Professional Documents
Culture Documents
AUDITORIA DE LA TECNOLOG A DE LA
INFORMACIN
Curso Virtual
AUDITORIA DE LA TECNOLOGA DE LA INFORMACIN
El fcil acceso a la informacin, debido al rpido avance de la tecnologa, ha generado que las
organizaciones hagan un uso ms frecuente de las TICs (Tecnologas de la informacin y la
comunicacin), lo que por una parte ha ayudado a automatizar y agilizar procesos; pero por otro
lado, ha generado situaciones, tales como, la fuga de informacin, robo y modificacin ilegal de
datos, prdida de capacidad de procesamiento, dao de equipos, entre otras, que han hecho
susceptibles a las organizaciones y provocado en algunas, grandes prdidas.
Es por esto, que el papel de los auditores informticos es fundamental para minimizar los riesgos de
fraude y de malversacin de los recursos informticos, y ayudar a aprovechar al mximo los recursos
informticos en una entidad; por lo tanto existe una gran necesidad de su formacin, capacitacin y
actualizacin continua.
En una auditoria, el auditor emite una opinin profesional sobre si el objeto analizado, se presenta
acorde a la realidad y cumple con las caractersticas prescritas. De esta manera, una auditoria
informtica consiste en la revisin, evaluacin y valoracin sistmica de la aplicabilidad de controles
generales y especficos, con el fin de salvaguardar los recursos informticos de una entidad,
mantener la integridad de los datos y utilizar eficientemente los recursos. Este trabajo tiene como
objeto de estudio los recursos informticos, tales como hardware, software, bases de datos, redes,
o instalaciones; e implica la creacin, apropiacin y adaptacin de metodologas y procedimientos
de desarrollo de auditoria informtica, que orienten y guen al auditor de manera eficiente y eficaz,
con el fin de proporcionar una seguridad razonable de lo que se afirma.
Por consiguiente, el auditor debe estar preparado para encontrar diferentes entornos informticos en
las empresas, debido a que mientras unas empresas cuentan con una infraestructura actualizada y
a la vanguardia de las tecnologas de informacin, otras estn iniciando los procesos informticos.
Estos entornos heterogneos requieren que el auditor est preparado para actuar en dos reas, la
auditoria y la informtica; el auditor debe revisar, diagnosticar y controlar los sistemas de informacin
y los sistemas informticos.
Por lo tanto el auditor debe trabajar en las reas de seguridad, control interno operativo, eficacia y
eficiencia, tecnologa informtica, continuidad de operaciones y gestin de riesgos, as como tener
conocimiento en:
1
www.auditool.org
Desarrollo informtico y gestin de proyectos
Gestin del departamento de sistemas
Anlisis de riesgos en un ambiente informtico
Sistemas operativos
Telecomunicaciones
Gestin de bases de datos
Redes
Seguridad fsica y lgica de los sistemas
Operaciones y planificacin informtica
Gestin de planes de contingencia
Gestin de problemas y de cambios en los entornos informticos
Administracin de datos
Ofimtica
Comercio electrnico
Encriptacin de datos
Este curso tiene como objetivo presentar al auditor, en primera medida, conceptos claros de sistemas
informticos, tecnologa de informacin y seguridad informtica, para luego presentar la auditoria
informtica, su concepto y rea de trabajo, objetivos, etapas y tipos de auditoria dentro de la auditoria
informtica. Esta informacin le brinda al auditor las herramientas necesarias para el desarrollo
exitoso de una auditoria informtica. Finalmente, se presenta la estructura del modelo COBIT,
establecido por ISACA.
SISTEMAS DE INFORMACIN
Los datos son smbolos que describen condiciones, hechos, situaciones, o valores; los cuales al
estar en conjunto se convierten en informacin, la cual obtiene un significado e importancia dentro
del mbito que se maneje. La mayora de los datos que maneja una entidad, ya sean contables, de
fabricacin, de recursos humanos, entre otros, son recolectados, tratados, y almacenados en
sistemas informticos, los cuales sirven para prestar un servicio especfico, y para la toma de
decisiones en una organizacin.
Estos niveles deben ser abarcados por la informtica, entendida como la utilizacin de las
aplicaciones del computador para almacenar y procesar informacin, debido a que el uso de medios
electrnicos permite manejar la informacin de forma rpida y a grandes volmenes, as como,
duplicar y distribuir la informacin de forma sorprendente, haciendo necesario un control ms grande
en el cuarto nivel, asegurando que la informacin sea usada y manipulada por personas autorizadas
para fines correctos y establecidos en una empresa.
Un sistema de informacin se define como un conjunto de componentes que interactan para que la
empresa alcance los objetivos planteados de manera satisfactoria. Estos componentes son datos,
aplicaciones, tecnologa, instalaciones y personal.
2
www.auditool.org
NORMAS
CONTROL
La creacin de un sistema de informacin para una empresa, comprende aspectos como, funcin de
anlisis de sistemas de informacin, funcin de diseo y construccin de sistemas de informacin,
administracin y control de sistemas de informacin y el entorno operativo de los sistemas de
informacin, hasta llegar a la adaptacin e implementacin de la tecnologa de informacin,
seguridad y gestin en la funcin informtica, y procesamiento electrnico de los datos.
Este proceso inicia con la funcin de anlisis de los sistemas de informacin, que permite definir los
requerimientos y necesidades de informacin y especificar la funcionalidad del sistema ideal de
informacin. A travs de diagramas de flujo, en esta funcin se realiza la modelacin conceptual de
la informacin o laicalizacin de las funciones de la organizacin. Cuando no se realiza un anlisis
adecuado de los sistemas de informacin pueden presentarse problemas como:
3
www.auditool.org
Ausencia de polticas y objetivos corporativos
Inexistencia de un plan estratgico y sistema de control interno en la entidad
Recursos informticos obsoletos
Falta de metodologas y estrategias para gerenciar proyectos de tecnologa de informacin
Procesamiento electronico
de los datos
4
www.auditool.org
Informacin Gerencial (SIG), Management Information System (MIS), Sistema de
apoyo a la toma de decisiones (SAD), Decision Support System (DSS).
Sistemas a nivel estratgico: Apoyan a los directivos para enfrentar y resolver
aspectos estratgicos y tendencias a largo plazo, tanto en la empresa como en el
entorno, y permiten adquirir una ventaja competitiva. Ejemplo: Sistemas de apoyo a
ejecutivos (SAE), Executive Support Systems (ESS).
TECNOLOGIA DE INFORMACIN
Las exigencias del mundo de hoy han hecho que la forma de manejar una empresa cambie y se
adapte a las necesidades de sus usuarios y clientes. Una de estas, es la tecnologa de informacin,
la cual en los ltimos aos ha alcanzado una gran amplitud e impacto en diferentes sectores,
cambiando as la forma y el lugar para hacer el trabajo. Ahora, las organizaciones deben satisfacer
la calidad, requerimientos y seguridad de su informacin, a travs de la optimizacin de los recursos
de TI disponibles, incluyendo aplicaciones, informacin, infraestructura y personal.
Con los nuevos avances tecnolgicos, las tecnologas hacen posible capturar y utilizar la informacin
en el momento en que se crea, es decir procesos en lnea. Cuando se llevan a cabo las distintas
labores de una entidad apoyadas en la tecnologa de la informacin se beneficia con un
procesamiento ms rpido y confiable de los datos, por lo tanto la informacin que resulta es
favorecida con mayor movilidad y de fcil acceso, adems de proveer una visin de ms integralidad.
5
www.auditool.org
En una empresa debe existir un departamento o rea que se encargue de estudiar, disear,
desarrollar, implementar y administrar los sistemas de informacin, utilizados para el manejo de la
informacin dentro de la empresa, para gestionar los procesos del negocio, como lo son los registros
financieros y transaccionales, registros de empleados, facturacin, pagos, compras, entre otros. El
uso de TI garantiza ventajas en competitividad en la empresa, debido a que puede:
SEGURIDAD INFORMTICA
El acceso a la informacin de la empresa debe estar restringido y organizado, por lo tanto se deben
establecer controles de acceso, los cuales encierran los siguientes aspectos:
Separacin de funciones entre los usuarios del sistema con perfiles definidos, de acuerdo a
la informacin que manejan.
Integridad de los log, e imposibilidad de desactivarlos por ningn perfil para revisarlos.
Legibles e interpretables por control informtico.
Contrasea nica para los distintos sistemas de red, con autentificacin de entrada una sola
vez, y controles de derechos de uso.
Contrasea y archivos con perfiles y derechos inaccesibles a todos, incluyendo a los
administradores de la seguridad.
El sistema debe rechazar e inhabilitar a los usuarios que no usan las claves o los derechos
de uso correctamente, y avisar a control informtico.
Cambio de contraseas peridicamente.
Uso de mecanismos de auto-logout, el cual saca del sistema al usuario despus de un
tiempo determinado.
6
www.auditool.org
AUDITORIA INFORMATICA
Los sistemas de informacin de las empresas cada vez son ms dependientes de la informtica,
sistemas de cmputo y tecnologas de informacin, lo que hace necesario verificar su correcto
funcionamiento y eficiencia, para evitar cualquier riesgo de fraude o prdida de informacin con
ayuda de los computadores. Es as como, la auditoria informtica cobra una real importancia para
las empresas, ms aun teniendo en cuenta que la informacin se ha convertido en uno de los activos
principales, y que las inversiones en sistemas de informacin son cada vez ms grandes
Sin embargo hoy en da todava existen empresas que no asimilan las nuevas tecnologas, manejan
aplicaciones obsoletas, no planifican los sistemas de informacin, e incluso llevan a cabo procesos
manuales difciles y costosos. Esto no solo causa prdidas a las entidades sino que representa
riesgos en el manejo de la informacin. La auditora informtica aqu juega un papel primordial,
porque aporta soluciones tanto en el reconocimiento de fallas o indicios de un mal procedimiento,
que pueda tener consecuencias negativas para la empresa, como una forma de mejorar los procesos
en el mbito de la informtica aportando al funcionamiento general de la empresa y a la reduccin
de costos.
Ante estas situaciones, y los rpidos cambios en el mundo, los directivos deben tomar decisiones
para revaluar y restructurar sus sistemas de informacin y controles internos, asegurando la
integridad de la informacin.
Concepto
El desarrollo de una auditoria informtica es importante debido a que permite identificar fortalezas,
debilidades y riesgos en la gestin de proyectos, funcionalidad de los sistemas de informacin,
configuracin de la plataforma informtica, calidad en los servicios prestados, y dems aspectos
incluidos en el mbito del uso y aplicacin de las Tics en la entidad. A partir de esta informacin, el
auditor puede brindar recomendaciones y propuestas para el mejoramiento de los procesos de la
entidad, dando as soluciones integrales y un apoyo para el logro de los objetivos establecidos en la
entidad.
La auditora informtica se puede desarrollar de dos maneras, por medio de una auditoria interna,
aquella que se hace dentro de la empresa por un auditor interno; y auditoria externa, como su nombre
lo indica es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoria
en su empresa. Asimismo, la auditoria informtica se desarrolla en tres etapas, que aseguran su
eficacia y eficiencia, planeacin, ejecucin e informacin. Estas etapas se llevan a cabo
consecutivamente, y permiten una retroalimentacin constante durante el desarrollo de la auditoria,
garantizando as su calidad y pertinencia.
7
www.auditool.org
El auditor durante el desarrollo de la auditoria adquiere responsabilidades, tanto en el ejercicio de la
auditoria como en la planeacin y ejecucin de la misma. Al aceptar la auditoria, el auditor debe
definir sus objetivos y alcance, y planificar y evaluar los siguientes aspectos, trabajando bajo unos
principios ticos:
8
www.auditool.org
Seguridad fsica y lgica de los sistemas.
Confidencialidad de los sistemas.
Control de mantenimiento y forma de respaldo de los
sistemas.
Utilizacin de los sistemas.
Prevencin de factores que puedan causar
contingencias; seguros y recuperacin en caso de
desastres.
Productividad.
Derechos de autor y secretos industriales.
Control de los datos fuente y manejo de cifras de
control.
Control de operacin.
Evaluacin del proceso de datos, de Control de salida.
los sistemas y equipos de cmputo Control de asignacin de trabajo.
(software, hardware, redes, bases de Control de medios de almacenamiento masivos.
datos y comunicaciones). Control de otros elementos de cmputo.
Control de medios de comunicacin.
Orden en el centro de cmputo.
Seguridad fsica y lgica.
Confidencialidad.
Respaldos.
Seguridad del personal.
Seguridad y confidencialidad de la
Seguros.
informacin.
Seguridad en la utilizacin de los equipos.
Plan de contingencia y procedimiento de respaldo para
casos de desastre.
Restauracin de equipo y de sistemas.
Aspectos legales de los sistemas de
Cumplimiento de las normas y leyes pertinentes.
informacin.
El departamento o rea de informtica en una empresa, debe llevar a cabo un control interno
informtico, que permita controlar las actividades diarias de los sistemas de informacin y verificar si
estas cumplen a cabalidad con los procedimientos, estndares y normas pertinentes, tanto dentro
de la empresa como las establecidas nacional e internacionalmente. El trabajo realizado en control
interno informtico colabora y apoya el trabajo de la auditoria informtica.
Para el desarrollo de una auditoria informtica exitosa, el auditor debe ser un profesional con un alto
grado de conocimiento en informtica y suficiente experiencia en el rea, as como habilidad para
comunicarse efectivamente y dar un trato adecuado a las personas. El auditor, ya sea interno o
externo, debe ser independiente de las actividades que audita, asegurando un trabajo objetivo y
profesional.
Al momento que el auditor acepta el trabajo de auditoria, est aceptando la responsabilidad de actuar
a favor del inters pblico, cumpliendo no solo las necesidades de su cliente, sino acogindose a los
requisitos establecidos en el Cdigo de tica para profesionales, el cual establece los principios
fundamentales de tica profesional relevantes al auditor cuando conduce una auditoria, estos
principios son:
9
www.auditool.org
Integridad: El auditor debe ser sincero y honesto en todas las relaciones profesionales y de
negocios.
Objetividad: El auditor no debe permitir que favoritismos o conflictos de inters influyan en
sus juicios profesionales.
Competencia profesional y debido cuidado: El auditor debe mantener sus habilidades y
conocimientos profesionales en el nivel apropiado y actualizados, para prestar un servicio
de calidad y competente, de acuerdo a las legislaciones o regulaciones vigentes.
Confidencialidad: El auditor debe respetar la confidencialidad de la informacin obtenida
como resultado de su trabajo, y no debe revelar la informacin a terceros que no cuenten
con la debida autorizacin.
Conducta profesional: El auditor debe cumplir con los reglamentos y leyes relevantes, as
como rechazar cualquier accin que desacredite a la profesin.
1.1 Objetivos
Verificar si los riesgos del negocio y de Tecnologa de informacin han sido identificados y
gestionados apropiadamente.
Salvaguardar los activos, en trminos de proteccin de hardware, software y recursos
humanos.
Verificar control interno.
Control de la funcin informtica:
Verificar que las aplicaciones proporcionen informacin oportuna, exacta, necesaria
y suficiente.
Revisar las medidas de seguridad, integridad de la informacin, procedimientos de
operacin, infraestructura de sistemas, procedimientos de mantenimiento, proceso
de desarrollo de sistemas, software y hardware.
Revisar y evaluar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos
e informacin.
Anlisis de la eficiencia de los sistemas informticos y el estado del arte tecnolgico de las
instalaciones.
Anlisis de la gestin de los riesgos de la informacin y de la seguridad implcita.
Diagnosticar el grado de cobertura de las aplicaciones a las necesidades estratgicas y
operativas de la informacin de la organizacin.
Verificacin del cumplimiento de la normatividad de la empresa
Verificar la proteccin de activos e integridad de los datos y nivel de continuidad de las
operaciones.
Revisin de la eficaz gestin de los recursos materiales y humanos informticos
El control interno informtico controla diariamente todas las actividades de los sistemas de
informacin para asegurar que se estn cumpliendo los procedimientos, estndares y normas
pertinentes dentro de la entidad. Esta tarea la lleva a cabo el personal asignado dentro del
departamento de informtica en la entidad, quienes tienen como objetivos:
Controlar que todas las actividades sean realizadas de acuerdo a los procedimientos,
estndares y normas establecidas y pertinentes.
Asesorar sobre las normas y regulaciones pertinentes.
Colaborar y apoyar el trabajo de la auditoria informtica.
Definir, implantar y ejecutar mecanismos y controles para comprobar el logro.
10
www.auditool.org
Asegurar que las modificaciones de los procedimientos, correspondientes al mantenimiento,
estn adecuadamente diseadas, probadas, aprobadas e implementadas.
Garantizar la proteccin en los procedimientos programados, evitando as cambios no
autorizados.
Controles internos:
Polticas: Son base para la planificacin, control y evaluacin de las actividades del
departamento de informtica.
Planificacin: Realizacin del plan estratgico de informacin, plan informtico, plan
general de seguridad fsica y lgica, y plan de emergencia ante desastres.
Estndares: Regulan la adquisicin de recursos, el diseo, desarrollo y modificacin
y explotacin de sistemas.
Procedimientos: Describen la forma y responsabilidades de ejecucin para regular
las relaciones entre el departamento de informtica y los usuarios.
Funciones y responsabilidades dentro del departamento.
Polticas de seleccin, capacitacin y evaluacin del personal.
Autorizacin y control de accesos al sistema.
11
www.auditool.org
Controles para uso de los recursos: Calendario de carga de trabajo, programacin
de personal, mantenimiento preventivo, gestin de problemas y cambios,
procedimientos de facturacin a usuarios, soportes.
Procedimientos de seleccin del software del sistema, de instalacin, de
mantenimiento, seguridad y control de cambios.
Seguridad fsica y lgica
Para que la auditoria informtica se desarrolle apropiadamente, esta se debe llevar a cabo en tres
etapas bien definidas, planeacin, ejecucin, e informacin.
Planeacin
El conocimiento de la entidad inicia desde la direccin y su plan estratgico corporativo, que contiene
todos los lineamientos y polticas por las que se rige la empresa, as como su visin y misin. Todos
los proyectos desarrollados en la empresa estn bajo el plan estratgico, y deben obedecer a las
necesidades de informacin de cada rea de la empresa. La satisfaccin de estas necesidades
originan un plan estratgico informtico y de sistemas, que une todos los recursos tanto de personal
como tecnolgicos, para la creacin de estrategias informticas, orientadas a la integralidad eficiente
para la produccin y gestin inteligente de informacin para la administracin, operacin y control de
la empresa, as como la atencin oportuna, eficaz y segura de clientes y proveedores.
En este sentido, el auditor debe evaluar las funciones que la alta gerencia debe realizar:
12
www.auditool.org
Planeacin: Determinar los objetivos del rea y la forma en que se van a lograr.
Organizacin: Proveer las facilidades, estructura, divisin del trabajo, responsabilidades,
actividades de grupo y personal, necesarios para realizar las metas.
Recursos humanos: Seleccin, capacitacin y entrenamiento del personal requerido para
realizar las metas.
Direccin: Coordinar las actividades y procesos dentro del rea, con liderazgo, gua y
motivando al personal.
Control: Comparar lo real con lo planeado, de tal manera que se identifiquen problemas o
anomalas, para realizar los ajustes necesarios.
ESTRATEGIA
CORPORATIVA
NECESIDADES DE
INFORMACION
ESTRATEGIA INFORMATICA
AUDITORIA INFORMATICA
13
www.auditool.org
Evaluacin de control interno
Al evaluar el rea de control interno de la empresa, el auditor debe verificar las actividades,
operaciones y actuaciones, administracin de recursos en relacin a las normas y polticas legales
y definidas por la direccin de la empresa. Para esto debe tener en cuenta aspectos como:
El marco de control interno sugerido para cumplir con los lineamientos establecidos por la Ley SOX,
es el diseado por el Comit de organizaciones patrocinadoras de la Comisin Treadway, COSO,
en cul fue diseado con el fin de estudiar los factores que llevaran a acciones fraudulentas en las
operaciones de una organizacin; y permite evaluar el sistema de control interno implementado en
la organizacin.
El modelo COSO comprende cinco componentes de control, que permiten lograr los objetivos de
control para alcanzar los objetivos del negocio y cumplir con las normas y regulaciones pertinentes,
estos son:
Ambiente de control: Factores que inciden en el ambiente de control, tales como integridad
y valores morales del personal, contratacin de personal de calidad, capacidad de
identificacin de riesgos operacionales, entrenamiento especializado sobre la aplicacin de
controles internos, y roles y responsabilidades de la junta y comit de auditora.
Evaluacin de riesgos: Procedimientos para identificar cambios externos que puedan afectar
a la organizacin; herramientas y metodologas para la identificacin, evaluacin y medicin
de los riesgos operacionales y evaluacin peridica de riesgos en las diferentes reas de la
organizacin.
Monitoreo: Monitoreo continuo del sistema de control para asegurar que opera
efectivamente, a travs de actividades de supervisin, auditoria interna, monitoreo
permanente de los indicadores de riesgos operacionales y situaciones crticas, efectividad
de los controles implantados, y disponibilidad de herramientas.
14
www.auditool.org
rea informtica
15
www.auditool.org
Elaboracin del directorio de emergencia.
Objetivos del plan de contingencia:
Identificacin y Anlisis de Riesgos: Esta fase busca minimizar las fallas que se
puedan generar en los sistemas de informacin, a partir del anlisis de los proyectos
en desarrollo. Es importante realizar un anlisis de impacto econmico y legal, y
determinar el efecto de las fallas de los principales sistemas de informacin y
produccin de la organizacin. Este anlisis se lleva a cabo teniendo en cuenta:
16
www.auditool.org
Implementacin y mantenimiento:
Dentro del plan de contingencias esta un plan de respaldo, plan de emergencia, y plan de
recuperacin.
17
www.auditool.org
Anlisis y Evaluacin de Controles
Una vez terminado el diagnostico, el auditor debe iniciar el anlisis de la informacin obtenida para
determinar los controles a evaluar. Por un lado se encuentra el ambiente de control especfico, que
evala todas aquellas normas, procedimientos, acciones y uso de recursos empleados en el
procesamiento electrnico de datos, entrada, procesamiento, salida, bases de datos, aplicaciones y
procesamiento distribuido, es decir todo lo relacionado a lo que ocurre al interior de los equipos de
cmputo.
Redes y
comunicaciones
Bases de datos
Entrada
Procesamiento
Salida
Aplicaciones
Y en segundo lugar est el ambiente de control general que evala todas aquellas normas,
procedimientos, acciones y uso de recursos empleados para soportar el desarrollo y produccin de
los sistemas de informacin, es entonces todo lo concerniente a lo que ocurre alrededor de los
equipos de cmputo. Esta informacin permite identificar los sectores de riesgo o que necesitan ser
mejorados, para direccionar el desarrollo de la auditoria informtica y definir su alcance.
Los controles se dividen en generales y de las aplicaciones, los de aplicaciones comprenden los
operativos y tcnicos.
Preinstalacin
Controles operativos y de organizacin
Polticas, procedimientos y estndares
Desarrollo de sistemas de aplicacin y control de mantenimiento
Administracin de recursos
Controles sobre el desarrollo de programas y su documentacin
Controles sobre los programas y los equipos
18
www.auditool.org
Seguridad y confidencialidad
Controles de acceso
Controles sobre los procedimientos y los datos
Controles de las aplicaciones
Controles tcnicos
19
www.auditool.org
Verificar que los usuarios entienden y siguen los procedimientos.
Verificar que todos los datos de entrada en el sistema pasan por validacin
y registro antes de su tratamiento.
Controles de entrada de datos
Controles de actualizacin y tratamiento de datos
Controles de salida de datos
Controles de documentacin
Controles de back-up
Existencia de un plan de contingencia.
El auditor debe entender y evaluar el ambiente de control general de tecnologa de informacin. Los
controles generales son las polticas y procedimientos que se aplican a los sistemas de informacin,
infraestructura y plataformas de TI en una organizacin, asegurando as un correcto funcionamiento
de todas las operaciones.
Dentro de este ambiente existen cuatro dominios:
Acceso a programas y datos: Verificar que solo el personal autorizado accede a los
programas e informacin bajo la autentificacin de la identidad de los usuarios.
Cambios en los programas: Verificar que los cambios a los programas y los componentes
de infraestructura relacionados, son solicitados, autorizados, desarrollados, evaluados e
implementados para alcanzar los objetivos de control de gestin de aplicaciones.
Operaciones informticas: Confirmar que los sistemas de produccin , y los problemas de
procesos son identificados y solucionados adecuadamente para mantener la integridad de
la informacin:
Desarrollo de programas: Determinar si los sistemas son desarrollados, configurados e
implementados de acuerdo a los objetivos de control de gestin de aplicaciones.
De esta manera el auditor puede proceder a elaborar por escrito el programa de auditoria a seguir,
teniendo en cuenta los siguientes puntos:
Introduccin
Antecedentes
Justificacin
Objetivos
Alcance
Informacin de apoyo
Metodologa
Establecer comunicaciones necesarias con el personal involucrado en la auditoria
Tiempo y costo
Recursos
Comunicacin de resultados
Aprobacin del plan de trabajo de la auditoria informtica
20
www.auditool.org
As mismo, el plan del auditor debe definir:
Ejecucin
21
www.auditool.org
CAAT (Computer Assisted Audit Techniques), Tcnicas de auditoria asistidas por
computador: software de auditoria generalizado, software utilitario, datos de prueba y
sistemas expertos de auditoria. Estas tcnicas pueden ser utilizadas para varios
procedimientos como: prueba de los detalles de operacin y saldos, procedimientos de
revisin analticos, pruebas de cumplimiento de los controles generales de SI, y pruebas de
cumplimiento de los controles de aplicacin. Cuando el auditor decide utilizar herramientas
CAAT, debe controlar el uso de las herramientas para asegurar que se cumple con los
objetivos de la auditoria, y documentar el trabajo que se realice incluyendo: planificacin,
objetivos de los CAAT, CAATs a utilizar, controles a implementar, personal involucrado,
tiempo y costos, procedimientos de la preparacin y prueba de los CAAT y controles
relacionados, detalle de las pruebas, detalles de los input, evidencia de auditoria output,
resultado de auditoria, conclusiones, y recomendaciones.
22
www.auditool.org
control interno, sistemas de informacin y la infraestructura de
Tecnologa de informacin de la organizacin.
Solucin de supervisin de transacciones a nivel de bases de
AUDITMASTER datos, controlando toda la actividad que tiene lugar en una base
de datos.
Sistema experto que posee conocimientos especficos en
DELOS materia de auditoria, seguridad y control de tecnologa de
informacin.
Esta fase de ejecucin se desarrolla en tres procesos, evaluacin del sistema de control interno,
riesgo computacional y elaboracin de pruebas de auditoria.
En la evaluacin del sistema de control interno se aplican los cuestionarios de control por cada
actividad de riesgo definida en el alcance de la auditoria, a partir de esta informacin se evala el
riesgo computacional. Este proceso permite medir la eficiencia y eficacia de los diferentes
mecanismos de control establecidos en la entidad, que deben garantizar la confiabilidad,
confidencialidad, oportunidad, integralidad y seguridad en el manejo de la informacin como de los
recursos informticos.
Antes de evaluar el riesgo computacional, es importante determinar el tipo de software con que
cuenta la organizacin para cumplir con los requerimientos. La seleccin de tipo de software a ser
usado en la empresa, debe estar definida en el plan estratgico, evaluando las ventajas y
desventajas de cada uno, y acorde a las necesidades y requerimientos de la entidad.
Estas pueden ser:
Software elaborado por el usuario
Software comercial
Software compartido o regalado
Software transportable
Un solo usuario o multiusuario
Categorizacin del software de aplicacin por usuario
Software a la medida de la oficina
Los sistemas deben ser evaluados de acuerdo con su ciclo de vida, teniendo claridad del mismo.
23
www.auditool.org
Riesgo computacional
Al evaluar el riesgo computacional, el auditor debe conocer los diferentes riesgos informticos que
pueden presentarse en una entidad; un riesgo es una contingencia o proximidad de un dao o
amenaza interna o externa que puede afectar la operacin del sistema de control. Los riesgos
pueden ser de perdida, estos exponen al sistema a interrupciones, inaccesibilidad y demoras en el
procesamiento de la informacin, los cuales representan una perdida financiera para la empresa;
riesgos de revelacin de la informacin, estos vulneran el sistema debido al acceso sin autorizacin
faltando as a los requerimientos de confidencialidad y seguridad; y los riesgos de modificacin que
hacen referencia a los cambios no autorizados en la informacin o componentes del sistema;
Riesgo computacional
Incendio
Naturaleza Inundacin
Terremoto
Dao del computador o impresora
Fallas de
Dao del equipo de transcripcin
Riesgos segn su hardware
Dao en la transmisin
origen
Fallas humanas Error de reporte, transcripcin y transmisin
Saqueos
Fallas humanas Sabotajes
intencionales Violacin de la privacidad
Fraude
Alteracin de la informacin
Caballo Troya: Colocar instrucciones adicionales en
un programa, para que efecte una funcin no
autorizada.
Tcnica del salami: Robo de informacin mediante el
fraude de un programa.
Bombas lgicas: Diseo de un programa que busca
una condicin o estado especifico. El programa
funciona correctamente hasta que esa condicin se
Mtodos de fraudes Fraudes cumple y se realiza una accin no autorizada.
Escobitas: Mtodo que consigue informacin dejada
en el computador despus de la ejecucin de un
trabajo.
Accesos no autorizados a computadores o cualquier
recurso del sistema a travs del uso de passwords,
cdigos u otro mtodo que suplante personal
autorizado.
Intercepcin: intervencin de los circuitos de
comunicacin.
24
www.auditool.org
Pruebas de auditoria
Informacin
Esta ltima etapa es la presentacin del informe final de auditoria, las conclusiones preliminares y
definitivas, y las recomendaciones; para esto se debe tener en cuenta que la informacin se debe
presentar de tal manera que se facilite la comunicacin eficaz entre los auditores y los directivos y
administrativos de la entidad auditada.
Luego de las revisiones y evaluaciones realizadas el auditor puede emitir un informe previo de los
puntos principales de la revisin, dando a los responsables del rea auditada la posibilidad de
contribuir a la elaboracin del informe final, y permitir su aceptacin.
25
www.auditool.org
coherente, pulcro, de calidad, confiable y veraz. El resumen de la gestin es un informe ejecutivo
preparado para la direccin o alta gerencia de la entidad y se estructura a partir de los siguientes
elementos:
El informe detallado de auditoria informtica est preparado para los directamente involucrados en
la auditoria informtica y responsables de las reas de informtica; este informe consta de los
siguientes aspectos:
Introduccin
Antecedentes
Justificacin
Alcance
Objetivos
Metodologa
Hallazgos
Determinacin del riesgo computacional
Realizacin de pruebas de auditoria de cumplimiento y sustantivas
Evaluacin de los usuarios
Situaciones encontradas (correctas, para ser mejoradas, de riesgo)
Conclusiones
Recomendaciones e impacto
Anexos
Bibliografa
Estos informes estn soportados por los papeles de trabajo, los cuales facilitan la planeacin de la
auditoria, la recoleccin, anlisis, sntesis de la informacin de control obtenida y representan las
evidencias suficientes de las actividades realizadas.
Auditoria Fsica
La auditora fsica envuelve todo lo que rodea los equipos informticos y Centro de Procesamiento
de Datos, de tal manera que se asegure la integridad de los activos humanos, lgicos y materiales.
Por esta razn se refiere a la ubicacin de la organizacin, evitando ubicaciones de riesgo, las
protecciones externas y protecciones del entorno.
26
www.auditool.org
Instalaciones
Administracin de Organigrama de
la seguridad la empresa
Seguridad Fsica
27
www.auditool.org
por cierto periodo que pueden ser en horas o minutos de acuerdo a su sofisticacin,
resguardando as la informacin.
Sistema contra incendios: Las instalacin de los detectores de incendios debe hacerse en lugares
no tan cercanos a los aparatos de aire acondicionado, debido a que estos pueden difundir el calor o
el humo y dificultar as la activacin de los detectores. Es recomendable que estos detectores se
instalen cerca a los centros de cmputo, en las reas de oficina y depsitos de la papelera, entre
otros. Las alarmas contra incendios deben estar conectadas a la alarma central o si es posible,
directamente al departamento de bomberos.
Toda la documentacin de la organizacin debe estar protegida contra incendios, por lo que se debe
contar con un plan de respaldo, y guardar todas las copias de seguridad en un lugar seguro y alejado.
Esta informacin y procedimientos a seguir deben estar incluidos en el plan de contingencias. El
sistema de cmputo debe contar con:
Sistema de deteccin de humo por ionizacin para aviso anticipado.
Dispositivo manual para cortar el sistema elctrico y el aire acondicionado.
Extintores porttiles de CO para equipos elctricos de fcil acceso y peso, y que
estn recargados.
Sealizacin de las salidas de emergencia.
Capacitacin al personal para que acten de la manera adecuada en caso de una
emergencia.
Control de acceso: Todo el personal debe identificarse para tener acceso al centro de
cmputo. Para asegurar que no ingrese personal no autorizado se puede utilizar:
Puerta con cerradura
Puerta de combinacin
Puerta electrnica
Puertas sensoriales
Registros de entrada
Videocmaras
Personal de vigilancia
Puertas dobles
Alarmas
Seleccin y capacitacin del personal
Seguridad de los medios
Medidas de proteccin
Duplicacin de medios
Acompaado a este cubrimiento de las instalaciones fsicas de la empresa, debe existir un plan de
contingencia que permita coordinar las operaciones de recuperacin en caso de desastre. Este plan
debe desarrollarse a partir de un anlisis de riesgos, anlisis de prioridades, procesos y objetivos de
recuperacin, designacin de un centro alternativo de proceso de datos, y asegurar la capacidad de
comunicacin y servicios de back-up.
Auditoria Ofimtica
28
www.auditool.org
Determinar la exactitud del inventario ofimtico
Evaluar los procedimientos de adquisicin de los equipos y aplicaciones.
Determinar y evaluar la poltica de mantenimiento de la organizacin
Evaluar la calidad de las aplicaciones del entorno ofimtico
Evaluar los procedimientos para cambio de versiones y aplicaciones.
Determinar si los usuarios cuenta con la formacin y documentacin suficiente y pertinente.
Determinar si los sistemas existentes se ajustan a las necesidades de la empresa.
Determinar si existen garantas suficientes para proteger los accesos no autorizados a la
informacin de la empresa y la integridad de la misma.
Evaluar la fiabilidad y confiabilidad de los procesos de copia de respaldo y back-up,
garantizando la recuperacin de la informacin en caso de que sea necesario.
Determinar si se garantiza el funcionamiento continuo de las aplicaciones sin interrupciones
que puedan generar prdidas de la integridad de la informacin y aplicaciones.
Determinar el grado de exposicin ante la posibilidad de intrusos y virus en los sistemas
informticos.
Determinar si el entorno ofimtico aplica y cumple con las normas y regulaciones
establecidas en la organizacin, as como evaluar si existen situaciones que puedan generar
infracciones segn los dispuesto en la ley.
Auditoria de la direccin
Las organizaciones hoy en da trabajan con base a la informacin, por lo que invierten grandes
sumas de dinero en la implementacin de herramientas tecnolgicas y nuevas prcticas de negocio.
Estas actualizaciones estn incorporadas en el Plan Estratgico Corporativo y general cambio en los
procesos y relaciones desarrollados en la empresa, generando una estructura organizacional en la
que las reas y procesos se integran como un todo a partir de las soluciones de negocio. Debido a
esto, cada proceso y actividad en la empresa tendr repercusiones de orden financiero y logstico, y
estarn enfocadas a la eficiencia, costos, satisfaccin del cliente, rentabilidad, competencia y
cooperacin.
La direccin debe entonces, planificar, organizar, coordinar y controlar todos los procesos y
procedimientos llevados a cabo en la empresa, soportados en la tecnologa de informacin.
Planificar: La direccin debe prever la utilizacin de las tecnologas de informacin de la
empresa, estas directrices constituyen el Plan Estratgico de Sistemas de informacin, el
cual debe asegurar el alineamiento de los sistemas de informacin con los objetivos de la
empresa.
Organizar y coordinar: Esta funcin permite estructurar los recursos, flujos de informacin y
controles que permitan alcanzar los objetivos marcados durante la planificacin.
Controlar: La direccin debe controlar y efectuar un seguimiento permanente de todas las
actividades del departamento de informtica, evaluando as su rendimiento y funcionamiento
Auditoria de la explotacin
La auditora informtica peridica permite detectar las debilidades del sistema para mejorarlas a
tiempo, racionalizando los recursos informticos.
La auditora de explotacin sigue los controles establecidos en el modelo COBIT:
29
www.auditool.org
INICIO Contrato
Planificacin estratgica:
Estudio y evaluacin de riesgos
Establecimiento de objetivos
PLANIFICACION
Planificacin administrativa
Planificacin administrativa
Pruebas de cumplimiento
TRABAJO
Pruebas Sustantivas
Elaboracin de informes
REVISIONES E INFORMES
Distribucin de informes
El rea de desarrollo abarca todas las fases, desde que surge la necesidad de los sistemas de
informacin hasta su creacin e implementacin. La auditora del desarrollo envuelve todo el ciclo
de vida del software, exceptuando su explotacin y mantenimiento; y verifica la existencia y
aplicacin de procedimientos de control adecuados, que garanticen que los sistemas de informacin
se han desarrollado de acuerdo a los principios de ingeniera.
Para llevar a cabo la auditoria del desarrollo, el auditor, en primer lugar, debe determinar las
funciones del rea de desarrollo, para establecer su plan a seguir. Algunas de las funciones del rea
de desarrollo son:
Planificacin del rea y participacin en la elaboracin del plan estratgico de informtica.
Desarrollo de sistemas de informacin, incluyendo anlisis, diseo, construccin e
implementacin.
Mantenerse actualizado en el campo de tecnologa e informtica, para aplicar los lenguajes,
tcnicas, metodologas, estndares, herramientas y dems elementos relacionados.
Capacitacin continua para el personal del rea de desarrollo.
Establecer normas y controles para la realizacin de las actividades del rea.
El auditor, una vez conozca las funciones del rea de desarrollo, llevara a cabo la auditoria por una
parte de la organizacin y gestin del rea, y por otra de los proyectos de desarrollo de sistemas de
30
www.auditool.org
informacin. El auditor basa su trabajo en la evaluacin de riesgos, estableciendo controles que
minimicen los riesgos relacionados al desarrollo de un sistema de informacin. As mismo se deben
utilizar pruebas de cumplimiento, que permitan la comprobacin de la existencia y correcta
implementacin de los controles, obteniendo as evidencia. El anlisis de esta informacin le
permitir al auditor conocer los puntos fuertes y dbiles de los controles, para determinar cules
riesgos son cubiertos y cules no, y en qu medida lo son, y lo que puede representar para la
organizacin. Estas conclusiones son presentadas en el informe de auditora.
31
www.auditool.org
rea de desarrollo Objetivos de control
Deben existir mecanismos para la adquisicin y homologacin de
cualquier nuevo software, garantizando las capacitaciones al personal
y registros de configuracin.
Reutilizacin del software. A travs de un catlogo se debe dar a
conocer el software a ser reutilizado.
Implementacin de metodologa que permita establecer los tiempos
de cada una de las fases de los proyectos.
El rea de desarrollo debe estar en contacto con los suficientes
proveedores, para recibir una informacin objetiva y completa. La
contratacin de estos servicios externos debe ser regulada por
protocolos establecidos.
El rea debe evaluar sus actividades y rendimiento, para adaptarse a
las necesidades de la organizacin. Al momento de realizar cualquier
cambio o modificacin a los procesos y actividades, estas deben ser
documentadas, incluyendo la fecha.
Aprobacin, planificacin y gestin del proyecto: El proyecto de
desarrollo debe estar aprobado, definido y planificado formalmente.
El documento resultante debe presentar los objetivos del proyecto,
presentando recursos, tiempos, presupuestos, y unidades de la
organizacin que involucra. Adems, cada proyecto debe tener un
director asignado, ser catalogado y dimensionado segn las normas
establecidas, determinar el ciclo de vida a seguir y el equipo tcnico.
Se debe constituir un comit de direccin del proyecto, el cual debe
reunirse peridicamente y documentar mediante actas, las decisiones
tomadas. As mismo, se deben establecer procedimientos para los
cambios o resolucin de problemas, dejando constancia de los
mismos.
32
www.auditool.org
rea de desarrollo Objetivos de control
Una vez definidos los requisitos para el nuevo sistema, se deben
establecer las alternativas para la construccin, analizando sus
ventajas, desventajas y riesgos asociados. Estas alternativas deben
ser presentadas en un documento, que describa sus caractersticas
objetivamente, para que el comit de direccin pueda escoger la ms
adecuada.
Se debe elaborar una especificacin funcional del nuevo sistema
acorde a las determinaciones y requisitos establecidos, incluyendo el
Modelo Lgico de Procesos (MLP) y Modelo Lgico de datos (MLD),
usando diagramas de flujo de datos y modelo entidad-relacin o
diagramas de estructura de datos. Los modelos deben ser aprobados
por los usuarios y el comit de direccin.
Debe existir un diccionario de datos.
Se debe definir la forma en que el nuevo sistema interactuara con los
usuarios, definiendo as su forma de trabajo con el sistema. Esta
definicin debe presentar los pantallazos, teclas de funcin
disponibles, mens, botones, informes, formularios y dems
caractersticas. As mismo se especificara los requisitos de seguridad,
rendimiento, copias de seguridad y recuperacin de informacin.
El sistema debe pasar por diferentes pruebas para la aceptacin y
aprobacin por parte de los usuarios y comit de direccin. De la
misma manera se debe determinar la entrega y transicin del nuevo
sistema.
Diseo: En esta fase se elabora el conjunto de especificaciones
fsicas del nuevo sistema; a partir de las caractersticas funcionales y
teniendo en cuenta el entorno tecnolgico, se disea la arquitectura
del sistema y el esquema externo de datos.
En primera medida se debe definir el entorno tecnolgico para el
proyecto: servidores, computadores, sistemas operativos, conexiones
de red, protocolos de comunicacin, bases de datos, compiladores,
herramientas CASE, y dems.
33
www.auditool.org
rea de desarrollo Objetivos de control
Se deben especificar los perfiles de usuario necesarios para la
implementacin y explotacin del nuevo sistema. Tambin, se deben
desarrollar todos los procedimientos de usuario y recopilarlos en el
manual del usuario.
Definir y preparar los recursos materiales necesarios para el trabajo
de los usuarios en el nuevo sistema.
Implantacin: Es la aceptacin del sistema por parte de los usuarios.
En esta fase se debe verificar que se cumplen con todos requisitos
establecidos en el anlisis, para dar su aprobacin y aceptacin.
Se da inicio a la instalacin de todos los componentes y
procedimientos desarrollados, inicializacin de datos, y explotacin
formalmente. Si existe un sistema antiguo, se debe coordinar su
retirada, manteniendo un periodo de funcionamiento de los dos
sistemas, hasta que el nuevo sistema est funcionando con todas las
garantas.
Los usuarios y el comit de direccin deben firmar la implantacin del
sistema. Durante las primeras semanas se debe supervisar el
funcionamiento del nuevo sistema, incluyendo un acompaamiento a
los usuarios.
Para terminar el proyecto se debe poner en marcha el mantenimiento
del sistema.
El mantenimiento es un factor de calidad que engloba todas las caractersticas del software que
hacen que un sistema sea ms fcilmente mantenible. En esta auditora, entran en juego diferentes
elementos, uno de estos es la productividad, la cual est directamente relacionada con el
mantenimiento del sistema.
Se pueden establecer tres tipos de contrato de mantenimiento en una empresa, mantenimiento total,
mantenimiento por llamada, y mantenimiento en banco. El mantenimiento total incluye un
mantenimiento correctivo y preventivo, y se deja al proveedor la responsabilidad total del
mantenimiento, con excepcin de daos por negligencia en la utilizacin de los equipos. En el
mantenimiento por llamada, se contacta al proveedor en el caso de una falla y se presta el servicio
tcnico, acorde a las tarifas establecidas. Y el mantenimiento en banco, se lleva a cabo cuando el
cliente lleva a las oficinas del proveedor el equipo para el arreglo necesario.
La empresa, debe hacer una anlisis sobre cual tipo de contrato de mantenimiento le conviene, para
solicitarlo y revisar con detalle las clausulas y artculos, con el fin de evitar inconvenientes con los
proveedores. El auditor debe determinar si los contratos de mantenimiento celebrados por la
empresa estn de acuerdo a las polticas y necesidades de la empresa.
De la misma manera, el auditor debe evaluar que controles ha establecido la empresa con respecto
a la utilizacin del sistema de cmputo, debido a que un control adecuado permitir acceder al
mantenimiento necesario, reduciendo costos y teniendo control sobre las fallas que se puedan
presentar.
Se debe realizar mantenimiento no solo del equipo central, sino del total de los equipos, incluyendo
computadores personales, impresoras, equipos de comunicacin, y perifricos.
Se debe evaluar:
34
www.auditool.org
Registros de la utilizacin del sistema de computo
Uso adecuado del sistema de cmputo, evitar que:
Programadores utilicen el equipo para aplicaciones ajenas a la empresa.
Personal utilice los equipos para trabajos personales, trabajos no autorizados o
juegos.
Instalacin de programas mal elaborados, que degradan los equipos.
Degradacin en los equipos por fallas en equipos perifricos.
Registros de fallas, causas y procedimientos llevados a cabo.
Los auditores pueden usar una metodologa tradicional o metodologa de evaluacin de riesgos. En
la metodologa tradicional el auditor utiliza lista de chequeo o checklist, para revisar el entorno de las
bases de datos. La metodologa de evaluacin de riesgos, la propone ISACA, y se inicia fijando los
objetivos de control que minimizan los riesgos a los que est el entorno de bases de datos durante
su ciclo de vida. Una vez establecidos estos objetivos, se determinan las tcnicas de control para
alcanzar dichos objetivos. Para la verificacin de los objetivos se utilizan las pruebas de cumplimiento
y pruebas sustantivas, cuando sean necesarias.
35
www.auditool.org
Bases de datos Objetivos de control
Elaborar un estudio tecnolgico de viabilidad y anlisis de costo-
beneficio, que contemple todas las alternativas para alcanzar los
objetivos del proyecto, y que sea revisado y aprobada por la
direccin de la empresa.
Comprobar la existencia de plan para el seguimiento y gestin del
proyecto, que cumpla los estndares y procedimientos generales
de la organizacin.
Aprobacin de la estructura orgnica del proyecto de base de
Estudio previo y plan de
datos y de la unidad que tendr la responsabilidad de su gestin y
trabajo
control, por lo tanto de debe asignar administrador de datos y
administrador de la base de datos.
Asegurar la separacin de funciones entre el personal de
desarrollo de sistemas y el de explotacin, explotacin y control de
datos, y administracin de bases de datos y desarrollo. Esta
separacin permite verificar las funciones de cada puesto de
trabajo, requisitos mnimos de formacin y experiencia, y
dependencia jerrquica.
Esta fase comprende el diseo de la base de datos de acuerdo a
los modelos y tcnicas definidos en la metodologa de desarrollo
de sistemas de la empresa. Dicha metodologa determina los
documentos fuentes, mecanismos de control y seguridad.
Concepcin de la base de La seleccin del equipo de trabajo debe realizar mediante un
datos y seleccin de procedimiento riguroso, que tenga en cuenta las necesidades de
equipo la empresa y los servicios que prestan los sistemas de gestin de
bases de datos (SGBD).
El personal del rea debe contar con una formacin adecuada,
para el desarrollo de sus funciones. Para el cumplimiento de
control, deben existir procedimientos objetivos de contratacin.
Diseo lgico y fsico de la base de datos. El auditor debe
determinar si el diseo esta realizado correctamente, revisando la
definicin de los datos, asociaciones y restricciones,
especificaciones de almacenamiento de datos y seguridad.
Verificar que el departamento de informtica, los usuarios y el
administrador de la base de datos aprobaron el diseo de los datos
y aplicaciones.
Una vez diseada y aprobada la base de datos se procede a su
Diseo y carga
carga, la cual se debe programar y planificar debidamente, para
evitar la prdida de informacin y transmisin de sistemas de datos
errneos.
Se deben realizar las pruebas necesarias, para verificar el
cumplimiento de los controles y correccin de las fallas
detectadas.
Establecer controles que aseguren la integridad de los datos
durante la entrada manual de datos.
Comprobar que se establecen los procedimientos de explotacin
y mantenimiento, que aseguran que los datos se tratan de
congruente y exacta, y que cualquier modificacin se realiza con
Explotacin y
previa autorizacin.
mantenimiento
Verificar el rendimiento del sistema de base de datos, para
comprobar que se lleve a cabo un proceso de ajuste y optimizacin
adecuados.
36
www.auditool.org
Desarrollar un plan de revisin de post-implantacin de la base de
datos, para determinar si se han conseguido los resultados
Revisin post- esperados, se satisfacen las necesidades de los usuarios, y los
implantacin costos y beneficios son acorde a los previstos.
Revisar la documentacin de todo el ciclo, para verificar si es
suficiente y se ajusta a los estndares de la empresa.
El auditor debe revisar la utilizacin de todas las herramientas que ofrece el Sistema de Gestin de
Bases de Datos SGBD, las polticas y procedimientos definidas para su utilizacin, y as determinar
si son suficientes o se deben mejorar. Es responsabilidad de la empresa coordinar los distintos
elementos y controles de seguridad, a travs del monitoreo de los controles, gestin rigurosa de la
configuracin del sistema y dems procedimientos necesarios. El auditor puede utilizar dos tcnicas
para evaluar estos procedimientos:
Matrices de control: Esta tcnica permite identificar el conjunto de datos de los controles de
seguridad o integridad implementados. Los controles se clasifican en detectivos, preventivos y
correctivos.
Anlisis de los caminos de acceso: Permite documentar el flujo, almacenamiento y procesamiento
de los datos en todas las fases, identificando los componentes del sistema y los controles
asociados. Esta tcnica le permite al auditor identificar las debilidades o fallas que puedan
exponer a los datos a riesgos de integridad, confidencialidad y seguridad.
Estos aspectos deben ser evaluados para determinar el nivel de servicio, es decir su eficacia. Para
garantizar la eficacia y calidad de los servicios, es importante determinar los procedimientos que
permiten lograr los objetivos propuestos. Estos procedimientos son:
37
www.auditool.org
Informacin sobre la actividad: Documentacin sobre la evolucin, objetivos, estndares, y dems
aspectos relacionados al desarrollo de la actividad.
Junto a los procedimientos, se encuentran los controles, que permiten determinar el comportamiento
del sistema y prevenir cualquier situacin relacionada al software y hardware. Para esto se
determinan los siguientes objetivos de control:
38
www.auditool.org
Control de los contratos con terceras personas, as como los
Gestin de relaciones de
servicios prestados, verificando la eficacia y cumplimiento de las
servicios de terceros
polticas y lineamientos de la empresa.
Gestin de rendimiento y Corroborar la capacidad y rendimiento adecuado, de acuerdo a los
capacidad requerimientos establecidos.
Aseguramiento de la Garantizar el funcionamiento continuo, y puesta en marcha de un
continuidad del servicio plan de contingencia al momento de presentarse una incidencia.
Proteger la informacin contra usos no autorizados, revelacin,
modificacin, corrupcin o prdida; a travs del control de acceso
Aseguramiento de la
lgico y fsico al sistema, datos y programas, usando autorizacin,
seguridad de los sistemas
autenticacin, perfiles de usuarios, gestin de claves, informe y
seguimiento de incidencias.
Identificacin y reparto de Correcta asignacin de costes a los servicios de tecnologa de
costes informacin, usando un sistema de contabilidad adecuado.
Control adecuado de los componentes del sistema de informacin,
Gestin de la a travs de inventarios y gestin de cambios, para prevenir
configuracin alteraciones no autorizadas y verificar su existencia.
Establecer procedimientos adecuados para la deteccin y
correccin de problemas e incidencias que afecten el sistema de
Gestin de problemas e
informacin. Es necesario hacer los registros seguimientos
incidencias
pertinentes. Estos registros se convierten en pistas de auditoria
para el conocimiento de los problemas existentes.
Monitorizacin de los Controles de los procesos, determinacin si alcanzan los objetivos
procesos establecidos, definiendo informes de gestin y rendimiento.
Realizacin de auditoras independientes a intervalos regulares,
Seguridad independiente
para incrementar los niveles de confidencialidad.
El auditor, una vez evale los procedimientos y controles, deber emitir su juicio, y soportarlo con
los resultados y evidencias de las pruebas de cumplimiento y sustantivas llevadas a cabo.
Auditoria de la calidad
39
www.auditool.org
NORMA DESCRIPCION
Define los requerimientos para los procesos de revisin y auditoria. La
revisin est definida como la evaluacin de los elementos del software o
proyecto en curso.
Para conseguir procesos de calidad se debe llevar a cabo evaluaciones,
verificacin, validacin, conformidad y confirmacin de los mismos durante
el ciclo de vida del proyecto.
Otro estndares son:
IEEE 730-2002: Planes de aseguramiento de la calidad del software
IEEE Standard IEEE 829-1998: Documentacin de pruebas de software
1028 for Software
IEEE 982.1 982.2: Diccionario estndar de medidas para producir
Reviews and
software fiable
Audits
IEEE 1008-1987: Pruebas de unidad del software
IEEE 1012- 1998: Verificacin y validacin del software
IEEE 1044-1993: Clasificacin estndar para anomalas del
software
IEEE 1061-1998: Estndar para una metodologa de mtricas de
calidad del software
IEEE 1228-1994: Planes de seguridad del software
40
www.auditool.org
Control de documentos
Registros de calidad
Mediciones
Reglas, prcticas y convenciones
Herramientas y tcnicas
Una caracterstica de los procesos de calidad es la repetitividad de los mismos; estos deben estar
definidos, para conseguir los mismos resultados, cada vez que se repitan. Esta repeticin permite
redefinir los procesos y corregir las fallas encontradas. En el desarrollo de la auditoria se debe llevar
a cabo procesos de revisin, que permiten evaluar el software o proyecto para identificar las
discrepancias sobre los resultados planificados y expresar las recomendaciones necesarias.
Los requisitos de calidad son establecidos desde las necesidades de los usuarios y clientes, y
teniendo en cuenta la calidad de los productos y servicios, tiempos acordados de entrega y costos.
El auditor, tambin, puede usar software de evaluacin de calidad, para suministrar una valoracin
independiente.
Auditora de la seguridad
La importancia de la informacin manejada por las empresas, cada da tiene un valor mayor, por
esta razn surge la necesidad de una proteccin adecuada que garantice la disponibilidad,
integridad, confidencialidad y autenticacin de la informacin. Si no existen las medidas adecuadas
de proteccin puede perderse informacin vital para la empresa, y que puede generar la toma de
decisiones errneas, o causar problemas mayores.
41
www.auditool.org
Comprobar la existencia de seguros necesarios que cubran las prdidas econmicas, en
caso de desastre.
El auditor debe evaluar en primera instancia, si los modelos de seguridad estn acorde a las nuevas
arquitecturas, plataformas y posibilidades de comunicacin. As mismo debe evaluar las siguientes
reas:
Controles directivos: Polticas, planes, funciones, comits, objetivos de control,
presupuestos y evaluacin de riesgos.
Desarrollo de polticas: Procedimientos, estndares, normas y guas.
Amenazas fsicas externas: inundaciones, incendios, explosiones, corte de suministros,
terremotos, terrorismo, o huelgas.
Control de accesos fsicos y lgicos: Establecer rutas de acceso, claves, software de control
y encripta miento.
Proteccin de datos, programas, instalaciones, equipos y soportes.
Comunicaciones y redes: Usos autorizados, con la asignacin de dominios segn los
perfiles de los usuarios. Se deben revisar y evaluar el uso de internet e intranet, correo
electrnico, y dems servicios en lnea.
Entorno de produccin: desarrollo de las aplicaciones en un entorno seguro, e incorporacin
de controles en los productos realizados, haciendo posible el desarrollo de la auditoria.
Todos los proyectos deben ser autorizados, para verificar el cumplimiento de los estndares
y normas establecidas. Otro aspecto importante es la contratacin de servicios y su
respectivo seguimiento.
Continuidad de las operaciones: Desarrollo de un plan de contingencias.
El personal debe ser seleccionado a travs de procesos objetivos y pertinentes para los cargos a
desempear. As mismo es importante separar las funciones y tener un organigrama claro, con
distribucin de puestos de trabajo y funciones, para evitar que solo unas personas manipulen las
operaciones y transacciones importantes, lo que podra llevar a fraudes o el acceso y manipulacin
de informacin, sin las autorizaciones previas. Esto empieza a generar una cultura de seguridad en
la entidad, que debe ser acompaada de un modelo de seguridad adecuado para la entidad que
incluya medidas como sistemas de deteccin y extincin de riesgos, revisiones peridicas, copia de
archivos, contraseas y controles.
Un riesgo al que los sistemas y equipos estn expuestos, son los virus (malware, software malicioso),
rutinas que se esconden en los programas, y se activan cuando se cumple una condicin especfica,
y llevan a cabo actividades como copia de archivos e incluso el borrado de toda la informacin
contenida en disco del equipo. Existen varios tipos de virus, como son:
42
www.auditool.org
Hoax: Mensajes de contenido falsos, que incitan a los usuarios a hacer copias y enviarlas a
los contactos.
Joke: Crean algn efecto molesto o humorstico en el equipo.
Confidencialidad: Asegurar que solo las personas autorizadas tiene los accesos a la
informacin correspondiente.
Integridad: Garantizar que solo los usuarios autorizados pueden realizar cambios en la
informacin correspondiente, dejando los registros pertinentes para el desarrollo de la
auditoria.
Disponibilidad: Asegurar el acceso de las personas con las autorizaciones pertinentes, a la
informacin en los tiempos determinados.
Autenticidad: Garantizar que la informacin sea autentica y manipulados por las personas
autorizadas.
La auditora de redes debe determinar que la funcin de gestin de redes y comunicaciones este
claramente definida en la empresa y se tenga en cuenta:
Gestin de la red, inventario de equipos y normas de conectividad.
Monitorizacin de las comunicaciones, registro y solucin de problemas.
Revisin de costes y su asignacin de proveedores y servicios de transporte, balanceo de
trfico entre rutas y seleccin de equipamiento.
Evaluar:
La existencia de una gerencia de comunicaciones con autoridad para establecer
procedimientos y normatividad.
Procedimientos y registros de inventarios y cambios.
Funciones de vigilancia del uso de la red de comunicaciones, ajustes de rendimiento,
registro de incidencias y resolucin de problemas.
Procedimientos para vigilar el uso de la red de comunicaciones.
Participacin activa de la gerencia en el desarrollo de nuevas aplicaciones en lnea,
para asegurar que se sigue la normatividad establecida.
Controlar las reas para los equipos de comunicaciones, para prevenir accesos
inadecuados.
Proteccin de cables y lneas de comunicacin, para evitar accesos fsicos.
Monitoreo de la red y su trfico, para impedir usos inadecuados e identificar
anomalas y seguir los procedimientos establecidos.
Establecer contraseas y los procedimientos necesarios para limitar y detectar
cualquier intento de acceso no autorizado a la red.
Control e identificacin de errores de transmisin, para restablecer las
retransmisiones apropiadas.
Controles para asegurar que las transmisiones van a los usuarios autorizados.
43
www.auditool.org
Registros de la actividad en la red, para reconstruir incidencias y detectar accesos
no autorizados.
Controles adecuados para la importacin o exportacin de datos a travs de puertas
a otros sistemas informticos.
Entonces, el auditor debe definir el sistema de comunicacin de la empresa, teniendo en cuenta los
siguientes elementos:
Servidor y husped
Terminal o estacin de trabajo
Convertidores de protocolo
Modem
Equipo de conexin de terminales
Modo de comunicacin
Medio de comunicacin
Topologa de las redes:
Punto a punto, estrella y tipologa jerrquica
Multidrop o bus y ring
Mesh
Sin cables, wireless
Tipos de red
Local
WAN
Enterprise
Internacional
Para la auditoria de redes se trabaja con base al modelo OSI (Open systems Interconnection), el
cual consta de siete etapas:
Para establecer una comunicacin, la informacin debe pasar por cada una de las siete etapas, a
travs de los mtodos prefijados para establecer la comunicacin entre las mismas etapas. En las
tres primeras etapas se definen las redes LAN (Local rea Network), MAN (Metropolitan rea
Network), y WAN (Wide rea Network).
Existe un elemento que influye en la redes, es la vulnerabilidad, debido a que la informacin transita
por diferentes lugares, fsicamente a diferentes distancias, lo que hace necesario implementar
modelos de seguridad apropiados. Segn el origen de los riesgos se pueden dividir en tecnolgicos
o fsicos:
44
www.auditool.org
Tecnolgicos
Alteracin de bits
Ausencia de tramas
Alteracin de secuencias
Fsicos
Indagacin
Suplantacin
Modificacin
Una forma de responder a estos riesgos en las redes es la criptografa, y el uso de protocolos de alto
nivel, estos son:
Uno de los mayores riesgos que se presentan a raz del uso del protocolo TCP/IP, es la que se
genera a raz de su mayor ventaja, la disponibilidad de utilidades. Si no se dispone de la seguridad
necesaria, puede suceder que terceros utilicen los servicios para su beneficio. Un dispositivo utilizado
para la proteccin es el corta-fuegos, Firewall, el cual revisa cada paquete de datos que entra y sale,
para decidir si pasa o no.
Confiabilidad
Tiempos de respuesta
Costo de la red
Compatibilidad con otras redes
Seguridad
Diseo lgico: entradas, salidas, procesos, especificacin de datos y procesos, mtodos de
acceso, operaciones, manipulacin de datos, identificacin de archivos, proceso en lnea,
frecuencia y volumen de operaciones, sistemas de seguridad, sistemas de control,
responsables, nmero de usuarios, software necesario, y bases de datos requeridas.
Auditoria de aplicaciones
45
www.auditool.org
Registro de la informacin de las operaciones y actividades de la empresa.
Realizacin de procesos de clculo y edicin necesarios.
Dar respuesta a consultas autorizadas, sobre la informacin almacenada, solicitadas con el
fin de dar cobertura a las necesidades de los usuarios.
Generar informes con la informacin correcta y utilizando criterios de seleccin.
A pesar del cumplimiento de estos objetivos, el sistema siempre est en riesgo de una falla, ya sea
tcnica o humana, que amenazan la confidencialidad, integridad y disponibilidad de la informacin.
Es por esto que desde la etapa de diseo de la aplicacin o sistema, se debieron tomar las medidas
de control interno para reducir los riesgos que afecte la informacin, y el sistema o aplicacin en su
totalidad. Estas medidas pueden clasificarse en dos grupos, el primero son los controles manuales
y automticos, y el segundo grupo son controles preventivos, detectivos, y correctivos. Los controles
manuales son realizados por el personal del rea y establecidos para asegurar que se preparan,
autorizan y procesan todas las operaciones, se subsanan adecuadamente los errores, las bases de
datos dan soporte a la aplicacin, y los resultados son coherentes respecto a los datos de entrada.
Los controles automticos son incorporados en los programas de la aplicacin, para asegurar que la
informacin se registre y mantenga completa y exacta, los procesos de todo tipo sean correctos, y
los usuarios respeten los mbitos de confidencialidad establecidos.
Auditoria del entorno informtico: Revisin y evaluacin de los elementos del hardware,
software y contratos de paquetes gestionados, outsourcing.
Auditoria de las personas que manipulan la informacin: Evaluar al personal que utiliza los
sistemas de informacin y equipos, verificando as: quienes tienen acceso a la informacin,
adecuacin del personal al cargo que ostentan, conocimiento de la normatividad pertinente
y actitud tica frente al desarrollo de las funciones relegadas, establecimiento en el contrato
del personal de la labor que cumplen y responsabilidad que ostentan, y si los contratos con
proveedores aseguran la confidencialidad de la informacin.
Auditoria de la informacin: cumplimiento de la normatividad en cuanto al manejo de la
informacin, evitando su uso con finalidades incompatibles con aquellas para las que se
seleccion la informacin.
Auditoria de los archivos: Evaluacin de los niveles de proteccin de los archivos,
mecanismos de seguridad, y figura del responsable del archivo.
46
www.auditool.org
Aspectos legales en una auditoria informtica
Todas las normas y regulaciones se basan en un bien jurdico, la informacin. Como profesional el
auditor debe desarrollar su trabajo en busca de la proteccin de este bien, y bajo unos principios
deontolgicos que garantizan el desarrollo correcto y tico de la profesin, estos son:
47
www.auditool.org
Los programas de computador, software, tambin deben ser protegidos jurdicamente. Estos son
concebidos como bienes inmateriales y se pueden proteger a travs de estipulaciones contractuales,
secreto comercial, derecho de patentes, derecho de marcas, y derechos de autor. Estos derechos le
dan al autor una serie de derechos que pueden ser morales y patrimoniales.
Los delitos informticos son definidos como toda accin culpable realizada por el ser humano, que
cause un perjuicio a personas sin que necesariamente se beneficie el autor, que se realiza en el
entorno informtico y est sancionado con una pena. Los delitos informticos se pueden presentar
como delitos contra la intimidad, contra el patrimonio, falsedades documentales, estafas
informticas, defraudaciones, daos informticos, propiedad intelectual.
48
www.auditool.org