Auditoria

AUDITORIA INFORMATICA
INDICE
INTRODUCCION ------------------------------------------------------------------------------------4
UNIDAD I INTRODUCCION A LA AUDITORIA INFORMATICA

1.1 CONCEPTOS DE AUDITORIA Y AUDITORIA INFORMATICA --------------------5 1.2 TIPOS DE AUDITORIA ------------------------------------------------------------------------7 1.2.1 AUDITORIA INTERNA Y EXTERNA---------------------------------------------------8 1.3 CAMPO DE LA AUDITORIA INFORMATICA -------------------------------------------9 1.4 CONTROL INTERNO ------------------------------------------------------------------------10 1.5 MODELOS DE CONTROL UTILIZADOS EN AUDITORIA INFORMATICA ---12 1.6 PRINCIPIOS APLICADOS A LOS AUDITORES INFORMATICOS ------------13 1.7 RESPONSABILIDADES DELOS ADMINISTRADORES Y DEL AUDITOR ----17
UNIDAD II PLANEACION DE LA AUDITORIA INFORMATICA

2.1 FASES DE LA AUDITORIA ----------------------------------------------------------------18 2.1.2 PLANEACION -------------------------------------------------------------------------------20 2.1.2 REVISION PRELIMINAR -----------------------------------------------------------------20 2.1.3 REVISION DETALLADA ------------------------------------------------------------------21 2.1.4 EXAMEN Y EVALUACION DE LA INFORMACION -------------------------------22 2.1.5 PRUEBAS DE CONTROLES DE USUARIO ----------------------------------------23 2.1.6 PRUEBAS SUSTANTIVAS --------------------------------------------------------------24 2.2 EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO ---------------25 2.3 INVESTIGACION PRELIMINAR ---------------------------------------------------------26 2.4 PERSONAL PARTICIPANTE --------------------------------------------------------------27
UNIDAD III AUDITORIA DE LA FUNCION INFORMATICA

3.1 RECOPILACION DE INFORMACION ORGANIZACIONAL -----------------------29
3.2 EVALUACION DE LOS RECURSOS HUMANOS ------------------------------------30 3.3 ENTREVISTAS CON EL PERSONAL DE LA INFORMATICA --------------------32 3.4 SITUACION PRESUPUESTAL Y FINANCIERA --------------------------------------33 3.4.1 PRESUPUESTOS --------------------------------------------------------------------------34 3.4.2 RECURSOS FINANCIEROS Y MATERIALES -------------------------------------35
UNIDAD IV EVALUACION DE LA SEGURIDAD

4.1 GENERALIDADES DE LA SEGURIDAD DEL AREA FISICA ---------------------36 4.2 SEGURIDAD LOGICA Y CONFIDENCIAL --------------------------------------------36 4.3 SEGURIDAD PERSONAL ------------------------------------------------------------------42 4.4 CLASIFICACION DE LOS CONTROLES DE SEGURIDAD -----------------------42 4.5 SEGURIDAD EN LOS DATOS Y SW DE APLICACIN ---------------------------45 4.6 CONTROLES PARA EVALUAR SW DE APLICACION -----------------------------48 4.7 CONTROLES PARA PREVENIR CRIMENES Y FARUDES INFORMATICOS-------------------------------------------------------------------------------------------------------------53 4.8 PLAN DE CONTIGENCIA, SEGUROS, PROCEDIMIENTOS DE RECUPERACION DE DESASTRES ----------------------------------------------------------55 4.9 TECNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FISICA Y DEL PERSONAL ----------------------------------------------------------------------59 4.10 TECNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD DE LOS DATOS Y SW DE APLICACIN --------------------------------------------------------61
UNIDAD V AUDITORIA DE LA SEGURIAD Y LA TELEINFORMATICA

5.1 GENERALIDADES DE LA SEGURIDAD EN EL AREA DE LA TELEINFORMATICA ------------------------------------------------------------------------------64 5.2 OBJETIVOS Y CRITERIOS DE LA AUDITORIA EN EL AREA DE LA TELEINFORMATICA ------------------------------------------------------------------------------66
5.3 SINTOMAS DE RIESGO --------------------------------------------------------------------72 5.4 TECNICAS Y HERRAMIENTAS DE AUDITORIA RELACIONADAS CON LA SEGURIDAD EN LA TELEINFORMATICA --------------------------------------------------74
UNIDAD VI INFORME DE LA AUDITORIA INFORMATICA

6.1 GENERALIDADES DE LA SEGURIDAD DEL AREA FISICA ---------------------76 6.2 CARACTERISTICAS DEL INFORME ---------------------------------------------------77 6.3 ESTRUCTURA DEL INFORME -----------------------------------------------------------78 6.4 FORMATO PARA EL INFORME ----------------------------------------------------------78 CONCLUSION --------------------------------------------------------------------------------------80
INTRODUCCIN La auditora Informtica general se realiza por reas generales o por reas especficas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y mayores recursos. Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente y con menor calidad. La que nos interesa y nosotros tratamos es la auditora informtica. Dicha auditora conlleva la utilizacin de un conjunto de tcnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificacin, control, eficacia, seguridad y adecuacin del servicio informtico en la empresa, por lo que comprende un examen metdico, puntual y discontinuo del servicio informtico, con vistas a mejorar en:

Rentabilidad Seguridad Eficacia
UNIDAD I INTRODUCCION A LA AUDITORIA INFORMATICA
1.1 Conceptos de auditora y auditoria informtica Auditoria: El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas.
Es un examen crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo. Es un proceso sistemtico para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades econmicas y otros acontecimientos relacionados ,cuyo fin consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, as como establecer si dichos informes se han elaborado observando los principios establecidos para el caso.
Auditoria informtica: La Auditora Informtica la podemos definir como el conjunto de procedimientos y tcnicas para evaluar y controlar un sistema informtico con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informticas y generales prefijados en la organizacin.
La Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. Es el conjunto de tcnicas, actividades y procedimientos destinados a analizar evaluar, verificar y recomendar en asuntos relativos a la planificacin, control eficacia, seguridad y adecuacin del servicio informtico.
Los objetivos de la auditoria informtica son: El control de la funcin informtica El anlisis de la eficiencia de los sistemas informticos La verificacin del cumplimiento de la normativa en el mbito La revisin de la eficaz gestin de los recursos informticos
Alcance de la auditoria informtica El alcance ha de definir con precisin el entorno y los limites en que va a desarrollarse la auditoria informtica, se complementa con los objetivos de estas. El alcance ha de figurar expresamente en el informe final, de modo de que quede perfectamente determinado no solamente hasta que puntos se ha llegado, si no cuales materias fronterizas han sido omitidas.
Principales pruebas y herramientas para efectuar una auditora informtica En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas:
Pruebas clsicas: Consiste en probar las aplicaciones / sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realizacin de estas pruebas. Pruebas sustantivas: Aportan al auditor informtico las suficientes evidencias y que se pueda formar un juicio. Se suelen obtener mediante
6
observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin. Pruebas de cumplimiento: Determinan si un sistema de control interno funciona adecuadamente (segn la documentacin, segn declaran los auditados y segn las polticas y procedimientos de la organizacin).
Las principales herramientas de las que dispone un auditor informtico son:

Observacin Realizacin de cuestionarios Entrevistas a auditados y no auditados Muestreo estadstico Flujo gramas Listas de chequeo Mapas conceptuales
1.2 TIPOS DE AUDITORIA

Auditora fiscal: consiste en verificar el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista fsico.
Auditora contable: consiste en una revisin exploratoria y critica de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador pblico cuya conclusin es un dictamen a cerca de la correccin de los estados financieros de la empresa.
Auditoria operacional: se define como una tcnica para evaluar sistemticamente una funcin o una unidad con referencia a normas de la empresa ,utilizando personal no especializado en el rea de estudio ,con el objeto de asegurar a la administracin ,que sus objetivos se cumplan y determinar qu condiciones pueden mejorarse.
7
Auditoria integral: es un examen que proporciona una evaluacin objetiva y constructiva acerca del grado en que los recursos humanos, financieros y materiales son manejados con debidas economas, eficacia y eficiencia.
Auditora interna
Auditora externa
1.2.1 AUDITORA INTERNA Y EXTERNA
La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento.
La auditora interna tiene la ventaja de que puede actuar peridicamente realizando revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.
La auditora externa la auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada .se presupone una mayor objetividad que en la auditora interna, debido al mayor distanciamiento entre auditores y auditados.
1.3 CAMPO DE LA AUDITORA INFORMTICA

Algunos campos de aplicacin de la informtica son las siguientes:
Investigacin cientfica y humanstica: usa las computadoras para la resolucin de clculos matemticos, recuentos numricos, etc.
Algunas de estas operaciones: resolucin de ecuaciones anlisis de datos de medidas experimentales, encuestas etc. Anlisis automticos de textos
Aplicaciones tcnicas: usa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos etc. Algunas de estas operaciones: Anlisis y diseo de circuitos de computadoras Clculos de estructuras en obras de ingeniera Minera Cartografa
Documentacin e informacin: es uno de los campos ms importantes para la utilizacin de las computadoras .estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en base de datos.
Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa .existen programas que realizan las siguientes actividades: Contabilidad Facturacin Control de existencias
Nominas
Inteligencia artificial: las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo aria una persona inteligente.
1.4 CONTROL INTERNO
El control interno es una funcin que tiene por objeto salvaguardar y preservar los bienes de la empresa, evitar desembolsos indebidos de fondos y ofrecer la seguridad de que no se contraern obligaciones sin autorizacin. Sistema conformado por un conjunto de procedimientos (reglamentaciones y actividades) que interrelacionadas entre si, tienen por objeto proteger los activos de la organizacin. Control Interno Informtico
10
Funciones del Control Interno Informtico
El control interno informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin de la organizacin y/o la direccin informtica. * La funcin del control interno informtico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas. Como principales objetivos podemos indicar los siguientes: * Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. * Asesorar sobre el conocimiento de las normas. * Colaborar y apoyar el trabajo de Auditoria informtica, as como de las auditoras externas al grupo. * Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del graso adecuado del servicio informtico.
Limitaciones de un sistema de control interno Ningn sistema de control interno puede garantizar su cumplimiento de sus objetivos ampliamente, de acuerdo a esto ,el control interno brinda una seguridad razonable en funcin de: Costo beneficio El control no puede superar el valor de lo que se quiere controlar La mayora de los controles hacia transacciones o tareas ordinarias
11
El factor de error humano Posibilidad de conclusiones que pueda evadir los controles
1.5 MODELOS DE CONTROL UTILIZADOS EN AUDITORIA INFORMTICA
La seguridad informtica es el conjunto de reglas, planes y acciones que permiten asegurar la informacin contenida de un sistema computacional.
reas que cubre la seguridad informtica Polticas de seguridad Seguridad fsica Autentificacin Integridad Confidencialidad Control de acceso Auditoria
La seguridad informtica y proteccin de datos partiendo de los anlisis de las vulnerabilidades, se utilizan cortafuegos, copias de seguridad, antivirus, otras mejoras.
12
1.6 PRINCIPIOS APLICADOS A LOS AUDITORES INFORMTICO

El auditor deber ver como se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones ms idneas segn los problemas detectados en el sistema informtico de esta ltima. En ningn caso esta justificado que realice su trabajo el prisma del propio beneficio. Cualquiera actitud que se anteponga intereses personales del auditor a los del auditado deber considerarse como no tica. Para garantizar el beneficio del auditado como la necesaria independencia del auditor ,este ultimo deber evitar estar ligado en cualquier forma ,a inters de determinadas marcas ,productos o equipos compatibles con los de sus clientes. la adaptacin del auditor al sistema del auditado deber implicar una cierta simbiosis con el mismo, a fin de adquirir un conocimiento pormenorizado de sus caractersticas entristezcas.
Principio de calidad:
en el auditor deber prestar sus servicios a tenor de las posibilidades de la ciencia y medios y a su alcance con absoluta libertad y respeto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los acasos en el que la precariedad de medios puestos a su disposicin impidan o dificulten seriamente la relacin de la auditoria deber segarse hasta que se garantice un mnimo de
13
condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes. Principio de capacidad: En el auditor deber presentar sus servicio a tenor de las posibilidades de la ciencia y medios a su alcance con absoluta libertad respeto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimento de su labor. El auditor deber estar plenamente capacitado para la relacin de la a uditoria encomendada , maximice teniendo en cuenta que , los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precion de la smismas.
Principio de cautela: el auditor en todo momento debe ser consiente de que sus recomendaciones deben esatr basadas en experiencia contratadas que se le supone tiene adquirida, evitando que, por un exceso de vanidad , el auditado se embarque en proyectos de futuro fundamentos en simples intuiciones sobre la posible evolucin de las nuevas tecnologas de la informacin. Debe por tanto, el auditor actuar con un cierto grado de humildad , evitando dar la impresin de estar al corriente de una informacin privilegiada sobre el estado real de la evolucin de los proyectos.
Principio de comportamiento profesional: El auditor tanto en sus relaciones con el auditado como con terceras personas, deber en todo momento actuar en forma a las normas , implcitas o explicitas de dignidad de la profesin y de correccin en el trato personal. Para ello deber cuidar la moderacin en la exposicin de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen de precisin y exactitud de sus comentarios.
Principio de concentracin en el trabajo:
14
En su lnea de actuacin el auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y presin en cada una de las tareas a l encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente controlada, provocar la conclusin de los mismos sin las debidas garantas de seguridad. A si mismo deber evitar la desaconsejable practica de ahorro de esfuerzos basadas en la reproduccin de partes significativas de trabajos o conclusiones obtenidas de trabajos previos en otros posteriores elaborados como colofn de nuevas auditorias.
Principio de confianza: El auditor deber facilitar e incrementar la confianza del auditoreo en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos. este principio requiere por parte del auditor, al mantener una confianza en las condiciones del auditado aceptndolas sin reservas como validas.
Principio de criterio propio: el auditor durante la ejecucin deber actuar con criterio propio y no permitir que este subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo. De igual forma el auditor observe que, de forma reiterada, el auditado se niega, sin justificacin alguna, a adoptar a sus propuestas deber plantearse la continuidad de sus servicios en funcin de las razones y causas que considere puedan justificar dicho preceder.
Principio de discrecin: el auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria.
Principio de economa:
15
el auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos dela uditado evitando generar gastos innecesarios en el ejercicio de su actividad. De igual forma, el auditor deber tener en cuenta la economa de medios materiales o humanos, eludiendo utilizar aquellos que no se presicen , lo que redundara en reducciones de gastos no justificados.
Principio de formacin continuada: Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta.
Principio de fortalecimiento y respeto a la profesin: El auditor como integrante de un grupo profesional deber promover el respeto mutuo y la no confrontacin entre compaeros. En sus relaciones profesionales deber exigir a s mismo una reciprocidad en el comportamiento tico de sus colegas y facilitar las relaciones de confraternidad y mutuo apoyo cuando as se le soliciten.
Principio de independencia: Este principio muy relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respeto a la empresa en la que deba realizar la auditoria informtica, a exigir un a total autonoma independencia en su trabajo, condicin esta imprescindible para permitirle actuar libremente segn su leal saber y entender.
Principio de informacin suficiente: Este principio obliga al auditor a ser plenamente consciente de su obligacin de aportar ,de forma pormenorizada , clara, precisa e inteligible para el auditado, informacin tanto sobre todos y cada uno de los puntos relacionados con la auditoria que puedan tener algn inters para el, sobre las conclusiones a las que a llegado.
Principio de integridad moral:

16
Este principio, inherente ligado a la dignidad de la persona, obliga al auditor ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad, y evitar participar, voluntaria o inconscientemente. En cualquier acto de corrupcin personal o de terceras personas. Entre otros.
1.7.-RESPONSABILIDADES DE LOS ADMINISTRADORES Y DEL AUDITOR
Responsabilidades del administrador
Establecer un ambiente de control y mantener polticas y procedimientos para ayudar a logra el objetivo de asegurar, tanto como sea posible, la conduccin ordenada y eficiente del negocio de la entidad. Esta responsabilidad incluye poner en vigor y asegurar la operacin continua de los sistemas de contabilidad y de control interno diseados para prevenir y detectar fraude y error. Responsabilidades del auditor: Limitaciones inherentes de una auditoria El auditor solo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situacin analizada por el mismo. Escepticismo profesional o discusiones de planeacin: al planear la auditoria, el auditor deber discutir con otros miembros del equipo de la auditoria la susceptibilidad de la entidad a representaciones errneas de importancia en los estados financieros resultantes de fraude o error.
17
UNIDAD 2.- PLANIFICACIN INFORMATICA
DE
LA
AUDITORIA
2.1.- FASES DE LA AUDITORIA.

Visin General de las fases de una Auditora Informtica En este punto se describir brevemente cada uno de las fases a seguir durante una Auditora Informtica. Este esquema ha sido desarrollado por el American Institute of Certified Public Consultants, y es el comnmente aceptado por la mayora de las empresas de auditoria.
Fase 1: Planificacin

Revisin y evaluacin de controles contables, financieros y operativos Determinacin de la utilidad de polticas, planes y procedimientos, as como su nivel de cumplimiento Custodia y contabilizacin de activos Examen de la fiabilidad de los datos Divulgacin de polticas y procedimientos establecidos. Informacin exacta a la gerencia Obtencin de elementos de juicio fundamentados en la naturaleza de los hechos examinados Propuesta de sugerencias, en tono constructivo, para ayudar a la gerencia Deteccin de los hechos importantes ocurridos tras el cierre del ejercicio Control de las actividades de investigacin y desarrollo
Fase 2: Organizacin y Administracin

Toma de contacto Planificacin Desarrollo de la auditora Diagnstico Argumentacin y documentacin de soluciones
Fase 3: Construccin del sistema

Examinar metodologa de trabajo: anlisis, diseo, implementacin y pruebas Revisar la definicin de las opciones que caracterizan al sistema Examinar el inventario de problemas a resolver por el sistema
18
Verificar los medios que la organizacin ha dispuesto para la realizacin del sistema
Fase 4: Explotacin

Verificar la existencia de estndares de documentacin en el departamento Verificar acceso a las operaciones establecidas inicialmente Examinar que las versiones de los programas y ficheros utilizados para la explotacin Investigar el diario de explotacin y los archivos.
Fase 5: Entorno operativo hardware

Determinar si el hardware se utiliza eficientemente Comprobar las condiciones ambientales Revisar el inventario hardware Verificar los procedimientos de seguridad fsica Comprobar las condiciones ambientales
Fase 6: Entorno operativo software

Revisar las libreras utilizadas por los programadores Examinar que los programas realizan lo que realmente se espera de ellos Comprobar la seguridad de datos y ficheros Examinar los controles sobre los datos Revisar los procedimientos de entrada y salida Verificar las previsiones y procedimientos de backup Revisar los procedimientos de planificacin, adecuacin y mantenimiento del software del sistema Revisar la documentacin sobre software base Revisar los controles sobre programas producto Verificar peridicamente el contenido de los ficheros de usuario Determinar que el proceso para usuarios est sujeto a los controles adecuados
19
2.1.1.- PLANEACIN.
Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. La definicin de los objetivos perseguidos en la auditoria informtica debe preceder a la eleccin de los medios y de las acciones, si se pretende evitar el predominio de estos ltimos. Para lograr un buena planeacin es conveniente primero obtener informacin general sobre la organizacin y sobre la funcin informtica a evaluar. Para ello es preciso una investigacin preliminar y algunas entrevistas previas, para establecer un programa de trabajo en el que se incluir el tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la AI.
2.1.2.- REVISIN PRELIMINAR.

En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera perdidas sustanciosas), herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin.
20
Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando siente que un rea tiene una falla o simplemente no trabaja productivamente como se sugiere, por esta razn habr puntos claves que se nos instruya sean revisados, hay que recordar que las auditorias parten desde un mbito administrativo y no solo desde la parte tecnolgica, porque al fin de cuentas hablamos de tiempo y costo de produccin, ejercicio de ventas, etc. Es decir, todo aquello que representa un gasto para la empresa. Se debe hacer la revisin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos: ADMINISTRACIN SISTEMAS
2.1.3.- REVISIN DETALLADA.

Los objetos de la revisin detallada son los de obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. El auditor debe de decidir si debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a la revisin con los usuarios (pruebas compensatorias) o a las pruebas sustantivas. En esta etapa se revisan de nuevo los controles para deducirlas y al final de la etapa o revisin, se decide si estos controles reducen las causas de las perdidas a un nivel aceptable. Dado que aun no se sabe lo bien que funcionan dichos controles, se asume que lo harn bien, a menos que se tenga evidencias que demuestren lo contrario. En esta etapa pueden existir diferencias en el modo de conducir la auditoria, dependiendo de quien la este realizando. En el caso de ser un auditor interno, este buscara causas que afecten principalmente a la eficiencia y a la efectividad del sistema, y tratara de que no se produzca un control excesivo del mismo, buscando el juego de controles mnimo necesario. Si se trata de un auditor externo, lo ms probable es que busque controles para garantizar la salvaguarda de bienes y la integridad de los datos, principalmente.
21
2.1.4.- EXAMEN Y EVALUACIN DE LA INFORMACIN.

El examen o evaluacin de la informacin, tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y mtodos de gestin que se observan en un Centro de Proceso de Datos. Las Recomendaciones que se emitan como resultado de la aplicacin de la evaluacin, tendrn como finalidad algunas de las que se relacionan: Identificar y fijas responsabilidades. Mejorar la flexibilidad de realizacin de actividades. Aumentar la productividad. Disminuir costes Mejorar los mtodos y procedimientos de Direccin. En funcin de la definicin dada, la evaluacin o examen de la informacin, es aplicable ms a deficiencias organizativas y gerenciales que a problemas de tipo tcnico, pero no cubre cualquier rea de un Centro de Procesos de Datos. El mtodo de la evaluacin puede aplicarse cuando se producen algunas de las situaciones que se citan: Se detecta una mala respuesta a las peticiones y necesidades de los usuarios. Los resultados del Centro de Procesos de Datos no estn a disposicin de los usuarios en el momento oportuno. Se genera con alguna frecuencia informacin errnea por fallos de datos o proceso. Existen sobrecargas frecuentes de capacidad de proceso. Existen costes excesivos de proceso en el Centro de Proceso de Datos. Efectivamente, son stas y no otras las situaciones que el auditor informtico encuentra con mayor frecuencia. Aunque pueden existir factores tcnicos que causen las debilidades descritas, hay que convenir en la mayor incidencia de fallos de gestin. Se dice que esta etapa es la decisin ms difcil, ya que es una cuestin de criterio y no existe un nico mtodo aceptado para tomar la decisin. Existen cinco opciones para decir que hacer con la misma: Se continua o no con la Auditoria. Los controles Internos son Fiables o no. Que Controles son crticos y como se deben probar. Que y cuantos Test de Apoyo hay que realizar. La Aplicacin pasa o no la Auditoria.
22
Uno de los rubros que estn incrementando su popularidad dentro del ambiente informtico, es el relacionado con la seguridad del rea de sistemas; con ello se incrementa cada da ms la necesidad de evaluar la seguridad y proteccin de los sistemas, ya sea en los accesos a los centros de cmputo, en el ingreso y utilizacin de los propios sistemas y en la consulta y manipulacin de la informacin contenida en sus archivos, la seguridad de las instalaciones, del personal y los usuarios de sistemas, as como de todo lo relacionado con el resguardo de los sistemas computacionales. Es evidente que uno de los aspectos bsicos que se deben contemplar en la evaluacin de sistemas, es precisamente la proteccin y resguardo de la informacin de la empresa, tanto en el hardware como en el software, as como de los equipos adicionales que ayudan al adecuado funcionamiento de los sistemas. En esta evaluacin tambin se incluyen el acceso al rea de sistemas, el acceso al sistema, la proteccin y salvaguarda de los activos de esta rea, las medidas de prevencin y combate de siniestros, y muchos otros aspectos que se pueden valorar mediante una auditora de sistemas. Para un mejor entendimiento de estos puntos, a continuacin veremos las principales reas de seguridad que se pueden evaluar en una auditora de sistemas. 1. Evaluacin de la seguridad fsica de los sistemas. 2. Evaluacin de la seguridad lgica del sistema. 3. Evaluacin de la seguridad del personal del rea de sistemas. 4. Evaluacin de la seguridad de la informacin y las bases de datos. 5. Evaluacin de la seguridad en el acceso y uso del software. 6. Evaluacin de la seguridad en la operacin del hardware. 7. Evaluacin de la seguridad en las telecomunicaciones.
2.1.5.- PRUEBAS DE CONTROLES DE USUARIO.

Las pruebas de control son procedimientos de la Auditoria para probar la efectividad de las polticas y actividades de control interno, se aplican para fundamentar el riesgo, de que el sistema de control interno no evitar que ocurran errores importantes, ni detectara, ni corregir si han ocurrido. El auditor puede decidir que no hace falta confiar en los controles internos porque existen controles del usuario que los sustituyen o compensan. Para un
23
auditor externo, revisar estos controles del usuario puede resultar ms costoso que revisar los controles internos. Para un auditor interno, es importante hacerlo para eliminar posibles controles duplicados, bien internos o bien del usuario, para evitar la redundancia. Generalmente, las pruebas de control consisten en la combinacin de tcnicas de obtencin de evidencia tales como: Entrevistas Encuestas Cuestionarios Indagacin Observacin Rastreo Inspeccin Documental; Pueden involucrar otras tcnicas de Auditoria.
2.1.6.- PRUEBAS SUSTANTIVAS

Las Pruebas Sustantivas, son las aplicaciones de una o ms tcnicas de Auditoria a las actividades, sistemas o procesos individuales o grupales de control interno, relacionados con el logro de los objetivos y metas, as como la preservacin de los procesos y sistemas que constituyen el objeto de la Auditoria. Luego de validado el riesgo del control interno, se aplican las pruebas sustantivas programadas en el programa de auditoria, la densidad y tamao de las muestras depender la confiabilidad de sistemas de control. Las pruebas sustantivas nos permiten precisar y comprobar la informacin referida a los procesos misionales o de apoyo de la organizacin, a fin de obtener la informacin y evidencia, que analizaremos mediante una o varias de las tcnicas o procedimientos o analticos que sean pertinentes utilizar. Una prueba sustantiva es un procedimiento diseado para probar el valor monetario de saldos o la inexistencia de errores monetarios que afecten la presentacin de los estados financieros. Dichos errores (normalmente conocidos como errores monetarios) son una clara indicacin de que los saldos de las cuentas pueden estar desvirtuados. La nica duda que el auditor debe resolver, es de s estos errores son suficientemente importantes como para requerir ajuste o su divulgacin en los estados financieros. Deben ejecutarse para determinar si los errores han ocurrido realmente.
24
Una vez valorados los resultados de la pruebas se obtienen conclusiones que sern comentadas y discutidas con los responsables directos de las reas afectadas con el fin de corroborar los resultados. Por ultimo, el auditor deber emitir una serie de comentarios donde se describa la situacin, el riesgo existente y la deficiencia a solucionar, y en su caso, sugerir la posible solucin. Esta ser la tcnica a utilizar para auditar el entorno general de un sistema de bases de datos, tanto en su desarrollo como durante la explotacin.
2.2.- EVALUACIN DE LOS SITEMAS DE ACUERDO AL RIESGO.

El Anlisis de Riesgos constituye una herramienta muy importante para el trabajo del auditor y la calidad del servicio, por cuanto implica el diagnostico de los mismos para velar por su posible manifestacin o no. La Administracin de riesgos en un marco amplio implica que las estrategias, procesos, personas, tecnologa y conocimiento estn alineados para manejar toda la incertidumbre que una organizacin enfrenta. Por el otro lado los riesgos y oportunidades van siempre de la mano, y la clave es determinar los beneficios potenciales de estas sobre los riesgos. Es importante en toda organizacin contar con una herramienta, que garantice la correcta evaluacin de los riesgos a los cuales estn sometidos los procesos y actividades de una entidad y por medio de procedimientos de control se puede evaluar el desempeo de la misma. Generalmente se habla de riesgo y conceptos de riesgo en la evolucin de los sistemas de control interno, en los cuales se asumen tres tipos de riesgo: Riesgo de Control: que es aquel que existe y que se propicia por falta de control de las actividades de la empresa y puede generar deficiencias del control interno. Riesgo de Deteccin: es aquel que se asume por parte de los auditores que en su revisin no detecten deficiencias en el sistema de control interno. Riesgo Inherente: son aquellos que se presentan inherentes a las caractersticas del sistema de control interno. Sin embrago los riesgos estn presentes en cualquier sistema o proceso que se ejecute, ya que sea en procesos de produccin como de servicios, en operaciones financieras y
25
de mercado, por tal raspn podemos afirmar que la Auditoria no esta exenta de este concepto. Tcnicas de Procedimientos para Administrar Riesgos: Evitar riesgos: un riesgo es evitado cuando en la organizacin no se acepta. Esta tcnica puede ser ms negativa que positiva. Si el evitar riesgos fuera excesivamente, el negocio seria privado de muchas oportunidades de ganancia y probablemente no alcanzara sus objetivos.
Reduccin de Riesgos: los riesgos pueden ser reducidos, por ejemplo con: programas de seguridad, guardias de seguridad. Alarmas y estimacin de futuras perdidas con la asesora de personas expertas. Conservacin de Riesgos: es quizs el ms comen de los mtodos para enfrentar los riesgos. Cada organizacin debe decidir cuales riesgos se retienen, o se transfieren basndose en su margen de contingencia, una perdida puede ser un desastre financiero para una organizacin siendo fcilmente sostenido por otra organizacin. Compartir Riesgos: cuando los riesgos son compartidos, la posibilidad de perdida es transferida del individuo al grupo.
2.3.- INVESTIGACIN PRELIMINAR

Investigacin Preliminar Se debe recopilar informacin para obtener una visin general del rea a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, as como el programa detallado de la investigacin. La planeacin de la auditora debe sealar en forma detallada el alcance y direccin esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito. Se debe hacer una investigacin preliminar solicitando y revisando la informacin de cada una de las reas de la organizacin. Para poder analizar y dimensionar la estructura por auditar se debe solicitar: 1- A nivel Organizacin Total: a. Objetivos a corto y largo plazo b. Manual de la Organizacin
26
c. Antecedentes o historia del Organismo d. Polticas generales 2- A nivel rea informtica: a. Objetivos a corto y largo plazo b. Manual de organizacin del rea que incluya puestos, niveles jerrquicos y tramos de mando. c. Manual de polticas, reglamentos internos y lineamientos generales. d. Nmero de personas y puestos en el rea e. Procedimientos administrativos en el rea. f. Presupuestos y costos del rea. 3- Recursos materiales y tcnicos: a. Solicitar documentos sobre los equipos, nmero (de los equipos por instalados, por instalar y programados), localizacin y caractersticas. b. Fechas de instalacin de los equipos y planes de instalacin. c. Contratos vigentes de compra, renta y servicio de mantenimiento. d. Contrato de seguros e. Convenios que se mantienen con otras instalaciones f. Configuracin de los equipos, capacidades actuales y mximas. g. Planes de expansin h. Ubicacin general de los equipos i. Polticas de operacin j. Polticas de uso o de equipos 4- Sistemas: a. b. c. d. e. f. g. Manual de formularios. Manual de procedimientos de los sistemas Descripcin genrica Diagrama de entrada, archivo y salida. Salidas impresas Fecha de instalacin de los sistemas Proyectos de instalacin de nuevos sistemas.
2.4.- PERSONAL PARTICIPANTE.

Una de las partes ms importantes en la planeacin de la auditoria en informtica es el personal que deber participar, ya que se debe contar con un equipo seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado.
27
Aqu no se vera el nmero de persona que debern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber considerar son exactamente las caractersticas que debe cumplir cada uno del personal que habr de participar en la auditoria. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga este debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal que intervendr en la auditoria. Primeramente, debemos pensar que hay personal asignado por la organizacin, que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. Este es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, ser casi imposible obtener informacin en el momento y con las caractersticas deseadas. Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para complementar el grupo, como colaboradores directos en la realizacin de la auditoria, se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Conocimientos de Admn., contadura y finanzas. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos y experiencias en psicologa industrial. Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar. Conocimientos de los sistemas ms importantes.
En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencias en reas especficas como base de datos, redes y comunicaciones, etctera.
28
Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias sealadas, pero si que deben intervenir una o varias personas con las caractersticas apuntadas. Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta la carta (convenio de servicios profesionales en el caso de auditores externos -) y el plan de trabajo. La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes que se han de entregar.
UNIDAD III AUDITORIA DE LA FUNCION INFORMATICA

3.1 RECOPILACIN DE LA INFORMACIN ORGANIZACIONAL
Para que un proceso de informacin organizacional tenga xito deber comenzar por obtener un diagnostico con informacin verdadera y a tiempo de lo que sucede en la organizacin bajo anlisis, esta obtencin de la informacin deber ser planeada en forma estructurada para garantizar una generacin de datos que ayuden posteriormente su anlisis. Es un ciclo continuo en el cual se planea la recoleccin de datos, se analiza, se retroalimentan y se da un seguimiento. La recoleccin de datos se puede darse de varias maneras: Cuestionarios: Las auditoras informticas se materializan recabando informacin y documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. Para esto, suele ser lo habitual comenzar solicitando la cumplimentacin de cuestionarios pre impresos que se envan a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas reas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy especficos para cada situacin, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal anlisis determine a su vez la informacin que deber elaborar el propio auditor. El
29
cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la auditora. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos pre impresos hubieran proporcionado.
Entrevistas: La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad. 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular.
3.2 EVALUACIN DE LOS RECURSOS HUMANOS

Una de las partes ms importantes dentro de la planeacin de la auditoria informtica es el personal que deber participar y sus caractersticas. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga este debidamente capacitado , con alto sentido de moralidad ,al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
30
Recursos Humanos La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado dependen de la materia auditable. Es igualmente reseable que la auditora en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria. Medios humanos. Aspectos a tener en cuenta: 1.- Las personas tienen su propia finalidad la cul tratan de satisfacer, an as en una empresa se ha de respetar la realizacin de los objetivos definidos, sin quedar bloqueado por la reticencia de rutina y por la hostilidad particular.
2.- Es necesario un reparto de las responsabilidades de forma arborescente, cada equipo ha de contar con un escaso nmero de miembros, incluso resulta aconsejable una rotacin de las responsabilidades.
3.- Se requiere buenas relaciones entre los miembros del personal, lo que cada uno hace debe ser conocido globalmente por todos, y estar accesible de forma detallada. A su vez, debe ser un trabajo organizado y revisado racionalmente. Tambin es importante una formacin y una informacin suficiente para que el personal tenga una visin bastante amplia de los problemas y de las interrelaciones. Para completar el grupo, como colaboradores directos en la realizacin de la auditoria se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importante.
31
3.3 ENTREVISTAS CON EL PERSONAL DE INFORMTICA

El auditor comienza a continuacin las relaciones personales con el personal de informtica.
1.- mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad
2.- mediante entrevistas en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario
3.- por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busaca unas finalidades concretas.
La entrevista es una de las actividades personales ms importantes del auditor; en ellas, este recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios.
La entrevista entre auditor y personal de informtica se basa fundamentalmente en el concepto de interrogatorio; es lo que hace el auditor interroga y se interroga a si mismo.
32
3.4 SITUACIN PRESUPUESTAL Y FINANCIERA

Los estados financieros que aqu se generan son auditados por despachos, para efectos de dictamen externo o independiente, lo que garantiza la transparencia de las finanzas estatales. Otras de las actividades que se desempean en esta direccin es la formulacin de las conciliaciones bancarias de las cuentas de cheques receptora, pagadora y de sueldos. Medios financieros. La eleccin de los medios financieros ha de considerarse de forma global. No slo consiste en determinar qu equipos fsicos, programas o realizaciones cuestan ms o menos, sino tambin abarca otros aspectos, adems del econmico, tales como: fiabilidad, velocidad de procesamiento, rentabilidad, etc.... Aspectos a tener en cuenta:
1.- La adecuacin de los medios financieros a la finalidad se mide por la proporcin entre los gastos exigidos y los resultados (financieros o no) obtenidos. Los mtodos de control de gestin y contabilidad presupuestaria clsicos sirven para prever y posteriormente controlar la adecuacin a los objetivos. La evolutividad implica un presupuesto no slo flexible sino modulado en el tiempo, ya que los costes son importantes.
2.- Los mtodos clsicos de la contabilidad analtica permiten establecer los estndares de homogeneidad de los medios financieros. Tambin es muy til verificar peridicamente si los costes imputados son todava competitivos con relacin a un servicio exterior.
3.- Para elaborar un sistema equitativo sera preciso que dos servicios semejantes diera lugar a una misma valoracin.
33
Los costos deben ser registrados de forma fiable, completa y pertinente, y los clculos y agrupaciones efectuados deben ser legtimos. El trabajo del personal debe ser registrado o repartido segn conceptos para que las cifras conserven algn sentido. 4.- La seguridad financiera se obtiene por una rentabilidad duradera de la financiacin de hardware y el software. A la hora de la entrega de los equipos informticos, el contrato debe recoger un plan y un informe de gastos que condujo a su eleccin. La garanta de fiabilidad material reside en una clusula que fija el plazo de intervencin, en caso de avera, y el grado de fiabilidad de los componentes. Tambin puede contratarse un seguro para una garanta eficaz de los equipos. 5.- Tanto los contratos de adquisicin y seguro como los documentos contables comprenden la documentacin sobre los medios financieros.
3.4.1 PRESUPUESTOS
Un presupuesto es la revisin de gastos e ingresos para un determinado lapso, por lo general un ao. Permite a las empresas, los gobiernos, las organizaciones privadas y las familias establecer prioridades y evaluar la consecucin de sus objetivos. Para alcanzar estos fines puede ser necesario incurrir en dficit ( que los gastos superen a los ingresos) o, por el contrario , puede ser posible ahorrar , en cuyo caso el presupuesto presentara un supervit (que los ingresos superen a los gastos). En el mbito del comercio es tambin un documento o informe que detalla el coste que tendr un servicio en caso de realizarse. El que realiza el presupuesto se debe atener a l y no puede cobrarlo si el cliente acepta el servicio. El presupuesto se pude cobra o no en caso de no ser aceptado. El proceso presupuestario en las organizaciones El proceso presupuestario tiende a reflejar de una forma cuantitativa, atreves de los presupuestos, los objetivos fijados por la empresa a corto plazo, mediante el establecimiento de los oportunos programas, sin perder la perspectiva del largo plazo, puesto que esta condicionara los planes que permitirn la consecucin del fin ltimo al que va orientado la gestin de la empresa.
34
Definicin y transmisin de las directrices generales a los responsables de la preparacin de los presupuestos. Elaboracin de planes, programas y presupuestos. Negociacin de los presupuestos o coordinacin de los presupuestos Aprobacin de los presupuestos Seguimiento y actualizacin de los presupuestos
3.4.2 RECURSOS FINANCIEROS Y MATERIALES

Determinacin de los recursos de la auditoria informtica Mediante los resultados del estudio inicial realizado se procede a determinar los recursos financieros y materiales que han de emplearse en al auditoria. Recursos materiales Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y el cliente. Los recursos materiales del software son de dos tipos: a.- recursos materiales de software Programas propios de la auditoria: son muy potentes y flexibles. Habitualmente se aaden a las ejecuciones de los procesos del cliente para verificarlos. Monitoreo: se utilizan en funcin del grado de desarrollo observado en la actividad de tcnica de sistemas del auditado y de la cantidad y calidad de los datos ya existentes. b.- recursos materiales hardware Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las computadores del auditado.
35
Para lo cual habr de convenir, tiempo de mquina, espacio de disco, impresoras ocupadas etc.
UNIDAD IV.- EVALUACION DE LA SEGURIDAD

4.1.- GENERALIDADES DE LA SEGURIDAD DEL AREA FISICA
Se evaluaran las protecciones fsicas de datos, programas instalaciones, equipos redes y soportes, y por supuesto habr que considerar a las personas, que estn protegidas y existan medidas de evacuacin, alarmas, salidas alternativas, as como que no estn expuestas a riesgos superiores a los considerados admisibles en la entidad e incluso en el sector. AMENAZAS Pueden ser muy diversas: sabotaje, vandalismo, terrorismo accidentes de distinto tipo, incendios, inundaciones, averas importantes, derrumbamientos, explosiones, as como otros que afectan alas personas y pueden impactar el funcionamiento de los centros, tales como errores, negligencias, huelgas, epidemias o intoxicaciones. PROTECCIONES FSICAS ALGUNOS ASPECTOS A CONSIDERAR: Ubicacin del centro de procesos, de los servidores locales, y en general de cualquier elemento a proteger. Estructura, diseo, construccin y distribucin de los edificios y de sus platas. Riesgos a los accesos fsicos no controlados. Amenaza de fuego, problemas en el suministro elctrico. Evitar sustituciones o sustraccin de quipos, componentes, soportes magnticos, documentacin u otros activos.
4.2.- SEGURIDAD LGICA Y CONFIDENCIAL

QUE ES LA SEGURIDAD LOGICA Y CONFIDENCIAL? Bsicamente es la proteccin de la informacin, en su propio medio contra robo o destruccin, copia o difusin. Para ellos puede usarse la Criptografa, Firma Digital, Administracin de Seguridad y limitaciones de Accesibilidad a los usuarios Informacin confidencial Almacena Destruccin total o parcial
36
Mal utilizada Robos Fraudes Sabotajes Consecuencia: Prdidas de dinero En AUDITORIA destierra: Paquetes copiados Virus Software pirata Red destruccin Acceso modificar informacin con propsitos fraudulentos Mala utilizacin de los equipos Instalacin de programas innecesarios BD En qu consiste la seguridad lgica? SEGURIDAD LGICA Aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo. Todo lo que no est permitido debe estar prohibido De qu se encarga la seguridad lgica? Controlar y salvaguardar la informacin generada. Controles de acceso para salvaguardar la integridad de la informacin almacenada Seguridad Lgica Identificar individualmente a cada usuario y sus actividades en el sistema. Qu consecuencias podra traer a la organizacin la falta de seguridad lgica? Cambio de los datos. Copias de programas y /o informacin. Cdigo oculto en un programa Entrada de virus Objetivos principales Integridad Garantizar que los datos sean los que se supone que son. Confidencialidad Asegurar que slo los individuos autorizados tengan acceso a los recursos que se intercambian. Disponibilidad Garantizar el correcto funcionamiento de los sistemas de informacin.
37
Autenticacin Asegurar que slo los individuos autorizados tengan acceso a los recursos. Evitar el rechazo Garantizar de que no pueda negar una operacin realizada. Objetivos ESPECFICOS: Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa. Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. Garantizar que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro. Certificar que la informacin recibida sea la misma que ha sido transmitida. Asegurar que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. Cerciorar que se disponga de pasos alternativos de emergencia para la transmisin de informacin.
REAS DE LA SEGURIDAD LGICA
o o o o
Slo lectura Slo consulta Lectura y consulta Lectura escritura para crear, actualizar, borrar, ejecutar o copiar
Rutas de acceso
o o o
Un password, cdigo o llaves de acceso. Una credencial con banda magntica Algo especifico del usuario: - Las huellas dactilares. - La retina - La geometra de la mano. - La firma. - La voz. 2. Claves de acceso
Definicin de usuarios.
38
Tipos de usuarios:
o o o o o o o o o
Propietario. Administrador. Usuario principal. Usuario de explotacin. Usuario de auditora. Definicin de las funciones del usuario (Jobs) La integridad es la responsabilidad de los individuos autorizados para modificar datos o programas. La confidencialidad es responsabilidad de los individuos autorizados para consultar o para bajar archivos importantes. La responsabilidad es responsabilidad de individuos autorizados para alterar los parmetros de control de acceso al sistema. Software de control de acceso
Establecimiento de auditora a travs del uso del sistema. El software de seguridad tiene la capacidad para proteger los recursos de acceso no autorizados, como:
o o o o o
Procesos en espera de modificacin por un programa de aplicacin. Accesos por editores en lnea. Accesos por utileras de software. Accesos a archivos de las bases de datos, a travs de un manejador de base de datos. Acceso de terminales o estaciones no autorizadas. El software de seguridad puede detectar las violaciones de seguridad, tomando las siguientes medidas:
o o o o
Terminaciones de procesos. Forzar a las terminales a apagarse. Desplegar mensajes de error. Escribir los riesgos para la auditora. Implica la codificacin de informacin que puede ser transmitida va una red de cmputo o un disco para que solo el emisor y el receptor la puedan leer.
39
3. Software de control de acceso Encriptamiento Etapas para Implantar un Sistema de Seguridad
o o o o o o o o
Introducir el tema de seguridad en la visin. Definir los procesos de flujo de informacin y sus riesgos. Capacitar a los gerentes y directivos. Designar y capacitar supervisores de rea. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. Mejorar las comunicaciones internas. Identificar claramente las reas de mayor riesgo. Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo. BENEFICIOS DE UN SISTEMA DE SEGURIDAD Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH. Niveles de Seguridad Informtica Nivel B2 Proteccin Estructurada Soporta seguridad multinivel .Nivel B1 Seguridad Etiquetada Soporta seguridad multinivel .Nivel C2 Proteccin de Acceso Controlado Auditoria de accesos e intentos fallidos de acceso a objetos. Nivel C1 Proteccin Discrecional Acceso de control discrecional Identificacin y Autentificacin Nivel D Ninguna especificacin de seguridad
40
Niveles de Seguridad Informtica Evaluar el nivel de riesgo

o o o o o
o o o o o o
Clasificar la instalacin en trminos de riesgo(alto, mediano, pequeo). Identificar aquellas aplicaciones que tengan un alto riesgo. Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo. Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera. La justificacin del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente: Que sucedera si no se puede usar el sistema? Si la contestacin es que no se podra seguir trabajando, esto nos sita en un sistema de alto riego. La siguiente pregunta es: Qu implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podramos estar sin utilizarlo? Existe un procedimiento alterno y que problemas nos ocasionara? Que se ha hecho para un caso de emergencia? Cmo evaluar las medidas de seguridad? Para evaluar las medidas de seguridad se debe: -Especificar la aplicacin, los programas y archivos. -Las medidas en caso de desastre, prdida total, abuso y los planes necesarios. -Las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo. -En cuanto a la divisin del trabajo se debe evaluar que se tomen las siguientes precauciones, las cuales dependern del riesgo que tenga la informacin y del tipo y tamao de la organizacin. -El personal que prepara la informacin no debe tener acceso a la operacin. -Los anlisis y programadores no deben tener acceso al rea de operaciones y viceversa. -Los operadores no debe tener acceso irrestringido a las libreras ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librera y de operacin. -Los operadores no deben ser los nicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados. Cmo realizar la auditoria de la seguridad lgica?
41
o o o o o
o o o o o o
Clasificar la instalacin en trminos de riesgo Identificar aquellas aplicaciones que tengan un alto riesgo. Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo. Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera. La justificacin del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente: Que sucedera si no se puede usar el sistema? Si la contestacin es que no se podra seguir trabajando, esto nos sita en un sistema de alto riego. La siguiente pregunta es: Qu implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podramos estar sin utilizarlo? Existe un procedimiento alterno y que problemas nos ocasionara? Que se ha hecho para un caso de emergencia?
4.3.- SEGURIDAD PERSONAL

Se refiere a la seguridad y proteccin de los operadores, analistas, programadores y dems personal que est en contacto directo con los sistemas, as como a la seguridad de los beneficiarios de la informacin. El objetivo principal de la auditora de la seguridad del personal es evitar, hasta donde humanamente sea posible, los accidentes acaecidos en el trabajo que constituyen los riesgos de trabajo. Controles necesarios para la seguridad fsica del rea Controles administrativos del personal de informtica. Seguros y fianzas para el personal de sistemas. Planes y programas de capacitacin.
*Planes de contingencia definidos para el personal que labora en el rea.
4.4.- CLASIFICACIN DE LOS CONTROLES DE SEGURIDAD
Clasificacin general de los controles Controles Preventivos
42
Son aquellos que reducen la frecuencia con que ocurren las causas de riesgo o evitan que ocurran errores. Ejemplos: Letrero No fumar para salvaguardar las instalaciones,
Sistemas de claves de acceso. Controles Detectivos
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de Procedimientos de validacin auditora,
Clasificacin general de los controles (continuacin) Controles Correctivos
Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en si una actividad altamente propensa a errores, y es lo ms caro para la organizacin. Ejemplo: La recuperacin de un archivo daado a partir de respaldos.
Principales Controles Fsicos y Lgicos Autenticidad.- Permiten verificar la identidad. Passwords Firmas digitales Exactitud.- Aseguran la coherencia de los datos Validacin de campos Validacin de excesos o casos de borde Totalidad.Evitan la omisin de registros as como garantizan la conclusin de un proceso de envo Conteo de registros
43
Cifras de control. Redundancia.- Evitan la duplicidad de datos. Cancelacin de lotes o proceso batch Verificacin de secuencias. Principales Controles Fsicos y Lgicos (continuacin) Privacidad.- Aseguran la proteccin de los datos. Compactacin Encriptacin. Proteccin de Activos.hardware. Extintores Passwords. Principales Controles Fsicos y Lgicos (continuacin) Efectividad.- Aseguran el logro de los objetivos. Encuestas de satisfaccin Medicin de niveles de servicio. Eficiencia.- Aseguran el uso ptimo de los recursos. Anlisis costo-beneficio Controles automticos o lgicos. Periodicidad de cambio de claves de acceso Los cambios de las claves de acceso a los programas se deben realizar peridicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar las claves peridicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema computacional. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. Combinacin de alfanumricos en claves de acceso Destruccin o corrupcin de informacin o del
44
No es conveniente que la clave est compuesta por cdigos de empleados, ya que una persona no autorizada a travs de pruebas simples o de deducciones puede dar con dicha clave.
4.5.- SEGURIDAD EN LOS DATOS Y SOFTWARE DE APLICACIN
PROTECCIN DE LOS REGISTROS Y DE LOS ARCHIVOS Formas en que se pueden perder los archivos: Su presencia en un ambiente destructivo. Manejo indebido por parte del operador. Mal funcionamiento de la mquina. CONSIDERACIONES DE AUDITORA: El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que haya en los procedimientos para proteccin de registros y archivos y para su restitucin en caso de prdida.
An cuando no ocurra una prdida, un sistema dbil pone en peligro los archivos. PLAN DE PRESERVACIN DE LA INFORMACIN DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado. ARCHIVO DE DISCOS: Una caracterstica del archivo de discos es que el registro anterior es destruido, no produce una copia automticamente una copia en duplicado. VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel de impresin. Grado de confianza, satisfaccin y desempeo Grado de confianza, satisfaccin y desempeo
45
OBJETIVOS DE LA AUDITORA DEL SOFTWARE DE APLICACIN 1.-VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES. Para satisfacer: La instalacin del software La operacin y seguridad del software. La administracin del software
2.-DETECTAR EL GRADO DE CONFIABILIDAD. Grado de confianza, satisfaccin y desempeo Investigar si existen polticas con relacin al software. Detectar si existen controles de seguridad. Verificar que sea software legalizado. Actualizacin del software de aplicacin.
3.-EVALUACIN DEL SOFTWARE El auditor debe evaluar qu software se encuentra instalado en la organizacin. Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. Tambin debe investigar las versiones de cada uno.
4.-ORGANIZACIN El auditor debe de verificar que existan polticas para: 1.-La evaluacin del software.
46
2.-Adquisicin o instalacin. 3.-Soporte a usuarios. 4.-Seguridad.
5.-INSTALACIN Y LEGALIZACIN 1.-Procedimientos para la instalacin del software. El auditor debe investigar si existen procedimientos que aseguren la oportuna instalacin del software. 2.-Actividades durante la instalacin. Por ejemplo: revisin de contenido del paquete, fecha de instalacin, nmero de mquina, responsable de instalacin, etc. 6.-JUSTIFICACIN En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe formular una justificacin del porqu de esta adquisicin. 1.-Software legal El auditor debe de investigar las polticas cuando se encuentra software instalado en mquinas sin licencias de uso. ENTRADA Y SALIDA DEL SOFTWARE Que el software que salga de la empresa sea: Revisado (contenido, cantidad, destino). Est registrado formalmente en la empresa. Justificada plenamente su salida. Aprobado por el responsable del rea de informtica. Que el software que salga de la empresa sea: Registrado en bitcora (quin y a qu hora lo sac) Devuelto en las mismas condiciones. El personal est comprometido a no hacer mal uso del mismo. Que el software que ingrese a la empresa sea:
47
1. 2. 3. 4. 5. 6. 7.
Revisado (contenido, cantidad, procedencia). Aprobado por el responsable de informtica. Registrado (quin y a qu hora lo introdujo) Que el software que ingrese a la empresa sea: Devuelto en tiempo (comparar con fecha estipulada de devolucin). Devuelto en las mismas condiciones. El personal est comprometido a no hacer mal uso del mismo.
4.6.- CONTROLES PARA EVALUAR SOFTWARE DE APLICACIN
SOFTWARE DE APLICACIN. En principio, lo que pretendemos, es aplicar una herramienta para desarrollar una actividad de la manera ms productiva. En nuestro caso, es hacer uso de un grupo de instrucciones escritas en un lenguaje especializado, cuya finalidad es indicarle a una mquina como efectuar un trabajo, para la consecucin de un fin determinado; la herramienta a la cual nos estamos refiriendo, es denominada software o programa de computacin. QUE ES UN SOFTWARE DE APLICACIN Un software de aplicacin es bsicamente: un conjunto de programas de computacin desarrollados para realizar, en combinacin con la actividad humana, tareas o procesos especficos relacionados, en general, con el procesamiento de la informacin Estos programas, que son escritos a travs de un lenguaje de programacin, como el COBOL, FORTRAM, BASIC, C, C++, PASCAL u otros; son clasificados en funcin de las actividades que ellos puedan realizar; como ser: Facturacin, Cuentas a pagar, Liquidacin de Sueldos y Jornales, Control de Stock, Control de produccin, Gestin Contable, Planeamiento de proyectos. Un aspecto importante, a destacar en estos momentos, es que un software de aplicacin es un elemento componente de un Sistema de Informacin automatizado; y este sistema se encuentra compuesto por:

Los programas de computacin (software), a los que nos estamos refiriendo; Los equipos de informtica (hardware), en los cuales los programas son ejecutados;
48

Los procedimientos (flujos de trabajo), en los que son aplicados los programas; Los usuarios (operacin y utilizacin), con los cuales interactan; y La Informacin, que genera en funcin de los datos suministrados.
Al conjunto de programas de aplicacin escritos por un productor de software, para realizar tareas especficas y de uso frecuente; conforman lo que se denomina un Paquete de Software de aplicacin. Alternativas de Obtener un Software de aplicacin Ya estamos conociendo cuales son las caractersticas principales, del recurso que precisamos. Ahora veremos, cuales son las alternativas que tiene la empresa para incorporarlo a su patrimonio. La organizacin al momento de decidir la compra de un software de aplicacin debe evaluar las siguientes alternativas: 1. Desarrollarlo en la empresa, con personal de la empresa; llevando adelante, todas las etapas involucradas en construccin de un programa. 2. Contratar a un especialista para su desarrollarlo, de acuerdo a los requisitos identificados. 3. Adquirir un software de aplicacin genrico y, dependiendo de sus caractersticas, desarrollar las especificaciones requeridas. 4. Adquirir un software de aplicacin flexible y adaptarlo, dentro de lo posible, a las necesidades. 5. Adquirir un software de aplicacin especfico, y adaptar las necesidades al software ofrecido. Las empresas proveedoras dedicadas a la produccin de paquetes de software, buscan desarrollar un mercado potencial de sus productos; en otras palabras, cada programa es desarrollado de tal forma, que pueda ser aplicado por un gran nmero de usuarios. Tanto las caractersticas del producto como la del mercado, generan ventajas y desventajas para la adquisicin de programas de aplicacin. Las principales ventajas de adquirir un software de aplicacin sobre la alternativa del desarrollo propio, son bsicamente dos: La primera es el bajo precio de adquisicin, que se da por el hecho de dividir su costo entre varios usuarios y
49
La segunda es la reduccin de los plazos hasta la implementacin del sistema; al no llevar acabo la empresa la construccin del software de aplicacin. La principal desventaja de adquirir un software de aplicacin, desarrollado para mltiples usuarios, es que existe una baja probabilidad de que stos atiendan a todos los requisitos de los usuarios. Seleccin de paquetes de software de aplicacin. En este punto vamos a enumerar y describir, a los pasos necesarios para la adquisicin de un paquete de software de un paquete de software de aplicacin. Un procedimiento de compra de software de aplicacin, lo podemos dividir en doce etapas, a saber: 1. Identificacin y especificacin de las necesidades Este primer paso consiste en elaborar una lista en la que se indique: Qu necesito; cul es el problema; qu espero lograr con el nuevo sistema; con qu recursos cuento actualmente y qu posibilidades tengo de obtener nuevos recursos. De nada servir contar con un buen paquete de software, si no se ha alcanzado una comprensin del problema. 2. Anlisis de las necesidades y bsqueda de alternativas. En esta etapa se hace un estudio de la situacin actual; delimitando al problema y determinando cuales seran las posibles soluciones, y sus respectivos alcances. El anlisis permite la construccin del modelo; con el que podremos pensar en las cosas y sus relaciones, a fin de poder describir el funcionamiento del sistema. 3. Identificacin de los posibles proveedores. Aqu debemos investigar cules sern los posibles proveedores de software de aplicacin. 4. Establecer contacto. Debemos convocar a los proveedores a que realicen sus propuestas comerciales, en funcin de los requerimientos descriptos.
50
5. Ubicar la compra y el criterio de uso. Establecer los criterios y la metodologa a ser aplicada en la evaluacin de las propuestas presentadas, por los proveedores. 6. Evaluar alternativas. Una vez recibidas todas las propuestas, por parte de los proveedores; se debe seleccionar, de todas ellas, a los dos o tres principales paquetes de software. 7. Disponibilidad del presupuesto. De cada uno de los proyectos seleccionados, se debe realizar una evaluacin de inversin. Pueden aplicarse tcnicas financieras que analicen el flujo de caja, tales como: Valor actual neto, Tasa interna de retorno, Tasa diferencial 8. Evaluar alternativas especficas. Realizar un test de cada uno de los paquetes de software seleccionados; con el fin de verificar el cumplimiento de los requisitos de funcionalidad y los atributos de calidad, que fuesen especificados por la empresa y asumidos por el proveedor, con el comportamiento real del software. 9. Negociar. Ajustar los detalles del traspaso, entre el proveedor y la empresa, del paquete de software que presentara mejor desempeo en los test; con el fin de buscar mejores resultados en el procedimiento de compra. 10. Adquirir. Efectuar la adquisicin mediante la firma del contrato entre el proveedor y el comprador y la recepcin del bien a la empresa (incorporar el bien al patrimonio de la empresa) 11. Instalacin del software. Instalar el nuevo paquete de software de aplicacin, en los equipos (hardware) donde ste va a trabajar, construir todos los archivos de datos necesarios para poder ser utilizado y, entrenar a los usuarios del software. 12. Evaluacin posterior a la compra del Software seleccionado.
51
Identificar puntos dbiles y fuertes del software adquirido, que permitan valorar su funcionamiento. La evaluacin permitir mejorar la efectividad de los sistemas de informacin. Formas en las que se comercializan los paquetes de software de aplicacin La gran mayora de los programas de aplicacin son comercializados embalados en forma de paquetes, que contienen: Los disks o compac disc, en los que se encuentran grabados los programas, los manuales y toda la documentacin complementaria y necesaria. Tambin es comn que en la oferta se encuentren incluidos, cursos de entrenamiento, el soporte tcnico necesario para la correcta utilizacin del software y tambin pueden incluir el hardware. El software de aplicacin a problemas administrativos es comercializado: por los propios productores, a travs de sus representantes comerciales; y muy pocas veces se da el caso de la de la reventa realizada por empresas especializadas en informtica, que comercializan programas equipos y suministros. Bsicamente podemos observar dos modalidades de comercializacin: la primera y ms comn es la venta de una licencia de uso del software con derecho al servicio de soporte tcnico y mantenimiento, la segunda es por medio del cobro de una tasa de utilizacin del software, con derecho al servicio tcnico y mantenimiento. Independientemente de la modalidad de comercializacin, el proveedor suele incluir dentro del precio, la instalacin y el entrenamiento inicial de los usuarios, que ser necesario para el buen funcionamiento del software. La empresa cuando realiza una solicitud a los proveedores, debe verificar que dicha propuesta contenga los siguientes tems:
Una descripcin completa de los paquetes de software de aplicacin y los programas utilitarios que podrn ser provistos, sus precios y condiciones de pago. Hardware y software de base (sistema operativo) necesarios para la instalacin y funcionamiento de los paquetes de software propuestos. Relacin de otros costos que podrn surgir en la implementacin. Detalle de las condiciones de mantenimiento del software y su costo. Comprobacin de la capacidad para proveer sistemas; que funcionen de acuerdo con las necesidades de la empresa, resaltando sus facilidades (recursos de operacin), los datos almacenados en los principales archivos, las consultas y relatorios disponibles y la documentacin que acompaa al producto.
52
Estimativa de recursos necesarios para la operacin de los sistemas, o sea, exigencias de hardware y tiempo de procesamiento, para cada paquete de software ofrecido, basado en los volmenes de datos previstos por la empresa, especialmente para volmenes picos. Una descripcin de cmo se puede ampliar el sistema previendo aplicaciones adicionales y volmenes extras de procesamiento. Detalles del soporte que puede ser ofrecido (asesoramiento, entrenamiento, modificaciones en el software, etc.), durante la implementacin del sistema y despus de esta. Descripcin de la posibilidad de integracin de los paquetes de software propuestos entre s, con otro software del mercado o con los que la empresa ya posee. Un ejemplo, aunque incompleto, de la documentacin que acompaa al sistema, para que, al examinar algunos puntos sea posible evaluar la calidad. Demostraciones de los paquetes de software propuestos o la posibilidad de tenerlos instalados en los equipos de la empresa para su evaluacin.
4.7.- CONTROLES PARA PREVENIR CRIMENES Y FRAUDES INFORMATICOS.

La informtica es una ciencia o tcnica que ha permitido simplificar y agilizar una gran variedad de actividades en diferentes reas. La informtica se hace cada da mas imprescindible, ya que estamos viviendo una poca en la cual la tecnologa juega un papel sumamente importante. La informtica avanza rpidamente en la cultura mundial, invade en todos los mbitos de las relaciones sociales y, por tanto, el derecho debe enfrentarse a esos grandes cambios. Cabe destacar que al lado de los numerosos beneficios que nos ha trado el desarrollo de la tecnologa informtica, se han abierto grandes oportunidades a conductas antisociales y delictivas, siendo esto as un aspecto negativo que nos presenta la informtica, pues estos sistemas ofrecen complicadas formas de violar la ley y han creado la posibilidad de cometer delitos de tipo tradicionales en forma no tradicionales. La modernidad de una "tecnologa avanzada", por as decirlo, ha trado como consecuencia una delincuencia especializada que ha motivado una revolucin en el campo de la represin penal. Romeo Casanoba define el Fraude Informtico como "la incorrecta modificacin del resultado de un procesamiento automatizado de datos, mediante la alteracin de los datos que se introducen o ya contenidos en el ordenador en
53
cualquiera de las fases de su procesamiento o tratamiento informtico, con nimo de lucro y en perjuicio de tercero. En estos tiempos que corren, en los cuales la seguridad de nuestra informacin debe ser resguardada de miradas curiosas, no slo debemos protegernos de los posibles inconvenientes que pueden surgir de utilizar nuestros datos en Internet, sino tambin asegurarnos que los archivos que guardamos en nuestra computadora no estn al alcance de cualquier persona que pueda hacer uso de ellos para perjudicarnos. Como medida para prevenir el robo de nuestros datos por parte de terceros, en la actualidad la mejor solucin suele estar dada por el antiguo mtodo de la encriptacin de los datos. Bsicamente, el proceso de encriptacin reside en la codificacin y posterior decodificacin de archivos e informacin mediante un mtodo que funciona en base a algoritmos. Este mtodo trabaja convirtiendo esos datos en informacin indescifrable con el fin de que los extraos no puedan leer a simple vista el contenido de nuestros archivos. La utilizacin de la encriptacin resulta un sistema extremadamente til tanto para - informacin sensible enviada a travs de Internet, como as tambin para documentos o carpetas que almacenemos en nuestra computadora. De esta manera cuando encriptamos informacin, por ejemplo un texto simple se convierte en un texto sin sentido para quien intente leerlo sin nuestro permiso. Lo mismo sucede con aquellos archivos o carpetas privados que no deseamos que sean vistos por nadie ms que nosotros mismos. Para que la encriptacin funcione el algoritmo se vale de una "llave", ms conocida como "Key", la cual permitir el descifrado de la informacin por otra persona, siempre y cuando el dueo de esos datos lo permita. Esto suele ser comnmente utilizado en correos electrnicos que solo pueden ser decodificados por el destinatario del mensaje que haya elegido el emisor del mismo. De esta manera se protege el contenido que viaja dentro de un e-mail. No obstante la encriptacin puede ser tambin muy til cuando deseamos asegurarnos que ciertos documentos privados no sean ledos por nadie. Nada resulta mejor que el mtodo de la encriptacin para proteger nuestra informacin sensible como suelen ser datos de cuentas bancarias, movimientos de cuentas, agendas personales, datos de contactos, y cualquier otra informacin que deseemos ocultar. Mediante la utilizacin de un software cuya funcin es encriptar cualquier tipo de informacin nos podremos ahorrar el tedioso paso de comprimir con clave o con Passwords carpetas o documentos que se hallan en nuestra PC. Cmo encriptar un archivo o carpeta?
54
Si bien en la actualidad existen gran cantidad de programas que se dedican exclusivamente a la encriptacin de archivos y carpetas, lo cierto es que si eres usuario del sistema operativo Windows XP puedes cifrar tu informacin sin necesidad de apelar a una herramienta externa. Debido a la necesidad imperiosa de proteger la informacin de cada usuario, que con el paso de los aos se ha convertido en un requisito indispensable, sobre todo despus de la masificacin de Internet, Microsoft decidi incorporar en su sistema operativo una sencilla funcin mediante la cual sus usuarios pueden encriptar sus documentos y carpetas. Para encriptar el archivo deseado slo debemos seleccionar el mismo y hacer click con el botn derecho de nuestro ratn sobre el elemento, seleccionar el tem "Propiedades" y dirigirnos a "Opciones avanzadas" y all cliclear la casilla "Cifrar contenido para cifrar datos". Nos aseguraremos que nuestro archivo ha sido correctamente encriptado a travs del color del texto, ya que Windows nos mostrar el objeto en un color diferente como indicador de que ese elemento ha sido cifrado. Tengamos en cuenta que el archivo cifrado a travs de este mtodo no utiliza Passwords, por lo que para acceder a l siempre deberemos ingresar al sistema con el mismo nombre de usuario. Este mtodo no es muy til si compartimos la computadora con otras personas, como suele suceder en los entornos hogareos. Desde otra cuenta de usuario ser imposible acceder al archivo, por lo que adems deberemos crear diferentes usuarios, y aunque este paso resulte tal vez tedioso, lo cierto es que este mtodo puede resultar uno de los ms tiles y rpidos. Es posible que para muchos este mtodo no brinde la seguridad y comodidad requerida, para lo cual puede utilizarse software adicional, que se encarga exclusivamente de la funcin de cifrar informacin, tales como Cryptainer LE Free Encryption Software, Private Disk Lite, U-Sign & Encrypt Desktop, Xiao Steganography, Omziff, AxCrypt, File Waster, TrueCrypt, que en la actualidad suelen ser los ms utilizados.
4.8.-PLAN DE CONTINGENCIA, SEGUROS, PROCEDIMIENTOS DE RECUPERACIN DE DESASTRES.

A medida que las empresas se han vuelto cada vez ms dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informticos se ha vuelto crucial. Actualmente, la mayora de las empresas necesitan un nivel alto de disponibilidad y algunas requieren incluso un nivel continuo de disponibilidad, ya que les resultara extremadamente difcil funcionar sin los recursos informticos.
55
Los procedimientos manuales, si es que existen, slo seran prcticos por un corto periodo. En caso de un desastre, la interrupcin prolongada de los servicios de computacin puede llevar a prdidas financieras significativas, sobre todo si est implicada la responsabilidad de la gerencia de informtica. Lo ms grave es que se puede perder la credibilidad del pblico o los clientes y, como consecuencia, la empresa puede terminar en un fracaso total. Cabe preguntarse Por se necesita un plan de contingencia para desastres si existe una pliza de seguro para esta eventualidad? La respuesta es que si bien el seguro puede cubrir los costos materiales de los activos de una organizacin en caso de una calamidad, no servir para recuperar el negocio. No ayudar a conservar a los clientes y, en la mayora de los casos, no proporcionar fondos por adelantado para mantener funcionando el negocio hasta que se haya recuperado. En un estudio realizado por la Universidad de Minnesota, se ha demostrado que ms del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperacin ya en funcionamiento, saldrn del negocio en dos o tres aos. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informticos, este porcentaje seguramente crecer. Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratgico de seguridad para una organizacin. Imagnese una situacin que interrumpa las operaciones de las computadoras durante una semana o un mes; imagine la prdida de todos los datos de la empresa, todas las unidades de respaldo del sitio y la destruccin de equipos vitales del sistema Cmo se manejara semejante catstrofe? Si Ud. se ve en esta situacin y lo nico que puede hacer es preguntarse Y ahora qu? ya es demasiado tarde! La nica manera efectiva de afrontar un desastre es tener una solucin completa y totalmente probada para recuperarse de los efectos del mismo. Es el control de las contingencias y riesgos que se pueden presentar en el rea de sistemas. Estas contingencias se pueden evitar a travs de planes y programas preventivos especficos, en los que se detallan las actividades antes, durante y despus de alguna contingencia. En estos planes se incluyen los simulacros de contingencias, los reportes de actuaciones y las bitcoras de seguimiento de las actividades y eventos que se presenten en el rea de sistemas.
56
Seguros Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino aunque son de gran importancia. Existe un gran problema en la obtencin de los seguros ya que a veces el agente de seguros es una persona que conoce mucho de seguros, riesgos comerciales, riesgos de vida, etc.
pero muy poco sobre computadoras, y el personal de informtica conoce mucho sobre computacin y muy poco sobre seguros.
El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas (existe equipo que pueda ser transportado como computadoras personales y otras que no se pueden mover como unidades de disco duro). por lo que tal vez convenga tener dos o ms plizas por separado, cada una con las especificaciones necesarias. El seguro debe cubrir tanto daos causados por factores externos (terremotos, inundaciones, etc.) como por factores internos (daos ocasionados por negligencia de los operadores, daos debidos al aire acondicionado).
Entre las precauciones que se deben revisar estn: Se deben verificar las fechas de vencimientos de las plizas de seguros, pues puede suceder que se tenga la pliza adecuada pero vencida. Tambin se debe asegurar la prdida de los programas (software).
Seguros y fianzas para el personal, equipos y sistemas Son las medidas preventivas para garantizar la reposicin de los activos informticos de la empresa en caso de ocurrir alguna contingencia. Estas medidas se establecen para asegurar la vigencia de las plizas de los activos informticos asegurados, as como sus coberturas. Igual ocurre al afianzar la participacin del personal y usuarios del rea de sistematizacin de la empresa, ya sea para salvaguardar su fidelidad, o para protegerse de su ausencia por cualquier motivo.
Al momento de reclutar al personal
57
Se deben aplicar invariablemente Exmenes mdicos y psicolgicos Verificar sus antecedentes de trabajo Verificar sus valores sociales
Seales de alerta Se debe tener una adecuada poltica de vacaciones. Se deben tener polticas de rotacin de personal. Evaluar la motivacin del personal. Planes de capacitacin al personal (interna y/o externa). Difusin de conocimientos y desarrollo general. Creacin de instructores propios de la compaa. Capacitacin permanente y motivacin general del personal.
Beneficios de la capacitacin Difusin de conocimientos y desarrollo general. Creacin de instructores propios de la compaa. Capacitacin permanente y motivacin general del personal. El personal que se enve a los cursos y que despus los imparta se sentir motivado, reconocido y comprometido moralmente con la compaa. Al existir los cursos internos se crea un ambiente de trabajo sano por consecuencia atractivo para el personal de nuevo ingreso. Se eliminan envidias y competencias internas malintencionadas. y
*Esto permite que se trabaje en confianza dentro de un ambiente de compaerismo y colaboracin mutua Problemas de capacitacin: que origina la falta
Los tcnicos quedan estancados en cuanto a sus conocimientos. Distorsin de las funciones del centro de cmputo. El personal decide abandonar la compaa.
58
Mayor rotacin de personal. Escasez de personal calificado. Mala ubicacin del personal existente.
4.9.-TECNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FSICA Y DEL PERSONAL

Seguridad fsica Es todo lo relacionado con la seguridad y salvaguarda de los bienes tangibles de los sistemas computacionales de la empresa, tales como el hardware, perifricos, y equipos asociados, las instalaciones elctricas, las instalaciones de comunicacin y de datos. Igualmente todo lo relacionado con la seguridad y salvaguarda de las construcciones, el mobiliario y equipo de oficina, as como la proteccin a los accesos al centro de sistematizacin. En s, es todo lo relacionado con la seguridad, la prevencin de riesgos y proteccin de los recursos fsicos informticos de la empresa. Objetivos: Verificar que existan los planes polticas y procedimientos relativos a la seguridad dentro de la organizacin. Confirmar que exista un anlisis, costo-beneficio de los controles y procedimientos antes de ser implantados.
Objetivos: Comprobar que los planes y polticas de seguridad y de recuperacin sean difundidos y conocidos por la alta direccin. Asegurar la disponibilidad y continuidad del equipo de cmputo el tiempo que requieran los usuarios para el procesamiento oportuno de sus aplicaciones. Evaluar el grado de compromiso por parte de la alta direccin, los departamentos usuarios y el personal de informtica con el cumplimiento satisfactorio de los planes, polticas y procedimientos relativos a la seguridad.
59
Constatar que se brinde la seguridad necesaria a los diferentes equipos de cmputo que existen en la organizacin. Comprobar que existen los contratos de seguro necesarios para el hardware y software de la empresa. Establecer polticas y procedimientos para evitar las interrupciones prolongadas del servicio de procesamiento de datos y continuar en un medio de emergencia hasta que sea restaurado el servicio completo.
Controles necesarios para la seguridad fsica del rea: Inventario del hardware, mobiliario y equipo. Resguardo del equipo de cmputo. Bitcoras de mantenimiento y correcciones. Controles de acceso del personal al rea de sistemas. Control del mantenimiento a instalaciones y construcciones. Seguros y fianzas para el personal, equipos y sistemas. Contratos de actualizacin, asesora y mantenimiento del hardware.
Control de accesos fsicos del personal al rea de cmputo. Es el establecimiento de las medidas tendientes a controlar el acceso de las personas que tengan que entrar al centro de cmputo. Dichas medidas van desde registros en bitcoras o libretas, uso de gafetes y credenciales magnticas, hasta la vigilancia estrecha de visitantes, reas y pasillos por medio de circuito cerrado, as como la revisin fsica del personal que entra y sale del rea de sistemas. Seales de alerta Se considera a las posibles causales de riesgos en el rea donde se desempea el personal. Se deber rrevisar el nmero de extintores que estn disponibles en el rea, su capacidad, fcil acceso, peso y si el tipo de producto que utiliza es el adecuado. Contar con detectores de humo que indiquen la posible presencia de fuego.
60
Capacitar al personal para el uso adecuado de los equipos contra incendio. Verificar que las salidas de emergencia estn libres y puedan ser utilizadas. Los ductos del aire acondicionado deben de estar limpios. Se debe tener equipo de fuente no interrumpible. Restringir el acceso a los centros de cmputo slo al personal autorizado. Definicin y difusin de las horas de acceso al centro de cmputo. Se debe indicar si se cuenta con controles y procedimientos para: Clasificacin y justificacin del personal con acceso a los centros de cmputo del negocio y a las oficinas donde se encuentra papelera o accesorios relacionados con informtica. Definir la aceptacin de la entrada a visitantes. Manejo de bitcoras especiales para los visitantes de los centros de cmputo.
4.10.- TECNICAS Y HERRAMIENTAS RELACIONADAS CON LAS SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIN
Tcnicas y Herramientas de la Auditoria de la seguridad de los datos y del software de aplicacin Controles internos sobre el anlisis, desarrollo e implementacin de sistemas
1.-Las actividades que se realizan para el anlisis, diseo, desarrollo e implementacin de sistemas de cualquier empresa son nicas y por lo tanto, no tienen parecido alguno con otras actividades. 2.-Por esta razn merecen un tratamiento ms especializado. Puntos bsicos
1.-Las consecuencias de un error (generalmente deben ser consideradas para cada campo en la informacin de entrada). 2.-Los puntos en el procesamiento de informacin en los cuales se puede introducir un error en sta.
61
3.-Lo adecuado de los controles introducidos para prevencin, deteccin y correccin de errores de entrada. Cmo pueden ocurrir errores en los datos de entrada?
1.-Pueden estar registrados incorrectamente en el punto de entrada. 2.-Pueden haber sido convertidos incorrectamente a forma legible por la mquina. Cmo pueden ocurrir errores en los datos de entrada?
1.-Pueden haber sido perdidos al manejarlos; 2.-Pueden haber sido incorrectamente procesados al ser ledos por el equipo del computador. El auditor debe investigar puntos tales como:
1.- Qu ocurre a la informacin de entrada en que se encuentran los errores? 2.- Qu sucede con una operacin no correspondida? 3.- Qu sucede si los totales de control no coinciden? Tipos de controles.
1.-Control de distribucin. 2.-Validacin de datos. 3.-Totales de control. 4.-Control de secuencia. 5.-Pruebas de consistencia y verosimilitud. 6.-Dgito de control. Control de distribucin: La informacin de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no estn autorizados para recibirla. Validacin de datos: Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para
62
detectar los posibles errores que puedan traer. Estas pruebas actan como filtros de la informacin. Los datos que logran pasar el filtro se dice que estn validados. Aquellos que contienen errores son examinados, y una vez corregidos pasan de nuevo por el filtro. Totales de control: Un sistema de validacin consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artculos de un archivo. El resultado se compara con el total de estos mismos obtenidos manualmente. -Si el total manual no coincide con el total de la computadora es seal de que se ha producido un error, esto es debido a que no estn escritos los datos correctamente, o se omita un registro, duplicar registros. Control de secuencia: En datos como las facturas que estn foliadas, la computadora puede ejercer un control de secuencia sobre este nmero de folio, con lo cual se detectar si se omitieron o duplicaron registros. Algunas veces se dan rangos de secuencia con vacos entre rango y rango, entonces la investigacin se hace dentro de los lmites de cada rango. En la mayora de las veces el control de secuencia se produce sobre la clave de identificacin del artculo, pero en otras se incorpora un campo adicional al artculo en donde se inserta el nmero de orden que permita el control de secuencia. Pruebas de consistencia y verosimilitud: Una prueba tpica de consistencia es ver si un campo de un registro al que hemos definido como numrico, efectivamente soporta informacin numrica. Dgito de control: Dado que la clave de identificacin de los artculos de un registro, permite individualizar cada uno de los artculos. Es necesario asegurarse de que el contenido de la clave est correcto.
Cuando se escribe un nmero es factible cometer ciertos errores ya tpicos: Error de omisin. Error de adicin. Error de transposicin. Error de repeticin. Error de trascripcin. Error aleatorio.
63
Para detectar que el contenido de un campo de una clave es el correcto, lo que se hace es aadir una cifra ms, obtenida como una combinacin matemtica de las distintas cifras que integran el nmero de la clave de identificacin. Existen dos fases en el problema: -Asignar a cada nmero de la clave su correspondiente dgito de control de manera que desde este momento para cualquier transaccin el nmero de artculo tiene que aparecer acompaado de su dgito de control. -Validacin de cualquier movimiento o transaccin en que intervenga el artculo. Para ello se forma la parte que ser propiamente el nmero de clave, se calcula el dgito de control y se compara con el que aparece asociado en la clave.
UNIDAD V.-AUDITORA DE LA TELEINFORMTICA.
SEGURIDAD
Y LA
5.1 GENERALIDADES DE LA SEGURIDAD EN EL REA DE LA TELEINFORMTICA.

En las polticas de la entidad debe reconocerse que los sistemas, redes y mensajes transmitidos y procesados son propiedad de la entidad y no deben usarse para otros fines no autorizados, por seguridad y por productividad, tal vez salvo emergencias concretas si as se ha especificado, y ms bien para comunicaciones por voz. En funcin de la clasificacin de los datos se habr previsto el uso de cifrado, en la auditora se evaluar o se llegar a recomendar, y se revisarn la generacin, longitud, comunicacin, almacenamiento y vigencia de las claves, especialmente de las maestras. Cada usuario slo debe recibir en el men lo que pueda seleccionar realmente. Los usuarios tendrn restriccin de accesos segn dominios, nicamente podrn cargar los programas autorizados, y slo podrn variar las configuraciones y componentes los tcnicos autorizados. Debern existir protecciones de distinto tipo, y tanto preventivas como de deteccin, ante posibles accesos sobre todo externos, as como frente a virus por diferentes vas de infeccin, incluyendo el correo electrnico. Se revisarn especialmente las redes cuando existan repercusiones econmicas porque se trate de transferencia de fondos o comercio electrnico. Algunos de los puntos complementarios a revisar son:
64
- Tipos de redes y conexiones. - Informacin y programas transmitidos, y uso de cifrado. - Tipos de transacciones. - Tipos de terminales y protecciones: fsicas, lgicas, llamada de retorno. - Proteccin de transmisiones por fax si el contenido est clasificado, si bien es preferible evitar el uso de este medio en ese caso. - Proteccin de conversaciones de voz en caso necesario. - Transferencia de archivos y controles existentes. -Consideracin especial respecto a las conexiones externas a travs de pasarelas (gateway) y encaminadores (routers), as como qu controles existen. - Ante La generalizacin de modalidades avanzadas de proceso, empiezan a preocupar y a ser objeto de auditora aspectos como: Internet e Intranet: separacin de dominios e implantacin de medidas especiales, como normas y cortafuegos (firewall), y no slo en relacin con la seguridad sino por accesos no justificados por la funcin desempeada, como a pginas de ocio o erticas, por lo que pueden suponer para la productividad. El correo electrnico, tanto por privacidad (PGP, Pretty Good Privacy se est usando mucho) y para evitar virus como para que el uso del correo sea adecuado y referido a la propia funcin, y no utilizado para fines particulares como se ha intentado hacer en muchas entidades y no siempre con xito, con otros recursos anteriores como telfono, fax, fotocopiadoras, o el uso de los propios computadores. Otro de los aspectos que preocupan es la proteccin de programas, y tanto la prevencin del uso no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso, como la carga o transmisin de otros de los que no se tenga licencia o simplemente para los que no exista autorizacin interna. Tambin preocupa el control sobre las paginas Web: quin puede modificarlo y desde dnde, porque se han dado casos desagradables en alguna entidad que impactan muy negativamente en su imagen, y no tanto por los que lo ven directamente, sino por la publicidad que en los medios se puede dar a estos hechos. Finalmente preocupan tambin los riesgos que puedan existir en el comercio electrnico, aunque se estn empezando a utilizar sistemas fiables como SET (Secure Electronic Transaction). En relacin con todo ello, y para facilitar el control y la auditora, es necesario que queden registrados los accesos realizados a redes exteriores y protegidos esos registros, as como la fecha y hora y el usuario o sistema, y el tipo de informacin transferida y en qu sentido.
65
5.2 OBJETIVOS Y CRITERIOS DE LA AUDITORA EN EL REA DE LA TELEINFORMTICA

Cada vez ms las comunicaciones estn tomando un papel determinante en el tratamiento de datos, cumplindose el lema el computador es la red. No siempre esta importancia queda adecuadamente reflejada dentro de la estructura, organizativa de proceso de datos, especialmente en organizaciones de tipo tradicional, donde la adaptacin a los cambios no se produce inmediatamente. Mientras que comnmente el directivo informtico tiene amplios conocimientos de comunicaciones estn a la misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de comunicaciones en el esquema organizativo existe. Por su parte, los informticos a cargo de las comunicaciones suelen auto considerarse exclusivamente tcnicos, obviando considerar las aplicaciones organizativas de su tarea. Todos estos factores convergen en que la auditora de comunicaciones no siempre se practique con la frecuencia y profundidad equivalentes a las de otras reas del proceso de datos. Por tanto, el primer punto de una auditora es determinar que la funcin de gestin de redes y comunicaciones est claramente definida, debiendo ser responsable, en general, de las siguientes reas: - Gestin de la red, inventario de equipamiento y normativa de conectividad. - Monitorizacin de las comunicaciones, registro y resolucin de problemas. - Revisin de costos y su asignacin de proveedores y servicios de transporte, balanceo de trfico entre rutas y seleccin de equipamiento. - Participacin activa en la estrategia de proceso de datos, fijacin de estndares a ser usados en el desarrollo de aplicaciones y evaluacin de necesidades en comunicaciones. Como objetivos del control, se debe marcar la existencia de: - Una gerencia de comunicaciones con autoridad para establecer procedimientos y normativa. - Procedimientos y registros de inventarios y cambios. - Funciones de vigilancia del uso de la red de comunicaciones, ajustes de rendimiento, registro de incidencias y resolucin de problemas. - Procedimientos para el seguimiento del costo de las comunicaciones y su reparto a las personas o unidades apropiadas. - Procedimientos para vigilar el uso de la red de comunicaciones, realizar ajustes para mejorar el rendimiento, y registrar y resolver cualquier problema. - Participacin activa de la gerencia de comunicaciones en el diseo de las nuevas aplicaciones online para asegurar que se sigue la normativa de comunicaciones.
66
Lista de control * G.1. La gerencia de comunicaciones despache con el puesto directivo que en el organigrama tenga autoridad suficiente para dirigir y controlar la funcin. * G.2. Haya coordinacin organizativa entre la comunicacin de datos y la de voz, en caso de estar separadas estas dos funciones. * G.3. Existan descripciones del puesto de trabajo, competencias, requerimientos y responsabilidades para el personal involucrado en las comunicaciones. * G.4 Existan normas en comunicaciones al menos para las siguientes reas: - Tipos de equipamiento, como adaptadores LAN, que pueden ser instalados en la red. - Procedimientos de autorizacin para conectar nuevo equipamiento en la red. - Planes y procedimientos de autorizacin para la introduccin de Lneas y equipos fuera de las horas normales de operacin. - Procedimientos para el uso de cualquier conexin digital con el exterior, como lnea de red telefnica conmutada o Internet. - Procedimientos de autorizacin para el uso de exploradores fsicos (sniffers) y lgicos (traceadores). - Control fsico de los exploradores fsicos (sniffers), que deben es guardados. - Control de qu mquinas tienen instalados exploradores (traceadores), y de que stos slo se pueden invocar por usuarios autorizados. * G.5. Los contratos con transportistas de informacin y otros proveedores tienen definidas responsabilidades y obligaciones. * G.6. Existan planes de comunicaciones a largo plazo, incluyendo estrategia de comunicaciones de voz y datos. * G.7. Existen, si fueren necesarios, planes para comunicaciones a velocidad, como fibra ptica, ATM. etc. * G. 8. Se planifican redes de cableado integral para cualquier nuevo edificio dependencia que vaya a utilizar la empresa. * G.9. El plan general de recuperacin de desastres considera el respaldo recuperacin de los sistemas de comunicaciones. * G.10. Las listas de inventario cubren todo el equipamiento de comunicaciones de datos, incluyendo mdems, controladores, terminales, lneas equipos relacionados. * G.11. Se mantienen los diagramas de red que documentan las conexiones fsicas y lgicas entre las comunicaciones y otros equipos de proceso de datos. * G.12. Se refleja correctamente, en el registro de inventario y en los diagramas de red, una muestra seleccionada de equipos de comunicaciones, de dentro y de fuera de la sala de computadores. * G.13. Los procedimientos de cambio para equipos de comunicaciones como para aadir nuevos terminales o cambios en direcciones, son adecuados y consistentes con otros procedimientos de cambio en las operaciones de proceso de datos. * G.14. Existe un procedimiento formal de prueba que cubre la introduccin de cualquier nuevo equipo o cambios en la red de comunicaciones.
67
* G.15. Para una seleccin de diversas altas o cambios en la red, de un perodo reciente, los procedimientos formales de control han sido cumplidos. * G.16. Estn establecidos ratios de rendimiento que cubren reas como la de tiempos de respuesta en los terminales y tasas de errores. * G. 17. Se vigila la actividad dentro de los sistemas on line y se realizan los ajustes apropiados para mejorar el rendimiento. * G. 18. Existen procedimientos adecuados de identificacin, documentacin y toma de acciones correctivas ante cualquier fallo de comunicaciones. * G.19. La facturacin de los transportistas de comunicaciones y otros vendedores es revisada regularmente y los cargos con discrepancias se conforman adecuadamente. * G.20. Existe un sistema comprensible de contabilidad y cargo en costos de comunicaciones, incluyendo lneas, equipos y terminales. * G.21. Los gestores de comunicaciones estn informados y participan en la planificacin pre-implementacin de los nuevos sistemas de informacin que puedan tener impacto en las comunicaciones. * G.22. Las consideraciones de planificacin de capacidad en comunicaciones son tomadas en cuenta en el diseo e implementacin de nuevas aplicaciones. Auditando la red fsica En una primera divisin, se establecen distintos riesgos para los datos que circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de auditarse hasta qu punto las instalaciones fsicas del edificio ofrecen garantas y han o estudiadas las vulnerabilidades existentes. En general, muchas veces se parte del supuesto de que si no existe acceso fsico desde el exterior a la red interna de una empresa las comunicaciones internas quedan a salvo. Debe comprobarse que efectivamente los accesos fsicos provenientes del exterior han sido debidamente registrados, para evitar estos accesos. Debe tambin comprobarse que desde el interior del edificio no se intercepta fsicamente el cableado (pinchazo). En caso de desastre, bien sea total o parcial, ha de poder comprobarse cul es la parte del cableado que queda en condiciones de funcionar y qu operatividad puede soportar. Ya que el tendido de cables es una actividad irrealizable a muy corto plazo, los planes de recuperacin de contingencias deben tener prevista la recuperacin en comunicaciones. Ha de tenerse en cuenca que la red fsica es un punto claro de contacto entre la gerencia de comunicaciones y la gerencia de mantenimiento general de edificios, que es quien suele aportar electricistas y personal profesional para el tendido fsico de cables y su mantenimiento. Como objetivos de control, se debe marcar la existencia de: - reas controladas para los equipos de comunicaciones, previniendo as accesos inadecuados.
68
- Proteccin y tendido adecuado de cables y lneas de comunicaciones, para evitar accesos fsicos. - Controles de utilizacin de los equipos de pruebas de comunicaciones, usados para monitorizar la red y su trfico, que impidan su utilizacin inadecuada. - Atencin especfica a La recuperacin de los sistemas de comunicacin de datos en el plan de recuperacin de desastres en sistemas de informacin. - Controles especficos en caso de que se utilicen lneas telefnicas normales con acceso a la red de datos para prevenir accesos no autorizados al sistema o a la red. * F. 1. El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a personas autorizadas. * F.2. La seguridad fsica de los equipos de comunicaciones, tales como controladores de comunicaciones, dentro de las salas de computadores sea adecuada. * F.3. Slo personas con responsabilidad y conocimientos estn incluidas en la lista de personas permanentemente autorizadas para entrar en las salas de equipos de comunicaciones. * F.4. Se toman medidas para separar las actividades de electricistas y personal de tendido y mantenimiento de tendido de lneas telefnicas, as como sus autorizaciones de acceso, de aqullas del personal bajo control de la gerencia de comunicaciones. * F.5. En las zonas adyacentes a las salas de comunicaciones, todas Las lneas de comunicaciones fuera de la vista. * F.6. Las lneas de comunicaciones, en las salas de comunicaciones, armarios distribuidores y terminaciones de los despachos, estarn etiquetadas con un cdigo gestionado por la gerencia de comunicaciones, y no por su descripcin fsica o mtodos sin coherencia. * F.7. Existen procedimientos para la proteccin de cables y bocas de conexin que dificulten el que sean interceptados o conectados por personas no autorizadas. * F.8. Se revisa peridicamente la red de comunicaciones, buscando intercepciones activas o pasivas. * F.9. Los equipos de prueba de comunicaciones usados para resolver los problemas de comunicacin de datos deben tener propsitos y funciones definidos. * F. l0. Existen controles adecuados sobre los equipos de prueba de comunicaciones usados para monitorizar lneas y fijar problemas incluyendo: - Procedimiento restringiendo el uso de estos equipos a personal autorizado. - Facilidades de traza y registro del trfico de datos que posean los equipos de monitorizacin. - Procedimientos de aprobacin y registro ante las conexiones a lneas de comunicaciones en la deteccin y correccin de problemas. * F. 11. En el plan general de recuperacin de desastres para servicios de informacin presta adecuada atencin ala recuperacin y vuelta al servicio de los sistemas de comunicacin de datos.
69
* F.12. Existen planes de contingencia para desastres que slo afecten a las comunicaciones, como el fallo de una sala completa de comunicaciones. * F. 13. Las alternativas de respaldo de comunicaciones, bien sea con las mismas salas o con salas de respaldo, consideran la seguridad fsica de estos lugares. * F. 14. Las lneas telefnicas usadas para datos, cuyos nmeros no deben ser pblicos, tienen dispositivos/procedimientos de seguridad tales como retro llamada, cdigos de conexin o interruptores para impedir accesos no autorizados al sistema informtico. Auditando la red lgica Cada vez ms se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera que sea la red de comunicaciones el substrato comn que les une. Ledo a la inversa, la red hace que un equipo pueda acceder legtimamente a cualquier otro, incluyendo al trfico que circule hacia cualquier equipo de la red. Y todo ello por mtodos exclusivamente lgicos, sin necesidad de instalar fsicamente ningn dispositivo. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y por tanto, al resto de los equipos de la instalacin. Es necesario monitorizar la red, revisar los errores o situaciones anmalas que se producen y tener establecidos los procedimientos para detectar y aislar equipos en situacin anmala. En general, si se quiere que la informacin que viaja por la red no pueda ser espiada, la nica solucin totalmente efectiva es la encriptacin. Como objetivos de control, se debe marcar la existencia de: - Contraseas y otros procedimientos para limitar y detectar cualquier intento de acceso no autorizado a la red de comunicaciones. - Facilidades de control de errores para detectar errores de transmisin y establecer las retransmisiones apropiadas. - Controles para asegurar que las transmisiones van solamente a usuarios autorizados y que los mensajes no tienen por qu seguir siempre la misma ruta. - Tcnicas de cifrado de datos donde haya riesgos de accesos impropios a transmisiones sensibles. - Controles adecuados que cubran la importacin o exportacin de datos a travs de puertas, en cualquier punto de la red, a otros sistemas informticos. Lista de control Comprobar que: * L. 1. El software de comunicaciones, para permitir el acceso, exige cdigo de usuario y contrasea. * L. 2. Revisar el procedimiento de conexin de usuario y comprobar que: - Los usuarios no pueden acceder a ningn sistema, ni siquiera de ayuda, antes de haberse identificado correctamente.
70
-Se inhabilita al usuario que sea incapaz de dar la contrasea despus de un nmero determinado de intentos infructuosos. - Se obliga a cambiar la contrasea regularmente. - Las contraseas no son mostradas en pantalla cuando se teclean. - Durante el procedimiento de identificacin, los usuarios son informados de cundo fue su ltima conexin para ayudar a identificar potenciales suplantaciones o accesos no autorizados. * L. 3. Cualquier procedimiento del fabricante, mediante hardware o software, que permita el libre acceso y que haya sido utilizado en la instalacin original, ha de haber sido inhabilitado o cambiado. * L. 4. Se toman estadsticas que incluyan tasas de errores y de retransmisin. * L. 5. Los protocolos utilizados, revisados con el personal adecuado de comunicaciones, disponen de procedimientos de control de errores con la seguridad suficiente. * L. 6. Los mensajes lgicos transmitidos identifican el originante, la fecha, la hora y el receptor. * L. 7. El software de comunicaciones ejecuta procedimientos de control y correctivos ante mensajes duplicados, fuera de orden, perdidos, o retrasados. * L. 8. La arquitectura de comunicaciones utiliza indistintamente cualquier ruta disponible de transmisin para minimizar el impacto de una escucha de datos sensibles en una ruta determinada. * L. 9. Existen controles para que los datos sensibles slo puedan ser impresos en las impresoras designadas y vistos desde los terminales autorizados. * L. 10. Existen procedimientos de registro para capturar y ayudar a reconstruir todas las actividades de las transacciones. * L. 11. Los archivos de registro son revisados, si es posible a travs de herramientas automticas, diariamente, vigilando intentos impropios de acceso. * L. 12. Existen anlisis de riesgos para las aplicaciones de proceso de datos a fin de identificar aquellas en las que el cifrado resulte apropiado. * L. 13. Si se utiliza cifrado: - Existen procedimientos de control sobre la generacin e intercambio de claves. - Las claves de cifrado son cambiadas regularmente. - El transporte de las claves de cifrado desde donde se generan a los equipos que las utilizan sigue un procedimiento adecuado. * L. 14. Si se utilizan canales de comunicacin uniendo diversos edificios de la misma organizacin, y existen datos sensibles que circulen por ellos, comprobar que estos canales se cifran automticamente, para evitar que una interceptacin sistemtica a un canal comprometa a todas las aplicaciones. * L. 15. Si la organizacin tiene canales de comunicacin con otras organizaciones se analice la conveniencia de cifrar estos canales. * L. 16. Si se utiliza la transmisin de datos sensibles a travs de redes abiertas como Internet, comprobar que estos datos viajan cifrados. * L. 17. Si en una red local existen computadores con mdems, se han revisado los controles de seguridad asociados para impedir el acceso de equipos forneos a la red local.
71
* L. 18. Existe una poltica de prohibicin de introducir programas personales o conectar equipos privados a la red local. * L.19.Todas las puertas traseras y accesos no especficamente autorizados estn bloqueados. En equipos activos de comunicaciones, como puentes, encaminadores, conmutadores, etc., esto significa que los accesos para servicio remoto estn inhabilitados o tienen procedimientos especficos de control. * L. 20. Peridicamente se ejecutan, mediante los programas actualizados y adecuados, ataques para descubrir vulnerabilidades, que los resultados se documentan y se corrigen las deficiencias observadas. Estos ataques deben realizarse independientemente a: - Servidores, desde dentro del servidor. - Servidores, desde la red interna. - Servidores Web, especficamente - Intranet, desde dentro de ella. - Cortafuegos, desde dentro de ellos. - Accesos desde el exterior y/o Internet.
5.3 SNTOMAS DE RIESGOS

Todos los sistemas de comunicacin, desde el punto de vista de auditora, presentan en general una problemtica comn: La informacin transita por lugares fsicamente alejados de las personas responsables. Esto presupone un compromiso en la seguridad, ya que no existen procedimientos fsicos para garantizar la inviolabilidad de la informacin. En las redes de comunicaciones, por causas propias de la tecnologa, pueden producirse bsicamente tres tipos de incidencias: 1.- Alteracin de bits. Por error en los medios de transmisin, una trama puede sufrir variacin en parte de su contenido. La forma ms habitual de detectar, y corregir en su caso, este tipo de incidencias, es sufijar la trama con un Cdigo de Redundancia Cclico (CRC) que detecte cualquier error y permita corregir errores que afecten hasta unos pocos bits en el mejor de los casos. 2.- Ausencia de tramas. Por error en el medio, o en algn nodo, o por sobrecarga, alguna trama puede desaparecer en el camino del emisor al receptor. Se suele atajar este riesgo dando un nmero de secuencia a las tramas. 3.- Alteracin de Secuencia. El orden en el que se envan y se reciben las tramas no coincide. Unas tramas han adelantado a otras. En el receptor, mediante el nmero de secuencia., se reconstruye el orden original.
72
Por causas dolosas, y teniendo en cuenta que es fsicamente posible interceptar la informacin. Los tres mayores riesgos a atajar son: 1.- Indagacin. Un mensaje puede ser ledo por un tercero, obteniendo la informacin que contenga. 2.- Suplantacin. Un tercero puede introducir un mensaje espurio que el receptor cree proveniente del emisor legtimo. 3- Modificacin. Un tercero puede alterar el contenido de un mensaje. Para este tipo de actuaciones dolosas, la nica medida prcticamente efectiva en redes MAN y WAN (cuando la informacin sale del edificio) es La criptografa. En redes LAN suelen utilizarse ms bien medidas de control de acceso al edificio y al cableado, ya que la criptografa es muy onerosa todava para redes locales. Dada la proliferacin de equipos que precisan comunicacin de datos dentro de los edificios, es muy habitual plantearse sistemas de cableado integral en vez de tender un cable en cada ocasin. Esto es prcticamente un requisito en edificios con cierto volumen de usuarios. Los sistemas de cableado suelen dividirse segn su mbito. En cada planta o zona se tienden cables desde un armario distribuidor a cada uno de los potenciales puestos. Este cableado se denomina habitualmente de planta. Estos armarios estn conectados a su vez, entre s y con las salas de computadores, denominndose a estas conexiones cableado troncal. Desde las salas de computadores parten las lneas hacia los transportistas de datos (Telefnicas o PTTs), saliendo los cables al exterior del edificio en lo que se denomina cableado de ruta. El cableado de planta suele ser de cobre, por lo que es propenso a escuchas (pinchazos) que pueden no dejar rastro. El cableado troncal y el de ruta cada vez ms frecuentemente se tienden mediante fibras pticas, que son muy difciles de interceptar, debido a que no provocan radiacin electromagntica y a que la conexin fsica a una fibra ptica requiere una tecnologa delicada y compleja. En el propio puesto de trabajo puede haber peligros, como grabar/retransmitir la imagen que se ve en la pantalla, teclados que guardan memoria del orden en que se han pulsado las teclas, o directamente que las contraseas estn escritas en papeles a la vista. Dentro de las redes locales, el mayor peligro es que alguien instale una escucha no autorizada. Al viajar en claro la informacin dentro de la red local, es imprescindible tener una organizacin que controle estrictamente los equipos de escucha, bien sean stos fsicos (sniffer) o lgicos (traceadores). Ambos escuchadores, fsicos y lgicos, son de uso habitual dentro de cualquier instalacin de cierto tamao. Por tanto, es fundamental que ese uso legtimo est controlado y no devenga en actividad espuria. El riesgo de interceptar un canal de comunicaciones, y poder extraer de l la informacin, tiene unos efectos relativamente similares a los de poder entrar, sin control, en el sistema de almacenamiento del computador.
73
Hay un punto especialmente crtico en los canales de comunicaciones que son las contraseas de usuario. Mientras que en el sistema de almacenamiento las contraseas suelen guardarse cifradas, es inhabitual que los terminales u computadores personales sean capaces de cifrar la contrasea cuando se enva al computador central o al servidor. Por tanto, alguien que intercepte la informacin puede hacerse con las contraseas en claro. Adems, dado que las cartulas inciales donde se teclea la contrasea son siempre las mismas, se facilita la labor de los agentes de interceptacin, pues proporcionan un patrn del paquete de informacin donde viaja la contrasea a interceptar.
5.4.-TCNICAS Y HERRAMIENTAS DE AUDITORA RELACIONADAS CON LA SEGURIDAD EN LA TELEINFORMTICA

Actualmente las telecomunicaciones y las redes de computadoras son un pilar sobre el cual se sostienen la mayora de las operaciones que se realizan en una organizacin. Dada su rpida expansin, es muy comn que hoy en da muchas organizaciones tengan una gran infraestructura de red y de telecomunicaciones. No se concibe una empresa que no tenga sus aplicaciones de software para las operaciones cotidianas, usando una red de computadoras. Por tanto, es casi seguro de que si ocurriera un fallo en la infraestructura de telecomunicaciones, la organizacin quedara prcticamente paralizada. La auditora de la seguridad en este campo procura entonces evitar que las consecuencias de un problema no sean devastadores. A continuacin se listarn algunas de las tcnicas y herramientas relacionadas con dicha seguridad: - No debe permitirse la entrada a la red a personas no autorizadas, ni usar las terminales. - Debe existir un software de comunicacin efectivo y controlado. - Restringir el acceso a las instalaciones del procesamiento de red. - Se debe contar con un sistema de codificacin para la informacin confidencial. - Realizar peridicamente una verificacin fsica del uso de terminales y de los reportes obtenidos. - Se deben monitorear peridicamente el uso que le est dando a las terminales. - Se deben hacer auditorias peridicas sobre el rea de operacin. - Verificar que los datos recolectados sean procesados correctamente. - Deben realizarse revisiones regulares de seguridad a los usuarios. - Documentacin y capacitacin del personal de la red.
74
- Se debe establecer los mecanismos de control del funcionamiento de la red para garantizar la utilizacin. - Deben existir planes de respaldo y contingencias de la red.
Programas de Trabajo de Auditoria Relacionado con las Telecomunicaciones Los siguientes son ejemplos de programas de trabajo que se pueden evaluar en una auditoria: Instalacin - Que existan procedimientos que aseguren la oportuna y adecuada instalacin de los diferentes componentes de la red. - Que exista un registro de las actividades que se realizan durante el proceso de instalacin de los componentes de la red, hardware y software. - Registro de la planeacin y evaluacin formal de las compras de los elementos de la red. - Seguro de dichas compras. - Control de software que se encuentra instalado. Para dar de alta al personal especializado que har uso de los centros terminales, el centro de cmputo debe facilitar los medios para registrarlos y mantener actualizado dicho registro a travs de: - La unidad administrativa que sea responsable de un centro Terminal debe registrar y dar de alta a todo el personal que haga uso del equipo de dicho centro. - El rea del centro de cmputo mantendr el registro del personal que haga uso de dicho centro Terminal. - Todo el personal que haga uso del centro Terminal debe tener asignado un nmero de cuenta para mantener justificada la utilizacin de las facilidades de cmputo al nivel administrativo. - Es necesario que el personal que tiene acceso a los centros terminales se capacite con el fin de mantenerlo actualizado.
75
UNIDAD VI INFORME DE LA AUDITORIA INFORMATICA

6.1 GENERALIDADES DE LA SEGURIDAD DEL REA FSICA
Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma As, la Seguridad Fsica consiste en la "aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial"(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Las principales amenazas que se prevn en la seguridad fsica son: 1. Desastres naturales, incendios accidentales tormentas e inundaciones. 2. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados.
Componentes de la seguridad informtica
76
6.2.-CARACTERSTICAS DEL INFORME

Objetivos, caractersticas y afirmaciones que contiene el informe de auditora El informe de auditora financiera tiene como objetivo expresar una opinin tcnica de las cuentas anuales en los aspectos significativos o importantes, sobre si stas muestran la imagen fiel del patrimonio, de la situacin financiera y del resultado de sus operaciones, as como de los recursos obtenidos y aplicados durante el ejercicio. Caractersticas del informe de auditora: 1. Es un documento mercantil o pblico. 2. Muestra el alcance del trabajo. 3. Contiene la opinin del auditor. 4. Se realiza conforme a un marco legal. Principales afirmaciones que contiene el informe: Indica el alcance del trabajo y si ha sido posible llevarlo a cabo y de acuerdo con qu normas de auditora. Expresa si las cuentas anuales contienen la informacin necesaria y suficiente y han sido formuladas de acuerdo con la legislacin vigente y, tambin, si dichas cuentas han sido elaboradas teniendo en cuenta el principio contable de uniformidad. Asimismo, expresa si las cuentas anuales reflejan, en todos los aspectos significativos, la imagen fiel del patrimonio, de la situacin financiera, de los resultados y de los recursos obtenidos y aplicados. Se opina tambin sobre la concordancia de la informacin contable del informe de gestin con la contenida en las cuentas anuales. En su caso, explica las desviaciones que presentan los estados financieros con respecto a unos estndares preestablecidos. Podemos sintetizar que el informe es una presentacin pblica, resumida y por escrito del trabajo realizado por los auditores y de su opinin sobre las cuentas anuales.
77
6.3 ESTRUCTURA DEL INFORME

ESTRUCTURACIN DEL INFORME DE AUDITORA.
La estructura y el formato del informe de auditora ha de ser coherente y atractivo para su destinatario, ha de incitar a ser ledo. Es recomendable que el informe este dividido: Introduccin. Objetivo de la auditora y origen de la misma: quin la pide y por qu razn. Alcance: espacio fsico, temtico y temporal que se audita; periodo durante el cual se realiza la auditora. Resumen del Informe. Opinin de auditora: juicio del auditor sobre el tema, proceso, actividades estudiadas. Resumen de las observaciones principales: conclusiones, recomendaciones y acciones propuestas. Cuerpo del Informe. Cabes dos alternativas: estructurar el cuerpo del informe basndose en los temas auditados analizando la situacin de cada unidad funcional respecto al tema o, a la inversa, estructurndolo segn las unidades funcionales y analizando todos los temas que afecta la unidad. Se estructure segn un modelo u otro, el cuerpo del informe deber contener: Observaciones: incluyen una breve descripcin del proceso analizado, hechos detectados (anomalas, puntos dbiles detectados al comparar con las referencias); causas han generado las anomalas y debilidades; recomendaciones que no se han aplicado y que se hablan hecho en informes anteriores. Datos: cifras y detalles en las que se basan las observaciones.
6.4 FORMATO PARA EL INFORME

El formato para informes finales est enfocado a apoyar y facilitar el proceso de evaluacin de los resultados de los proyectos financiados por la sede Bogot, con respecto a los compromisos adquiridos en el proyecto aprobado. Adems de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso
78
y obtencin de los resultados esperados y de las actividades de investigacin cientfica. Los informes finales tcnico y financiero, deben ser entregados a la Direccin de Investigacin de la sede, al finalizar el periodo de ejecucin del proyecto. El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada Facultad, Centro o Instituto. El informe debe contener un ndice. Cada pgina del informe debe estar numerada. Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados. El informe tcnico final deber presentarse en versin impresa y magntica (CD o disquete). Contenido del informe tcnico 1. Ttulo y cdigo del proyecto 2. Nombre del investigador principal y de la Facultad, Centro o Instituto al que pertenece 3. Fecha de entrega del Informe 4. Sinopsis divulgativa: Con el propsito de promover la divulgacin de las actividades investigativas que adelanta la Sede Bogot y para dar mayor difusin a los proyectos, deben incluir un resumen de una cuartilla que servir de base para la elaboracin de notas acadmicas dirigidas a los medios de comunicacin de la Universidad. 5. Resumen tcnico de los resultados obtenidos durante la realizacin del proyecto y de las principales conclusiones (mximo cinco pginas). 6. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado, relacione los resultados obtenidos durante la realizacin del proyecto, los cuales deben estar soportados por sus respectivos.
79
CONCLUSION
Principalmente toda empresa, pblica o privada, que posea Sistemas de Informacin medianamente complejos, debe de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. La empresa de hoy, debe y precisa informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. En cuanto al trabajo de la auditora en s, podemos remarcar que se precisa de gran conocimiento de la Informtica, seriedad, capacidad, minuciosidad y responsabilidad; la auditora de Sistemas debe hacerse por gente capacitada, una auditora mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas.
80

Auditoria

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Auditoria

Загружено:

Авторское право:

Доступные форматы

AUDITORIA INFORMATICA

UNIDAD I INTRODUCCION A LA AUDITORIA INFORMATICA

UNIDAD II PLANEACION DE LA AUDITORIA INFORMATICA

UNIDAD III AUDITORIA DE LA FUNCION INFORMATICA

UNIDAD IV EVALUACION DE LA SEGURIDAD

UNIDAD V AUDITORIA DE LA SEGURIAD Y LA TELEINFORMATICA

UNIDAD VI INFORME DE LA AUDITORIA INFORMATICA

Rentabilidad Seguridad Eficacia

UNIDAD I INTRODUCCION A LA AUDITORIA INFORMATICA

Las principales herramientas de las que dispone un auditor informtico son:

1.2 TIPOS DE AUDITORIA

1.2.1 AUDITORA INTERNA Y EXTERNA

1.3 CAMPO DE LA AUDITORA INFORMTICA

1.4 CONTROL INTERNO

Funciones del Control Interno Informtico

1.5 MODELOS DE CONTROL UTILIZADOS EN AUDITORIA INFORMTICA

1.6 PRINCIPIOS APLICADOS A LOS AUDITORES INFORMTICO

Principio de concentracin en el trabajo:

Principio de integridad moral:

1.7.-RESPONSABILIDADES DE LOS ADMINISTRADORES Y DEL AUDITOR

Responsabilidades del administrador

UNIDAD 2.- PLANIFICACIN INFORMATICA

2.1.- FASES DE LA AUDITORIA.

Fase 2: Organizacin y Administracin

Toma de contacto Planificacin Desarrollo de la auditora Diagnstico Argumentacin y documentacin de soluciones

Fase 3: Construccin del sistema

Fase 5: Entorno operativo hardware

Fase 6: Entorno operativo software

2.1.2.- REVISIN PRELIMINAR.

2.1.3.- REVISIN DETALLADA.

2.1.4.- EXAMEN Y EVALUACIN DE LA INFORMACIN.

2.1.5.- PRUEBAS DE CONTROLES DE USUARIO.

2.1.6.- PRUEBAS SUSTANTIVAS

2.2.- EVALUACIN DE LOS SITEMAS DE ACUERDO AL RIESGO.

2.3.- INVESTIGACIN PRELIMINAR

2.4.- PERSONAL PARTICIPANTE.

UNIDAD III AUDITORIA DE LA FUNCION INFORMATICA

3.2 EVALUACIN DE LOS RECURSOS HUMANOS

3.3 ENTREVISTAS CON EL PERSONAL DE INFORMTICA

1.- mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad

3.4 SITUACIN PRESUPUESTAL Y FINANCIERA

3.4.2 RECURSOS FINANCIEROS Y MATERIALES

UNIDAD IV.- EVALUACION DE LA SEGURIDAD

4.2.- SEGURIDAD LGICA Y CONFIDENCIAL

REAS DE LA SEGURIDAD LGICA

3. Software de control de acceso Encriptamiento Etapas para Implantar un Sistema de Seguridad

Niveles de Seguridad Informtica Evaluar el nivel de riesgo

4.3.- SEGURIDAD PERSONAL

*Planes de contingencia definidos para el personal que labora en el rea.

4.4.- CLASIFICACIN DE LOS CONTROLES DE SEGURIDAD

Clasificacin general de los controles Controles Preventivos

Sistemas de claves de acceso. Controles Detectivos

Clasificacin general de los controles (continuacin) Controles Correctivos

4.5.- SEGURIDAD EN LOS DATOS Y SOFTWARE DE APLICACIN

2.-Adquisicin o instalacin. 3.-Soporte a usuarios. 4.-Seguridad.

4.6.- CONTROLES PARA EVALUAR SOFTWARE DE APLICACIN

4.7.- CONTROLES PARA PREVENIR CRIMENES Y FRAUDES INFORMATICOS.

4.8.-PLAN DE CONTINGENCIA, SEGUROS, PROCEDIMIENTOS DE RECUPERACIN DE DESASTRES.

Al momento de reclutar al personal

4.9.-TECNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FSICA Y DEL PERSONAL

UNIDAD V.-AUDITORA DE LA TELEINFORMTICA.

5.1 GENERALIDADES DE LA SEGURIDAD EN EL REA DE LA TELEINFORMTICA.

5.2 OBJETIVOS Y CRITERIOS DE LA AUDITORA EN EL REA DE LA TELEINFORMTICA