Академический Документы
Профессиональный Документы
Культура Документы
INDICE
INTRODUCCION ------------------------------------------------------------------------------------4
AUDITORIA INFORMATICA
3.2 EVALUACION DE LOS RECURSOS HUMANOS ------------------------------------30 3.3 ENTREVISTAS CON EL PERSONAL DE LA INFORMATICA --------------------32 3.4 SITUACION PRESUPUESTAL Y FINANCIERA --------------------------------------33 3.4.1 PRESUPUESTOS --------------------------------------------------------------------------34 3.4.2 RECURSOS FINANCIEROS Y MATERIALES -------------------------------------35
AUDITORIA INFORMATICA
5.3 SINTOMAS DE RIESGO --------------------------------------------------------------------72 5.4 TECNICAS Y HERRAMIENTAS DE AUDITORIA RELACIONADAS CON LA SEGURIDAD EN LA TELEINFORMATICA --------------------------------------------------74
AUDITORIA INFORMATICA
INTRODUCCIN La auditora Informtica general se realiza por reas generales o por reas especficas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y mayores recursos. Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente y con menor calidad. La que nos interesa y nosotros tratamos es la auditora informtica. Dicha auditora conlleva la utilizacin de un conjunto de tcnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificacin, control, eficacia, seguridad y adecuacin del servicio informtico en la empresa, por lo que comprende un examen metdico, puntual y discontinuo del servicio informtico, con vistas a mejorar en:
AUDITORIA INFORMATICA
1.1 Conceptos de auditora y auditoria informtica Auditoria: El trmino de Auditora se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto, se ha tomado la frase "Tiene Auditora" como sinnimo de que, en dicha entidad, antes de realizarse la auditora, ya se haban detectado fallas.
Es un examen crtico pero no mecnico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una seccin o de un organismo. Es un proceso sistemtico para obtener y evaluar de manera objetiva las evidencias relacionadas con informes sobre actividades econmicas y otros acontecimientos relacionados ,cuyo fin consiste en determinar el grado de correspondencia del contenido informativo con las evidencias que le dieron origen, as como establecer si dichos informes se han elaborado observando los principios establecidos para el caso.
Auditoria informtica: La Auditora Informtica la podemos definir como el conjunto de procedimientos y tcnicas para evaluar y controlar un sistema informtico con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informticas y generales prefijados en la organizacin.
La Auditora Informtica deber comprender no slo la evaluacin de los equipos de cmputo, de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtencin de informacin.
AUDITORIA INFORMATICA
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. Es el conjunto de tcnicas, actividades y procedimientos destinados a analizar evaluar, verificar y recomendar en asuntos relativos a la planificacin, control eficacia, seguridad y adecuacin del servicio informtico.
Los objetivos de la auditoria informtica son: El control de la funcin informtica El anlisis de la eficiencia de los sistemas informticos La verificacin del cumplimiento de la normativa en el mbito La revisin de la eficaz gestin de los recursos informticos
Alcance de la auditoria informtica El alcance ha de definir con precisin el entorno y los limites en que va a desarrollarse la auditoria informtica, se complementa con los objetivos de estas. El alcance ha de figurar expresamente en el informe final, de modo de que quede perfectamente determinado no solamente hasta que puntos se ha llegado, si no cuales materias fronterizas han sido omitidas.
Principales pruebas y herramientas para efectuar una auditora informtica En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas:
Pruebas clsicas: Consiste en probar las aplicaciones / sistemas con datos de prueba, observando la entrada, la salida esperada, y la salida obtenida. Existen paquetes que permiten la realizacin de estas pruebas. Pruebas sustantivas: Aportan al auditor informtico las suficientes evidencias y que se pueda formar un juicio. Se suelen obtener mediante
6
AUDITORIA INFORMATICA
observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin. Pruebas de cumplimiento: Determinan si un sistema de control interno funciona adecuadamente (segn la documentacin, segn declaran los auditados y segn las polticas y procedimientos de la organizacin).
Observacin Realizacin de cuestionarios Entrevistas a auditados y no auditados Muestreo estadstico Flujo gramas Listas de chequeo Mapas conceptuales
Auditora contable: consiste en una revisin exploratoria y critica de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador pblico cuya conclusin es un dictamen a cerca de la correccin de los estados financieros de la empresa.
Auditoria operacional: se define como una tcnica para evaluar sistemticamente una funcin o una unidad con referencia a normas de la empresa ,utilizando personal no especializado en el rea de estudio ,con el objeto de asegurar a la administracin ,que sus objetivos se cumplan y determinar qu condiciones pueden mejorarse.
7
AUDITORIA INFORMATICA
Auditoria integral: es un examen que proporciona una evaluacin objetiva y constructiva acerca del grado en que los recursos humanos, financieros y materiales son manejados con debidas economas, eficacia y eficiencia.
Auditora interna
Auditora externa
La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento.
La auditora interna tiene la ventaja de que puede actuar peridicamente realizando revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.
La auditora externa la auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada .se presupone una mayor objetividad que en la auditora interna, debido al mayor distanciamiento entre auditores y auditados.
AUDITORIA INFORMATICA
Investigacin cientfica y humanstica: usa las computadoras para la resolucin de clculos matemticos, recuentos numricos, etc.
Algunas de estas operaciones: resolucin de ecuaciones anlisis de datos de medidas experimentales, encuestas etc. Anlisis automticos de textos
Aplicaciones tcnicas: usa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos etc. Algunas de estas operaciones: Anlisis y diseo de circuitos de computadoras Clculos de estructuras en obras de ingeniera Minera Cartografa
Documentacin e informacin: es uno de los campos ms importantes para la utilizacin de las computadoras .estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en base de datos.
Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa .existen programas que realizan las siguientes actividades: Contabilidad Facturacin Control de existencias
AUDITORIA INFORMATICA
Nominas
Inteligencia artificial: las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo aria una persona inteligente.
El control interno es una funcin que tiene por objeto salvaguardar y preservar los bienes de la empresa, evitar desembolsos indebidos de fondos y ofrecer la seguridad de que no se contraern obligaciones sin autorizacin. Sistema conformado por un conjunto de procedimientos (reglamentaciones y actividades) que interrelacionadas entre si, tienen por objeto proteger los activos de la organizacin. Control Interno Informtico
10
AUDITORIA INFORMATICA
El control interno informtico controla diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin de la organizacin y/o la direccin informtica. * La funcin del control interno informtico es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlidas. Como principales objetivos podemos indicar los siguientes: * Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. * Asesorar sobre el conocimiento de las normas. * Colaborar y apoyar el trabajo de Auditoria informtica, as como de las auditoras externas al grupo. * Definir, implantar y ejecutar mecanismos y controles para comprobar el logro del graso adecuado del servicio informtico.
Limitaciones de un sistema de control interno Ningn sistema de control interno puede garantizar su cumplimiento de sus objetivos ampliamente, de acuerdo a esto ,el control interno brinda una seguridad razonable en funcin de: Costo beneficio El control no puede superar el valor de lo que se quiere controlar La mayora de los controles hacia transacciones o tareas ordinarias
11
AUDITORIA INFORMATICA
El factor de error humano Posibilidad de conclusiones que pueda evadir los controles
La seguridad informtica es el conjunto de reglas, planes y acciones que permiten asegurar la informacin contenida de un sistema computacional.
reas que cubre la seguridad informtica Polticas de seguridad Seguridad fsica Autentificacin Integridad Confidencialidad Control de acceso Auditoria
La seguridad informtica y proteccin de datos partiendo de los anlisis de las vulnerabilidades, se utilizan cortafuegos, copias de seguridad, antivirus, otras mejoras.
12
AUDITORIA INFORMATICA
Principio de calidad:
en el auditor deber prestar sus servicios a tenor de las posibilidades de la ciencia y medios y a su alcance con absoluta libertad y respeto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los acasos en el que la precariedad de medios puestos a su disposicin impidan o dificulten seriamente la relacin de la auditoria deber segarse hasta que se garantice un mnimo de
13
AUDITORIA INFORMATICA
condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes. Principio de capacidad: En el auditor deber presentar sus servicio a tenor de las posibilidades de la ciencia y medios a su alcance con absoluta libertad respeto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimento de su labor. El auditor deber estar plenamente capacitado para la relacin de la a uditoria encomendada , maximice teniendo en cuenta que , los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precion de la smismas.
Principio de cautela: el auditor en todo momento debe ser consiente de que sus recomendaciones deben esatr basadas en experiencia contratadas que se le supone tiene adquirida, evitando que, por un exceso de vanidad , el auditado se embarque en proyectos de futuro fundamentos en simples intuiciones sobre la posible evolucin de las nuevas tecnologas de la informacin. Debe por tanto, el auditor actuar con un cierto grado de humildad , evitando dar la impresin de estar al corriente de una informacin privilegiada sobre el estado real de la evolucin de los proyectos.
Principio de comportamiento profesional: El auditor tanto en sus relaciones con el auditado como con terceras personas, deber en todo momento actuar en forma a las normas , implcitas o explicitas de dignidad de la profesin y de correccin en el trato personal. Para ello deber cuidar la moderacin en la exposicin de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen de precisin y exactitud de sus comentarios.
14
AUDITORIA INFORMATICA
En su lnea de actuacin el auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y presin en cada una de las tareas a l encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente controlada, provocar la conclusin de los mismos sin las debidas garantas de seguridad. A si mismo deber evitar la desaconsejable practica de ahorro de esfuerzos basadas en la reproduccin de partes significativas de trabajos o conclusiones obtenidas de trabajos previos en otros posteriores elaborados como colofn de nuevas auditorias.
Principio de confianza: El auditor deber facilitar e incrementar la confianza del auditoreo en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos. este principio requiere por parte del auditor, al mantener una confianza en las condiciones del auditado aceptndolas sin reservas como validas.
Principio de criterio propio: el auditor durante la ejecucin deber actuar con criterio propio y no permitir que este subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo. De igual forma el auditor observe que, de forma reiterada, el auditado se niega, sin justificacin alguna, a adoptar a sus propuestas deber plantearse la continuidad de sus servicios en funcin de las razones y causas que considere puedan justificar dicho preceder.
Principio de discrecin: el auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria.
Principio de economa:
15
AUDITORIA INFORMATICA
el auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos dela uditado evitando generar gastos innecesarios en el ejercicio de su actividad. De igual forma, el auditor deber tener en cuenta la economa de medios materiales o humanos, eludiendo utilizar aquellos que no se presicen , lo que redundara en reducciones de gastos no justificados.
Principio de formacin continuada: Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta.
Principio de fortalecimiento y respeto a la profesin: El auditor como integrante de un grupo profesional deber promover el respeto mutuo y la no confrontacin entre compaeros. En sus relaciones profesionales deber exigir a s mismo una reciprocidad en el comportamiento tico de sus colegas y facilitar las relaciones de confraternidad y mutuo apoyo cuando as se le soliciten.
Principio de independencia: Este principio muy relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respeto a la empresa en la que deba realizar la auditoria informtica, a exigir un a total autonoma independencia en su trabajo, condicin esta imprescindible para permitirle actuar libremente segn su leal saber y entender.
Principio de informacin suficiente: Este principio obliga al auditor a ser plenamente consciente de su obligacin de aportar ,de forma pormenorizada , clara, precisa e inteligible para el auditado, informacin tanto sobre todos y cada uno de los puntos relacionados con la auditoria que puedan tener algn inters para el, sobre las conclusiones a las que a llegado.
AUDITORIA INFORMATICA
Este principio, inherente ligado a la dignidad de la persona, obliga al auditor ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad, y evitar participar, voluntaria o inconscientemente. En cualquier acto de corrupcin personal o de terceras personas. Entre otros.
Establecer un ambiente de control y mantener polticas y procedimientos para ayudar a logra el objetivo de asegurar, tanto como sea posible, la conduccin ordenada y eficiente del negocio de la entidad. Esta responsabilidad incluye poner en vigor y asegurar la operacin continua de los sistemas de contabilidad y de control interno diseados para prevenir y detectar fraude y error. Responsabilidades del auditor: Limitaciones inherentes de una auditoria El auditor solo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situacin analizada por el mismo. Escepticismo profesional o discusiones de planeacin: al planear la auditoria, el auditor deber discutir con otros miembros del equipo de la auditoria la susceptibilidad de la entidad a representaciones errneas de importancia en los estados financieros resultantes de fraude o error.
17
AUDITORIA INFORMATICA
DE
LA
AUDITORIA
Fase 1: Planificacin
Revisin y evaluacin de controles contables, financieros y operativos Determinacin de la utilidad de polticas, planes y procedimientos, as como su nivel de cumplimiento Custodia y contabilizacin de activos Examen de la fiabilidad de los datos Divulgacin de polticas y procedimientos establecidos. Informacin exacta a la gerencia Obtencin de elementos de juicio fundamentados en la naturaleza de los hechos examinados Propuesta de sugerencias, en tono constructivo, para ayudar a la gerencia Deteccin de los hechos importantes ocurridos tras el cierre del ejercicio Control de las actividades de investigacin y desarrollo
Examinar metodologa de trabajo: anlisis, diseo, implementacin y pruebas Revisar la definicin de las opciones que caracterizan al sistema Examinar el inventario de problemas a resolver por el sistema
18
AUDITORIA INFORMATICA
Verificar los medios que la organizacin ha dispuesto para la realizacin del sistema
Fase 4: Explotacin
Verificar la existencia de estndares de documentacin en el departamento Verificar acceso a las operaciones establecidas inicialmente Examinar que las versiones de los programas y ficheros utilizados para la explotacin Investigar el diario de explotacin y los archivos.
Determinar si el hardware se utiliza eficientemente Comprobar las condiciones ambientales Revisar el inventario hardware Verificar los procedimientos de seguridad fsica Comprobar las condiciones ambientales
Revisar las libreras utilizadas por los programadores Examinar que los programas realizan lo que realmente se espera de ellos Comprobar la seguridad de datos y ficheros Examinar los controles sobre los datos Revisar los procedimientos de entrada y salida Verificar las previsiones y procedimientos de backup Revisar los procedimientos de planificacin, adecuacin y mantenimiento del software del sistema Revisar la documentacin sobre software base Revisar los controles sobre programas producto Verificar peridicamente el contenido de los ficheros de usuario Determinar que el proceso para usuarios est sujeto a los controles adecuados
19
AUDITORIA INFORMATICA
2.1.1.- PLANEACIN.
Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. La definicin de los objetivos perseguidos en la auditoria informtica debe preceder a la eleccin de los medios y de las acciones, si se pretende evitar el predominio de estos ltimos. Para lograr un buena planeacin es conveniente primero obtener informacin general sobre la organizacin y sobre la funcin informtica a evaluar. Para ello es preciso una investigacin preliminar y algunas entrevistas previas, para establecer un programa de trabajo en el que se incluir el tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la AI.
20
AUDITORIA INFORMATICA
Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando siente que un rea tiene una falla o simplemente no trabaja productivamente como se sugiere, por esta razn habr puntos claves que se nos instruya sean revisados, hay que recordar que las auditorias parten desde un mbito administrativo y no solo desde la parte tecnolgica, porque al fin de cuentas hablamos de tiempo y costo de produccin, ejercicio de ventas, etc. Es decir, todo aquello que representa un gasto para la empresa. Se debe hacer la revisin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos: ADMINISTRACIN SISTEMAS
21
AUDITORIA INFORMATICA
22
AUDITORIA INFORMATICA
Uno de los rubros que estn incrementando su popularidad dentro del ambiente informtico, es el relacionado con la seguridad del rea de sistemas; con ello se incrementa cada da ms la necesidad de evaluar la seguridad y proteccin de los sistemas, ya sea en los accesos a los centros de cmputo, en el ingreso y utilizacin de los propios sistemas y en la consulta y manipulacin de la informacin contenida en sus archivos, la seguridad de las instalaciones, del personal y los usuarios de sistemas, as como de todo lo relacionado con el resguardo de los sistemas computacionales. Es evidente que uno de los aspectos bsicos que se deben contemplar en la evaluacin de sistemas, es precisamente la proteccin y resguardo de la informacin de la empresa, tanto en el hardware como en el software, as como de los equipos adicionales que ayudan al adecuado funcionamiento de los sistemas. En esta evaluacin tambin se incluyen el acceso al rea de sistemas, el acceso al sistema, la proteccin y salvaguarda de los activos de esta rea, las medidas de prevencin y combate de siniestros, y muchos otros aspectos que se pueden valorar mediante una auditora de sistemas. Para un mejor entendimiento de estos puntos, a continuacin veremos las principales reas de seguridad que se pueden evaluar en una auditora de sistemas. 1. Evaluacin de la seguridad fsica de los sistemas. 2. Evaluacin de la seguridad lgica del sistema. 3. Evaluacin de la seguridad del personal del rea de sistemas. 4. Evaluacin de la seguridad de la informacin y las bases de datos. 5. Evaluacin de la seguridad en el acceso y uso del software. 6. Evaluacin de la seguridad en la operacin del hardware. 7. Evaluacin de la seguridad en las telecomunicaciones.
23
AUDITORIA INFORMATICA
auditor externo, revisar estos controles del usuario puede resultar ms costoso que revisar los controles internos. Para un auditor interno, es importante hacerlo para eliminar posibles controles duplicados, bien internos o bien del usuario, para evitar la redundancia. Generalmente, las pruebas de control consisten en la combinacin de tcnicas de obtencin de evidencia tales como: Entrevistas Encuestas Cuestionarios Indagacin Observacin Rastreo Inspeccin Documental; Pueden involucrar otras tcnicas de Auditoria.
24
AUDITORIA INFORMATICA
Una vez valorados los resultados de la pruebas se obtienen conclusiones que sern comentadas y discutidas con los responsables directos de las reas afectadas con el fin de corroborar los resultados. Por ultimo, el auditor deber emitir una serie de comentarios donde se describa la situacin, el riesgo existente y la deficiencia a solucionar, y en su caso, sugerir la posible solucin. Esta ser la tcnica a utilizar para auditar el entorno general de un sistema de bases de datos, tanto en su desarrollo como durante la explotacin.
25
AUDITORIA INFORMATICA
de mercado, por tal raspn podemos afirmar que la Auditoria no esta exenta de este concepto. Tcnicas de Procedimientos para Administrar Riesgos: Evitar riesgos: un riesgo es evitado cuando en la organizacin no se acepta. Esta tcnica puede ser ms negativa que positiva. Si el evitar riesgos fuera excesivamente, el negocio seria privado de muchas oportunidades de ganancia y probablemente no alcanzara sus objetivos.
Reduccin de Riesgos: los riesgos pueden ser reducidos, por ejemplo con: programas de seguridad, guardias de seguridad. Alarmas y estimacin de futuras perdidas con la asesora de personas expertas. Conservacin de Riesgos: es quizs el ms comen de los mtodos para enfrentar los riesgos. Cada organizacin debe decidir cuales riesgos se retienen, o se transfieren basndose en su margen de contingencia, una perdida puede ser un desastre financiero para una organizacin siendo fcilmente sostenido por otra organizacin. Compartir Riesgos: cuando los riesgos son compartidos, la posibilidad de perdida es transferida del individuo al grupo.
AUDITORIA INFORMATICA
c. Antecedentes o historia del Organismo d. Polticas generales 2- A nivel rea informtica: a. Objetivos a corto y largo plazo b. Manual de organizacin del rea que incluya puestos, niveles jerrquicos y tramos de mando. c. Manual de polticas, reglamentos internos y lineamientos generales. d. Nmero de personas y puestos en el rea e. Procedimientos administrativos en el rea. f. Presupuestos y costos del rea. 3- Recursos materiales y tcnicos: a. Solicitar documentos sobre los equipos, nmero (de los equipos por instalados, por instalar y programados), localizacin y caractersticas. b. Fechas de instalacin de los equipos y planes de instalacin. c. Contratos vigentes de compra, renta y servicio de mantenimiento. d. Contrato de seguros e. Convenios que se mantienen con otras instalaciones f. Configuracin de los equipos, capacidades actuales y mximas. g. Planes de expansin h. Ubicacin general de los equipos i. Polticas de operacin j. Polticas de uso o de equipos 4- Sistemas: a. b. c. d. e. f. g. Manual de formularios. Manual de procedimientos de los sistemas Descripcin genrica Diagrama de entrada, archivo y salida. Salidas impresas Fecha de instalacin de los sistemas Proyectos de instalacin de nuevos sistemas.
AUDITORIA INFORMATICA
Aqu no se vera el nmero de persona que debern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber considerar son exactamente las caractersticas que debe cumplir cada uno del personal que habr de participar en la auditoria. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga este debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal que intervendr en la auditoria. Primeramente, debemos pensar que hay personal asignado por la organizacin, que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. Este es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, ser casi imposible obtener informacin en el momento y con las caractersticas deseadas. Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para complementar el grupo, como colaboradores directos en la realizacin de la auditoria, se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Conocimientos de Admn., contadura y finanzas. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos y experiencias en psicologa industrial. Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar. Conocimientos de los sistemas ms importantes.
En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencias en reas especficas como base de datos, redes y comunicaciones, etctera.
28
AUDITORIA INFORMATICA
Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias sealadas, pero si que deben intervenir una o varias personas con las caractersticas apuntadas. Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta la carta (convenio de servicios profesionales en el caso de auditores externos -) y el plan de trabajo. La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes que se han de entregar.
29
AUDITORIA INFORMATICA
cruzamiento de ambos tipos de informacin es una de las bases fundamentales de la auditora. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos pre impresos hubieran proporcionado.
Entrevistas: La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad. 2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular.
30
AUDITORIA INFORMATICA
Recursos Humanos La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado dependen de la materia auditable. Es igualmente reseable que la auditora en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria. Medios humanos. Aspectos a tener en cuenta: 1.- Las personas tienen su propia finalidad la cul tratan de satisfacer, an as en una empresa se ha de respetar la realizacin de los objetivos definidos, sin quedar bloqueado por la reticencia de rutina y por la hostilidad particular.
2.- Es necesario un reparto de las responsabilidades de forma arborescente, cada equipo ha de contar con un escaso nmero de miembros, incluso resulta aconsejable una rotacin de las responsabilidades.
3.- Se requiere buenas relaciones entre los miembros del personal, lo que cada uno hace debe ser conocido globalmente por todos, y estar accesible de forma detallada. A su vez, debe ser un trabajo organizado y revisado racionalmente. Tambin es importante una formacin y una informacin suficiente para que el personal tenga una visin bastante amplia de los problemas y de las interrelaciones. Para completar el grupo, como colaboradores directos en la realizacin de la auditoria se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos de los sistemas ms importante.
31
AUDITORIA INFORMATICA
2.- mediante entrevistas en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario
3.- por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busaca unas finalidades concretas.
La entrevista es una de las actividades personales ms importantes del auditor; en ellas, este recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios.
La entrevista entre auditor y personal de informtica se basa fundamentalmente en el concepto de interrogatorio; es lo que hace el auditor interroga y se interroga a si mismo.
32
AUDITORIA INFORMATICA
1.- La adecuacin de los medios financieros a la finalidad se mide por la proporcin entre los gastos exigidos y los resultados (financieros o no) obtenidos. Los mtodos de control de gestin y contabilidad presupuestaria clsicos sirven para prever y posteriormente controlar la adecuacin a los objetivos. La evolutividad implica un presupuesto no slo flexible sino modulado en el tiempo, ya que los costes son importantes.
2.- Los mtodos clsicos de la contabilidad analtica permiten establecer los estndares de homogeneidad de los medios financieros. Tambin es muy til verificar peridicamente si los costes imputados son todava competitivos con relacin a un servicio exterior.
3.- Para elaborar un sistema equitativo sera preciso que dos servicios semejantes diera lugar a una misma valoracin.
33
AUDITORIA INFORMATICA
Los costos deben ser registrados de forma fiable, completa y pertinente, y los clculos y agrupaciones efectuados deben ser legtimos. El trabajo del personal debe ser registrado o repartido segn conceptos para que las cifras conserven algn sentido. 4.- La seguridad financiera se obtiene por una rentabilidad duradera de la financiacin de hardware y el software. A la hora de la entrega de los equipos informticos, el contrato debe recoger un plan y un informe de gastos que condujo a su eleccin. La garanta de fiabilidad material reside en una clusula que fija el plazo de intervencin, en caso de avera, y el grado de fiabilidad de los componentes. Tambin puede contratarse un seguro para una garanta eficaz de los equipos. 5.- Tanto los contratos de adquisicin y seguro como los documentos contables comprenden la documentacin sobre los medios financieros.
3.4.1 PRESUPUESTOS
Un presupuesto es la revisin de gastos e ingresos para un determinado lapso, por lo general un ao. Permite a las empresas, los gobiernos, las organizaciones privadas y las familias establecer prioridades y evaluar la consecucin de sus objetivos. Para alcanzar estos fines puede ser necesario incurrir en dficit ( que los gastos superen a los ingresos) o, por el contrario , puede ser posible ahorrar , en cuyo caso el presupuesto presentara un supervit (que los ingresos superen a los gastos). En el mbito del comercio es tambin un documento o informe que detalla el coste que tendr un servicio en caso de realizarse. El que realiza el presupuesto se debe atener a l y no puede cobrarlo si el cliente acepta el servicio. El presupuesto se pude cobra o no en caso de no ser aceptado. El proceso presupuestario en las organizaciones El proceso presupuestario tiende a reflejar de una forma cuantitativa, atreves de los presupuestos, los objetivos fijados por la empresa a corto plazo, mediante el establecimiento de los oportunos programas, sin perder la perspectiva del largo plazo, puesto que esta condicionara los planes que permitirn la consecucin del fin ltimo al que va orientado la gestin de la empresa.
34
AUDITORIA INFORMATICA
Definicin y transmisin de las directrices generales a los responsables de la preparacin de los presupuestos. Elaboracin de planes, programas y presupuestos. Negociacin de los presupuestos o coordinacin de los presupuestos Aprobacin de los presupuestos Seguimiento y actualizacin de los presupuestos
35
AUDITORIA INFORMATICA
Para lo cual habr de convenir, tiempo de mquina, espacio de disco, impresoras ocupadas etc.
AUDITORIA INFORMATICA
Mal utilizada Robos Fraudes Sabotajes Consecuencia: Prdidas de dinero En AUDITORIA destierra: Paquetes copiados Virus Software pirata Red destruccin Acceso modificar informacin con propsitos fraudulentos Mala utilizacin de los equipos Instalacin de programas innecesarios BD En qu consiste la seguridad lgica? SEGURIDAD LGICA Aplicacin de barreras y procedimientos que resguarden el acceso a los datos y slo se permita acceder a ellos a las personas autorizadas para hacerlo. Todo lo que no est permitido debe estar prohibido De qu se encarga la seguridad lgica? Controlar y salvaguardar la informacin generada. Controles de acceso para salvaguardar la integridad de la informacin almacenada Seguridad Lgica Identificar individualmente a cada usuario y sus actividades en el sistema. Qu consecuencias podra traer a la organizacin la falta de seguridad lgica? Cambio de los datos. Copias de programas y /o informacin. Cdigo oculto en un programa Entrada de virus Objetivos principales Integridad Garantizar que los datos sean los que se supone que son. Confidencialidad Asegurar que slo los individuos autorizados tengan acceso a los recursos que se intercambian. Disponibilidad Garantizar el correcto funcionamiento de los sistemas de informacin.
37
AUDITORIA INFORMATICA
Autenticacin Asegurar que slo los individuos autorizados tengan acceso a los recursos. Evitar el rechazo Garantizar de que no pueda negar una operacin realizada. Objetivos ESPECFICOS: Restringir el acceso a los programas y archivos. Asegurar que los operadores puedan trabajar sin una supervisin minuciosa. Asegurar que se estn utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. Garantizar que la informacin transmitida sea recibida slo por el destinatario al cual ha sido enviada y no a otro. Certificar que la informacin recibida sea la misma que ha sido transmitida. Asegurar que existan sistemas alternativos secundarios de transmisin entre diferentes puntos. Cerciorar que se disponga de pasos alternativos de emergencia para la transmisin de informacin.
o o o o
Slo lectura Slo consulta Lectura y consulta Lectura escritura para crear, actualizar, borrar, ejecutar o copiar
Rutas de acceso
o o o
Un password, cdigo o llaves de acceso. Una credencial con banda magntica Algo especifico del usuario: - Las huellas dactilares. - La retina - La geometra de la mano. - La firma. - La voz. 2. Claves de acceso
Definicin de usuarios.
38
AUDITORIA INFORMATICA
Tipos de usuarios:
o o o o o o o o o
Propietario. Administrador. Usuario principal. Usuario de explotacin. Usuario de auditora. Definicin de las funciones del usuario (Jobs) La integridad es la responsabilidad de los individuos autorizados para modificar datos o programas. La confidencialidad es responsabilidad de los individuos autorizados para consultar o para bajar archivos importantes. La responsabilidad es responsabilidad de individuos autorizados para alterar los parmetros de control de acceso al sistema. Software de control de acceso
Establecimiento de auditora a travs del uso del sistema. El software de seguridad tiene la capacidad para proteger los recursos de acceso no autorizados, como:
o o o o o
Procesos en espera de modificacin por un programa de aplicacin. Accesos por editores en lnea. Accesos por utileras de software. Accesos a archivos de las bases de datos, a travs de un manejador de base de datos. Acceso de terminales o estaciones no autorizadas. El software de seguridad puede detectar las violaciones de seguridad, tomando las siguientes medidas:
o o o o
Terminaciones de procesos. Forzar a las terminales a apagarse. Desplegar mensajes de error. Escribir los riesgos para la auditora. Implica la codificacin de informacin que puede ser transmitida va una red de cmputo o un disco para que solo el emisor y el receptor la puedan leer.
39
AUDITORIA INFORMATICA
o o o o o o o o
Introducir el tema de seguridad en la visin. Definir los procesos de flujo de informacin y sus riesgos. Capacitar a los gerentes y directivos. Designar y capacitar supervisores de rea. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. Mejorar las comunicaciones internas. Identificar claramente las reas de mayor riesgo. Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo. BENEFICIOS DE UN SISTEMA DE SEGURIDAD Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH. Niveles de Seguridad Informtica Nivel B2 Proteccin Estructurada Soporta seguridad multinivel .Nivel B1 Seguridad Etiquetada Soporta seguridad multinivel .Nivel C2 Proteccin de Acceso Controlado Auditoria de accesos e intentos fallidos de acceso a objetos. Nivel C1 Proteccin Discrecional Acceso de control discrecional Identificacin y Autentificacin Nivel D Ninguna especificacin de seguridad
40
AUDITORIA INFORMATICA
o o o o o o
Clasificar la instalacin en trminos de riesgo(alto, mediano, pequeo). Identificar aquellas aplicaciones que tengan un alto riesgo. Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo. Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera. La justificacin del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente: Que sucedera si no se puede usar el sistema? Si la contestacin es que no se podra seguir trabajando, esto nos sita en un sistema de alto riego. La siguiente pregunta es: Qu implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podramos estar sin utilizarlo? Existe un procedimiento alterno y que problemas nos ocasionara? Que se ha hecho para un caso de emergencia? Cmo evaluar las medidas de seguridad? Para evaluar las medidas de seguridad se debe: -Especificar la aplicacin, los programas y archivos. -Las medidas en caso de desastre, prdida total, abuso y los planes necesarios. -Las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo. -En cuanto a la divisin del trabajo se debe evaluar que se tomen las siguientes precauciones, las cuales dependern del riesgo que tenga la informacin y del tipo y tamao de la organizacin. -El personal que prepara la informacin no debe tener acceso a la operacin. -Los anlisis y programadores no deben tener acceso al rea de operaciones y viceversa. -Los operadores no debe tener acceso irrestringido a las libreras ni a los lugares donde se tengan los archivos almacenados; es importante separar las funciones de librera y de operacin. -Los operadores no deben ser los nicos que tengan el control sobre los trabajos procesados y no deben hacer las correcciones a los errores detectados. Cmo realizar la auditoria de la seguridad lgica?
41
AUDITORIA INFORMATICA
o o o o o
o o o o o o
Clasificar la instalacin en trminos de riesgo Identificar aquellas aplicaciones que tengan un alto riesgo. Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un alto riesgo. Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera. La justificacin del costo de implantar las medidas de seguridad para poder clasificar el riesgo e identificar las aplicaciones de alto riesgo, se debe preguntar lo siguiente: Que sucedera si no se puede usar el sistema? Si la contestacin es que no se podra seguir trabajando, esto nos sita en un sistema de alto riego. La siguiente pregunta es: Qu implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podramos estar sin utilizarlo? Existe un procedimiento alterno y que problemas nos ocasionara? Que se ha hecho para un caso de emergencia?
42
AUDITORIA INFORMATICA
Son aquellos que reducen la frecuencia con que ocurren las causas de riesgo o evitan que ocurran errores. Ejemplos: Letrero No fumar para salvaguardar las instalaciones,
Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Archivos y procesos que sirvan como pistas de Procedimientos de validacin auditora,
Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en si una actividad altamente propensa a errores, y es lo ms caro para la organizacin. Ejemplo: La recuperacin de un archivo daado a partir de respaldos.
Principales Controles Fsicos y Lgicos Autenticidad.- Permiten verificar la identidad. Passwords Firmas digitales Exactitud.- Aseguran la coherencia de los datos Validacin de campos Validacin de excesos o casos de borde Totalidad.Evitan la omisin de registros as como garantizan la conclusin de un proceso de envo Conteo de registros
43
AUDITORIA INFORMATICA
Cifras de control. Redundancia.- Evitan la duplicidad de datos. Cancelacin de lotes o proceso batch Verificacin de secuencias. Principales Controles Fsicos y Lgicos (continuacin) Privacidad.- Aseguran la proteccin de los datos. Compactacin Encriptacin. Proteccin de Activos.hardware. Extintores Passwords. Principales Controles Fsicos y Lgicos (continuacin) Efectividad.- Aseguran el logro de los objetivos. Encuestas de satisfaccin Medicin de niveles de servicio. Eficiencia.- Aseguran el uso ptimo de los recursos. Anlisis costo-beneficio Controles automticos o lgicos. Periodicidad de cambio de claves de acceso Los cambios de las claves de acceso a los programas se deben realizar peridicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar las claves peridicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema computacional. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. Combinacin de alfanumricos en claves de acceso Destruccin o corrupcin de informacin o del
44
AUDITORIA INFORMATICA
No es conveniente que la clave est compuesta por cdigos de empleados, ya que una persona no autorizada a travs de pruebas simples o de deducciones puede dar con dicha clave.
PROTECCIN DE LOS REGISTROS Y DE LOS ARCHIVOS Formas en que se pueden perder los archivos: Su presencia en un ambiente destructivo. Manejo indebido por parte del operador. Mal funcionamiento de la mquina. CONSIDERACIONES DE AUDITORA: El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que haya en los procedimientos para proteccin de registros y archivos y para su restitucin en caso de prdida.
An cuando no ocurra una prdida, un sistema dbil pone en peligro los archivos. PLAN DE PRESERVACIN DE LA INFORMACIN DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado. ARCHIVO DE DISCOS: Una caracterstica del archivo de discos es que el registro anterior es destruido, no produce una copia automticamente una copia en duplicado. VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel de impresin. Grado de confianza, satisfaccin y desempeo Grado de confianza, satisfaccin y desempeo
45
AUDITORIA INFORMATICA
OBJETIVOS DE LA AUDITORA DEL SOFTWARE DE APLICACIN 1.-VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES. Para satisfacer: La instalacin del software La operacin y seguridad del software. La administracin del software
2.-DETECTAR EL GRADO DE CONFIABILIDAD. Grado de confianza, satisfaccin y desempeo Investigar si existen polticas con relacin al software. Detectar si existen controles de seguridad. Verificar que sea software legalizado. Actualizacin del software de aplicacin.
3.-EVALUACIN DEL SOFTWARE El auditor debe evaluar qu software se encuentra instalado en la organizacin. Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. Tambin debe investigar las versiones de cada uno.
4.-ORGANIZACIN El auditor debe de verificar que existan polticas para: 1.-La evaluacin del software.
46
AUDITORIA INFORMATICA
5.-INSTALACIN Y LEGALIZACIN 1.-Procedimientos para la instalacin del software. El auditor debe investigar si existen procedimientos que aseguren la oportuna instalacin del software. 2.-Actividades durante la instalacin. Por ejemplo: revisin de contenido del paquete, fecha de instalacin, nmero de mquina, responsable de instalacin, etc. 6.-JUSTIFICACIN En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe formular una justificacin del porqu de esta adquisicin. 1.-Software legal El auditor debe de investigar las polticas cuando se encuentra software instalado en mquinas sin licencias de uso. ENTRADA Y SALIDA DEL SOFTWARE Que el software que salga de la empresa sea: Revisado (contenido, cantidad, destino). Est registrado formalmente en la empresa. Justificada plenamente su salida. Aprobado por el responsable del rea de informtica. Que el software que salga de la empresa sea: Registrado en bitcora (quin y a qu hora lo sac) Devuelto en las mismas condiciones. El personal est comprometido a no hacer mal uso del mismo. Que el software que ingrese a la empresa sea:
47
AUDITORIA INFORMATICA
1. 2. 3. 4. 5. 6. 7.
Revisado (contenido, cantidad, procedencia). Aprobado por el responsable de informtica. Registrado (quin y a qu hora lo introdujo) Que el software que ingrese a la empresa sea: Devuelto en tiempo (comparar con fecha estipulada de devolucin). Devuelto en las mismas condiciones. El personal est comprometido a no hacer mal uso del mismo.
SOFTWARE DE APLICACIN. En principio, lo que pretendemos, es aplicar una herramienta para desarrollar una actividad de la manera ms productiva. En nuestro caso, es hacer uso de un grupo de instrucciones escritas en un lenguaje especializado, cuya finalidad es indicarle a una mquina como efectuar un trabajo, para la consecucin de un fin determinado; la herramienta a la cual nos estamos refiriendo, es denominada software o programa de computacin. QUE ES UN SOFTWARE DE APLICACIN Un software de aplicacin es bsicamente: un conjunto de programas de computacin desarrollados para realizar, en combinacin con la actividad humana, tareas o procesos especficos relacionados, en general, con el procesamiento de la informacin Estos programas, que son escritos a travs de un lenguaje de programacin, como el COBOL, FORTRAM, BASIC, C, C++, PASCAL u otros; son clasificados en funcin de las actividades que ellos puedan realizar; como ser: Facturacin, Cuentas a pagar, Liquidacin de Sueldos y Jornales, Control de Stock, Control de produccin, Gestin Contable, Planeamiento de proyectos. Un aspecto importante, a destacar en estos momentos, es que un software de aplicacin es un elemento componente de un Sistema de Informacin automatizado; y este sistema se encuentra compuesto por:
Los programas de computacin (software), a los que nos estamos refiriendo; Los equipos de informtica (hardware), en los cuales los programas son ejecutados;
48
AUDITORIA INFORMATICA
Los procedimientos (flujos de trabajo), en los que son aplicados los programas; Los usuarios (operacin y utilizacin), con los cuales interactan; y La Informacin, que genera en funcin de los datos suministrados.
Al conjunto de programas de aplicacin escritos por un productor de software, para realizar tareas especficas y de uso frecuente; conforman lo que se denomina un Paquete de Software de aplicacin. Alternativas de Obtener un Software de aplicacin Ya estamos conociendo cuales son las caractersticas principales, del recurso que precisamos. Ahora veremos, cuales son las alternativas que tiene la empresa para incorporarlo a su patrimonio. La organizacin al momento de decidir la compra de un software de aplicacin debe evaluar las siguientes alternativas: 1. Desarrollarlo en la empresa, con personal de la empresa; llevando adelante, todas las etapas involucradas en construccin de un programa. 2. Contratar a un especialista para su desarrollarlo, de acuerdo a los requisitos identificados. 3. Adquirir un software de aplicacin genrico y, dependiendo de sus caractersticas, desarrollar las especificaciones requeridas. 4. Adquirir un software de aplicacin flexible y adaptarlo, dentro de lo posible, a las necesidades. 5. Adquirir un software de aplicacin especfico, y adaptar las necesidades al software ofrecido. Las empresas proveedoras dedicadas a la produccin de paquetes de software, buscan desarrollar un mercado potencial de sus productos; en otras palabras, cada programa es desarrollado de tal forma, que pueda ser aplicado por un gran nmero de usuarios. Tanto las caractersticas del producto como la del mercado, generan ventajas y desventajas para la adquisicin de programas de aplicacin. Las principales ventajas de adquirir un software de aplicacin sobre la alternativa del desarrollo propio, son bsicamente dos: La primera es el bajo precio de adquisicin, que se da por el hecho de dividir su costo entre varios usuarios y
49
AUDITORIA INFORMATICA
La segunda es la reduccin de los plazos hasta la implementacin del sistema; al no llevar acabo la empresa la construccin del software de aplicacin. La principal desventaja de adquirir un software de aplicacin, desarrollado para mltiples usuarios, es que existe una baja probabilidad de que stos atiendan a todos los requisitos de los usuarios. Seleccin de paquetes de software de aplicacin. En este punto vamos a enumerar y describir, a los pasos necesarios para la adquisicin de un paquete de software de un paquete de software de aplicacin. Un procedimiento de compra de software de aplicacin, lo podemos dividir en doce etapas, a saber: 1. Identificacin y especificacin de las necesidades Este primer paso consiste en elaborar una lista en la que se indique: Qu necesito; cul es el problema; qu espero lograr con el nuevo sistema; con qu recursos cuento actualmente y qu posibilidades tengo de obtener nuevos recursos. De nada servir contar con un buen paquete de software, si no se ha alcanzado una comprensin del problema. 2. Anlisis de las necesidades y bsqueda de alternativas. En esta etapa se hace un estudio de la situacin actual; delimitando al problema y determinando cuales seran las posibles soluciones, y sus respectivos alcances. El anlisis permite la construccin del modelo; con el que podremos pensar en las cosas y sus relaciones, a fin de poder describir el funcionamiento del sistema. 3. Identificacin de los posibles proveedores. Aqu debemos investigar cules sern los posibles proveedores de software de aplicacin. 4. Establecer contacto. Debemos convocar a los proveedores a que realicen sus propuestas comerciales, en funcin de los requerimientos descriptos.
50
AUDITORIA INFORMATICA
5. Ubicar la compra y el criterio de uso. Establecer los criterios y la metodologa a ser aplicada en la evaluacin de las propuestas presentadas, por los proveedores. 6. Evaluar alternativas. Una vez recibidas todas las propuestas, por parte de los proveedores; se debe seleccionar, de todas ellas, a los dos o tres principales paquetes de software. 7. Disponibilidad del presupuesto. De cada uno de los proyectos seleccionados, se debe realizar una evaluacin de inversin. Pueden aplicarse tcnicas financieras que analicen el flujo de caja, tales como: Valor actual neto, Tasa interna de retorno, Tasa diferencial 8. Evaluar alternativas especficas. Realizar un test de cada uno de los paquetes de software seleccionados; con el fin de verificar el cumplimiento de los requisitos de funcionalidad y los atributos de calidad, que fuesen especificados por la empresa y asumidos por el proveedor, con el comportamiento real del software. 9. Negociar. Ajustar los detalles del traspaso, entre el proveedor y la empresa, del paquete de software que presentara mejor desempeo en los test; con el fin de buscar mejores resultados en el procedimiento de compra. 10. Adquirir. Efectuar la adquisicin mediante la firma del contrato entre el proveedor y el comprador y la recepcin del bien a la empresa (incorporar el bien al patrimonio de la empresa) 11. Instalacin del software. Instalar el nuevo paquete de software de aplicacin, en los equipos (hardware) donde ste va a trabajar, construir todos los archivos de datos necesarios para poder ser utilizado y, entrenar a los usuarios del software. 12. Evaluacin posterior a la compra del Software seleccionado.
51
AUDITORIA INFORMATICA
Identificar puntos dbiles y fuertes del software adquirido, que permitan valorar su funcionamiento. La evaluacin permitir mejorar la efectividad de los sistemas de informacin. Formas en las que se comercializan los paquetes de software de aplicacin La gran mayora de los programas de aplicacin son comercializados embalados en forma de paquetes, que contienen: Los disks o compac disc, en los que se encuentran grabados los programas, los manuales y toda la documentacin complementaria y necesaria. Tambin es comn que en la oferta se encuentren incluidos, cursos de entrenamiento, el soporte tcnico necesario para la correcta utilizacin del software y tambin pueden incluir el hardware. El software de aplicacin a problemas administrativos es comercializado: por los propios productores, a travs de sus representantes comerciales; y muy pocas veces se da el caso de la de la reventa realizada por empresas especializadas en informtica, que comercializan programas equipos y suministros. Bsicamente podemos observar dos modalidades de comercializacin: la primera y ms comn es la venta de una licencia de uso del software con derecho al servicio de soporte tcnico y mantenimiento, la segunda es por medio del cobro de una tasa de utilizacin del software, con derecho al servicio tcnico y mantenimiento. Independientemente de la modalidad de comercializacin, el proveedor suele incluir dentro del precio, la instalacin y el entrenamiento inicial de los usuarios, que ser necesario para el buen funcionamiento del software. La empresa cuando realiza una solicitud a los proveedores, debe verificar que dicha propuesta contenga los siguientes tems:
Una descripcin completa de los paquetes de software de aplicacin y los programas utilitarios que podrn ser provistos, sus precios y condiciones de pago. Hardware y software de base (sistema operativo) necesarios para la instalacin y funcionamiento de los paquetes de software propuestos. Relacin de otros costos que podrn surgir en la implementacin. Detalle de las condiciones de mantenimiento del software y su costo. Comprobacin de la capacidad para proveer sistemas; que funcionen de acuerdo con las necesidades de la empresa, resaltando sus facilidades (recursos de operacin), los datos almacenados en los principales archivos, las consultas y relatorios disponibles y la documentacin que acompaa al producto.
52
AUDITORIA INFORMATICA
Estimativa de recursos necesarios para la operacin de los sistemas, o sea, exigencias de hardware y tiempo de procesamiento, para cada paquete de software ofrecido, basado en los volmenes de datos previstos por la empresa, especialmente para volmenes picos. Una descripcin de cmo se puede ampliar el sistema previendo aplicaciones adicionales y volmenes extras de procesamiento. Detalles del soporte que puede ser ofrecido (asesoramiento, entrenamiento, modificaciones en el software, etc.), durante la implementacin del sistema y despus de esta. Descripcin de la posibilidad de integracin de los paquetes de software propuestos entre s, con otro software del mercado o con los que la empresa ya posee. Un ejemplo, aunque incompleto, de la documentacin que acompaa al sistema, para que, al examinar algunos puntos sea posible evaluar la calidad. Demostraciones de los paquetes de software propuestos o la posibilidad de tenerlos instalados en los equipos de la empresa para su evaluacin.
53
AUDITORIA INFORMATICA
cualquiera de las fases de su procesamiento o tratamiento informtico, con nimo de lucro y en perjuicio de tercero. En estos tiempos que corren, en los cuales la seguridad de nuestra informacin debe ser resguardada de miradas curiosas, no slo debemos protegernos de los posibles inconvenientes que pueden surgir de utilizar nuestros datos en Internet, sino tambin asegurarnos que los archivos que guardamos en nuestra computadora no estn al alcance de cualquier persona que pueda hacer uso de ellos para perjudicarnos. Como medida para prevenir el robo de nuestros datos por parte de terceros, en la actualidad la mejor solucin suele estar dada por el antiguo mtodo de la encriptacin de los datos. Bsicamente, el proceso de encriptacin reside en la codificacin y posterior decodificacin de archivos e informacin mediante un mtodo que funciona en base a algoritmos. Este mtodo trabaja convirtiendo esos datos en informacin indescifrable con el fin de que los extraos no puedan leer a simple vista el contenido de nuestros archivos. La utilizacin de la encriptacin resulta un sistema extremadamente til tanto para - informacin sensible enviada a travs de Internet, como as tambin para documentos o carpetas que almacenemos en nuestra computadora. De esta manera cuando encriptamos informacin, por ejemplo un texto simple se convierte en un texto sin sentido para quien intente leerlo sin nuestro permiso. Lo mismo sucede con aquellos archivos o carpetas privados que no deseamos que sean vistos por nadie ms que nosotros mismos. Para que la encriptacin funcione el algoritmo se vale de una "llave", ms conocida como "Key", la cual permitir el descifrado de la informacin por otra persona, siempre y cuando el dueo de esos datos lo permita. Esto suele ser comnmente utilizado en correos electrnicos que solo pueden ser decodificados por el destinatario del mensaje que haya elegido el emisor del mismo. De esta manera se protege el contenido que viaja dentro de un e-mail. No obstante la encriptacin puede ser tambin muy til cuando deseamos asegurarnos que ciertos documentos privados no sean ledos por nadie. Nada resulta mejor que el mtodo de la encriptacin para proteger nuestra informacin sensible como suelen ser datos de cuentas bancarias, movimientos de cuentas, agendas personales, datos de contactos, y cualquier otra informacin que deseemos ocultar. Mediante la utilizacin de un software cuya funcin es encriptar cualquier tipo de informacin nos podremos ahorrar el tedioso paso de comprimir con clave o con Passwords carpetas o documentos que se hallan en nuestra PC. Cmo encriptar un archivo o carpeta?
54
AUDITORIA INFORMATICA
Si bien en la actualidad existen gran cantidad de programas que se dedican exclusivamente a la encriptacin de archivos y carpetas, lo cierto es que si eres usuario del sistema operativo Windows XP puedes cifrar tu informacin sin necesidad de apelar a una herramienta externa. Debido a la necesidad imperiosa de proteger la informacin de cada usuario, que con el paso de los aos se ha convertido en un requisito indispensable, sobre todo despus de la masificacin de Internet, Microsoft decidi incorporar en su sistema operativo una sencilla funcin mediante la cual sus usuarios pueden encriptar sus documentos y carpetas. Para encriptar el archivo deseado slo debemos seleccionar el mismo y hacer click con el botn derecho de nuestro ratn sobre el elemento, seleccionar el tem "Propiedades" y dirigirnos a "Opciones avanzadas" y all cliclear la casilla "Cifrar contenido para cifrar datos". Nos aseguraremos que nuestro archivo ha sido correctamente encriptado a travs del color del texto, ya que Windows nos mostrar el objeto en un color diferente como indicador de que ese elemento ha sido cifrado. Tengamos en cuenta que el archivo cifrado a travs de este mtodo no utiliza Passwords, por lo que para acceder a l siempre deberemos ingresar al sistema con el mismo nombre de usuario. Este mtodo no es muy til si compartimos la computadora con otras personas, como suele suceder en los entornos hogareos. Desde otra cuenta de usuario ser imposible acceder al archivo, por lo que adems deberemos crear diferentes usuarios, y aunque este paso resulte tal vez tedioso, lo cierto es que este mtodo puede resultar uno de los ms tiles y rpidos. Es posible que para muchos este mtodo no brinde la seguridad y comodidad requerida, para lo cual puede utilizarse software adicional, que se encarga exclusivamente de la funcin de cifrar informacin, tales como Cryptainer LE Free Encryption Software, Private Disk Lite, U-Sign & Encrypt Desktop, Xiao Steganography, Omziff, AxCrypt, File Waster, TrueCrypt, que en la actualidad suelen ser los ms utilizados.
55
AUDITORIA INFORMATICA
Los procedimientos manuales, si es que existen, slo seran prcticos por un corto periodo. En caso de un desastre, la interrupcin prolongada de los servicios de computacin puede llevar a prdidas financieras significativas, sobre todo si est implicada la responsabilidad de la gerencia de informtica. Lo ms grave es que se puede perder la credibilidad del pblico o los clientes y, como consecuencia, la empresa puede terminar en un fracaso total. Cabe preguntarse Por se necesita un plan de contingencia para desastres si existe una pliza de seguro para esta eventualidad? La respuesta es que si bien el seguro puede cubrir los costos materiales de los activos de una organizacin en caso de una calamidad, no servir para recuperar el negocio. No ayudar a conservar a los clientes y, en la mayora de los casos, no proporcionar fondos por adelantado para mantener funcionando el negocio hasta que se haya recuperado. En un estudio realizado por la Universidad de Minnesota, se ha demostrado que ms del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperacin ya en funcionamiento, saldrn del negocio en dos o tres aos. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informticos, este porcentaje seguramente crecer. Por lo tanto, la capacidad para recuperarse exitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratgico de seguridad para una organizacin. Imagnese una situacin que interrumpa las operaciones de las computadoras durante una semana o un mes; imagine la prdida de todos los datos de la empresa, todas las unidades de respaldo del sitio y la destruccin de equipos vitales del sistema Cmo se manejara semejante catstrofe? Si Ud. se ve en esta situacin y lo nico que puede hacer es preguntarse Y ahora qu? ya es demasiado tarde! La nica manera efectiva de afrontar un desastre es tener una solucin completa y totalmente probada para recuperarse de los efectos del mismo. Es el control de las contingencias y riesgos que se pueden presentar en el rea de sistemas. Estas contingencias se pueden evitar a travs de planes y programas preventivos especficos, en los que se detallan las actividades antes, durante y despus de alguna contingencia. En estos planes se incluyen los simulacros de contingencias, los reportes de actuaciones y las bitcoras de seguimiento de las actividades y eventos que se presenten en el rea de sistemas.
56
AUDITORIA INFORMATICA
Seguros Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino aunque son de gran importancia. Existe un gran problema en la obtencin de los seguros ya que a veces el agente de seguros es una persona que conoce mucho de seguros, riesgos comerciales, riesgos de vida, etc.
pero muy poco sobre computadoras, y el personal de informtica conoce mucho sobre computacin y muy poco sobre seguros.
El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas (existe equipo que pueda ser transportado como computadoras personales y otras que no se pueden mover como unidades de disco duro). por lo que tal vez convenga tener dos o ms plizas por separado, cada una con las especificaciones necesarias. El seguro debe cubrir tanto daos causados por factores externos (terremotos, inundaciones, etc.) como por factores internos (daos ocasionados por negligencia de los operadores, daos debidos al aire acondicionado).
Entre las precauciones que se deben revisar estn: Se deben verificar las fechas de vencimientos de las plizas de seguros, pues puede suceder que se tenga la pliza adecuada pero vencida. Tambin se debe asegurar la prdida de los programas (software).
Seguros y fianzas para el personal, equipos y sistemas Son las medidas preventivas para garantizar la reposicin de los activos informticos de la empresa en caso de ocurrir alguna contingencia. Estas medidas se establecen para asegurar la vigencia de las plizas de los activos informticos asegurados, as como sus coberturas. Igual ocurre al afianzar la participacin del personal y usuarios del rea de sistematizacin de la empresa, ya sea para salvaguardar su fidelidad, o para protegerse de su ausencia por cualquier motivo.
57
AUDITORIA INFORMATICA
Se deben aplicar invariablemente Exmenes mdicos y psicolgicos Verificar sus antecedentes de trabajo Verificar sus valores sociales
Seales de alerta Se debe tener una adecuada poltica de vacaciones. Se deben tener polticas de rotacin de personal. Evaluar la motivacin del personal. Planes de capacitacin al personal (interna y/o externa). Difusin de conocimientos y desarrollo general. Creacin de instructores propios de la compaa. Capacitacin permanente y motivacin general del personal.
Beneficios de la capacitacin Difusin de conocimientos y desarrollo general. Creacin de instructores propios de la compaa. Capacitacin permanente y motivacin general del personal. El personal que se enve a los cursos y que despus los imparta se sentir motivado, reconocido y comprometido moralmente con la compaa. Al existir los cursos internos se crea un ambiente de trabajo sano por consecuencia atractivo para el personal de nuevo ingreso. Se eliminan envidias y competencias internas malintencionadas. y
*Esto permite que se trabaje en confianza dentro de un ambiente de compaerismo y colaboracin mutua Problemas de capacitacin: que origina la falta
Los tcnicos quedan estancados en cuanto a sus conocimientos. Distorsin de las funciones del centro de cmputo. El personal decide abandonar la compaa.
58
AUDITORIA INFORMATICA
Mayor rotacin de personal. Escasez de personal calificado. Mala ubicacin del personal existente.
Objetivos: Comprobar que los planes y polticas de seguridad y de recuperacin sean difundidos y conocidos por la alta direccin. Asegurar la disponibilidad y continuidad del equipo de cmputo el tiempo que requieran los usuarios para el procesamiento oportuno de sus aplicaciones. Evaluar el grado de compromiso por parte de la alta direccin, los departamentos usuarios y el personal de informtica con el cumplimiento satisfactorio de los planes, polticas y procedimientos relativos a la seguridad.
59
AUDITORIA INFORMATICA
Constatar que se brinde la seguridad necesaria a los diferentes equipos de cmputo que existen en la organizacin. Comprobar que existen los contratos de seguro necesarios para el hardware y software de la empresa. Establecer polticas y procedimientos para evitar las interrupciones prolongadas del servicio de procesamiento de datos y continuar en un medio de emergencia hasta que sea restaurado el servicio completo.
Controles necesarios para la seguridad fsica del rea: Inventario del hardware, mobiliario y equipo. Resguardo del equipo de cmputo. Bitcoras de mantenimiento y correcciones. Controles de acceso del personal al rea de sistemas. Control del mantenimiento a instalaciones y construcciones. Seguros y fianzas para el personal, equipos y sistemas. Contratos de actualizacin, asesora y mantenimiento del hardware.
Control de accesos fsicos del personal al rea de cmputo. Es el establecimiento de las medidas tendientes a controlar el acceso de las personas que tengan que entrar al centro de cmputo. Dichas medidas van desde registros en bitcoras o libretas, uso de gafetes y credenciales magnticas, hasta la vigilancia estrecha de visitantes, reas y pasillos por medio de circuito cerrado, as como la revisin fsica del personal que entra y sale del rea de sistemas. Seales de alerta Se considera a las posibles causales de riesgos en el rea donde se desempea el personal. Se deber rrevisar el nmero de extintores que estn disponibles en el rea, su capacidad, fcil acceso, peso y si el tipo de producto que utiliza es el adecuado. Contar con detectores de humo que indiquen la posible presencia de fuego.
60
AUDITORIA INFORMATICA
Capacitar al personal para el uso adecuado de los equipos contra incendio. Verificar que las salidas de emergencia estn libres y puedan ser utilizadas. Los ductos del aire acondicionado deben de estar limpios. Se debe tener equipo de fuente no interrumpible. Restringir el acceso a los centros de cmputo slo al personal autorizado. Definicin y difusin de las horas de acceso al centro de cmputo. Se debe indicar si se cuenta con controles y procedimientos para: Clasificacin y justificacin del personal con acceso a los centros de cmputo del negocio y a las oficinas donde se encuentra papelera o accesorios relacionados con informtica. Definir la aceptacin de la entrada a visitantes. Manejo de bitcoras especiales para los visitantes de los centros de cmputo.
4.10.- TECNICAS Y HERRAMIENTAS RELACIONADAS CON LAS SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIN
Tcnicas y Herramientas de la Auditoria de la seguridad de los datos y del software de aplicacin Controles internos sobre el anlisis, desarrollo e implementacin de sistemas
1.-Las actividades que se realizan para el anlisis, diseo, desarrollo e implementacin de sistemas de cualquier empresa son nicas y por lo tanto, no tienen parecido alguno con otras actividades. 2.-Por esta razn merecen un tratamiento ms especializado. Puntos bsicos
1.-Las consecuencias de un error (generalmente deben ser consideradas para cada campo en la informacin de entrada). 2.-Los puntos en el procesamiento de informacin en los cuales se puede introducir un error en sta.
61
AUDITORIA INFORMATICA
3.-Lo adecuado de los controles introducidos para prevencin, deteccin y correccin de errores de entrada. Cmo pueden ocurrir errores en los datos de entrada?
1.-Pueden estar registrados incorrectamente en el punto de entrada. 2.-Pueden haber sido convertidos incorrectamente a forma legible por la mquina. Cmo pueden ocurrir errores en los datos de entrada?
1.-Pueden haber sido perdidos al manejarlos; 2.-Pueden haber sido incorrectamente procesados al ser ledos por el equipo del computador. El auditor debe investigar puntos tales como:
1.- Qu ocurre a la informacin de entrada en que se encuentran los errores? 2.- Qu sucede con una operacin no correspondida? 3.- Qu sucede si los totales de control no coinciden? Tipos de controles.
1.-Control de distribucin. 2.-Validacin de datos. 3.-Totales de control. 4.-Control de secuencia. 5.-Pruebas de consistencia y verosimilitud. 6.-Dgito de control. Control de distribucin: La informacin de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no estn autorizados para recibirla. Validacin de datos: Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para
62
AUDITORIA INFORMATICA
detectar los posibles errores que puedan traer. Estas pruebas actan como filtros de la informacin. Los datos que logran pasar el filtro se dice que estn validados. Aquellos que contienen errores son examinados, y una vez corregidos pasan de nuevo por el filtro. Totales de control: Un sistema de validacin consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artculos de un archivo. El resultado se compara con el total de estos mismos obtenidos manualmente. -Si el total manual no coincide con el total de la computadora es seal de que se ha producido un error, esto es debido a que no estn escritos los datos correctamente, o se omita un registro, duplicar registros. Control de secuencia: En datos como las facturas que estn foliadas, la computadora puede ejercer un control de secuencia sobre este nmero de folio, con lo cual se detectar si se omitieron o duplicaron registros. Algunas veces se dan rangos de secuencia con vacos entre rango y rango, entonces la investigacin se hace dentro de los lmites de cada rango. En la mayora de las veces el control de secuencia se produce sobre la clave de identificacin del artculo, pero en otras se incorpora un campo adicional al artculo en donde se inserta el nmero de orden que permita el control de secuencia. Pruebas de consistencia y verosimilitud: Una prueba tpica de consistencia es ver si un campo de un registro al que hemos definido como numrico, efectivamente soporta informacin numrica. Dgito de control: Dado que la clave de identificacin de los artculos de un registro, permite individualizar cada uno de los artculos. Es necesario asegurarse de que el contenido de la clave est correcto.
Cuando se escribe un nmero es factible cometer ciertos errores ya tpicos: Error de omisin. Error de adicin. Error de transposicin. Error de repeticin. Error de trascripcin. Error aleatorio.
63
AUDITORIA INFORMATICA
Para detectar que el contenido de un campo de una clave es el correcto, lo que se hace es aadir una cifra ms, obtenida como una combinacin matemtica de las distintas cifras que integran el nmero de la clave de identificacin. Existen dos fases en el problema: -Asignar a cada nmero de la clave su correspondiente dgito de control de manera que desde este momento para cualquier transaccin el nmero de artculo tiene que aparecer acompaado de su dgito de control. -Validacin de cualquier movimiento o transaccin en que intervenga el artculo. Para ello se forma la parte que ser propiamente el nmero de clave, se calcula el dgito de control y se compara con el que aparece asociado en la clave.
SEGURIDAD
Y LA
AUDITORIA INFORMATICA
- Tipos de redes y conexiones. - Informacin y programas transmitidos, y uso de cifrado. - Tipos de transacciones. - Tipos de terminales y protecciones: fsicas, lgicas, llamada de retorno. - Proteccin de transmisiones por fax si el contenido est clasificado, si bien es preferible evitar el uso de este medio en ese caso. - Proteccin de conversaciones de voz en caso necesario. - Transferencia de archivos y controles existentes. -Consideracin especial respecto a las conexiones externas a travs de pasarelas (gateway) y encaminadores (routers), as como qu controles existen. - Ante La generalizacin de modalidades avanzadas de proceso, empiezan a preocupar y a ser objeto de auditora aspectos como: Internet e Intranet: separacin de dominios e implantacin de medidas especiales, como normas y cortafuegos (firewall), y no slo en relacin con la seguridad sino por accesos no justificados por la funcin desempeada, como a pginas de ocio o erticas, por lo que pueden suponer para la productividad. El correo electrnico, tanto por privacidad (PGP, Pretty Good Privacy se est usando mucho) y para evitar virus como para que el uso del correo sea adecuado y referido a la propia funcin, y no utilizado para fines particulares como se ha intentado hacer en muchas entidades y no siempre con xito, con otros recursos anteriores como telfono, fax, fotocopiadoras, o el uso de los propios computadores. Otro de los aspectos que preocupan es la proteccin de programas, y tanto la prevencin del uso no autorizado de programas propiedad de la entidad o de los que tengan licencia de uso, como la carga o transmisin de otros de los que no se tenga licencia o simplemente para los que no exista autorizacin interna. Tambin preocupa el control sobre las paginas Web: quin puede modificarlo y desde dnde, porque se han dado casos desagradables en alguna entidad que impactan muy negativamente en su imagen, y no tanto por los que lo ven directamente, sino por la publicidad que en los medios se puede dar a estos hechos. Finalmente preocupan tambin los riesgos que puedan existir en el comercio electrnico, aunque se estn empezando a utilizar sistemas fiables como SET (Secure Electronic Transaction). En relacin con todo ello, y para facilitar el control y la auditora, es necesario que queden registrados los accesos realizados a redes exteriores y protegidos esos registros, as como la fecha y hora y el usuario o sistema, y el tipo de informacin transferida y en qu sentido.
65
AUDITORIA INFORMATICA
66
AUDITORIA INFORMATICA
Lista de control * G.1. La gerencia de comunicaciones despache con el puesto directivo que en el organigrama tenga autoridad suficiente para dirigir y controlar la funcin. * G.2. Haya coordinacin organizativa entre la comunicacin de datos y la de voz, en caso de estar separadas estas dos funciones. * G.3. Existan descripciones del puesto de trabajo, competencias, requerimientos y responsabilidades para el personal involucrado en las comunicaciones. * G.4 Existan normas en comunicaciones al menos para las siguientes reas: - Tipos de equipamiento, como adaptadores LAN, que pueden ser instalados en la red. - Procedimientos de autorizacin para conectar nuevo equipamiento en la red. - Planes y procedimientos de autorizacin para la introduccin de Lneas y equipos fuera de las horas normales de operacin. - Procedimientos para el uso de cualquier conexin digital con el exterior, como lnea de red telefnica conmutada o Internet. - Procedimientos de autorizacin para el uso de exploradores fsicos (sniffers) y lgicos (traceadores). - Control fsico de los exploradores fsicos (sniffers), que deben es guardados. - Control de qu mquinas tienen instalados exploradores (traceadores), y de que stos slo se pueden invocar por usuarios autorizados. * G.5. Los contratos con transportistas de informacin y otros proveedores tienen definidas responsabilidades y obligaciones. * G.6. Existan planes de comunicaciones a largo plazo, incluyendo estrategia de comunicaciones de voz y datos. * G.7. Existen, si fueren necesarios, planes para comunicaciones a velocidad, como fibra ptica, ATM. etc. * G. 8. Se planifican redes de cableado integral para cualquier nuevo edificio dependencia que vaya a utilizar la empresa. * G.9. El plan general de recuperacin de desastres considera el respaldo recuperacin de los sistemas de comunicaciones. * G.10. Las listas de inventario cubren todo el equipamiento de comunicaciones de datos, incluyendo mdems, controladores, terminales, lneas equipos relacionados. * G.11. Se mantienen los diagramas de red que documentan las conexiones fsicas y lgicas entre las comunicaciones y otros equipos de proceso de datos. * G.12. Se refleja correctamente, en el registro de inventario y en los diagramas de red, una muestra seleccionada de equipos de comunicaciones, de dentro y de fuera de la sala de computadores. * G.13. Los procedimientos de cambio para equipos de comunicaciones como para aadir nuevos terminales o cambios en direcciones, son adecuados y consistentes con otros procedimientos de cambio en las operaciones de proceso de datos. * G.14. Existe un procedimiento formal de prueba que cubre la introduccin de cualquier nuevo equipo o cambios en la red de comunicaciones.
67
AUDITORIA INFORMATICA
* G.15. Para una seleccin de diversas altas o cambios en la red, de un perodo reciente, los procedimientos formales de control han sido cumplidos. * G.16. Estn establecidos ratios de rendimiento que cubren reas como la de tiempos de respuesta en los terminales y tasas de errores. * G. 17. Se vigila la actividad dentro de los sistemas on line y se realizan los ajustes apropiados para mejorar el rendimiento. * G. 18. Existen procedimientos adecuados de identificacin, documentacin y toma de acciones correctivas ante cualquier fallo de comunicaciones. * G.19. La facturacin de los transportistas de comunicaciones y otros vendedores es revisada regularmente y los cargos con discrepancias se conforman adecuadamente. * G.20. Existe un sistema comprensible de contabilidad y cargo en costos de comunicaciones, incluyendo lneas, equipos y terminales. * G.21. Los gestores de comunicaciones estn informados y participan en la planificacin pre-implementacin de los nuevos sistemas de informacin que puedan tener impacto en las comunicaciones. * G.22. Las consideraciones de planificacin de capacidad en comunicaciones son tomadas en cuenta en el diseo e implementacin de nuevas aplicaciones. Auditando la red fsica En una primera divisin, se establecen distintos riesgos para los datos que circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de auditarse hasta qu punto las instalaciones fsicas del edificio ofrecen garantas y han o estudiadas las vulnerabilidades existentes. En general, muchas veces se parte del supuesto de que si no existe acceso fsico desde el exterior a la red interna de una empresa las comunicaciones internas quedan a salvo. Debe comprobarse que efectivamente los accesos fsicos provenientes del exterior han sido debidamente registrados, para evitar estos accesos. Debe tambin comprobarse que desde el interior del edificio no se intercepta fsicamente el cableado (pinchazo). En caso de desastre, bien sea total o parcial, ha de poder comprobarse cul es la parte del cableado que queda en condiciones de funcionar y qu operatividad puede soportar. Ya que el tendido de cables es una actividad irrealizable a muy corto plazo, los planes de recuperacin de contingencias deben tener prevista la recuperacin en comunicaciones. Ha de tenerse en cuenca que la red fsica es un punto claro de contacto entre la gerencia de comunicaciones y la gerencia de mantenimiento general de edificios, que es quien suele aportar electricistas y personal profesional para el tendido fsico de cables y su mantenimiento. Como objetivos de control, se debe marcar la existencia de: - reas controladas para los equipos de comunicaciones, previniendo as accesos inadecuados.
68
AUDITORIA INFORMATICA
- Proteccin y tendido adecuado de cables y lneas de comunicaciones, para evitar accesos fsicos. - Controles de utilizacin de los equipos de pruebas de comunicaciones, usados para monitorizar la red y su trfico, que impidan su utilizacin inadecuada. - Atencin especfica a La recuperacin de los sistemas de comunicacin de datos en el plan de recuperacin de desastres en sistemas de informacin. - Controles especficos en caso de que se utilicen lneas telefnicas normales con acceso a la red de datos para prevenir accesos no autorizados al sistema o a la red. * F. 1. El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a personas autorizadas. * F.2. La seguridad fsica de los equipos de comunicaciones, tales como controladores de comunicaciones, dentro de las salas de computadores sea adecuada. * F.3. Slo personas con responsabilidad y conocimientos estn incluidas en la lista de personas permanentemente autorizadas para entrar en las salas de equipos de comunicaciones. * F.4. Se toman medidas para separar las actividades de electricistas y personal de tendido y mantenimiento de tendido de lneas telefnicas, as como sus autorizaciones de acceso, de aqullas del personal bajo control de la gerencia de comunicaciones. * F.5. En las zonas adyacentes a las salas de comunicaciones, todas Las lneas de comunicaciones fuera de la vista. * F.6. Las lneas de comunicaciones, en las salas de comunicaciones, armarios distribuidores y terminaciones de los despachos, estarn etiquetadas con un cdigo gestionado por la gerencia de comunicaciones, y no por su descripcin fsica o mtodos sin coherencia. * F.7. Existen procedimientos para la proteccin de cables y bocas de conexin que dificulten el que sean interceptados o conectados por personas no autorizadas. * F.8. Se revisa peridicamente la red de comunicaciones, buscando intercepciones activas o pasivas. * F.9. Los equipos de prueba de comunicaciones usados para resolver los problemas de comunicacin de datos deben tener propsitos y funciones definidos. * F. l0. Existen controles adecuados sobre los equipos de prueba de comunicaciones usados para monitorizar lneas y fijar problemas incluyendo: - Procedimiento restringiendo el uso de estos equipos a personal autorizado. - Facilidades de traza y registro del trfico de datos que posean los equipos de monitorizacin. - Procedimientos de aprobacin y registro ante las conexiones a lneas de comunicaciones en la deteccin y correccin de problemas. * F. 11. En el plan general de recuperacin de desastres para servicios de informacin presta adecuada atencin ala recuperacin y vuelta al servicio de los sistemas de comunicacin de datos.
69
AUDITORIA INFORMATICA
* F.12. Existen planes de contingencia para desastres que slo afecten a las comunicaciones, como el fallo de una sala completa de comunicaciones. * F. 13. Las alternativas de respaldo de comunicaciones, bien sea con las mismas salas o con salas de respaldo, consideran la seguridad fsica de estos lugares. * F. 14. Las lneas telefnicas usadas para datos, cuyos nmeros no deben ser pblicos, tienen dispositivos/procedimientos de seguridad tales como retro llamada, cdigos de conexin o interruptores para impedir accesos no autorizados al sistema informtico. Auditando la red lgica Cada vez ms se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera que sea la red de comunicaciones el substrato comn que les une. Ledo a la inversa, la red hace que un equipo pueda acceder legtimamente a cualquier otro, incluyendo al trfico que circule hacia cualquier equipo de la red. Y todo ello por mtodos exclusivamente lgicos, sin necesidad de instalar fsicamente ningn dispositivo. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y por tanto, al resto de los equipos de la instalacin. Es necesario monitorizar la red, revisar los errores o situaciones anmalas que se producen y tener establecidos los procedimientos para detectar y aislar equipos en situacin anmala. En general, si se quiere que la informacin que viaja por la red no pueda ser espiada, la nica solucin totalmente efectiva es la encriptacin. Como objetivos de control, se debe marcar la existencia de: - Contraseas y otros procedimientos para limitar y detectar cualquier intento de acceso no autorizado a la red de comunicaciones. - Facilidades de control de errores para detectar errores de transmisin y establecer las retransmisiones apropiadas. - Controles para asegurar que las transmisiones van solamente a usuarios autorizados y que los mensajes no tienen por qu seguir siempre la misma ruta. - Tcnicas de cifrado de datos donde haya riesgos de accesos impropios a transmisiones sensibles. - Controles adecuados que cubran la importacin o exportacin de datos a travs de puertas, en cualquier punto de la red, a otros sistemas informticos. Lista de control Comprobar que: * L. 1. El software de comunicaciones, para permitir el acceso, exige cdigo de usuario y contrasea. * L. 2. Revisar el procedimiento de conexin de usuario y comprobar que: - Los usuarios no pueden acceder a ningn sistema, ni siquiera de ayuda, antes de haberse identificado correctamente.
70
AUDITORIA INFORMATICA
-Se inhabilita al usuario que sea incapaz de dar la contrasea despus de un nmero determinado de intentos infructuosos. - Se obliga a cambiar la contrasea regularmente. - Las contraseas no son mostradas en pantalla cuando se teclean. - Durante el procedimiento de identificacin, los usuarios son informados de cundo fue su ltima conexin para ayudar a identificar potenciales suplantaciones o accesos no autorizados. * L. 3. Cualquier procedimiento del fabricante, mediante hardware o software, que permita el libre acceso y que haya sido utilizado en la instalacin original, ha de haber sido inhabilitado o cambiado. * L. 4. Se toman estadsticas que incluyan tasas de errores y de retransmisin. * L. 5. Los protocolos utilizados, revisados con el personal adecuado de comunicaciones, disponen de procedimientos de control de errores con la seguridad suficiente. * L. 6. Los mensajes lgicos transmitidos identifican el originante, la fecha, la hora y el receptor. * L. 7. El software de comunicaciones ejecuta procedimientos de control y correctivos ante mensajes duplicados, fuera de orden, perdidos, o retrasados. * L. 8. La arquitectura de comunicaciones utiliza indistintamente cualquier ruta disponible de transmisin para minimizar el impacto de una escucha de datos sensibles en una ruta determinada. * L. 9. Existen controles para que los datos sensibles slo puedan ser impresos en las impresoras designadas y vistos desde los terminales autorizados. * L. 10. Existen procedimientos de registro para capturar y ayudar a reconstruir todas las actividades de las transacciones. * L. 11. Los archivos de registro son revisados, si es posible a travs de herramientas automticas, diariamente, vigilando intentos impropios de acceso. * L. 12. Existen anlisis de riesgos para las aplicaciones de proceso de datos a fin de identificar aquellas en las que el cifrado resulte apropiado. * L. 13. Si se utiliza cifrado: - Existen procedimientos de control sobre la generacin e intercambio de claves. - Las claves de cifrado son cambiadas regularmente. - El transporte de las claves de cifrado desde donde se generan a los equipos que las utilizan sigue un procedimiento adecuado. * L. 14. Si se utilizan canales de comunicacin uniendo diversos edificios de la misma organizacin, y existen datos sensibles que circulen por ellos, comprobar que estos canales se cifran automticamente, para evitar que una interceptacin sistemtica a un canal comprometa a todas las aplicaciones. * L. 15. Si la organizacin tiene canales de comunicacin con otras organizaciones se analice la conveniencia de cifrar estos canales. * L. 16. Si se utiliza la transmisin de datos sensibles a travs de redes abiertas como Internet, comprobar que estos datos viajan cifrados. * L. 17. Si en una red local existen computadores con mdems, se han revisado los controles de seguridad asociados para impedir el acceso de equipos forneos a la red local.
71
AUDITORIA INFORMATICA
* L. 18. Existe una poltica de prohibicin de introducir programas personales o conectar equipos privados a la red local. * L.19.Todas las puertas traseras y accesos no especficamente autorizados estn bloqueados. En equipos activos de comunicaciones, como puentes, encaminadores, conmutadores, etc., esto significa que los accesos para servicio remoto estn inhabilitados o tienen procedimientos especficos de control. * L. 20. Peridicamente se ejecutan, mediante los programas actualizados y adecuados, ataques para descubrir vulnerabilidades, que los resultados se documentan y se corrigen las deficiencias observadas. Estos ataques deben realizarse independientemente a: - Servidores, desde dentro del servidor. - Servidores, desde la red interna. - Servidores Web, especficamente - Intranet, desde dentro de ella. - Cortafuegos, desde dentro de ellos. - Accesos desde el exterior y/o Internet.
72
AUDITORIA INFORMATICA
Por causas dolosas, y teniendo en cuenta que es fsicamente posible interceptar la informacin. Los tres mayores riesgos a atajar son: 1.- Indagacin. Un mensaje puede ser ledo por un tercero, obteniendo la informacin que contenga. 2.- Suplantacin. Un tercero puede introducir un mensaje espurio que el receptor cree proveniente del emisor legtimo. 3- Modificacin. Un tercero puede alterar el contenido de un mensaje. Para este tipo de actuaciones dolosas, la nica medida prcticamente efectiva en redes MAN y WAN (cuando la informacin sale del edificio) es La criptografa. En redes LAN suelen utilizarse ms bien medidas de control de acceso al edificio y al cableado, ya que la criptografa es muy onerosa todava para redes locales. Dada la proliferacin de equipos que precisan comunicacin de datos dentro de los edificios, es muy habitual plantearse sistemas de cableado integral en vez de tender un cable en cada ocasin. Esto es prcticamente un requisito en edificios con cierto volumen de usuarios. Los sistemas de cableado suelen dividirse segn su mbito. En cada planta o zona se tienden cables desde un armario distribuidor a cada uno de los potenciales puestos. Este cableado se denomina habitualmente de planta. Estos armarios estn conectados a su vez, entre s y con las salas de computadores, denominndose a estas conexiones cableado troncal. Desde las salas de computadores parten las lneas hacia los transportistas de datos (Telefnicas o PTTs), saliendo los cables al exterior del edificio en lo que se denomina cableado de ruta. El cableado de planta suele ser de cobre, por lo que es propenso a escuchas (pinchazos) que pueden no dejar rastro. El cableado troncal y el de ruta cada vez ms frecuentemente se tienden mediante fibras pticas, que son muy difciles de interceptar, debido a que no provocan radiacin electromagntica y a que la conexin fsica a una fibra ptica requiere una tecnologa delicada y compleja. En el propio puesto de trabajo puede haber peligros, como grabar/retransmitir la imagen que se ve en la pantalla, teclados que guardan memoria del orden en que se han pulsado las teclas, o directamente que las contraseas estn escritas en papeles a la vista. Dentro de las redes locales, el mayor peligro es que alguien instale una escucha no autorizada. Al viajar en claro la informacin dentro de la red local, es imprescindible tener una organizacin que controle estrictamente los equipos de escucha, bien sean stos fsicos (sniffer) o lgicos (traceadores). Ambos escuchadores, fsicos y lgicos, son de uso habitual dentro de cualquier instalacin de cierto tamao. Por tanto, es fundamental que ese uso legtimo est controlado y no devenga en actividad espuria. El riesgo de interceptar un canal de comunicaciones, y poder extraer de l la informacin, tiene unos efectos relativamente similares a los de poder entrar, sin control, en el sistema de almacenamiento del computador.
73
AUDITORIA INFORMATICA
Hay un punto especialmente crtico en los canales de comunicaciones que son las contraseas de usuario. Mientras que en el sistema de almacenamiento las contraseas suelen guardarse cifradas, es inhabitual que los terminales u computadores personales sean capaces de cifrar la contrasea cuando se enva al computador central o al servidor. Por tanto, alguien que intercepte la informacin puede hacerse con las contraseas en claro. Adems, dado que las cartulas inciales donde se teclea la contrasea son siempre las mismas, se facilita la labor de los agentes de interceptacin, pues proporcionan un patrn del paquete de informacin donde viaja la contrasea a interceptar.
74
AUDITORIA INFORMATICA
- Se debe establecer los mecanismos de control del funcionamiento de la red para garantizar la utilizacin. - Deben existir planes de respaldo y contingencias de la red.
Programas de Trabajo de Auditoria Relacionado con las Telecomunicaciones Los siguientes son ejemplos de programas de trabajo que se pueden evaluar en una auditoria: Instalacin - Que existan procedimientos que aseguren la oportuna y adecuada instalacin de los diferentes componentes de la red. - Que exista un registro de las actividades que se realizan durante el proceso de instalacin de los componentes de la red, hardware y software. - Registro de la planeacin y evaluacin formal de las compras de los elementos de la red. - Seguro de dichas compras. - Control de software que se encuentra instalado. Para dar de alta al personal especializado que har uso de los centros terminales, el centro de cmputo debe facilitar los medios para registrarlos y mantener actualizado dicho registro a travs de: - La unidad administrativa que sea responsable de un centro Terminal debe registrar y dar de alta a todo el personal que haga uso del equipo de dicho centro. - El rea del centro de cmputo mantendr el registro del personal que haga uso de dicho centro Terminal. - Todo el personal que haga uso del centro Terminal debe tener asignado un nmero de cuenta para mantener justificada la utilizacin de las facilidades de cmputo al nivel administrativo. - Es necesario que el personal que tiene acceso a los centros terminales se capacite con el fin de mantenerlo actualizado.
75
AUDITORIA INFORMATICA
76
AUDITORIA INFORMATICA
77
AUDITORIA INFORMATICA
La estructura y el formato del informe de auditora ha de ser coherente y atractivo para su destinatario, ha de incitar a ser ledo. Es recomendable que el informe este dividido: Introduccin. Objetivo de la auditora y origen de la misma: quin la pide y por qu razn. Alcance: espacio fsico, temtico y temporal que se audita; periodo durante el cual se realiza la auditora. Resumen del Informe. Opinin de auditora: juicio del auditor sobre el tema, proceso, actividades estudiadas. Resumen de las observaciones principales: conclusiones, recomendaciones y acciones propuestas. Cuerpo del Informe. Cabes dos alternativas: estructurar el cuerpo del informe basndose en los temas auditados analizando la situacin de cada unidad funcional respecto al tema o, a la inversa, estructurndolo segn las unidades funcionales y analizando todos los temas que afecta la unidad. Se estructure segn un modelo u otro, el cuerpo del informe deber contener: Observaciones: incluyen una breve descripcin del proceso analizado, hechos detectados (anomalas, puntos dbiles detectados al comparar con las referencias); causas han generado las anomalas y debilidades; recomendaciones que no se han aplicado y que se hablan hecho en informes anteriores. Datos: cifras y detalles en las que se basan las observaciones.
78
AUDITORIA INFORMATICA
y obtencin de los resultados esperados y de las actividades de investigacin cientfica. Los informes finales tcnico y financiero, deben ser entregados a la Direccin de Investigacin de la sede, al finalizar el periodo de ejecucin del proyecto. El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada Facultad, Centro o Instituto. El informe debe contener un ndice. Cada pgina del informe debe estar numerada. Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados. El informe tcnico final deber presentarse en versin impresa y magntica (CD o disquete). Contenido del informe tcnico 1. Ttulo y cdigo del proyecto 2. Nombre del investigador principal y de la Facultad, Centro o Instituto al que pertenece 3. Fecha de entrega del Informe 4. Sinopsis divulgativa: Con el propsito de promover la divulgacin de las actividades investigativas que adelanta la Sede Bogot y para dar mayor difusin a los proyectos, deben incluir un resumen de una cuartilla que servir de base para la elaboracin de notas acadmicas dirigidas a los medios de comunicacin de la Universidad. 5. Resumen tcnico de los resultados obtenidos durante la realizacin del proyecto y de las principales conclusiones (mximo cinco pginas). 6. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado, relacione los resultados obtenidos durante la realizacin del proyecto, los cuales deben estar soportados por sus respectivos.
79
AUDITORIA INFORMATICA
CONCLUSION
Principalmente toda empresa, pblica o privada, que posea Sistemas de Informacin medianamente complejos, debe de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en da, el 90 por ciento de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de aqu, la vital importancia que los sistemas de informacin funcionen correctamente. La empresa de hoy, debe y precisa informatizarse. El xito de una empresa depende de la eficiencia de sus sistemas de informacin. En cuanto al trabajo de la auditora en s, podemos remarcar que se precisa de gran conocimiento de la Informtica, seriedad, capacidad, minuciosidad y responsabilidad; la auditora de Sistemas debe hacerse por gente capacitada, una auditora mal hecha puede acarrear consecuencias drsticas para la empresa auditada, principalmente econmicas.
80