Por ello se puedes distinguir tres etapas:
La auditoría externa
Es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una
mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y
auditados.
Aplicando el concepto general, se puede decir que la auditoría Externa es el examen crítico,
sistemático y detallado de un sistema de información de una unidad económica, realizado por un
Contador Público sin vínculos laborales con la misma, utilizando técnicas determinadas y con el
objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control
interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinión
independiente tiene trascendencia a los terceros, pues da plena validez a la información generada
por el sistema ya que se produce bajo la figura de la Fe Pública, que obliga a los mismos a tener
plena credibilidad en la información examinada.
Una Auditoría Externa se lleva a cabo cuando se tiene la intención de publicar el producto del
sistema de información examinado con el fin de acompañar al mismo una opinión independiente
que le dé autenticidad y permita a los usuarios de dicha información tomar decisiones confiando
en las declaraciones del Auditor.
La Auditoria Interna:
La Auditoria Externa
Resolución de ecuaciones.
Análisis de datos de medidas experimentales, encuestas etc.
Análisis automáticos de textos.
Gestión administrativa: Automatiza las funciones de gestión típicas de una empresa. Existen
programas que realizan las siguientes actividades:
Contabilidad.
Facturación.
Control de existencias.
Nóminas.
Se puede definir el control interno como "cualquier actividad o acción realizada manual y/o
automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al
funcionamiento de un sistema para lograr o conseguir sus objetivos.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto
antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el
registro de la actividad diaria para detectar errores u omisiones.etc.
Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base
para el diseño y la implantación de los sistemas de información y de los controles
correspondientes.
Gestión del cambio: separación de las pruebas y la producción a nivel del software y
controles de procedimientos para la migración de programas software aprobados y
probados.
Mientras que COBIT (Control Objectives for Information and Related Technology, Objetivos de
Control para Tecnología de Información y Tecnologías relacionadas) se centra en el entorno IT,
contempla de forma específica la seguridad de la información como uno de sus objetivos, cosa que
COSO no hace. Además el modelo de control interno que presenta COBIT es más completo, dentro
de su ámbito.
DEFINICION DE COBIT
ESTRUCTURA DE COBIT
COBIT – REQUERIMIENTOS DE LA
INFORMACIÓN DEL NEGOCIO
Requerimientos de Calidad
Calidad.
Costo.
Oportunidad.
Requerimientos Financieros (COSO)
Efectividad y eficiencia operacional.
En este principio el auditor debe conseguir la máxima eficacia y rentabilidad de los medios
informáticos de la empresa auditada, no debe de ningún modo obtener beneficio propio.
PRINCIPIO DE CALIDAD
En el auditor deberán prestar sus servicios conforme las posibilidades de la ciencia y medios a su
alcance con absoluta libertad respecto a la utilización de dichos medios y en unas condiciones
técnicas adecuadas para el idóneo cumplimiento de su labor.
PRINCIPIO DE CONFIANZA
El auditor deberá facilitar e incrementar la confianza del auditora en base a una actuación de
transparencia en su actividad profesional sin alardes científicos-técnicos.
PRINCIPIO DE CAPACIDAD
El auditor debe estar plenamente capacitado para la realización de la auditoría encomendada,
maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser
extremadamente difícil verificar sus recomendaciones y evaluar correctamente la precisión de las
mismas.
PRINCIPIO DE COMPORTAMIENTO PROFESIONAL
El auditor, tanto en sus relaciones con el auditado como con terceras personas, deberá, en todo
momento, actuar conforma a las normas, implícitas o explícitas, de dignidad de la profesión y de
corrección en el trato personal.
PRINCIPIO DE CRITERIO PROPIO
El auditor durante la ejecución deberá actuar con criterio propio y no permitir que esté
subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el
mismo.
PRINCIPIO DE CONCENTRACION EN EL TRABAJO
El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de concentración y
precisión en cada una de las tareas a él encomendadas, y a que la estructuración y dispersión de
trabajos suele a menudo, si no está debidamente controlada, provocar la conclusión de los
mismos sin las debidas garantías de seguridad.
PRINCIPIO DE DISCRECIÓN
El auditor deberá en todo momento mantener una cierta discreción en la divulgación de datos,
aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecución de la auditoria.
PRINCIPIO DE ECONOMÍA
El auditor deberá proteger, en la medida de sus conocimientos, los derechos económicos del
auditado evitando generar gastos innecesarios en el ejercicio de su actividad.
PRINCIPIO DE FORMACIÓN CONTINUADA
Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente
actualización de sus conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda
y a las exigencias de la competencia de la oferta.
PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA
PROFESIÓN
La defensa de los auditados pasa por el fortalecimiento de la profesión de los auditores
informáticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad
desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el
idóneo cumplimiento de la finalidad de las auditorias.
PRINCIPIO DE INDEPENDENCIA
Este relacionado con el principio de criterio propio, obliga al auditor, tanto si actúa como
profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la
auditoria informática, a exigir una total autonomía e independencia en su trabajo.
PRINCIPIO DE INFORMACIÓN SUFICIENTE
Este principio obliga al auditor a aportar, en forma pormenorizada, clara, precisa e inteligible para
el auditado, información de los puntos y conclusiones relacionados con la auditoria.
PRINCIPIO DE INTEGRIDAD MORAL
Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto,
leal y diligente en el desempeño de su misión, a ajustarse a las normas morales de justicia y
prioridad.
PRINCIPIO DE LEGALIDAD
La primacía de esta obligación exige del auditor un comportamiento activo de oposición a todo
intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto
integrado en el derecho positivo.
PRINCIPIO DE LIBRE COMPETENCIA
La actual economía de mercado exige que el ejercicio de la profesión se realice en el marco de la
libre competencia siendo rechazables, por tanto, las prácticas colusorias tendentes a impedir o
limitar la legítima competencia de otros profesionales.
PRINCIPIO DE NO DISCRIMINACIÓN
El auditor en su actuación previa, durante y posterior a la auditoria deberá evitar cualquier tipo de
condicionantes personalizados y actuar en todos los casos con similar diligencia.
PRINCIPIO DE NO INJERENCIA
El auditor, deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y
eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma, deberá
igualmente evitar aprovechar los datos.
PRINCIPIO DE PRECISIÓN
Este principio exige del auditor la no conclusión de su trabajo hasta estar convencido, en la medida
de lo posible, de la viabilidad de sus propuestas.
PRINCIPIO DE RESPONSABILIDAD
El auditor deberá, como elemento intrínseco de todo comportamiento profesional,
responsabilizarse de lo que haga, diga o aconseje.
PRINCIPIO DE VERACIDAD
El Auditor en sus comunicaciones con el auditado deberá tener siempre presente la obligación de
asegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto,
corrección, y secreto profesional.
El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo
tiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar las
siguientes actividades:
Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc.
Análisis de la administración de Sistemas de Información, desde un punto de vista de
riesgo de seguridad, administración y efectividad de la administración.
Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de
aplicaciones.
Auditoría del riesgo operativo de los circuitos de información
Análisis de la administración de los riesgos de la información y de la seguridad implícita.
Verificación del nivel de continuidad de las operaciones.
Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias
empresariales que un desfase tecnológico puede acarrear.
Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas
y operativas de información de la empresa.
Su localización puede estar ligada a la auditoría interna operativa y financiera (aunque exista una
coordinación lógica entre ambos departamentos), con independencia de objetivos, planes de
formación y presupuestos.
Debe ser un grupo independiente del de auditoría interna, con acceso total a los SI y demás
tecnología, que depende de la misma persona que la auditoría interna (Director General o
Consejero).
La dependencia debe ser del máximo responsable de la organización, nunca del departamento de
sistemas o del financiero. Esto es para que no se pueda sospechar que existe sesgo al momento de
realizar el trabajo de auditoría y ofrecer conclusiones y recomendaciones.
Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada
de personas con formación en auditoría y organización y con perfil informático (especialidades).
UNIDAD II
La Planeación
Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre
la organización y sobre la función de informática a evaluar.
Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en
esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y
documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
Con ello podremos determinar el número y características del personal de auditoría, las
herramientas necesarias, el tiempo y costo, así como definir los alcances de la auditoría para, en
caso necesario, poder elaborar el contrato de servicios.
¿Cómo actúa en la etapa de planeación?
Análisis en los grados de preparación técnica, experiencia y capacidad profesional de los auditores.
Revisión preliminar
El objetivo de esta fase es revisar la instalación para obtener información sobre como llevar a cabo
la auditoria. Al finalizarla, el auditor puede proceder de tres maneras:
Revisión detallada
El objetivo de esta fase es obtener información necesaria para tener un conocimiento detallado
(profundo) de los controles utilizados en la instalación. Al finalizarla, el auditor puede tomar una
de las siguientes decisiones:
Pruebas sustantivas.
Son aquellas pruebas que diseña el auditor como el objeto de conseguir evidencia que permita
opinar sobre la integridad, razonabilidad y validez de los datos producidos por el sistema contable
de la empresa auditada.
Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen
analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la
información
Dependerán del tipo de volumen de errores que pudieran ocurrir en los procesos contables de la
empresa que no fueron descubiertos por los procedimientos de control interno empleados.
A menor cantidad de errores de importancia que pudieran ocurrir, mayor será la limitación del
alcance de las pruebas sustantivas.
Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que se dan, son las
raíces de la incertidumbre y el riesgo que las organizaciones confrontan.
La administración de riesgos en un marco amplio implica que las estrategias, procesos, personas,
tecnología y conocimiento están alineados para manejar toda la incertidumbre que una
organización enfrenta.
Por el otro lado los riesgos y oportunidades van siempre de la mano, y la clave es determinar los
beneficios potenciales de estas sobre los riesgos.
Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de Control Interno.
Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su revisión
no detecten deficiencias en el Sistema de Control Interno.
Riesgo Inherente: Son aquellos que se presentan inherentes a las características del
Sistema de Control Interno.
Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado.
Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva
la existencia de varias metodologías para llevar a cabo una auditoria informática.
Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de
manera ordenada y eficaz.
Objetivos
Contar con una herramienta que le permita realizar el trabajo de forma eficiente.
Contar con los formatos e indicadores, para las diferentes fases de los procesos.
Ser lo suficientemente flexible para adaptarse a las necesidades y requerimientos de cada
revisión, de acuerdo a las condiciones concretas de cada dependencia.
La metodología usada por el auditor interno debe ser diseñada y desarrollada por el propio auditor
-Se deben crear las metodologías necesarias para auditar los distintos aspectos definidos en el
plan auditor informático.
Funciones.
Procedimientos.
Tipos de auditorías que realiza.
Sistema de evaluación.
Nivel de exposición.
Lista de distribución de informes.
Seguimiento de acciones correctoras.
Plan de trabajo.
Cuantitativas
Cualitativas
Controles generales
El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador Dependen en
gran medida de la experiencia de los profesionales que las usan.
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo.
Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad
por tener asignados unos valores numéricos. Estos valores son datos de probabilidad de
ocurrencia de un evento que se debe extraer de un riesgo de incidencias donde el número de
incidencias tiende al infinito.
Ventajas:
Desventajas
CRMR son las siglas de “Computer resource management review”, su traducción más adecuada,
Evaluación de la gestión de recursos informáticos. En cualquier caso, esta terminología quiere
destacar la posibilidad de realizar una evaluación de eficiencia de utilización de los recursos por
medio del management.
Una revisión de esta naturaleza no tiene en sí misma el grado de profundidad de una auditoría
informática global, pero proporciona soluciones más rápidas a problemas concretos y notorios.
Supuestos de aplicación
El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:
Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a las
condiciones de aplicación señaladas en punto anteriores:
Gestión de Datos
Control de Operaciones
Control y utilización de recursos materiales y humanos
Interfaces y relaciones con usuarios
Planificación
Organización y administración.
OBJETIVOS
CRMR tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los
procedimientos y métodos de gestión que se observan en un Centro de Proceso de Datos. Las
Recomendaciones que se emitan como resultado de la aplicación del CRMR, tendrán como
finalidad algunas de las que se relacionan:
El método CRMR puede aplicarse cuando se producen algunas de las situaciones que se citan:
Se genera con alguna frecuencia información errónea por fallos de datos o proceso.
Efectivamente, son éstas y no otras las situaciones que el auditor informático encuentra con
mayor frecuencia. Aunque pueden existir factores técnicos que causen las debilidades descritas,
hay que convenir en la mayor incidencia de fallos de gestión.
Áreas de Aplicación
Las áreas en que el método CRMR puede ser aplicado se corresponden con las sujetas a las
condiciones de aplicación señaladas en punto anteriores:
Gestión de Datos
Control de Operaciones
Control y utilización de recursos materiales y humanos
Interfaces y relaciones con usuarios
Planificación
Organización y administración
Se determinan en este punto los requisitos necesarios para que esta simbiosis de auditoría y
consultoría pueda llevarse a cabo con éxito.
No debe olvidarse que se están evaluando actividades desde el punto de vista gerencial. El
contacto permanente del auditor con el trabajo ordinario del Centro de Proceso de Datos permite
a aquél determinar el tipo de esquema organizativo que se sigue.
Todo trabajo habrá de ser descompuesto en tareas. Cada una de ellas se someterá a la siguiente
sistemática:
Identificación de la tarea
Descripción de la tarea
Descripción de la función de dirección cuando la tarea se realiza incorrectamente.
Test para la evaluación de la práctica directiva en relación con la tarea
Posibilidades de agrupación de tareas
Ajustes en función de las peculiaridades de un departamento concreto
Registro de resultados, conclusiones y Recomendaciones.
El cliente es el que facilita la información que el auditor contrastará con su trabajo de campo.
Se exhibe a continuación una Checklist completa de los datos necesarios para confeccionar el
CRMR:
Descripción general de los sistemas instalados y de los que estén por instalarse que contengan
volúmenes de información.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas.
Los sistemas deben ser evaluadas con mucho detalle, para lo cual se debe revisar si existen
realmente sistemas entrelazados como un todo o bien si existen programas aislados.
Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o
si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos.
El proceso de planeación de sistemas deberá asegurarse de que todos los recursos requeridos
estén claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos
(hardware, software y comunicaciones) deberán ser compatibles con la arquitectura y la
tecnología, conque se cuenta actualmente.
En lo referente a la consulta a los usuarios, el plan estratégico debe definir los requerimientos de
información de la dependencia.
No tiene y se necesita.
No se tiene y no se necesita.
No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Se usa, está actualizada, es la adecuada y está completa.
El plan estratégico deberá establecer los servicios que se presentarán en un futuro contestando
preguntas como las siguientes:
En el área de auditoría interna debe evaluarse cuál ha sido la participación del auditor y los
controles establecidos.
Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen:
Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.
2). Determinación de los requerimientos del sistema: El aspecto fundamental del análisis de
sistemas es comprender todas las facetas importantes de la parte de la empresa que se encuentra
bajo estudio. Los analistas, al trabajar con los empleados y administradores, deben estudiar los
procesos de una empresa para dar respuesta a las siguientes preguntas clave:
2=Estudio de factibilidad
La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el
sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable
elaborarlo.
Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una serie de
beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y
evaluar si se satisficieron las necesidades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de
los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo,
personal y operación, cosa que en la práctica son costos directos, indirectos y de operación.
Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de
operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una
mejoría en los procedimientos de control, mayor confiabilidad y seguridad.
3.Análisis riesgo
4. Diseño
El diseño de un sistema de información produce los detalles que establecen la forma en la que el
sistema cumplirá con los requerimientos identificados durante la fase de análisis. Los especialistas
en sistemas se refieren, con frecuencia, a esta etapa como diseño lógico en contraste con la del
desarrollo del software, a la que denominan diseño físico.
5. Análisis.
Hemos de estudiar las tareas realizadas por cada uno de estos elementos del sistema y determinar
cuáles de estas funciones se pueden automatizar, por ejemplo, si deseamos realizar una aplicación
para gestionar una empresa, hemos de ver qué funciones realiza la empresa, cuáles de éstas se
realizan manualmente por personas y cuáles están automatizadas, se realizan mediante
ordenador, se intentará automatizar el mayor número de funciones posible.
Antes de comenzar a diseñar el software hemos de especificar ciertos aspectos del mismo, como
son, funciones que debe realizar, interacción con el resto de los elementos del sistema,
rendimiento, fiabilidad, etc., en cada una de las dos fases mencionadas se genera unos
documentos que nos permiten fijar la estructura funcional de la organización y todos los
requerimientos que se exigirán al software que se va a desarrollar, los documentos, tanto del
análisis del sistema como del software, se revisan con el cliente hasta que realmente reflejen la
realidad de la organización y sus necesidades.
6. Diseño lógico.
En el diseño lógico conceptualmente se divide en tres niveles de servicios con el fin de que la
aplicación resulte flexible ante los cambios de requerimientos y/o de tecnología cambiando
únicamente la capa o capas necesarias. Los tres niveles son: servicios de usuario, servicios de
negocio y servicios de datos.
7. Desarrollo físico
8. Pruebas
Consiste en comprobar si hemos construido el software que se deseaba, es decir, comprobar que
los programas se corresponden con el diseño, realizan correctamente sus funciones, y satisfacen
los requisitos indicados.
9. Implementación
La implantación es el proceso de verificar e instalar nuevo equipo, entrenar a los usuarios, instalar
la aplicación y construir todos los archivos de datos necesarios para utilizarla. Una vez instaladas,
las aplicaciones se emplean durante muchos años. Sin embargo, las organizaciones y los usuarios
cambian con el paso del tiempo, incluso el ambiente es diferente con el paso de las semanas y los
meses.
10. Evaluación
Ocurre a lo largo de cualquiera de las siguientes dimensiones:
Integrados (un solo objetivo). En él habrá sistemas que puedan ser interrelacionados y no
programas aislados.
Accesibles (que estén disponibles).
Necesarios (que se pruebe su utilización).
Comprensibles (que contengan todos los atributos).
Oportunos (que esté la información en el momento que se requiere).
Funcionales (que proporcionen la información adecuada a cada nivel).
Estándar (que la información tenga la misma interpretación en los distintos niveles).
Modulares (facilidad para ser expandidos o reducidos).
Jerárquicos (por niveles funcionales).
Seguros (que sólo las personas autorizadas tengan acceso).
Únicos (que no duplique información).
11. Modificaciones
Es la última etapa del ciclo de vida de los sistemas, consiste en realizar todas las actividades
necesarias a fin de mantener el sistema trabajando adecuadamente, respetando los niveles de
calidad establecidos.
12. Instalación
Es la actividad FINAL.
Existen varias estrategias de INSTALACION: Gradual, distribuida, completa.
Un aspecto importante de esta actividad es la CAPACITACION
13. Mejoras
Esto depende de las dimensiones de la organización, de los sistemas y de los equipos, lo que se
deberá considerar son exactamente las características que debe cumplir cada uno del personal
que habrá de participar en la auditoria.
Uno de los esquemas generalmente aceptados para tener un adecuado control es:
Con estas bases debemos considerar los conocimientos, la práctica profesional y la capacitación
que debe tener el personal que intervendrá en la auditoria.
Primeramente, debemos pensar que hay personal asignado por la organización, que debe tener el
suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos toda la
información que se solicite y programar las reuniones y entrevistas requeridas.
También se deben contar con personas asignadas por los usuarios para que en el momento que se
solicite información, o bien se efectúe alguna entrevista de comprobación de hipótesis, nos
proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que
debemos analizar no sólo el punto de vista de la dirección de informática, sino también el del
usuario del sistema.
1. Técnico en informática.
2. Conocimientos de Admón., contaduría y finanzas.
3. Experiencia en el área de informática.
4. Experiencia en operación y análisis de sistemas.
5. Conocimientos y experiencias en psicología industrial.
6. Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones,
dependiendo del área y características a auditar.
7. Conocimientos de los sistemas más importantes.
Técnico en informática.
Conocimientos de Admón., contaduría y finanzas.
Experiencia en el área de informática.
Experiencia en operación y análisis de sistemas.
Conocimientos y experiencias en psicología industrial.
Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo
del área y características a auditar.
Conocimientos de los sistemas más importantes.
En el caso de sistemas complejos se deberá contar con personal con conocimientos y experiencias
en áreas específicas como base de datos, redes y comunicaciones, etcétera.
Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias
señaladas, pero si que deben intervenir una o varias personas con las características apuntadas.
Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta la
carta (convenio de servicios profesionales – en el caso de auditores externos -) y el plan de trabajo.
UNIDAD III
III.I. Introducción
Información organizacional.
¿Cómo se divide?
En una auditoria informática se recopila la información organizacional para hacer una evaluación
objetiva de problemas que se presenten en la misma.
Para que un proceso de D.O. tenga éxito debe comenzar por obtener un diagnostico con
información verdadera y a tiempo de lo que sucede en la organización bajo análisis, esta
obtención de la información debe ser planeada en forma estructurada para garantizar una
generación de datos que ayuden posteriormente su análisis. Es un ciclo continuo en el cual se
planea la recolección de datos, se analiza, se retroalimentan y se da un seguimiento.
La recolección de datos puede darse de varias maneras:
Cuestionarios
Entrevistas
Observación
Información documental (archivo)
“La evaluación está presente en todo momento de la ejecutoria de un empleado dentro de una
organización”. Desde la entrevista inicial, la valoración del desempeño, hasta la carta de
recomendación cuando se desea mover a otro empleo, las personas están siendo evaluadas.
Las organizaciones suelen realizar una valoración del rendimiento con fines administrativos y de
desarrollo.
Proceso técnico a través del cual, en forma integral, sistemática y continua realizada por parte de
los jefes inmediatos.
Se valora el conjunto de actitudes, rendimientos y comportamiento laboral del colaborador en el
desempeño de su cargo y cumplimiento de sus funciones, en términos de oportunidad, cantidad y
calidad de los servicios producidos.
La información obtenida de la evaluación de los colaboradores, sirve también para determinar
las necesidades de formación y desarrollo, tanto para el uso individual como de la organización.
La evaluación se hace por una razón. La enciclopedia mediana y pequeña empresa enfatiza una
serie de objetivos sobre la evaluación, como:
Los criterios de evaluación son de importancia consideración para ser aplicados en las diversas
organizaciones:
1. En función de los objetivos: Consiste en la identificación por parte del jefe y empleado de las
áreas de responsabilidad y los indicadores para medir resultados.
2. En función de los factores de valor: Se trata de evaluar el desempeño según el perfil socio-
profesional (habilidades, capacidades, actitudes, organización, resolución de problemas, toma de
decisiones, etc.) de cada puesto de trabajo.
1. Clasificación: Se trata de elaborar una lista de los evaluados en orden de sucesión según su
ámbito profesional.
2. Comparación: Una vez agrupados los empleados según puestos de trabajo o áreas, se efectúa
un análisis comparativo entre los individuos del mismo grupo.
4. Listados de características: Se confecciona una lista con las características y los objetivos de
cada puesto de trabajo y grado de ejecución de los empleados.
5. Evaluación abierta: Consiste dejar abierto el campo de los aspectos que se deben evaluar.
8. Evaluación entre áreas: Cada miembro de los sectores dentro de una organización evaluará a
los empleados del otro departamento.
Existen también varios obstáculos para medir eficazmente el rendimiento, entre estos:
Existen varias claves para los directivos sobre como informar a los empleados de su
rendimiento, entre estas:
Documentar el rendimiento del empleado.
Solicite la participación del empleado.
Céntrese en los comportamientos.
Sea específico y de tiempo.
Dirija su información sólo a facetas de la situación de rendimiento que el empleado puede
cambiar.
Informe a los trabajadores sobre cualquier deficiencia.
Desarrolle un plan de acción y otro de seguimiento.
Revise su propio rendimiento. (Como se ha relacionado con el empleado)
Presenta varias claves que el empleado puede utilizar para obtener información sobre su
rendimiento personal, entre estas:
Definición
La entrevista es una de las actividades personales más importante del auditor; en ellas, éste
recoge más información, y mejor matizada, que la proporcionada por medios propios puramente
técnicos o por las respuestas escritas a cuestionarios.
La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de
interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor
informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente
establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa
posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas,
también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una
preparación muy elaborada y sistematizada, y que es diferente para cada caso particular.
¿CÓMO ¿QUÉ
? ?
¿QUIÉN ¿POR
? QUÉ?
¿DÓNDE ¿CUÁNDO
? ?
EN CUANTO A LAS PREGUNTAS
Son útiles y en muchos casos imprescindibles. Terminadas las entrevistas, el auditor califica las
respuestas del auditado (no debe estar presente) y procede al levantamiento de la información
correspondiente.
La evaluación de las Checklists, las pruebas realizadas, la información facilitada por el personal de
informática y el análisis de todos los datos disponibles, configuran todos los elementos necesarios
para calcular y establecer los resultados de la auditoria, que se materializarán en el informe final.
OBJETIVO DE LA ENTREVISTA:
Es conocer la opinión que tienen los usuarios sobre los servicios proporcionados, así como la
difusión de las aplicaciones de la computadora y de los sistemas en operación.
Se deberán hacer, en caso de ser posible, a todos los usuarios o bien en forma aleatoria a algunos
usuarios, tanto de los más importantes como de los de menor importancia, en cuanto al uso del
equipo.
A continuación se presenta una guía de cuestionario para aplicarse durante la entrevista con el
usuario.
Se deberá obtener información sobre la situación del personal del área, para lo cual se puede
utilizar la tabla de recursos humanos y la tabla de proyección de recursos humanos.
Se presenta un ejemplo de cuestionario para obtener información sobre los siguientes aspectos:
DESEMPEÑO Y COMPORTAMIENTO
1) ¿Es suficiente el número de personal para el desarrollo de las funciones del área?
SI NO
2) ¿Se deja de realizar alguna actividad por falta de personal?
SI NO
3) Es adecuada la calidad del trabajo del personal?
SI NO, por qué
CAPACITACION
Uno de los puntos que se deben evaluar con mas detalle dentro del área de informática es
la capacitación; esto se debe al proceso cambiante y al desarrollo de nuevas tecnologías
del área.
Recomendación:
ORGANIZACIÓN EN EL TRABAJO
En calidad; SI NO
En cantidad; SI NO
El estudio del presupuesto de seguridad evaluando los medios en función del sevicio que prestan y
conforme a la probabilidad de fallo que pueden tener. También se examinará la seguridad del
material suplementario y los formularios que contienen talonarios y letras.
La conservación se evalúa a partir de los contratos y de los informes de indisponibilidad. Puede ser
preventiva (mantenimiento) o curativa (restauración).
Recursos Financieros
La administración de recursos financieros supone un control presupuestal y significa llevar a cabo
toda la función de tesorería (ingresos y egresos). Es decir, todas las salidas o entradas de efectivo
deben estar previamente controladas por el presupuesto.
Para estar en condiciones de evitar fallas y de aplicar correcciones oportunamente, corresponde al
área financiera realizar los registros contables necesarios.
Estos registros contables deben corresponder al presupuesto efectuándose por unidad
organizacional.
La administración financiera consiste en:
Obtener oportunamente y en las mejores condiciones de costo, recursos financieros para cada
unidad orgánica de la empresa que se trate, con el propósito de que se ejecuten las tareas, se
eleve la eficiencia en las operaciones y se satisfagan los intereses de quienes reciben los bienes o
servicios.
Recursos Materiales
Estos resultan fundamentales para el éxito o fracaso de una gestión administrativa, lo básico en su
administración es lograr el equilibrio en su utilización. Tan negativo es para la empresa en su
escasez como su abundancia. Cualquiera de las dos situaciones resulta antieconómica; de ahí que
la administración de recursos materiales haya cobrado tanta importancia actualmente.
La administración de recursos materiales consiste en:
UNIDAD IV
La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser
confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a
personas que hagan mal uso de esta.
También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial
de la actividad computacional.
Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede
provocar retrasos sumamente costosos.
La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos,
procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la
información.
La seguridad física es uno de los aspectos más olvidados a la hora del diseño de un sistema
informático
Consiste en la "aplicación de barreras físicas y procedimientos de control, como medidas de
prevención y contramedidas ante amenazas a los recursos e información confidencial“-
Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cómputo
así como los medios de acceso remoto al y desde el mismo; implementados para proteger el
hardware y medios de almacenamiento de datos.
Tipos de Desastres
Este tipo de seguridad está enfocado a cubrir las amenazas ocasionadas tanto por el
hombre como por la naturaleza del medio físico en que se encuentra ubicado el centro.
Las principales amenazas que se prevén en la seguridad física son:
Desastres naturales, incendios accidentales tormentas e inundaciones.
Seguridad lógica:
La seguridad lógica se encarga de los controles de acceso que están diseñados para salvaguardar la
integridad de la información almacenada en una computadora, así como de controlar el mal uso
de la información.
Elementos administrativos.
Definición de una política de seguridad.
Organización y división de responsabilidades.
Uno de los puntos más importantes a considerar para poder definir la seguridad de un sistema es
el grado de actuación que puede tener un usuario dentro de un sistema
Propietario
Administrador
Usuario principal
Usuario de consulta
Usuario de explotación
Usuario de auditoria
Para conservar la integridad, confidencialidad y disponibilidad de los sistemas de
información se debe tomar en cuenta lo siguiente:
Claves de acceso.
Se implementan en el SO sobre los sistemas de aplicación en BD, en un paquete especifico de
seguridad o cualquier otro utilitario. Protegen al NOS, al sistema de aplicación y otros software de
la utilización o modificación no autorizada, mantienen la integridad de la información y la
resguardan de accesos no autorizados.
El National Institute for Standars and Techn ha resumido los siguientes estándares de seguridad
mínimos en cualquier sistema:
Identificación y Autentificación
Se denomina Identificación al momento en que el usuario se da a conocer en el
sistema; y Autenticación a la verificación que realiza el sistema sobre esta
identificación.
Algo que solamente el individuo conoce: por ejemplo una clave secreta de acceso
o password, una clave criptográfica, un número de identificación personal o PIN,
etc.
Algo que la persona posee: por ejemplo una tarjeta magnética.
Algo que el individuo es y que lo identifica unívocamente: por ejemplo las huellas
digitales o la voz.
Algo que el individuo es capaz de hacer: por ejemplo los patrones de escritura.
Teniendo en cuenta que las claves son frecuentemente olvidadas las tarjetas se
pierdan o dañen, por ello es conveniente que sean identificados y autenticados
una vez, esto se denomina single login o sincronización de passwords.
Roles
El acceso a la información también puede controlarse a través de la función o rol
del usuario que requiere dicho acceso. (Porgramador, loder del proyecto, gerente
de un area usuaria, administrador, etc.)
Transacciones
También pueden implementarse controles a través de las transacciones, por
ejemplo solicitando una clave al requerir el procesamiento de una transacción
determinada.
Limitaciones a los Servicios
Estos controles se refieren a las restricciones que dependen de parámetros
propios de la utilización de la aplicación o preestablecidos por el administrador del
sistema. Ej. (En la organización se disponga de licencias para la utilización
simultánea de un determinado producto de software para cinco personas, en
donde exista un control a nivel sistema que no permita la utilización del producto
a un sexto usuario. )
Modalidad de Acceso
Se refiere al modo de acceso que se permite al usuario sobre los recursos y a la
información. Esta modalidad puede ser:
Lectura (Puede leer o ver la informacion sin alterar, puede ser copiada)
Escritura(Permite agregar datos, modificar o borrar informacion)
Ejecución(Permite ejecutar programas)
Borrado(Permite eliminar recursos del sistemas)
Todas las anteriores
modalidades de acceso especiales
Creación(Permite crear nuevos archivos , registros, campos)
Búsqueda(Permite listar os archivos de un directorio determinado)
Ubicación y Horario
El acceso a determinados recursos del sistema puede estar basado en la ubicación
física o lógica de los datos o personas. En cuanto a los horarios, este tipo de
controles permite limitar el acceso de los usuarios a determinadas horas de día o a
determinados días de la semana. De esta forma se mantiene un control más
restringido de los usuarios y zonas de ingreso. Siempre deben ir acompañados de
alguno de los controles anteriormente mencionados.
Control de Acceso Interno
o Palabras Claves (Passwords)
o Encriptación
o Listas de Control de Accesos
o Límites sobre la Interfase de Usuario
o Etiquetas de Seguridad
Control de Acceso Externo
o Dispositivos de Control de Puertos
o Firewalls o Puertas de Seguridad
o Acceso de Personal Contratado o Consultores
o Accesos Públicos
Administración de Seguridad
o Una vez establecidos los controles de acceso sobre los sistemas y la aplicación, es
necesario realizar una eficiente administración de estas medidas de seguridad
lógica, lo que involucra la implementación, seguimientos, pruebas y
modificaciones sobre los accesos de los usuarios de los sistemas.
Dentro de una organización la seguridad es muy indispensable, ya que las operaciones efectuadas
requieren un alto grado de confiabilidad, todo esto depende en gran medida de la integridad,
estabilidad y lealtad de personal, por lo que al momento de reclutarlos es conveniente hacerle
exámenes psicológicos, médicos y tener muy en cuenta sus antecedentes de trabajo.
deben considerar los valores sociales, en general, su estabilidad ya que normalmente son
personas que trabajan bajo presión y con mucho estrés, por lo que importan mucho su
actitud y comportamiento.
También se deben tener políticas de rotación de personal que disminuyan la posibilidad de
fraudes,
Esto se debe hacer principalmente en funciones de alto nivel de confianza, aunque
impliquen un alto costo. Este procedimiento de rotación de personal nos permita además,
detectar los indispensables y eliminarlos.
Se deberá también evaluar la motivación del personal, ya que un empleado motivado
normalmente tiene un alto grado de lealtad y disminuirá la posibilidad de ataques
intencionados a la organización.
El programador honesto en ocasiones elabora programas que ponen en peligro la
seguridad de la empresa, ya que no se consideran procedimientos de auditoria dentro de
los programas tales que excluyan las posibilidades de fraude.
En muchas ocasiones el mayor riesgo de fraude o mal uso de la información está dentro
del mismo personal, y la mayor seguridad está en contar con personal leal, honesto y con
ética. Para lograr esto se debe contar con personal capacitado, motivado y con
remuneraciones adecuadas.
Pero también se debe prever la posibilidad de personal mal intencionado, para lo cual se
debe tener los controles de seguridad señalados, los cuales deben de ser observados
principalmente por el personal del área de informática. El auditor debe de estar
consciente que los primeros que deben implantar y observar los controles son los del
personal de informática.
Planes de contingencia
Es el control de las contingencias y riesgos que se pueden presentar en el área de sistemas.
Se pueden evitar a través de planes y programas preventivos específicos detallando las actividades
antes, durante y después de alguna contingencia.
En estos planes se incluyen:
* Simulacros de contingencias (Evacuación ante siniestro)
* Reportes de actuaciones (Documento de hallazgos)
* Bitácoras de seguimiento de las actividades (Documento de E/S, actividades)
* Eventos que se presenten en el área de sistemas
Señales de alerta
• Se debe tener una adecuada política de vacaciones.
• Se deben tener políticas de rotación de personal.
• Evaluar la motivación del personal.
• Planes de capacitación al personal (interna y/o externa).
• Difusión de conocimientos y desarrollo general.
• Creación de instructores propios de la compañía.
• Capacitación permanente y motivación general del personal.
Seguridad de la PC
• Password del BIOS (contraseña eficaz).
• Prioridades de arranque (no iniciar desde disquete o CD).
Seguridad en el SO
• Contraseñas (complicadas, mayúsculas, minúsculas, números, símbolos)
• Poledit (Administración de políticas sobre usuarios)
• Programas comunes (Software con posibilidad de contraseñas)
Encriptar
Cifrar la información para que sea ininteligible por seres humanos.
Internet
Cuando estamos en una red a la escucha, un recurso a compartir o con un software con fallos
conocidos, somos propensos a que entren a nuestro sistema.
Virus
Programas ejecutables que pueden llegar a causar problemas serios o simples bromas.
Antivirus
Programa que detecta y elimina archivos maliciosos y virus informáticos.
Spyware
Programa espía que recopila información sobre las actividades de la PC.
Los controles son acciones y mecanismos definidos para prevenir o reducir el impacto de los
eventos no deseados que ponen en riesgo a los activos de una organización.
También protege a las organizaciones frente a posibles pérdidas y corrige las desviaciones que se
presentan en el desarrollo normal de las actividades.
Deben ser suficientes, comprensibles, eficaces, económicos y oportunos y, para ello, es preciso
conocer la naturaleza de los riesgos y su frecuencia, así como las consecuencias que implican.
Tipos de control
Preventivos actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de
ocurrencia, y constituyen la primera línea de defensa. También actúan para reducir la acción de los
agentes generadores de riesgos.
El ambiente de control
En ella se apoya toda la estructura del control de las organizaciones se debe contar con empleados
capaces de resolver una situación de crisis, apoyen y promuevan los controles.
La dirección especificara el grado de capacitación de empleados a cargo del control proveerá
recursos, conocimientos y habilidades.
Por ultimo el consejo de administración, el consejero delegado o el propietario, si se trata de una
pequeña empresa, es el responsable general del sistema de control.
Controles generales
Controles Operativos y de Organización:
Controles sobre el desarrollo de programas y su documentación:
Controles sobre los Programas y los Equipos:
Controles de acceso:
Controles sobre los procedimientos y los datos.
Sirven para detectar y/o prevenir errores accidentales o deliberados, causados por el uso o
la manipulación inadecuada de los archivos de datos y por el uso incorrecto o no
autorizado de los programas.
La protección de los datos puede tener varios enfoques respecto a las características:
La confidencialidad, disponibilidad e integridad. Puede haber datos críticos en cuanto a su
confidencialidad, como datos médicos u otros la disponibilidad: si se pierden o no se pueden
utilizar a tiempo pueden causar perjuicios graves y, en los casos más extremos poner en peligro la
continuidad de la entidad, y finalmente otros datos críticos atendiendo a su integridad,
especialmente cuando su pérdida no puede detectarse fácilmente o una vez detectada no es fácil
reconstruirlos.
Desde el origen del dato, que puede ser dentro o fuera de la entidad, y puede incluir
preparación, autorización, incorporación al sistema
Proceso de los datos
Salida de resultados
Retención de la información y protección en función de su clasificación
Respecto a cliente-servidor es necesario verificar los controles en varios puntos, y no sólo
en uno central como en otros sistemas, y a veces en plataformas heterogéneas, con
niveles y características de seguridad muy diferentes, y con posibilidad de transferencia de
archivos o de captación y exportación de datos que pueden perder sus protecciones al
pasar de una plataforma a otra.
Organización
El auditor debe de verificar que existan políticas para:
La evaluación del software
Adquisición o instalación.
Soporte a usuarios
Seguridad
DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo de entrada
deben ser retenidos intactos hasta el momento en que el archivo sea comprobado.
ARCHIVO DE DISCOS: Una característica del archivo de discos es que el registro anterior es
destruído, no produce una copia automáticamente una copia en duplicado.
VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel de
impresión.
ORGANIZACIÓN
El auditor debe de verificar que existan políticas para:
Seguridad.
INSTALACIÓN Y LEGALIZACIÓN
Procedimientos para la instalación del software.
El auditor debe investigar si existen procedimientos que aseguren la oportuna instalación
del software.
Actividades durante la instalación.
Por ejemplo: revisión de contenido del paquete, fecha de instalación, número de máquina,
responsable de instalación, etc.
Una vez que la organización conoce y ha definido políticas respecto a los riesgos y al perfil de los
posibles perpetradores, debe implementar mecanismos para mitigar el riesgo de fraude interno.
La mayoría de los delitos por computadora son cometidos por modificaciones de datos fuente al:
Esto es de suma importancia en el caso de sistemas en línea, en los que los usuarios son
responsables de la captura y modificación de la información. Por ello, se debe tener un adecuado
control con señalamiento de responsables de los datos.
Niveles de acceso
Lo primero que debemos evaluar es la entrada de la información y que se tengan las cifras de
control necesarias para determinar la veracidad de ésta, para lo cual se puede utilizar el siguiente
cuestionario.
Control de operación
Control de salida
Control de mantenimiento
Dicho plan contiene las medidas técnicas, humanas y organizativas necesarias para garantizar la
continuidad del negocio y las operaciones de una compañía.
El plan de contingencias sigue el conocido ciclo de vida iterativo PDCA (plan-do-check-act, es decir,
planificar-hacer-comprobar-actuar).
El plan de contingencias comprende tres subplanes. Cada plan determina las contramedidas
necesarias en cada momento del tiempo respecto a la materialización de cualquier amenaza:
Todas estas consecuencias pueden valorarse en términos monetarios, que junto a la probabilidad
de materialización ofrecen una estimación del riesgo
Fuego.
Fallas de energía.
Ataques terroristas.
Interrupciones organizadas o deliberadas.
Sistema y/o fallas de equipo.
Error humano.
Virus informáticos.
Cuestiones legales.
Huelgas de empleados.
Enviar respaldos fuera de sitio semanalmente para que en el peor de los casos no se
pierda más que los datos de una semana.
Incluir el software así como toda la información de datos, para facilitar la recuperación.
Si es posible, usar una facilidad remota de reserva para reducir al mínimo la pérdida de
datos.
Áreas de Almacenaje de Redes (SANs) en múltiples sitios son un reciente desarrollo (desde
2003) que hace que los datos estén disponibles inmediatamente sin la necesidad de
recuperarlos o sincronizarlos.
Protectores de línea para reducir al mínimo el efecto de oleadas sobre un delicado equipo
electrónico.
El suministro de energía ininterrumpido (SAI).
La prevención de incendios - más alarmas, extintores accesibles.
El software del antivirus.
El seguro en el hardware.
Para asegurar la continuidad del negocio, es recomendable partir de la siguiente premisa:
"Siempre desear lo mejor y planear para lo peor". En un buen plan existen diferentes factores que
hay que tomar en cuenta. Los más importantes son:
El árbol telefónico: para notificar todo el personal clave del problema y asignarles tareas
enfocadas hacia el plan de recuperación.
Reservas de memoria: si las cintas de reserva son tomadas fuera de sitio es necesario
grabarlas. Si se usan servicios remotos de reserva se requerirá una conexión de red a la
posición remota de reserva (o Internet).
Clientes: la notificación de clientes sobre el problema reduce al mínimo el pánico.
Instalaciones: teniendo sitios calientes o sitios fríos para empresas más grandes.
Instalaciones de recuperación móviles están también disponibles en muchos proveedores.
Trabajadores con conocimiento. Durante desastre a los empleados se les requiere trabajar
horas más largas y más agotadoras. Debe haber un sistema de apoyo para aliviar un poco
de tensión.
La información de negocio. Las reservas deben estar almacenadas completamente
separadas de la empresa. La seguridad y la fiabilidad de los datos es clave en ocasiones
como estas.
Proceso de recuperación
SIMULACRO
Criterios de Auditoria:
Seguridad Física
Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas
computacionales de la empresa, tales como el hardware, periféricos, y equipos asociados, las
instalaciones eléctricas, las instalaciones de comunicación y de datos.
Igualmente todo lo relacionado con la seguridad y salvaguarda de las construcciones, el mobiliario
y equipo de oficina, así como la protección a los accesos al centro de sistematización.
En sí, es todo lo relacionado con la seguridad, la prevención de riesgos y protección de los recursos
físicos informáticos de la empresa.
Seguridad de Datos
Podemos entender como seguridad un estado de cualquier tipo de información (informático o no)
que nos indica que ese sistema está libre de peligro, daño o riesgo. Se entiende como peligro o
daño todo aquello que pueda afectar su funcionamiento directo o los resultados que se obtienen
del mismo. Para la mayoría de los expertos el concepto de seguridad en la informática es utópico
porque no existe un sistema 100% seguro.
Para que un sistema se pueda definir como seguro debe tener estas cuatro características:
Integridad:
La información sólo puede ser modificada por quien está autorizado y de manera controlada.
Confidencialidad:
La información sólo debe ser legible para los autorizados.
Disponibilidad:
Debe estar disponible cuando se necesita.
Estas técnicas las brinda la seguridad lógica que consiste en la aplicación de barreras y
procedimientos que resguardan el acceso a los datos y sólo permiten acceder a ellos a las
personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta: "lo que no está permitido debe estar
prohibido" y ésta debe ser la meta perseguida. Los medios para conseguirlo son:
1.- Restringir el acceso (de personas de la organización y de las que no lo son) a los
programas y archivos.
2.- Asegurar que los operadores puedan trabajar pero que no puedan modificar los
programas ni los archivos que no correspondan (sin una supervisión minuciosa).
3.- Asegurar que se utilicen los datos, archivos y programas correctos en/y/por el
procedimiento elegido.
4.- Asegurar que la información transmitida sea la misma que reciba el destinatario
al cual se ha enviado y que no le llegue a otro.
6.- Organizar a cada uno de los empleados por jerarquía informática, con claves
distintas y permisos bien establecidos, en todos y cada uno de los sistemas o
aplicaciones empleadas.
La seguridad informática debe ser estudiada para que no impida el trabajo de los operadores en lo
que les es necesario y que puedan utilizar el sistema informático con toda confianza. Por eso en lo
referente a elaborar una política de seguridad, conviene:
Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una
posible intrusión
Sensibilizar a los operadores con los problemas ligados con la seguridad delos sistemas
informáticos.
Los derechos de acceso de los operadores deben ser definidos por los responsables jerárquicos y
no por los administradores informáticos, los cuales tienen que conseguir que los recursos y
derechos de acceso sean coherentes con la política de seguridad definida.
Además, como el administrador suele ser el único en conocer perfectamente el sistema, tiene que
derivar a la directiva cualquier problema e información relevante sobre la seguridad, y
eventualmente aconsejar estrategias a poner en marcha, así como ser el punto de entrada de la
comunicación a los trabajadores sobre problemas y recomendaciones en término de seguridad.
Codificar la información:
Criptología, Criptografía y Criptociencia, contraseñas difíciles de averiguar a partir de datos
personales del individuo.
Vigilancia de red.
Tecnologías repelentes o protectoras:
Cortafuegos, sistema de detección de intrusos - antispyware, antivirus, llaves para
protección de software, etc. Mantener los sistemas de información con las actualizaciones
que más impacten en la seguridad.
Consideraciones de software:
Tener instalado en la máquina únicamente el software necesario reduce riesgos.
El control del software asegura la calidad de la procedencia del mismo.
En todo caso un inventario de software proporciona un método correcto de asegurar la
reinstalación en caso de desastre.
El software con métodos de instalación rápidos facilita también la reinstalación en caso de
contingencia.
Existe un software que es conocido por la cantidad de agujeros de seguridad que
introduce, se pueden buscar alternativas que proporcionen iguales funcionalidades pero
permitiendo una seguridad extra.
1) Los puntos de entrada en la red son generalmente el correo, las páginas web y la entrada
de ficheros desde discos, o de ordenadores ajenos, como portátiles.
2) Mantener al máximo el número de recursos de red sólo en modo lectura, impide que
ordenadores infectados propaguen virus. En el mismo sentido se pueden reducir los
permisos de los usuarios al mínimo.
3) Se pueden centralizar los datos de forma que detectores de virus en modo batch puedan
trabajar durante el tiempo inactivo de las máquinas.
4) Controlar y monitorizar el acceso a Internet puede detectar, en fases de recuperación,
cómo se ha introducido el virus.
Es aquel que hace que el computador coopere con el usuario en la realización de tareas
típicamente humanas, tales como gestionar una contabilidad o escribir un texto.
Es en este software de Aplicación donde se aprecia en forma más clara la ayuda que puede
suponer un computador en las actividades humanas, ya que la máquina se convierte en un auxiliar
del hombre, liberándole de las tareas repetitivas.
Los programadores de aplicaciones, a diferencia de los programadores de sistemas, no necesitan
conocer a fondo el modo de funcionamiento interno del hardware.
Dentro de los programas de aplicación, puede ser útil una distinción entre aplicaciones verticales,
de finalidad específica para un tipo muy delimitado de usuarios (médicos, abogados,
arquitectos…), y aplicaciones horizontales, de utilidad para una amplísima gama de usuarios de
cualquier tipo.
validado. El control de cambios es un proceso integrado por varias etapas, que van desde la
solicitud del cambio hasta la realización del mismo y, en el caso de que sea crítico, su revalidación.
El camino a seguir pasa por el análisis de la solicitud, la propuesta de acciones, la evaluación del
impacto potencial sobre el sistema validado, la influencia sobre la documentación de validación y
del sistema, la revisión de los análisis efectuados y la aprobación de los mismos.
2.- Pueden existir controles de cambios ejecutados de forma incompleta. La mayoría de veces se
debe a la dificultad de comunicación entre los responsables del control de cambios. Se trata de la
situación del papel traspapelado entre el montón de papeles pendientes.
UNIDAD V
Políticas de Seguridad
Seguridad Física
Autentificación
Integridad
Confidencialidad
Control de Acceso
Auditoría
En las políticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y
procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por
seguridad y por productividad, tal vez salvo emergencias concretas si así se ha especificado, y más
bien para comunicaciones por voz.
Cada usuario sólo debe recibir en el menú lo que pueda seleccionar realmente.
Los usuarios tendrán restricción de accesos según dominios, únicamente podrán cargar los
programas autorizados, y sólo podrán variar las configuraciones y componentes los técnicos
autorizados.
Deberán existir protecciones de distinto tipo, y tanto preventivas como de detección, ante
posibles accesos sobre todo externos, así como frente a virus por diferentes vías de infección,
incluyendo el correo electrónico.
Se revisarán especialmente las redes cuando existan repercusiones económicas porque se trate de
transferencia de fondos o comercio electrónico.
Internet e Intranet
Pretty Good Privacy se está usando mucho) y para evitar virus como para que el uso del correo sea
adecuado y referido a la propia función, y no utilizado para fines particulares como se ha
intentado hacer en muchas entidades y no siempre con éxito, con otros recursos anteriores como
teléfono, fax, fotocopiadoras, o el uso de los propios computadores.
Otro de los aspectos que preocupan es la protección de programas, y tanto la prevención del uso
no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso, como la
carga o transmisión de otros de los que no se tenga licencia o simplemente para los que no exista
autorización interna.
Cada vez más las comunicaciones están tomando un papel determinante en el tratamiento de
datos, cumpliéndose el lema “el computador es la red”.
Por su parte, los informáticos a cargo de las comunicaciones suelen auto considerarse
exclusivamente técnicos, obviando considerar las aplicaciones organizativas de su tarea.
Por tanto, el primer punto de una auditoría es determinar que la función de gestión de redes y
comunicaciones esté claramente definida, debiendo ser responsable, en general, de las siguientes
áreas:
En una primera división, se establecen distintos riesgos para los datos que circulan dentro del
edificio de aquellos que viajan por el exterior. Por tanto, ha de auditarse hasta qué punto las
instalaciones físicas del edificio ofrecen garantías y han o estudiadas las vulnerabilidades
existentes.
En general, muchas veces se parte del supuesto de que si no existe acceso físico desde el exterior a
la red interna de una empresa las comunicaciones internas quedan a salvo
Las alternativas de respaldo de comunicaciones, bien sea con las mismas salas o con salas
de respaldo, consideran la seguridad física de estos lugares.
Las líneas telefónicas usadas para datos, cuyos números no deben ser públicos, tienen
dispositivos/procedimientos de seguridad tales como retrollamada, códigos de conexión o
interruptores para impedir accesos no autorizados al sistema informático.
Cada vez más se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera
que sea la red de comunicaciones el substrato común que les une.
Simplemente si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente
mensajes, puede ser capaz de bloquear la red completa y por tanto, al resto de los equipos de la
instalación.
Es necesario monitorizar la red, revisar los errores o situaciones anómalas que se producen y tener
establecidos los procedimientos para detectar y aislar equipos en situación anómala.
En general, si se quiere que la información que viaja por la red no pueda ser espiada, la única
solución totalmente efectiva es la encriptación.
Controles para asegurar que las transmisiones van solamente a usuarios autorizados y que
los mensajes no tienen por qué seguir siempre la misma ruta.
Todos los sistemas de comunicación, desde el punto de vista de auditoría, presentan en general
una problemática común:
1a Alteración de bits. Por error en los medios de transmisión, una trama puede sufrir variación en
parte de su contenido. La forma más habitual de detectar, y corregir en su caso, este tipo de
incidencias, es sufijar la trama con un Código de Redundancia Cíclico (CRC) que detecte cualquier
error y permita corregir errores que afecten hasta unos pocos bits en el mejor de los casos.
2a Ausencia de tramas. Por error en el medio, o en algún nodo, o por sobrecarga, alguna trama
puede desaparecer en el camino del emisor al receptor. Se suele atajar este riesgo dando un
número de secuencia a las tramas.
3a Alteración de Secuencia. El orden en el que se envían y se reciben las tramas no coincide. Unas
tramas han adelantado a otras. En el receptor, mediante el número de secuencia., se reconstruye
el orden original.
En el propio puesto de trabajo puede haber peligros, como grabar/retransmitir la imagen que se
ve en la pantalla, teclados que guardan memoria del orden en que se han pulsado las teclas, o
directamente que las contraseñas estén escritas en papeles a la vista.
Dentro de las redes locales, el mayor peligro es que alguien instale una “escucha” no autorizada.
Al viajar en claro la información dentro de la red local, es imprescindible tener una organización
que controle estrictamente los equipos de escucha, bien sean éstos físicos (“sniffer”) o lógicos
(“traceadores”). Ambos escuchadores, físicos y lógicos, son de uso habitual dentro de cualquier
instalación de cierto tamaño. Por tanto, es fundamental que ese uso legítimo esté controlado y no
devenga en actividad espuria.
Hay un punto especialmente crítico en los canales de comunicaciones que son las contraseñas de
usuario. Mientras que en el sistema de almacenamiento las contraseñas suelen guardarse cifradas,
es inhabitual que los terminales u computadores personales sean capaces de cifrar la contraseña
cuando se envía al computador central o al servidor.
Actualmente las telecomunicaciones y las redes de computadoras son un pilar sobre el cual se
sostienen la mayoría de las operaciones que se realizan en una organización.
Dada su rápida expansión, es muy común que hoy en día muchas organizaciones tengan una gran
infraestructura de red y de telecomunicaciones.
No se concibe una empresa que no tenga sus aplicaciones de software para las operaciones
cotidianas, usando una red de computadoras. Por tanto, es casi seguro de que si ocurriera un fallo
en la infraestructura de telecomunicaciones, la organización quedaría prácticamente paralizada.
Realizar periódicamente una verificación física del uso de terminales y de los reportes
obtenidos.
Se deben monitorear periódicamente el uso que le está dando a las terminales.
Los siguientes son ejemplos de programas de trabajo que se pueden evaluar en una auditoria:
Instalación
Que exista un registro de las actividades que se realizan durante el proceso de instalación
de los componentes de la red, hardware y software.
Para dar de alta al personal especializado que hará uso de los centros terminales, el centro
de cómputo debe facilitar los medios para registrarlos y mantener actualizado dicho
registro a través de:
La unidad administrativa que sea responsable de un centro terminal debe registrar y dar
de alta a todo el personal que haga uso del equipo de dicho centro.
UNIDAD VI
Este informe es considerado un informe estándar porque consiste de tres párrafos que contienen
frases y terminologías estándar con un significado específico. El primer párrafo identifica los
estados financieros que fueron auditados y describe la responsabilidad de la gerencia por los
estados financieros y la responsabilidad del auditor por expresar una opinión sobre esos estados
financieros. El segundo párrafo describe los elementos clave de una auditoría que proporcionan la
base para sustentar la opinión sobre los estados financieros. El auditor indica explícitamente que
la auditoría le proporcionó una base razonable para formarse una opinión sobre dichos estados
financieros. En el tercer párrafo, el auditor comunica su opinión. El auditor independiente expresa
una opinión sobre los estados financieros.
El informe estándar, conocido también como opinión sin salvedad u opinión limpia. Esta opinión se
utiliza cuanto no existen limitaciones significativas que afecten la realización de la auditoría, y
cuando la evidencia obtenida en la auditoría no revela deficiencias significativas en los estados
financieros o circunstancias poco usuales que afecten el informe del auditor independiente.
Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qué normas de
auditoría.
Expresa si las cuentas anuales contienen la información necesaria y suficiente y han sido
formuladas de acuerdo con la legislación vigente y, también, si dichas cuentas han sido elaboradas
teniendo en cuenta el principio contable de uniformidad.
Asimismo, expresa si las cuentas anuales reflejan, en todos los aspectos significativos, la imagen
fiel del patrimonio, de la situación financiera, de los resultados y de los recursos obtenidos y
aplicados.
Se opina también sobre la concordancia de la información contable del informe de gestión con la
contenida en las cuentas anuales.
En su caso, explica las desviaciones que presentan los estados financieros con respecto a unos
estándares preestablecidos.
Podemos sintetizar que el informe es una presentación pública, resumida y por escrito del trabajo
realizado por los auditores y de su opinión sobre las cuentas anuales.
Tiene características propias que la diferencian netamente de los escritos literarios, como el
cuento, la novela, el ensayo, la poesía o el drama, y aun el periodismo.
1- el informe es generalmente redactado para un superior, como una obligación profesional del
autor, y muy rara vez para otra persona; en muy pocos casos se redacta un informe para un
publico amplio.
2- El contenido del informe no depende de la elección del autor, sino de la exigencias de una tarea
o empleo, y versa por lo general sobre un asunto técnico, sobre hechos, reconocimientos,
investigaciones, estudios o labores realizadas por el informante.
3- Admite libremente toda clase de medios que contribuyen a trasmitir claramente el
pensamiento: fotografías, diagramas, gráficos, estadísticas, cuadros numéricos, documentos
originales, anexos ilustrativos o demostrativos.
La elaboración del informe de auditoría operativa es el punto final del proceso de captación y
tratamiento de la información obtenida de la organización auditada. Esta información ha de ser
suficiente para que el auditor, con su experiencia y conocimiento, sea capaz de realizar un
diagnóstico y realizar unas recomendaciones
La captación de la información de auditoría.
La información es la materia prima con la que trabaja el auditor, esto da origen a pregunto-se:
¿Qué información hay que buscar?,
¿Dónde se encuentra?,
¿Cómo darle una coherencia?
y otras más.
El auditor operativo, antes de iniciar la recopilación de información necesita:
Saber que información es significativa y cual no lo es.
Tener un esquema conceptual con el que ordenarla y clasificarla.
Saber cuales son los medios para obtenerla.
Saber cómo se puede obtener al menor coste posible.
Obtención de Información
Explotación de la información propia de la unidad de auditoría. Análisis documental.
La información necesaria se puede obtener accediendo a las bases de datos corporativas, o a la
memoria de actividades de la organización, sin necesidad de requerir información a la unidad
auditada. Por ejemplo información relativa al personal o la ejecución del presupuesto.
Básicamente se trata de realizar un análisis documental que nos permita hacemos una
composición del lugar de la organización a auditar. Recogeremos información diversa, en cantidad
y calidad, la analizaremos y la clasificaremos para su uso posterior.
Resolver las características formales de la propuesta del grupo. Esta presente todo el
material necesario.
Falto discriminar materiales, o se aprecia carencia de solución para uno de los aspectos
solicitados.
Las características solicitadas o lo hacen insuficientemente
Comprender el sentido de la selección.
Contenido: Organizado y orden lógico de los puntos presentados 5
Contenido: Expone el mensaje con claridad 3
Contenido: Ideas fundamentales: Un tema principal por diapositiva 3
Contenido: Actualizado, originalidad 5
Contenido: Dominio del material, no lee las diapositivas 7
El formato para informes finales está enfocado a apoyar y facilitar el proceso de evaluación de los
resultados de los proyectos financiados por la sede Bogotá, con respecto a los compromisos
adquiridos en el proyecto aprobado. Además de reportar sobre el cumplimiento de los objetivos y
el impacto logrado a partir del uso y obtención de los resultados esperados y de las actividades de
investigación científica.
• Los informes finales técnico y financiero, deben ser entregados a la Dirección de Investigación de
la sede, al finalizar el periodo de ejecución del proyecto.
• El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada Facultad,
Centro o Instituto.
• El informe debe contener un índice. Cada página del informe debe estar numerada.
• Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados.
• El informe técnico final deberá presentarse en versión impresa y magnética (CD o disquete).
La estructura y el formato del informe de auditoría ha de ser coherente y atractivo para su
destinatario, ha de incitar a ser leído.
Introducción.
Objetivo de la auditoría y origen de la misma: quién la pide y por qué razón.
Alcance: espacio físico, temático y temporal que se audita; periodo durante el cual se realiza la
auditoría.
Conclusiones: posición definida sobre las observaciones, que ha de deducirse lógicamente de los
hechos detectados, sustentados en datos.
OBSERVACIONES Y RECOMENDACIONES
Es una técnica que nos permite captar con todos nuestro sentido la realidad de la organización y
puede ser de dos tipos. No participante es aquella en que el auditor observa externamente el
proceso sin interferir en ellos. Y participante es aquella en la que el auditor participa en los
procesos de la unidad auditada, sea integrándose en el grupo y sus actividades. En cualquier caso
hay que definir el objetivo de la observación (cuál es el motivo de su realización), las variables de
la observación (que queremos observar, planificación de la observación (que haremos durante la
observación y trascripción de la observación (como se expresara la observación, por escrito,
visualmente, etc)
Recomendaciones:
El formato para informes finales está enfocado a apoyar y facilitar el proceso de evaluación de los
resultados de la auditoria, con respecto a los compromisos adquiridos en el proyecto aprobado.
Además de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y
obtención de los resultados esperados y de las actividades de investigación científica.
PRESENTACION