Manual Gestion Conocimiento

INTRODUCCION
1
En tiempos tan modernos como los que vivimos, donde la tecnología crece a pasos
agigantados y al parecer no existe nada que la pueda detener, todo indica que tenemos que
estar preparados para afrontar los retos que nos exigen los cambios tecnológicos.
La información pasó a ser la parte más importante de las empresas, industria militar e
instituciones y la forma en que se administre y se controle esa información dará como
resultado seguridad a los grandes consorcios. Es por esta necesidad que surgen los sistemas
de información.
Los sistemas de información no son otra cosa que la administración de la tecnología que
involucra un conjunto de recursos, metodologías, documentación, software, hardware y
dispositivos electrónicos, vinculados para lograr un fin común en un ambiente dado.
Controlando principalmente tres conceptos:
1.- Privacidad:
La información debe ser vista y manipulada únicamente por quienes tienen el
derecho o la autoridad de hacerlo.
2.- Integridad:
La información debe ser consistente, fiable y no propensa a alteraciones no
deseadas.
3.- Disponibilidad:
La información debe de estar en el momento que el usuario quiera de ella.
Para que un sistema de información cumpla con los conceptos anteriores deben de existir
dos rubros importantes.
• Seguridad en los sistemas de información.

• Auditoria en los sistemas de información.
La seguridad en los sistemas de información debe de existir en todos los niveles, sin
embargo, estamos convencidos que no existe una seguridad que sea invulnerable. Hoy en
día cuando nos damos cuenta de la vulnerabilidad de los sistemas de seguridad
consideramos que es un tema importante de tratar.
La Auditoria en sistemas de información es tan importante que es un hecho perfectamente

demostrado, que el control interno de la información y su auditoria permiten gestionar y
rentabilizar los sistemas de información de la forma más eficiente, optimizando, en suma
resultados.
2
El servicio de auditoria y análisis ofrece la oportunidad de verificar a fondo los sistemas,
con el fin de determinar el grado de fiabilidad y el rendimiento de acuerdo con los
estándares de la industria.
En esta tesis, hablaremos de los riesgos que afectan a los recursos en sistemas de
información, por ser éstos los que el área de Auditoria en sistemas debe de identificar,
evaluar y sugerir controles, con objeto de que se conserven dentro de un nivel razonable.
Describiremos principalmente los controles en un ambiente de procesamiento electrónico

de datos, ya que fue uno de los principales motivos para la realización de esta tesis.
Analizamos cada una de las necesidades requeridas para auditar Sistemas de Información,
como son: técnicas administrativas, experto en aplicación de software, experto en
aplicación y mantenimiento de hardware, análisis y diseño e implementación de nuevas y
modernas tecnologías, por lo tanto proponemos que se incluya en las actividades
profesionales de un egresado de Ingeniería en Instrumentación Electrónica este campo
nuevo y moderno de aplicación.
ANTECEDENTES.
Hoy en día existe una imperiosa necesidad de reducir los riesgos en el uso de las
tecnologías (1) de la información en las organizaciones, así como una latente inquietud y
preocupación sobre el tema de seguridad en sistemas, tanto de las instituciones del sector
público como del privado.
El riesgo (2) de detener o entorpecer las operaciones estará en función directa al número de
aplicaciones automatizadas y a la importancia de estas.
.
Es de considerar:
•De acuerdo con la American International Group (una de las principales aseguradoras del
mundo) la criminalidad en sistemas de información están aumentando a un ritmo del 500%
a nivel mundial
•el 44% de los delitos corresponden a casos de fraude.
•El FBI (Federal Bureau of Investigation calcula que las probabilidades de un

enjuiciamiento condenatorio sobre Sistemas de información son de 22,000 a 1.
(1) y (2) ver glosario de términos.

3
En general sobre los estudios de casos de fraude, coinciden en que los ingredientes básicos
del fraude son:
• la oportunidad que brinda el sistema.

• el conocimiento del experto contra la experiencia del usuario y viceversa.
• los motivos personales.
Algunos avances en materia sobre sistemas de información, se tiene:

Al que sin autorización conozca o copie información contenida en sistemas o equipos
protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de
prisión y de cincuenta a ciento cincuenta días de multa.
Con respecto a una encuesta realizada por la Fundación Arturo Rosenblueth (3) sobre:
¿Que tanto conoce sobre la industria de la seguridad en sistemas de información en
México?
El 75% respondió no conocer al respecto, el 15% más o menos, el 5% no opinó y el 5%

opinó que mucho. Como se muestra en la figura 1.
No Opinó Mucho
5% 5% Más o Menos
15%
No Conozco
75%
Figura 1.- Conocimiento sobre seguridad
en sistemas de información.
¿Comprensión sobre lo que significa la seguridad en sistemas de información? El 53% tiene

una compresión limitada, el 42% no sabe nada al respecto mientras que el 5% dijo no estar
familiarizado con el tema (ver figura 2).
(3) ver glosario de términos.
4
No sabe
Comprensión Limitada 42%
53%
No Familiarizado con el Concepto

5%
Figura 2.- Comprensión del significado de seguridad

en sistemas de información
SEGURIDAD EN SISTEMAS DE INFORMACIÓN.
La Seguridad en Sistemas de Información, como función siempre ha existido, desde la

creación de la primera computadora.
Hoy en día existe un incremento importante de delitos por medios electrónicos que han
llevado a diversas instituciones al quebranto y pérdidas cuantiosas, afectando a accionistas,
clientes, empleados y a la propia economía nacional.
Es necesario contar en México con personal capacitado en seguridad física, seguridad

lógica y especialmente en planes de contingencia.
Hoy en día hemos pasado de la era de la computación a la era de la información, donde la

información es la base sobre la cual deben hacerse todas las decisiones, por lo tanto;
seguridad de la información = protección de activos.
Como activos en los sistemas de información, tenemos:
• Gente
• Datos
• Software
• Hardware
Como responsables de los sistemas de información, tenemos:
• Dueño
• Usuario
• Ingeniero encargado
5
Se puede definir la seguridad en sistemas de información como: “la administración y
protección de los recursos de cómputo que tiene la empresa y que accesan los usuarios”.
El objetivo es proteger el patrimonio de la institución, entendiendo por tal, instalaciones,

equipos e información, ésta última en todas sus formas (en cualquier dispositivo de
almacenamiento magnético como son los disquetes, discos duros, cintas, cartuchos, etc.)
(4)
Seguridad en sistemas debe de establecer los controles suficientes para disminuir los
riesgos que se generan en el ámbito de información.
Hoy en día se habla de Seguridad de los Sistemas de la Información como un término más
completo, contemplando todos los rubros que tengan que ver con la tecnología moderna.
AUDITORÍA EN SISTEMAS DE INFORMACIÓN.
Los grandes volúmenes de información, el avance de la tecnología y el consecuente

abatimiento de los costos de las computadoras, ha originado que cada vez sea mayor el
número de empresas que utiliza estos equipos como herramienta para el proceso de la
información, lo que trajo como consecuencia que las funciones del auditor se extiendan más
allá de las fronteras contables-financieras para incursar en el ámbito de los sistemas de
información.
El papel del auditor en los sistemas de información tiene amplio alcance y sobrepasa la
visión del auditor-investigador-policía; es de gran relevancia señalar que el auditor debe
tener conocimientos de reingeniería, sistemas electrónicos, redes y una amplia visión
tecnológica, dando mayor importancia a los enfoques preventivos, ya que la función se
relaciona con el impacto de la organización y la dinámica meteórica de cambio(5)
(evolución tecnológica).
Por otra parte, cada día es más importante mantener seguros los datos en que se trabajan las
empresas; ya que si la información es algo intangible, ésta representa el grado de utilidades
que pueden obtener las empresas y de ahí la necesidad de establecer controles con objeto de
reducir los riesgos a que están expuestos los mismos.
La Auditoria en sistemas de información, puede definirse como “la revisión analítica a la

suficiencia de controles establecidos en el ámbito de sistemas, con la finalidad de disminuir
los riesgos y garantizar la seguridad, confiabilidad (6) y exactitud”.
La Auditoria en sistemas de información se puede considerar como una especialidad que

establece la problemática que para el auditor origina la computadora y su medio ambiente,
así mismo cómo aprovechar las bondades que ofrece en sí el computador para que el
auditor pueda analizar y evaluar la información que produce, su adecuado control y
salvaguarda.
(4), (5) y (6) ver glosario de términos.
6
El punto de vista de la Auditoria en sistemas es esencial para la seguridad de los sistemas y
de todos los activos tecnológicos con los que cuentan las empresas, ya que la función del
auditor va encaminada a prevenir y vigilar el control de la función del procesamiento de
datos, apoyar en el establecimiento de estándares en la empresa y pugnar por la
conservación de los activos tecnológicos de la misma.
Otro aspecto de los auditores en sistemas de información es su capacitación continua. Es

importante mencionar que muchos de los nuevos desarrollos en tecnología redundan en
cambios significativos en los controles para sistemas de información y recursos asociados,
para lo que el auditor debe mantenerse actualizado en la nueva tecnología, en nuevas
técnicas y nuevos controles, con objeto de fomentar siempre en forma preventiva la
disminución del riesgo y con ello apoyar a que la empresa se mantenga competitiva, que
responda rápidamente a los mercados globales y que atienda a la clientela en forma
eficiente, buscando siempre la excelencia.
Así el auditor en sistemas de información, parte de la existencia de normas, políticas y

procedimientos que rigen a la funciones y delimita el nivel de congruencia con el ejercicio
de los mismos.
Se podrá juzgar que la revisión del auditor en algunos casos es exagerada, pero hay que
tener en cuenta que la capacidad de destruir o cambiar la información junto con la habilidad
de extraer información en medios magnéticos, le otorga al usuario final un enorme poder.
Por que en algunas situaciones se presenta en fraudes, robo electrónico, alteración o
modificación de programas, difamación, etc., riesgos que finalmente repercuten en daños
económicos, que pueden llegar a magnitudes impresionantes.
Por último y con el fin de tener un panorama más general de Auditoria en sistemas de
información, existen diferentes criterios para la determinación de la estructura orgánica del
área de la Auditoria en sistemas, ya que las mismas se establecen de acuerdo a las
necesidades propias de la empresa, de manera general el personal se encuentra estructurado
a proyectos que vienen siendo las áreas de participación del auditor en sistemas de
información.
Como ejemplo de áreas de participación de Auditoria en sistemas de información tenemos:

Auditoria al desarrollo y modificación de sistemas, Auditoria a sistemas en producción,
Auditorias a centros de cómputo, Auditoria a áreas con microcomputadoras, Auditoria a
aspectos de comunicaciones, etc.
La auditoria en sistemas de información se define como: “la función que ayuda a asegurar
que las organizaciones cuenten con procedimientos y controles que salvaguarden los
sistemas de información, basados en los principios de Confidencialidad, Integridad y
Disponibilidad de la información”.
7
Ya se ha comentado de los antecedentes, su importancia, su relación con el área de
auditoria, incluso hasta se ha definido pero, ¿que objetivos son los que persigue?
Realmente el área de auditoria en sistemas de información, su objetivo es el de evaluar la

suficiencia de controles y efectuar recomendaciones en materia de sistemas a los niveles
directivos, gerencial y operativo que permitan reducir los riesgos a que este expuesta la
misma.
INTERRELACIONES.
Seguridad establece controles, Auditoria evalúa y sugiere.
En algunas ocasiones es difícil diferenciar el papel de oficial de seguridad en sistemas de

información y el del Auditor de Sistemas. Ambos comparten el control de la función de
procesamiento de datos, dicta los estándares para la industria y la organización, y pugnan
por conservar los activos electrónicos de la empresa.
Obviamente, la función de Seguridad de la Información y la del Auditor de Sistemas se

entrelazan, el punto de vista de Auditoria es esencial para al seguridad de los sistemas,
tomando la seguridad como un control objetivo y evitando dificultades y enfrentamientos,
los profesionales en ambos campos deben reconocer la cercanía de sus funciones y aún
ocasionalmente aceptar la duplicidad de responsabilidades.
El objetivo no debe ser separar o diferenciar ambientes, sino construir una relación de
trabajo constructiva que permita la interdependencia de ambos.
El auditor de sistemas debe de revisar regularmente las actividades de la Seguridad en la

Información.
El personal de Seguridad de la Información debe tener procedimientos formales escritos,

debe documentar todas las violaciones de seguridad y las acciones tomadas, y deben
proveer una lista de auditoria para el mantenimiento de los archivos de seguridad y
elementos electrónicos usados.
De la misma manera, el personal de Seguridad de la Información, puede funcionar como un

chequeo en Auditoria para hacer valer las restricciones de acceso, aun considerando a los
Auditores, ejemplo: las funciones de Auditoria deben de ser restringidas a personal y
dispositivos involucrados con el Departamento de Auditoria; los Auditores no deben de
estar autorizados para modificar archivos de producción; y los accesos de Auditoria a la
información sensible, deben ser guardados y monitoreados rigurosamente como cualquier
otro usuario.
Si la comunicación entre las dos funciones está empezando a deteriorarse, teniendo

diferentes puntos de vista en aspectos de procesamiento de datos, usuarios y control, así
8
como diferencias en el amplio campo de la seguridad y el control, es difícil tener una sola
opinión sobre cada aspecto, pero cualquier desacuerdo que se presente debe ser claramente
entendido por ambos grupos y deben referirse a la implementación, no a los principios.
Las siguientes sugerencias ayudarán a mantener una efectiva y productiva relación entre las
funciones del grupo de Seguridad y Auditores en Información:
• COMUNICACIÓN. Los gerentes de ambos grupos deben reunirse regularmente

para discutir informalmente los proyectos y objetivos actuales, ejemplo: no discutir
el estatus de los reportes, pero sí un esfuerzo por mantener una línea para la
resolución de problemas graves e intereses mutuos. Estas juntas pueden evitar
duplicación de esfuerzos innecesarios y sensibilizar a un grupo para que no pase los
límites del otro. Más aún, puede ayudar a puntualizar futuras actividades que
puedan ser más apropiadas para un tipo de función que los otros.
• ESFUERZO EN EQUIPO. Si se sospecha un fraude por computadora, ambos

grupos deben ser informados, y deben trabajar juntos durante las investigaciones
preliminares antes de realizar las demandas legales, ya que ellos también harán
funciones especiales, tales como la recuperación de los paquetes de Auditoria o
Software de Seguridad disponibles.
• MUTUAMENTE INFORMADOS. Los reportes relevantes de Auditoria, así como

las revisiones de Seguridad deben ser intercambiados. Esto previene la redundancia
cuando ambos tratan con los mismos usuarios de sistemas y permite alentar a los
usuarios a trabajar con ambos grupos respondiendo a sus recomendaciones.
• ALIMENTACIÓN CRUZADA Y MÁXIMO IMPACTO. El Auditor debe ser

miembro del Consejo Directivo de Seguridad de la Información. Esto asegura que
las dos funciones están relacionadas y representadas a niveles altos.
9
CAPITULO I
RIESGOS Y CONTROLES
10
1.1 RIESGOS.
Los riesgos, son la posibilidad de que ocurra algún evento negativo para las personas y/o
empresas. Los riesgos, están presentes en todas las actividades de las personas y/o
empresas.
A medida de que aparecen cosas nuevas en todas las ramas, los riesgos se van
incrementando, es decir, aunque sabemos que algunos riesgos han estado presentes sin
importar las circunstancias, existen otros que se generan en forma paralela al uso cada vez
más grande de recursos humanos y/o materiales.
Los nuevos riesgos que involucran a los sistemas de información no sólo quedan cifrados a
la pérdida o robo de algunos equipos, sino que la mayoría de ellos se presentan en el
contenido y en la posibilidad de alteración de los registros magnéticos, ya que en ella se
encuentra el activo “vital” de la empresa, que es la información.
Los riesgos se pueden definir como: la posibilidad de que ocurra algún evento negativo
para las empresas, considerando los recursos humanos, recursos materiales y recursos
técnicos.
La clasificación tradicional que existe referente a los riesgos que amenazan a la

información en medios magnéticos, son:
a) Riesgos Internos
b) Riesgos Externos
a).-Los riesgos internos son los más sencillos de prever, sin embargo, son los que se
presentan más continuamente, como ejemplo tenemos:
• Robo.- El robo puede realizarse al material, a los recursos o a la información.
• Sabotaje.- Manejando como riesgo interno, éste puede presentarse a través de

entorpecer la producción, sobrecarga ficticia de la operación, etc.
• Destrucción.- La destrucción puede hacerse a datos o a recursos, ésta a su vez puede

darse en forma voluntaria o involuntaria.
• Huelga.- Este riesgo puede impedir la operación del servicio completo.
11
• Fraude.- Este riesgo, considera la manipulación de la información a fin de obtener
un beneficio ilegítimo para la persona que lo realiza.
b).-Los riesgos externos son aquellos que se presentan en el ambiente físico y social que
rodea a la empresa y en el caso de tratar, son aquellos que rodean el área de ingeniería,
tenemos:
• Naturales.- Son aquellos que se producen por condiciones naturales, como: temblor,
incendio, inundación, etc.
• Humanos.- Estos pueden confundirse con riesgos internos, pero la diferencia es que
en este caso son producidos por personas ajenas a la empresa y estos pueden ser:
robo, sabotaje, fraude, etc.
Dentro de las actividades del auditor y casi al concluir su revisión debe de realizar una
evaluación del riesgo, a fin de determinar el nivel de riesgo en que se encuentra el área o la
empresa auditada, esta es una parte laboriosa, misma que debe de realizarse a través de
alguna metodología desarrollada por el mismo o por la empresa donde trabaja, por ello, es
conveniente tomar en cuenta factores que permitan incorporar criterios de evaluación, como
puede ser: posibilidades de ocurrencia, impacto operativo, etc.
1.2. CONTROLES.
Toda empresa o área, esta sujeta a errores en la administración, fallas y abusos en general,
dándose con ella la necesidad del establecimiento de controles, para reducir estos riesgos.
Existen muchas definiciones, que en general concuerdan en lo mismo, una de estas es la

que se ha tomado para este documento, es la Murdich y Ross(+) que dice:
“El control es la observación y medición de la actuación comparándola con las normas

definidas por áreas para llevar a cabo el plan y la corrección de las desviaciones, si es
necesario.”
Otra definición, obtenida del documento “Auditoria de Aplicaciones”, es:
“Procedimientos que tienden a disminuir los riesgos, es decir, la posibilidad de que existan
errores en la información o bien ineficiencia operativa.” (++)
Los controles generalmente los encontramos clasificados en los siguientes rubros:
• Preventivo, detectivo y correctivo.

• Discrecional y arbitrario.
• Voluntario y obligatorio.
• Manual y automatizado.
• A productos y en general.
(+) Conf. Program and Abstracts, First Annual Conference (1997). University, Miami, FL. 46.
12
(++) Franklin, Enrique B. Auditoria Administrativa, 1ra. Edición, México, Mc Graw Hill 2000, pag. 2-12.
1.3. CONTROL INTERNO.
El control interno es una de las más importantes responsabilidades de todo directivo: Jefe
de Departamento, Gerente de Sucursal, Gerente de Área, Subdirector y/o Director, etc.
En el control interno, se puede delegar su práctica y/o ejercicio pero no la responsabilidad

de que sea efectivamente realizado.
Independientemente del ámbito de aplicación, el control interno persigue:
• La protección de los activos.

• La eficiencia de las operaciones.
• La obtención de información con los atributos requeridos por
las empresas.
El sistema de control interno consiste de su plan de organización, la asignación de las

obligaciones y responsabilidades, la catalogación de las cuentas de los informes, y todas las
medidas y métodos que se emplean para proteger los activos, para alentar la corrección y la
confiabilidad y otros datos de las operaciones y de los informes, para promover y juzgar la
eficacia de las operaciones y todos los aspectos de las actividades de la compañía, y para
comunicar a quien corresponda las políticas de la gerencia y para alentar y medir el
acatamiento de ellas. Los sistemas de control interno de una compañía pueden compararse
con el sistema nervioso de una persona. Abarca toda organización, sirven como medio de
comunicación en dos sentidos (de los jefes a los empleados y éstos a los jefes) y se diseñan
en cada caso para cubrir las necesidades específicas de una empresa. Incluyen muchas áreas
además del sistema, tales como el personal y las prácticas de entrenamiento, control de
calidad, mantenimiento técnico, planeación de la producción, políticas de ventas y
auditorias internas.
El control interno moderno se basa en una estructura que comprende:
a).-El ambiente de control, comprende la filosofía y estilo de operación, una estructura con
tramos de control razonables y niveles de supervisión, un control de desempeño,
político y práctico de personal.
b).-El sistema financiero, comprenden los métodos, políticas y registros establecidos para
asegurar que las transacciones de la organización sean identificadas, registradas en su
totalidad, descritas claramente, cuantificadas con precisión, debidamente clasificadas y
representadas en los estados financieros.
c).-Los procedimientos de control, comprenden todas las políticas y procedimientos de la

organización en función de su giro, tamaño, complejidad, etc., con el propósito de
otorgar una seguridad razonable de operación.
13
El control interno en el ámbito de sistemas de información, debe perseguir de manera
general:
• Promover la eficiencia de la operación.
La función de los sistemas debe de enfocarse a esfuerzos y recursos en la entrega y manejo

de la información, la cual debe cumplir con características fundamentales que garanticen el
buen servicio y la confiabilidad requerida, cubriendo además los objetivos de totalidad,
exactitud, autorización, mantenimiento, oportunidad y utilidad de la información.
• Adhesión a las políticas predefinidas de la empresa.
Estas políticas pretenden disminuir diversos riesgos del entorno en el que se desenvuelve
una empresa y del manejo de esta:
• Disposiciones legales.
• Estándares.
• Políticas internas, etc.
• Protección de activos.
Los nuevos riesgos de la información involucra, no sólo la pérdida o robo de algunos

equipos, sino que los mayores riesgos se presentan en el contenido y la posibilidad de
alteración de los registros magnéticos, donde se encuentra el archivo principal de toda la
organización y que se denomina: Información.
Actualmente la mayoría de información de las empresas, es administrada, generada y

controlada a través de equipos de cómputo, software y medios de comunicación,
convirtiendo virtualmente a una terminal, como una emisora de dinero.
1.4. ANÁLISIS EVALUACIÓN DE RIESGOS VS. CONTROLES.
Es importante mencionar, que los riesgos definidos en el tema anterior, no surgen

simplemente por falta de controles, los riesgos son causados. Los controles actúan para
reducir estas causas, pero aún sin controles, necesariamente deben de existir las causas
antes de que se presenten los riesgos.
Por ejemplo, analizando un incendio, el fuego en si no es un riesgo, el riesgo es la

destrucción que el fuego puede causar y de ello que un control actúa para reducir una causa
de riesgo, por lo tanto, aún cuando los controles tienen por objeto reducir los riesgos, lo que
en realidad hacen es actuar sobre una causa.
Para el análisis de controles, es necesario elaborar una tabla de controles para evaluar la
cantidad del control, la tabla a su vez debe de considerar todas las causas de riesgo que se
encuentren presentes, con esto se determinaría cuales hay que implantar o bien cuales se
encuentran implantados en una situación particular.
14
EJEMPLO
En esta revisión, podríamos decir, que también incluye la consideración, de que tan
confiable, se espera que sea cada control en una situación específica.
De lo anterior, vemos que la introducción de un computador para el procesamiento de

información de las empresas, no afecta directamente los riesgos que pueden presentarse en
una organización, sino que más bien, cambia los tipos de causa de riesgo, así como su
frecuencia.
El objetivo básico que persigue el establecimiento de controles, es disminuir los riesgos, la

presencia y naturaleza de los controles debe de ser juzgada en base a un estudio de costo-
beneficio. Un excesivo ambiente de controles puede generar un ambiente realmente
descontrolado.
De los puntos más importantes en un ambiente de procesamiento electrónico de datos y a

los que es necesario presentarles más atención, son:
a).-Controles externos: Este tipo de controles apoyan para un chequeo independiente de las
actividades de los sistemas de información.
b).-Controles Administrativos: Estos controles incluyen planes maestros, políticas de

contratación, planes de desarrollo, evaluación de desarrollo, etc.
c).-Controles Operacionales: Estos controles están relacionados directamente con el

procesamiento electrónico de datos, estos incluye:
• Controles de frontera.
• Controles de entrada.
• Controles de procesamiento.
• Controles de operaciones computacionales.
• Controles de aplicaciones.
• Controles de salida.
De lo anterior, van implícito controles a nivel de una aplicación, mismas que persiguen los
objetivos de totalidad, exactitud, automatización, mantenimiento, oportunidad y utilidad de
la información.
• Controles de documentación.- Estos controles van orientados a verificar la

documentación que deben de tener todos los sistemas automatizados, así como
todos los procedimientos que se derivan del manejo del computador.
15
• Controles de seguridad.- Aquí incluyen todas las operaciones físicas y de
procedimiento que se usan para asegurar a los activos electrónicos, contra cualquier
desperfecto o accidente.
Existe gran cantidad de técnicas que pueden emplearse para disminuir los riesgos en un
ambiente de procesamiento electrónico de datos, así como técnicas para emplearse en todo
el ámbito de sistemas de información.
Entre las cuales tenemos como ejemplo:
• Aquellas para recopilar información.

• Aquellas para probar los controles.
• Aquellas para probar los resultados.
• Aquellas para probar el procesamiento, etc.
Son aspectos que garantizan que los controles básicos operen adecuadamente, tal como
fueron diseñados, estas disciplinas además garantizan que los controles se detecten
oportunamente, como ejemplo tenemos:
• Segregación de funciones.
• Adecuada custodia de activos.
• Supervisión, etc.
16
CAPITULO II
SEGURIDAD EN SISTEMAS DE INFORMACIÓN
17
2.1 LA FUNCIÓN DE SEGURIDAD DE LOS DATOS.
Se ha dicho que la información, constituye la segunda Revolución Industrial de la

humanidad, igualmente, se ha sostenido que la sociedad moderna, vive en un profundo y
creciente proceso de “informatización”.
En efecto, hoy no podríamos concebir en nuestro mundo moderno, la operación eficiente de

las grandes empresas, de las dependencias y entidades gubernamentales, centros
hospitalarios, instituciones bancarias, empresas aseguradoras y bursátiles, sin contar con los
equipos, herramientas y tecnologías, que los modernos sistemas de información nos brindan
y que permiten la captura, control, proceso y transmisión de millones de datos a
velocidades vertiginosas.
Por otro lado, es un fin primordial del Derecho el proporcionar Seguridad Jurídica a la
sociedad y obligación del Estado el promulgar y aplicar normas que den efectiva seguridad
a la población a la que debe servir.
En las materias bancarias, financieras y bursátiles, el tema de su seguridad e integridad,

reviste aspectos de la mayor importancia.
Las actividades de ingeniería electrónica e ingeniería industrial, del comercio y de la Banca

requieren y requerirán de un campo normativo que asegure la confianza de que las
transacciones serán realizadas sin obstáculos o alteraciones de ninguna especie, la
tecnología en sistemas de información cada día se vuelve más sofisticada y la imaginación
y creatividad del hombre van aumentando con mayor celeridad, permitiendo una mayor
creatividad en la utilización de las herramientas electrónicas y de Telecomunicaciones, pero
debería pensarse que todas estas facilidades e innovaciones, que la ciencia pone hoy en día
al servicio del hombre y de la sociedad deberían ser utilizadas para su bien.
Lamentablemente, la experiencia nos muestra que el hombre, puede convertirse en un ser

depredador y malicioso, que en algunas ocasiones con su comportamiento causa daños, en
diversa gravedad al propio hombre, a la sociedad y al Estado al que pertenece, en el campo
de la información encontramos conductas viciosas e inmorales y en muchos casos de
intención defraudadora.
Observamos al fenómeno de los llamados “HACKERS” (7), jóvenes en su gran mayoría,

que con espíritu morboso, consideran como satisfactorio, el romper sistemas de seguridad
en los grandes bancos de Datos, penetrando y accesando información dentro de los mismos,
causando daños de mayor o menor envergadura.
18
La avaricia, la codicia y en ocasiones la necesidad, han llevado al hombre a pretender
apoderarse de lo ajeno. El dinero, ha sido y sigue siendo una de las fuentes más importantes
de criminalidad en el mundo.
El fraude electrónico y los delitos informáticos en general, que más adelante analizaremos,
representan igualmente un peligro para nuestra sociedad moderna, para la Seguridad
Jurídica y la eficiente operación computacional, de las transacciones bancarias y
financieras, tanto en México, como en el resto del mundo, esto último, porque las
necesidades mundiales de acceso internacional, se ven realizadas crecientemente gracias a
las tecnologías electrónicas y de telecomunicaciones, pero haciendo un alto en el camino,
debemos meditar y reflexionar, que no sólo en la actividad bancaria, sino en el comercio y
la industria en general, el público y la sociedad entera, reclama la existencia de Seguridad
en su información y en ello Seguridad Jurídica en el campo de la tecnología moderna.
La conclusión es evidente, se debe propiciar e influenciar el establecimiento del área de

Seguridad en sistemas de información dentro de todas las empresas, así como una
legislación moderna y actualizada que persiga y permita la Seguridad Jurídica en la
utilización de los sistemas de cómputo y comunicaciones operaciones y transacciones con
su contenido.
2.2 ASPECTOS LEGALES Y SU INTERPELACIÓN CON LA INFORMACIÓN.
Hemos esbozado la existencia de grandes bancos de datos (8), el flujo de información de

punto a punto, nacional e internacionalmente, operaciones y transacciones mercantiles en
empresas e instituciones, públicas y privadas, operaciones bancarias, financieras y
bursátiles, la transferencia electrónica de fondos, nacional e internacional, en sus diversas
modalidades, la operación de grandes centros o cámaras de compensación bancaria
nacionales, regionales e internacionales, etc.
“Todas estas actividades en sus operaciones electrónicas deben quedar salvaguardadas,

tanto de eventos adversos, por causas naturales o por acciones maliciosas del hombre.”
“Debemos contar con leyes que eviten la intrusión y el fraude electrónico”.
Los fenómenos que afectan adversamente la seguridad informática, se dividen en dos

grandes rubros.
• Actos naturales
• Actos intencionales

19
Cada uno encierra sus problemática que describimos en la tabla 1 y 2 siguientes:
Sin intervención del hombre

Terremotos – sismos
Incendios
Pérdidas o cambios de energía eléctrica extrema
Casos de desastre
Accidentes no intencionales
Inundaciones
Otros, etc.
Tabla 1.- Actos naturales.
Causados por el hombre

Los delitos electrónicos
La piratería
Casos La violación de la confidencialidad
Robo
Etc.
Tabla 2.- Actos intencionales.
La importancia del tema quizá no podrá ser comprendida cabalmente, por el ajeno a ésta
problemática, si no la ilustraremos con cifras y estadísticas que cuantifiquen los daños
específicos, que se pueden resentir y sufrir, con afectación gravísima de la economía y de la
sociedad en general.
A continuación utilizaremos algunas cifras estimadas del valor en millones de dólares de

los daños sufridos en los Estados Unidos, en el Área de Seguridad en sistemas de
información, en un estudio del año 1986:
Concepto del daño Monto de las pérdidas

(Millones de dólares)
Robo o fraude electrónico $ 1,125
Cambios bruscos de energía eléctrica $ 157
Accidente $ 238
Incendio $ 1,157
Rayo $ 195
Otros $ 405
Tabla 3.- Pérdidas por concepto de daños.
20
Como se podrá observar, de las estadísticas anteriores, los daños económicos, pueden llegar
a magnitudes impresionantes que inclusive, en alguna medida, afectan la economía
nacional, por no decir la de las propias empresas o instituciones afectadas.
Es de observarse, que la estadística, muestra que la "Delincuencia electrónica, la más

perjudicial, poniendo de relieve, lo ya apuntado en el sentido de que es urgente reprimir y
sancionar éste nuevo tipo de criminalidad.
Así pues, pasemos a analizar brevemente algunas figuras de actos intencionales de

defraudación, que deben catalogarse como verdaderos delitos, tanto electrónicos en general,
como de fraude bancario especifico.
2.2.1 LOS DELITOS ELECTRONICOS
La utilización fraudulenta de la Información.
• Robo electrónico, alteración o modificación de Programas de Computación,

propiedad de Terceros.
• Apoderamiento de Información ilegítimamente, con fines injustificados, lucrativos o

no.
• Maquinación y manipulación de la información almacenada para obtener un lucro

ilegítimo.
• Acceso y alteración de la información para fines o propósitos, a los cuales no se

tiene derecho.
• Sabotaje: destrucción o alteración de la información por diversas motivaciones o

conductas ilícitas (venganza, etc.).
• Obtención de lucro indebido con la información y datos.
• Acceso y ataque ilegal a las vías generales de comunicación.
• Chantaje, difamación, extorsión utilizando información almacenada, con o sin

intención maliciosa (penalidad atenuada o agravada).
• Afectación de las buenas costumbres, la moral o el orden público o la seguridad

general, al accesar, intervenir o afectar sistemas privados o públicos de información.
En adición a lo anterior, se pueden desprender los siguientes tipos de criminalidad

específica:
21
• Desvío de fondos bancarios
• Aplicación indebida de fondos bancarios.
• Venta o tráfico Ilegítimo de información propiedad de terceros.
• Acceso no autorizado a bancos de datos.
• Modificación indebida de Información propia o de terceros, almacenada en Bancos

de datos.
Como se podrá observar, la experiencia criminalística en esta área es muy basta y podría
dar pauta a la imaginación novelística y a esquemas de peligrosa criminalidad, sin límites.
Aquí el problema mayor es el de la Defensa Social, interesa a la Sociedad evitar, que se

afecte la seguridad en sistemas de información. (Respeto e integridad de la Operación
Bancaria).
Caso en México del ...Robo de Electricidad", que provocó una reforma legislativa, en
materia del hurto y aprovechamiento indebido de fluidos y energía eléctrica, etc., debido a
la falta del tipo y definición del ilícito penal, es decir de la figura descriptiva de la conducta
criminal. La impunidad ante la falta de una ley que defina el tipo, o sea, la conducta
criminal que la sociedad desea reprimir y sancionar.
Dentro de las figuras delictivas en información, uno de los casos que más están
proliferando en el mundo son los famosos:
Virus de software
También conocidos como:
• VIRUS DE HAIFA
• CABALLOS DE TROYA
• VIRUSWARE
Se les conoce de ésta manera por su semejanza con los microorganismos y su capacidad de
reproducirse, escondidos dentro de grandes sistemas de programación, produciendo la
destrucción de archivos enteros, programas e información vital, con altísimos costos para
reparar los gravísimos daños que la pérdida de la información, programas y archivos suele
causar.
Es de especial preocupación el que de alguna manera, estos programas destructores, puedan

pasar a la información almacenada en los Mainframes, causando serios daños a la más
sensitiva información de la empresa o institución.
22
El problema del Virus del Software, prolifera en función del acceso a la información de las
computadoras personales. El proceso distribuido a través de las microcomputadoras y las
redes junto con las facilidades de telecomunicaciones facilitan éste tipo de crimen
electrónico.
Los países que más problemas han tenido con los virus del software se describen en la
tabla 4.
Israel
Gran Bretaña
Estados Unidos
Países afectados
Suiza
España
México
Tabla 4. Países afectados con problemas de virus
Se debe influenciar una legislación adecuada en esta importante área
• Actos de piratería
• Software interno
• Software propiedad de terceros
En el área de seguridad en sistemas de información deben cubrirse y protegerse, los

también adversos e ilegales fenómenos de la “piratería”. Si debe protegerse a la
información “propia” y su procesamiento, también debe protegerse el software,
desarrollado internamente, como estrategia de seguridad lógica, hay que reconocer al
software y al hardware hecho en “casa” como un “activo valioso”.
Inversiones cuantiosas y a veces años de trabajo, son requeridos para lograr exitosamente
implementar un sistema, ¿Debe entonces este software y hardware interno ser protegido?
La respuesta obviamente es y debe ser: si!
¿Cómo lograrlo?
Debemos en general proteger y controlar también el proceso de la información que accesan

nuestros empleados!
La empresa o institución debe ser la propietaria de los desarrollos de software y hardware

internamente realizados!
23
Bien, podríamos afirmar que igualmente interesa a la Seguridad en sistemas, buscar
esquemas de protección legal, al software y hardware que produce y porta la información y
resultados, en el proceso de su información interna, ya sea propio o propiedad de terceros.
En el caso de Software y el Hardware propio. Desarrollado en casa se recomienda:
• Reconocerlo como un Activo Valioso
Protegerlo en consecuencia:
• Obteniendo Registros de Derecho de Propiedad en Materia de Derecho de Autora

favor de la Institución o Empresa.
Celebrando “Contratos”, con el Personal de desarrollo que aseguren:
• La Cesión de Derechos de Propiedad Autoral a favor de la Empresa o Institución

en forma Automática.
• La consideración de que la participación del empleado en cualquier desarrollo, es

una “Obra por Encargo”.
• Que el “empleado” es un autor-colaborador remunerado, respecto de cualquier obra;

programada o sistema (de computación), total o parcial, en el que participe o
contribuya a consecuencia de su trabajo en la Institución o Empresa y por la que ha
sido debidamente compensado, en función del salario que por tal consideración se le
retribuye.
Adicionalmente, por mecanismos contractuales, debe asegurarse:
• La Seguridad de la Información del Software, en sus aspectos internos (y de la

información que con él se procesa), respecto de su Confidencialidad y no
divulgación a terceros, o a su Aprovechamiento Indebido.
La divulgación o tráfico de la información del software, desarrollado internamente, es en

realidad y debe contemplarse como un real y concreto.
2.2.2 ACTO DE PIRATERÍA
Que debe ser reprimido o evitado, como un acto de menoscabado o afectación al

patrimonio de la Institución o Empresa.
24
2.2.3 SOFTWARE Y HARDWARE PROPIEDAD DE TERCEROS.
El Derecho, tanto nacional como internacional, reconoce propiedad autoral, a los

Programas de Cómputo y desarrollo de tecnologías. Existe una tendencia creciente a
perseguir judicialmente el uso y copiado ilegal de los Programas de Cómputo, la Ley
Mexicana de Derechos de Autor, desde 1984, reconoce plena protección a los Programas de
Cómputo y creadores de hardware para desarrollos computacionales.
Algunos cuestionamientos, en esta área:
¿Es “moralmente” sostenible, la reproducción NO autorizada de Programas de Cómputo?
Desde el punto de vista de "Imagen”, ¿vale la pena permitir el copiado y reproducción de

programas de cómputo propiedad de terceros?
¿El desarrollo de tecnología propia con programas de terceros?
¿Estamos dispuestos a arriesgar a nuestro Consejo de Administración y a la Dirección

General a denuncias penales, por presuntos Actos de Piratería?
¿Se puede permitir exponer a nuestra Institución o Empresas a cargos por el delito de
contrabando y otras infracciones fiscales, por traer al país, Software ilegalmente
importado?
Pues bien, la utilización no autorizada de programas propiedad de terceros, constituye un

acto ilegal de piratería y puede ser actualmente sancionado hasta con seis años de prisión.
La técnica y auditoria en “seguridad en sistemas de información", deben:
Asegurar contratos y mecanismos de derechos de cesión de propiedad intelectual y autora

automáticos a favor de la institución o empresa.
Registrar, ante las autoridades, la propiedad del software y del hardware a favor de la
institución o empresa.
Asegurar legalmente la confidencialidad y no divulgación de la información del software y

hardware de la empresa o institución.
Implementar con la ayuda del (los) departamento(s) de personal y (jurídico en su caso), los
contra tos y mecanismos que aseguren lo anterior.
Implementar los mecanismos de auditoria y control que eviten actos de “piratería” del
software propiedad de terceros.
25
De lo anterior, se desprende la necesidad de una legislación específica, por lo que debe
procurarse:
La determinación de los Delitos electrónicos y de todos los conductos actuales que afectan
la Seguridad en sistemas de información.
Incorporación a una Ley Moderna, que con claridad persiga, reprima y sancione éste tipo de
ilícitos.
2.3 SEGURIDAD EN CENTROS DE CÓMPUTO.
La seguridad en centros de computo debe de ser implantada tomando en cuenta dos

enfoques: el primero es el tipo de computadora y el segundo los aspectos a implementar:
Tipos de computadoras: Mainframe(9), Mini-computador(10) o Microcomputadora(11).
Aspectos a implementar: Administración, Seguridad Física, Seguridad Lógica, Operativa de

Sistemas y Planes de contingencia.
Dependiendo el tipo de computadora serán los controles que deben de establecerse, en su

mayoría los riesgos son iguales para cualquier tipo de computadora, pero el control a
establecerse a efecto de reducir el mismo y garantizar la continuidad del servicio y la
integridad de los activos, difiere por las características propias del tipo de equipo.
Dentro de los aspectos a implementar y de manera general deben de contemplarse lo

siguiente:
2.3.1 ADMINISTRACIÓN.
Dentro de los aspectos administrativos deben de contemplarse el establecimiento de:
• Políticas y procedimientos
Delimitación de funciones y responsabilidades
• Controles administrativos
• Planes de contingencia.
(9), (10) y (11) ver glosario de términos.

26
2.3.2 SEGURIDAD FÍSICA.
Dentro de la seguridad física deben de contemplarse, el establecimiento de controles en

cada uno de los siguientes rubros:
• Ubicación del centro de cómputo
Control de acceso físico

• Construcción del edificio
Soporte ambiental
• Protección contra fuego
Protección de registros (respaldos)
• Programa domestico y de mantenimiento.
2.3.3 SEGURIDAD LÓGICA.
Hoy en día, las computadoras forman parte del manejo de una gran cantidad de datos útiles
tanto para las Pequeñas y medianas empresas como para las grandes compañías e
instituciones, pero que con un uso indebido, se pueda caer en un descontrol.
La complejidad creciente y el alcance del uso de las computadoras en una organización ha

propiciado que los sistemas de agrupación y divulgación de información se encuentren en
manos de unas cuantas personas, las cuales al efectuar su trabajo y concentrarse más que
nada en ello, no realizan controles adecuados en el uso de los mismos, es decir en estos
sistemas.
El punto de vista tradicional otorgaba mayor atención a la seguridad física, este enfoque
parecía funcionar cuando las operaciones de cómputos estaban centralizadas, pero hoy por
hoy estamos en la era del procesamiento distribuido o interconectividad electrónica.
El área de procesamiento electrónico de datos se contempla como un área de servicios cuya

función consiste en procesar la información que es mas relevante como apoyo para el logro
de metas particulares, sin considerar que el departamento de cómputo forma parte de la
organización y que ésta a su vez cuenta con una serie de objetivos, mismos que deben ser
buscados de una manera integral entre las diversas áreas.
En un contexto crítico, las empresas que no contemplan medidas de seguridad dentro de sus
instalaciones de cómputo, y en los lugares donde su información reside, corren severos
riesgos de inseguridad, por lo mismo, a veces les es difícil detectar los orígenes de los
problemas, pero cuando lo hacen, sorprendentemente descubren que surgen de áreas que
tenían olvidadas. Como ejemplo, una empresa Intrusión Detection Inc. En el año de 1999,
realizó una encuesta a 32250 usuarios de computadoras, empleados de medianas y grandes
27
empresa, sobre cuales eran los principales problemas relacionados con la seguridad, los
resultados son los que se muestran en la tabla 5.
Porcentaje
Problemas relacionados con la Seguridad
de respuestas
Los usuarios no cambian los passwords con suficiente frecuencia 90%
El acceso a los archivos es demasiado libre 39%
La aplicación de normas de seguridad para nuevos usuarios es 37%
inconsistente
Los passwords son fácilmente identificables 20%
Los identificadores de usuarios están inactivados 17%
Tabla 5.- Resultados de problemas con seguridad
Encontrándose que la mayoría de los problemas residían en cuanto al acceso a la

información, passwords no actualizados o de fácil identificación, lo que proporciona un
libre acceso tanto a la información como a cualquier otro recurso que de ello dependa.
Por esto mismo, la seguridad actualmente, en materia de recursos, se encamina mas hacia
su protección, con lo cual, surge el término de Seguridad Lógica. La seguridad lógica es la
disciplina de la seguridad que se encarga del control del acceso a los recursos (incluyendo
el acceso a los sistemas, redes, etc.). Los recursos pueden ser cosas físicas como una cuenta
de banco en un cajero automático, impresoras compartidas o una determinada información.
En materia de datos, surgen tecnologías con las cuales, se logra ocultar el contenido a los
ojos de cualquier desconocido que no deba conocerla. El control de accesos a la
información exige la identificación y autenticación del usuario, o el cifrado de soportes
magnéticos intercambiados entre entidades o de respaldo interno, o de información
transmitida por línea. Un ejemplo de comunicación sobre cifrado de información es cuando
tenemos información encriptada en nuestra oficina y la enviamos por líneas de
comunicación no fiables y tener los sistemas de descifrados en el usuario destino. (Ver
figura 3)
Figura 3.- Cifrado de información
28
Con la seguridad lógica se pretende proteger el patrimonio informacional que se compone
tanto de las aplicaciones informáticas como del contenido de las bases de datos y de los
archivos. Hoy en día, la mayoría de la empresas, tanto públicas como privadas, basan sus
actividades en el proceso electrónico de datos, la información mas relevante como las
cuestiones financieras, y aun la información mas confidencial, suele guardarse en medios
electrónicos, que si salen del entorno organizacional, podrían ser motivo de grandes
pérdidas económicas o de imagen para la empresa.
La seguridad lógica es la continuidad funcional(12) de la seguridad que podemos garantizar

físicamente, no puede existir seguridad física sin seguridad lógica ni viceversa, no podemos
tener solo máximos controles de seguridad dentro del área física de la empresa, contar con
un lugar espacioso con tres capas de paredes y contar con un plan en caso de desastres
naturales, si el acceso a la información es libre y cualquiera puede tener acceso a ella.
Clásicamente se han identificado servicios de confidencialidad, de integridad, de

autenticación de las partes y formas de vincular a los actores con sus actuaciones.
La confidencialidad es quizá el servicio más obvio y más intuitivo: que nadie tenga acceso
a mi información sin estar autorizado, como lo describe la figura 4:
Figura 4.- Acceso a la información.
La integridad de la información es aquella característica que permite confirmar que no ha

sufrido alteración.
La revelación, modificación y/o destrucción de los datos son situaciones que pueden darse
como resultados o consecuencias de acciones adversas o eventos no deseados dentro de una
área de cómputo. Por consiguiente, la seguridad de los datos es la protección de éstos de las
seis exposiciones básicas:
Revelación accidental: Declaración o manifestación involuntaria de los datos
Modificación accidental: Cambio involuntario de los datos
Destrucción accidental: Ausencia involuntaria de los datos
Revelación intencional: Actos deliberados de declaración o manifestación de datos

29
Modificación intencional: Actos deliberados de cambiar los datos
Destrucción intencional: Acto deliberado de suprimir o sustraer los datos
2.4 TECNOLOGÍAS
Los métodos de identificación se suelen dividir en tres grandes categorías en función de lo

que utilizan para la verificación de identidad:
• Algo que el usuario sabe

• Algo que éste posee
• Una característica física del usuario
Esta última categoría se conoce con el nombre de autenticación biométrica(13). Es fácil ver
ejemplos de cada uno de estos tipos de autenticación: un password es algo que el usuario
conoce y el resto de personas no, una tarjeta de identidad es algo que el usuario lleva
consigo, la huella dactilar es una característica física del usuario, y un acto involuntario
podría considerarse que se produce al firmar (al rubricar la firma no se piensa en el diseño
de cada trazo individualmente). Por supuesto, un sistema de autenticación puede (y debe,
para incrementar su fiabilidad) combinar mecanismos de diferente tipo, como en el caso de
una tarjeta de crédito junto al NIP (número de identificación personal) a la hora de utilizar
un cajero automático o en el de un dispositivo generador de claves para el uso de One Time
Passwords.
Dentro de la autenticación biométrica se cuentan varios tipos de pruebas, las siguientes son
de las que se tiene conocimiento:
• Verificación de voz
• Verificación de escritura
• Verificación de huellas
• Verificación de patrones oculares (Retina, Iris)
• Verificación de la geometría de la mano (Figura 5)
Figura 5.- Geometría de la mano.

30
No puede hablarse de las tecnologías de resguardo y seguridad de datos sin hablar de los
métodos criptográficos, en este ámbito juega un papel protagonista la encriptación de los
datos y la seguridad de los sistemas de información, robusteciendo la primera el secreto de
las transacciones y la segunda el procesado y almacenamiento de la información.
El uso de técnicas criptográficas tiene como propósito prevenir algunas faltas de seguridad
en un sistema computarizado. El hecho que gran parte de actividades humanas sea cada vez
más dependiente de los sistemas computarizados hace que la seguridad juegue un papel
importante.
La criptografía se divide en dos grandes ramas:
• Criptografía de clave privada o simétrica

• Criptografía de clave pública o asimétrica
La criptografía simétrica se refiere al conjunto de métodos que permiten tener

comunicación segura entre las partes siempre y cuando anteriormente se hayan
intercambiado la clave correspondiente que llamaremos clave simétrica. La simetría se
refiere a que las partes tienen la misma llave tanto para cifrar como para descifrar. Este tipo
de criptografía se conoce también como criptografía de clave privada o criptografía de llave
privada, como se muestra en la siguiente figura 6.
Figura 6.- Una llave para todo
La criptografía asimétrica es por definición aquella que utiliza dos claves diferentes para
cada usuario, una para cifrar que se le llama clave pública y otra para descifrar que es la
clave privada, como se muestra en la figura 7. El nacimiento de la criptografía asimétrica se
dio al estar buscando un modo más práctico de intercambiar las llaves simétricas. Cuando
toma forma la criptografía asimétrica, su funcionamiento esta basado en la imposibilidad
computacional de factorizar números enteros grandes.
Figura 7.- Dos llaves diferentes para cada usuario.
31
Las diversas tecnologías de seguridad de datos serían las más endebles del mundo si no se
cuenta con una normatividad que regule su aplicación y garantice el seguimiento de las
mismas. Para ellos, las Normas de Control Interno se crean para eliminar el peligro de que
los datos de un sistema computarizado sean intencional o inadvertidamente destruidos o
distorsionados.
• Controles de preinstalación
• Controles de organización
• Controles de desarrollo
• Controles de operación
• Controles de procesamiento
• Controles de documentación
• Establecimiento de políticas de permisos
2.4.1. CONTROLES DE PREINSTALACIÓN
Al instalarse un nuevo equipo de cómputo, es preciso contar con una serie de pasos bien
definidos y ordenados que garanticen la exactitud e integridad de los estudios preliminares;
por tanto constituyen una base confiable para la decisión de la gerencia. Los controles de
preinstalación son los que aseguran un enfoque correcto y bien organizado del trabajo
previo a la instalación de los sistemas y equipos automatizados.
Estos estudios preliminares, realizados según los lineamientos establecidos por la gerencia,
con el personal idóneo, dirigidos y apoyados en todos los niveles de la organización, deben
determinar el área en que será ventajosa la aplicación, incluyendo aquellas donde
probablemente se presenten reducciones en los costos, junto con las operaciones en las que
aun no se obtenga un beneficio económico.
2.4.2. CONTROLES DE ORGANIZACIÓN
Los estándares que deben fijarse en cualquier plan de organización son semejantes para
todos los niveles de sistemas, sean manuales o automatizados. Para determinar el efecto que
ocasiona en la estructura de la organización la introducción de procesamientos electrónicos,
se recomienda considerar principalmente dos factores:
1. La adopción de una nueva función para el diseño, implantación y operación del

sistema de procesamiento electrónico de datos.
2. El elevado grado de concentración de procesamiento, previamente diseminado en
varios departamentos de la empresa y que resuelve el centro de procesamiento
electrónico de datos, por cuenta de otros departamentos.
32
2.4.3. CONTROLES DE DESARROLLO
Un desarrollo efectivo de sistemas precisa que se sigan ciertos procedimientos y se

apliquen los controles necesarios en esta fase del trabajo, la cual comprende el desarrollo
del sistema completo, los programas, las pruebas y la conversión del sistema manual al
sistema computarizado.
El programa almacenado es una de las características de las computadoras que no se hallan

en los sistemas de registro directo ni en los manuales, y que suele afectar mayormente los
controles de desarrollo.
El desarrollo de los sistemas y programas, así como su mantenimiento en las operaciones

subsecuentes, reclama los esfuerzos combinados entre el personal del departamento de
procesamientos electrónico de datos y de otras de la organización.
2.4.4. CONTROLES DE OPERACIÓN
Incluyen los métodos y procedimientos que deben ponerse en práctica para establecer un
marco que garantice la producción efectiva del área funcional de operación y proporcione
seguridad física a los archivos en disco o cintas magnéticas que se conservan dentro del
área de procesamientos electrónico de datos. El objetivo de estos controles consiste en
establecer los métodos y procedimientos para la operación del equipo de cómputo, a fin de
crear un ambiente que asegure la producción de información.
2.4.5. CONTROLES DE PROCESAMIENTO
El procesamiento electrónico de datos debe proporcionar información exacta, completa,

válida y oportuna. La elaboración de la información ocupa cierto tiempo, es decir un ciclo,
que incluye tanto los procedimientos del departamento de origen de la información, como
del área de procesamiento electrónico de datos y del departamento usuario. Cabe notar que
las técnicas de control para el ciclo de procesamiento a menudo se presentan en diversas
formas, entendiendo que dichos procedimientos ocurren en diferente orden cronológico e
involucran diferente personal, según la aplicación de que se trate. Los objetivos de este tipo
de controles son:
• Asegurar que la totalidad de los datos sean procesados por la computadora

• Garantizar la exactitud de los datos procesados por la computadora
• Procurar que todos los datos procesados por la computadora estén debidamente
autorizados
• Asegurar que las pistas para la gerencia sean adecuadas
33
2.4.6. CONTROLES DE DOCUMENTACIÓN
La adecuada documentación de los sistemas electrónicos junto con sus programas y

procedimientos de operación, son indispensables para una comprensión total y precisa del
procesamiento de datos por computadora y del impacto de dicho procesamiento en los
grupos de usuarios. Proporcionan a la gerencia las bases para entender claramente los
objetivos del sistema, los conceptos y los resultados, y asegurar que las políticas se
cumplan, con objetivo de:
“Servir como bases para la revisión de los controles internos por parte de los auditores”.
“Proporcionar una referencia conveniente a los analistas de sistemas y a los programadores

responsables del mantenimiento de los sistemas y programas existentes”.
2.4.7. ESTABLECIMIENTO DE POLÍTICAS DE PERMISOS
El tiempo excesivo es común en las instalaciones de cómputo. Al mismo tiempo, los

permisos rara vez están reglamentados debido al nivel clave de los cargos del personal.
La reglamentación de los permisos es importante para asegurar que el personal expuesto al
estrés descanse periódicamente de manera apropiada.
El personal de cómputo es, por lo general, de inteligencia y preparada, con frecuencia son
personas muy sensibles y, aunque no hay estadísticas al respecto, se ha notado la incidencia
de crisis nerviosas.
Un aspecto fundamental dentro de estos controles, pero más aun al determinar una política
de permisos, es la determinación de los accesos mediante contraseñas y passwords. Si bien,
como se vio en líneas anteriores, es un método de autenticación que no deja de ser un tanto
inseguro, sin embargo, si se siguen ciertas reglas es probable que se pueda hacer más difícil
su identificación.
Al crearse un password para un usuario determinado se debe tomar en cuenta:
• Nunca se deben usar solo palabras como contraseñas, aun en otro idioma, ya que es
muy fácil conseguir diccionarios y que una máquina pruebe todas las
combinaciones.
• Tampoco usar nombres propios
• No usar números como las placas o patente del auto, documento, teléfono, nada que
se relacione con uno
• Invertirlos ó añadir dígitos al inicio o al final tampoco sirve
34
Los que si se deben considerar:
• Cambiar el password cada cierto tiempo que debe estar definido por la empresa,
cada mes, dos o tres meses, o cuando suceda algún evento que obligue a cambiarse
como una posible detección.
• Usar combinaciones de números con letras en minúscula y mayúscula y algunos
caracteres especiales como #, %, @, *, ^, +, &.
• Inclusive se pueden utilizar frases.
• Es importante que las claves sean de mas de 8 caracteres
• Es muy, pero muy conveniente, memorizar los passwords, Es una técnica muy
común, para los malhechores, buscar las claves en lugares comunes, como pueden
ser debajo del teclado, en el monitor, debajo del pad del mouse, en agendas, etc.
Además de determinar las características que tendrán los passwords, también debe
determinarse la forma de generarlos. Los passwords pueden ser:
• Generados por el usuario

• Generadas por el sistema
Cada aproximación ha definido los pros y contras que deben ser examinados,
generalmente, como el número de usuarios y la necesidad a causa de cambios frecuentes
crece, es favorecido el uso de passwords generadas por sistema. Sin embargo, muchos
usuarios generan hoy sus propios passwords. El factor clave de una decisión de esta
naturaleza es la facilidad de la distribución de los passwords, mantenimiento y control.
Casos prácticos:
• El caso del Número de Identificación Personal (PIN) a la hora de utilizar cajeros

automáticos.
Es bastante común el uso de tarjetas de crédito y debito bancarias, es sabido por quien tiene
una de ellas que por al obtener una cuenta bancaria en la cual se nos proporciona una tarjeta
plástica, se nos asigna un número de Identificación Personal comúnmente llamado PIN ó
NIP, el cual introducimos en un cajero automático para realizar diversas transacciones.
• Tarjeta Inteligente
La tarjeta inteligente CERES, de la Fábrica Nacional de Moneda y Timbre española; en ella

se incluye además un generador de números aleatorios junto a los mecanismos de
protección internos de la tarjeta.
• Empresa de tecnología biométrica
35
La compañía EyeDentify posee la patente mundial para analizadores de vasculatura retinal,
por lo que es la principal desarrolladora de esta tecnología
• Caso de introducción a un sistema
El siguiente ejemplo es la introducción en un sistema remoto mediante la provocación de

un desbordamiento de pila dentro del equipo a introducirse para colocar una puerta trasera y
tomar el control, la introducción dentro de un equipo de cómputo es la libre navegación
dentro de ella y la posibilidad de violación de la integridad y completitud de los datos que
contiene, este es un ejemplo para poder detectar un intruso (vea tabla 6).
Definición de buffer
Introducción a los buffer overflows Organización de la memoria
La pila
Invisibilización
Una vez dentro
Instalación de puerta trasera
Tabla 6. Introducción a Buffer
2.5. APROVECHAMIENTO DE LA VULNERABILIDAD
2.5.1. DETECCIÓN DEL INTRUSO
La detección de un intruso se hace mediante un programa que este cargado en memoria, el

intruso cree haber borrado todas las huellas que dejo en los archivos, como
"/var/log/messages, /var/log/secure". Pero dicho programa lo que hace es mirar el contenido
de dichos archivos cada cierto tiempo (2 segundos por defecto) y si en ellos aparece alguna
frase previamente configurada, tal como que alguien ha accedido a la máquina, lo que hace
es ejecutar algún comando con esa frase, como por ejemplo sacarla por pantalla.
2.5.2. DEFINICIÓN DE BUFFER
Espacio reservado de memoria. Las posiciones de memoria que ocupa son consecutivas,
por lo que podemos indexarlo.
En realidad, nos podemos referir a un buffer como un array o vector que ya conocemos de
sobra en Pascal o C.
36
2.5.3. ORGANIZACIÓN DE LA MEMORIA
La memoria que el Sistema Operativo asigna a nuestro proceso está dividida en tres zonas:
Veamos que función cumple cada una de las zonas:
• Texto: Contiene el código ejecutable del proceso.

• Datos: En esta zona se encuentran las variables de tipo global que nuestro programa
utiliza. Éstas pueden estar inicializadas o no.
• Pila: Se muestra en la figura 8.
Figura 8.- Asignación de estructura de datos.
2.5.4. LA PILA
Se supone que se conoce qué es una pila (de la asignatura de Estructura de Datos). De todas
formas repasemos qué es lo que caracteriza esta estructura: el último elemento añadido a la
pila será el primero en salir, esto se conoce con el acrónimo de LIFO (Last-In-First-Out).
La primera pregunta que nos viene a la cabeza es seguramente, ¿para qué sirve la pila? Pues
bien, nada menos que las siguientes funciones:
Alojar funciones o procedures y sus respectivas variables (las llamadas variables locales).
Para pasar valores tanto del programa principal a la función como de la función al
programa principal.
Y aquí llega la idea feliz: ¿qué pasaría si por alguna "casualidad" metiésemos más datos el
buffer de los que puede alojar? Pues bien, sobrescribiríamos la dirección de retorno,
haciéndola apuntar hacia otra parte de la memoria. Si realmente se ha tratado de una
casualidad, lo más probable es que la nueva dirección a la que apuntamos este fuera de
nuestro espacio reservado de memoria, produciendo un error de segmento (Segmentation
37
Fault). Ahora podemos decir que hemos producido una sobrecarga de buffer (buffer
overflow).
Pero nuestro objetivo es romper la seguridad del sistema, por lo que a nosotros nos interesa
es que dicho programa ejecute el código que nos venga en gana. Seguramente nos
toparemos con el problema de que lo que queremos ejecutar no se encuentra entre las
instrucciones del programa. La solución es fácil: simplemente desbordaremos el buffer con
el código que queremos ejecutar y haremos que la dirección de retorno apunte al principio
de éste.
El problema con los sistemas operativos multiusuario radica en que en algunos momentos
para realizar determinadas tareas necesitas mayores privilegios (privilegios de root), puesto
que dichas tareas no están permitidas a los usuarios normales, tal como cambiarte el
password, etc... La solución a este problema esta en que en lugar de darle total control sobre
el sistema (privilegios de root) para realizar esa tarea, realizar un programa que se encargue
de hacer solo lo que el usuario necesita con mayores privilegios. Para hacer esto lo único
que tenemos que hacer es indicarle al sistema operativo que cuando ese programa se ejecute
lo haga con privilegios de súper usuario, a dichos programas se les denomina SUID. (Super
User ID). Queda aclarar que dicha indicación solo puede ser hecha por el root, y queda
almacenada en disco.
2.5.5. EQUIPOS VULNERABLES
Cuando una maquina es atacada y tiene no sólo un programa vulnerable, sino que además
se podía abusar de él sin ni siquiera tener cuenta de usuario en el ordenador.
El problema se encuentra en el dominio de ftp, es decir, en el programa que hace de

servidor cuando nos conectamos para transmitir archivos. Más concretamente, en la función
MKD que sirve para crear un directorio en la máquina remota, la cual tiene un buffer
overflow.
2.5.5.1. UNA VEZ DENTRO
Los objetivos que suelen perseguir la mayoría de los intrusos son dos:
• No ser percibidos por el administrador del host.

• Asegurar la permanencia dentro del sistema en el futuro.
38
2.5.5.2. INVISIBILIZACIÓN:
Hasta ahora la actividad no ha pasado ni mucho menos desapercibida para la máquina, que
ha estado guardando cuidadosamente TODAS las acciones hechas. Veamos donde ha
grabado esta información:
• /var/log/secure -- Nuestra dirección IP y el servicio que hemos

utilizado, que es el ftp.
• /var/log/messages -- TODOS los comandos que se han ejecutado
desde que esta conectada.
• /var/log/wtmp -- Desde donde ha estado conectados y durante cuanto
tiempo.
• /var/log/utmp -- Usuarios que están conectados en el momento actual
al sistema.
Para borrar nuestros rastros lo que hacemos es usar un editor cualquiera, como el vi, pero
solo de los archivos /var/log/secure y /var/log/messages.
2.5.5.3. INSTALACIÓN DE LA PUERTA TRASERA.
La puerta trasera (backdoor) nos permitirá volver a entrar en el sistema sin la necesidad de
volver a aprovechar el fallo de seguridad antes descubierto. Esto se hace por dos razones:
una, es más cómodo y dos, el fallo puede ser corregido, pero si la puerta trasera es buena,
seguiremos teniendo acceso. Además también puede estar hecha de tal manera que no deje
rastros al entrar, lo cual es también una ventaja, puesto que no nos tendremos que
preocupar de borrar nuestras huellas, ya que no dejaremos ninguna al entrar así.
El backdoor más simple es dejar un shell o programa similar escuchando en un puerto de la

máquina. El único problema que plantean las soluciones más simples es que son las más
fáciles de encontrar, por lo que no convendría errar en la elección.
2.6. OPERATIVA DE SISTEMAS.
Dentro de la operativa de sistemas deben de contemplarse, el establecimiento de controles

en cada uno de los siguientes rubros:
Cifras control de los sistemas.
• Controles administrativos
• Controles de respaldo
39
2.7 PLANES DE CONTINGENCIA.
El objetivo general que se persigue con el establecimiento de planes de contingencia, es el

de contar con procedimientos por escrito y claramente identificados para el manejo de
emergencias en caso de catástrofe o amenazas mayores para proteger al personal,
minimizar el daño a las instalaciones y equipo de procesamiento de datos y reducir la
magnitud de la interrupción del servicio.
Contingencia es toda aquella posibilidad de que una cosa suceda y que a su vez genere
riesgo y peligro.
Para realizar un buen plan de prevención se debe:
• Conocer las posibles amenazas

• Las acciones más adecuadas para contrarrestarlas
Es importante estar consientes que en todos sistema de transferencia de información, en

donde los diferentes equipos se encuentran interconectados a través de una red de
telecomunicaciones, existen posibilidades internas y externas, de que se vea afectado, ya
sea al alterarse la información que circula por el o por quedar inutilizado.
El plan de contingencia es un conjunto de procedimientos alternativos a la operación

normal, que le permita a su organización seguir operando, aún cuando alguna de sus
funciones deje de hacerlo por una falla.
Las causas pueden ser:
• Un problema con las computadoras de la organización.

• Una falla en la entrega de información o insumo básico por
parte de terceros
• La falta de provisión de servicios básicos tales como energía
eléctrica, gas, agua y telecomunicaciones.
Para elaborar un plan de contingencia la dirección de la empresa debe de:
• Analizar los factores de riesgos

• Elaborar las contramedidas para evitarlos y reducirlos.
• Elaboración de etapas de prevención.
40
Existen rubros muy marcados que tienen que ser considerados en diferentes etapas de
prevención (ver tabla 7).
Evaluación
Planificación Fase de prevención
Pruebas
Ejecución
Fase de reacción ante la falla
Recuperación
Tabla 7. Etapas de prevención.
Todo plan de contingencia debe de contener:
1.- Plan de emergencia

2.- Plan de respaldo
3.- Plan de recuperación
4.- Programa de registros vitales
1.- Plan de emergencia.- Es el establecimiento de controles para contener el daño, debe de

contemplarse todos los desastres naturales y eventos mal intencionados.
Mecanismos: Detectores de humo, de calor, alarmas, circuitos cerrados de TV, etc.
2.- Plan de respaldo.- El plan de respaldo debe de contener el mantenimiento de partes

críticas entre la pérdida del servicio y/o recurso y su recuperación o restauración. Para ello
deben de tenerse las siguientes consideraciones: Capacidad de respaldo, Ambientes
requeridos, Aplicación por aplicación y procedimiento por procedimiento.
Mecanismos: Equipo de respaldo, centros alternos de respaldo, etc.
3.- Plan de recuperación.- El plan de recuperación consiste en la restauración temporal o

permanente de una capacidad operacional crítica, para lo cuál es necesario una estrategia de
recuperación por cada recurso identificado.
Mecanismos: Planta física, facilidades de comunicación, etc.
4.- Programa de registros vitales.- Es la parte vital en la sección de datos del plan de
recuperación, su objetivo es proteger datos esenciales y preservar aquellos registros
necesarios para restablecer las operaciones.
La elaboración de un informe final sobre los resultados del plan de contingencia y

actualizarlos si es necesario periódicamente.
41
Por ultimo podemos decir que el mejor plan de contingencia es aquel que se adecua a las
necesidades de la empresa, (ver tabla 8).
La seguridad en los sistemas de producción

Objetivos Metas
- Implementar medidas de seguridad - Garantizar la suficiencia
- Eficiencia
- Cumplimiento de los controles manuales
- Controles automatizados
- Esquemas de seguridad a usuarios
- Consistencia de la información
- Administración de datos
- Seguridad de datos
- Mantenimiento de los datos.
- Cubrir de manera general: - Totalidad
- Exactitud
- Autorización
- Mantenimiento
- Oportunidad
- Utilidad de la información.
Tabla 8.-Objetivos de los sistemas de producción.
2.8. SEGURIDAD EN EL DESARROLLO DE SISTEMAS.
El desarrollo se refiere a todas las actividades que entran en la producción de una solución
de sistemas de información para un problema o una oportunidad institucional.
Algunos aspectos importantes a considerar en la seguridad de desarrollo son:
• Ambiente de desarrollo
• Ambiente de Pruebas
• Ambiente de producción
Teniendo como objetivo: Implantar medidas de seguridad tendientes a disminuir los riesgos
antes de la liberación del producto.
Los aspectos de seguridad que deben de abarcarse, son:
Políticas y procedimientos, Metodologías, Estándares, Pistas de Auditoria, Candados
2.9. SEGURIDAD EN REDES Y TELECOMUNICACIONES.
La finalidad de establecer aspectos de seguridad en redes y telecomunicaciones es con

objeto de garantizar un servicio eficiente, seguro y confiable, como se muestra en la tabla 9:
42
ASPECTOS META
Administración -La administración en telecomunicaciones debe ser lo suficientemente fuerte, para
establecer estándares y procedimientos.
- Deben de existir adecuados registros para documentar y controlar los inventarios del
equipo de telecomunicaciones y administrar los cambios del equipo.
- Deben de existir procedimientos para monitorear el uso de la red, para hacer ajustes o
mejorar el performance y registrar y resolver cualquier tipo de problemas.
- Deben de existir procedimientos controlar a los costos de las telecomunicaciones y
cargarlos a los departamentos y personas adecuadas.
- El administrador deberá de tomar un rol activo en el diseño y desarrollo de las
nuevas aplicaciones en la línea para asegurar que se sigan los estándares de
telecomunicaciones.
Seguridad Física - El equipo de comunicaciones deberá de ser mantenida en un área segura para
prevenir accesos indebidos.
- Las líneas de comunicaciones deberán de ser debidamente blindadas y protegidas
para prevenir “conexiones indebidas”.
- El equipo de prueba a las comunicaciones usando para monitorear la red, debe de ser
protegido para limitar accesos indebidos.
- El plan de contingencia debe de proporcionar una adecuada atención a la
recuperación de las facilidades de comunicaciones de datos.
Seguridad Lógica - Deben de existir password y otros procedimientos para limitar y detectar cualquier
intento de acceso no autorizado para utilizar la red de telecomunicaciones.
- Las facilidades de chequeo de errores deberán de existir para detectar errores en la
transmisión y establecer retransmisiones si es apropiado.
- Si son transmitidos datos sensibles, el sistema debería de usar facilidades para
establecer nuevas rutas automáticamente, para limitar cualquier conexión a los cables
de la señal que no sea autorizada, así como controles para asegurar que las
transmisiones solo son para usuarios autorizados.
Tabla 9.- Aspectos que deben considerarse en la seguridad

de redes y telecomunicaciones.
43
CAPITULO III
AUDITORÍA EN SISTEMAS DE INFORMACIÓN.
44
3.1. TIPOS DE AUDITORÍA.
Cuando se habla de Auditoria, la mayor parte de la gente los enfoca a la Auditoria de los
estados financieros, sin embargo actualmente se ha observado una creciente tendencia a
revisar otros aspectos como son:
• AUDITORIA FINANCIERA
• AUDITORIA OPERACIONAL
• AUDITORIA ADMINISTRATIVA
Podremos leer a continuación lo que se persigue en cada una de estas clasificaciones de

Auditoria, conociendo además conceptos que manejan la Auditoria Interna y la Externa,
con objeto de tener un marco de referencia sobre la nueva función DE AUDITORÍA EN
SISTEMAS DE INFORMACIÓN.
¿Qué es una auditoria financiera?
La Auditoria de estados financieros, es la más conocida y desarrollada dentro del campo

empresarial, su objetivo primordial es el de examinar a los estados financieros de la
entidad, asegurándose que dichos resultados presenten en forma razonable, la situación
financiera y los resultados de las operaciones de conformidad con los principios de
contabilidad, generalmente aceptados.
Dentro de algunas definiciones tenemos:
“Auditoria es la actividad por la cual se verifica las cifras de los estados financieros, es la
revisión misma de los registros y fuentes de contabilidad, para determinar la razonabilidad
de las cifras que muestran los estados financieros emanados de ella".
¿Qué es auditoria operacional?
La Auditoria operacional persigue el objetivo de presentar recomendaciones que tiendan a

incrementar la eficiencia en las entidades en que se practique.
Dentro de alguna definición tenemos:
45
"Es el servicio que presta el contador público independiente, cuando examina ciertos
aspectos administrativos, con la intención de hacer recomendaciones para incrementar la
eficiencia operacional de la entidad".
¿Qué es auditoria administrativa?
La Auditoria administrativa persigue el objetivo de detectar posibles errores, deficiencias o

irregularidades en los factores del proceso administrativo.
Dentro de alguna definición tenemos:
"Auditoria administrativa puede definirse como un examen completo y constructivo de la

estructura organizativa de una empresa, institución o departamento y de sus métodos de
control, medios de operación y empleo que de a sus recursos humanos y materiales".
Conociendo los tres conceptos anteriores se puede preguntar ¿qué es auditoria en sistemas
de información?
Es una amplia revisión tecnológica para establecer controles y disminuir el riesgo,

garantizando seguridad, confiabilidad y exactitud en la información.
En algunas declaraciones tenemos:
“La auditoria en sistemas de información debe de ocupar el número uno en prioridad ya que
es indispensable para obtener la información en las que se basan las demás auditorias.”
3.2. AUDITORIA INTERNA.
Es aquella que se desarrolla internamente, por empleados permanentes de una organización.
La Auditoria Interna a su vez, se efectúa mediante el empleo de uno de los dos métodos
siguientes:
Donde las transacciones se revisan en detalle, en forma deliberada.
Donde el auditor se apoya sobre el sistema de comprobación interna que se tenga normado
dentro de la organización, para comprobar la exactitud de las transacciones.
3.3. AUDITORIA EXTERNA.
Es aquella que se da por auditores profesionales contratados para tal efecto y que no
pertenecen a la organización donde se realizará la auditoria.
46
Los resultados finales, tanto de la Auditoria Interna o Externa, son siempre los mismos;
determinar la exactitud e integridad de la información.
3.4. NORMAS, TÉCNICAS Y PROCEDIMIENTOS DE AUDITORÍA.
Las normas de Auditoria, son los requisitos mínimos de calidad relativos a la personalidad
del auditor, las actividades que desempeña y los resultados que se esperan obtener de su
trabajo. Cada empresa puede definir sus propias normas para el personal del área de
Auditoria.
Dentro de las normas tenemos:
a).- NORMAS PERSONALES.
Las normas personales, son cualidades que el auditor debe de tener antes de poder asumir
un trabajo profesional, además de cualidades que también debe de mantener y enriquecer
durante el desarrollo de toda su actividad profesional.
El auditor antes de iniciar su trabajo, debe de tener una preparación y capacidad que lo
coloquen en condiciones de prestar satisfactoriamente sus servicios.
Las normas personales se clasifican en:
1) Entrenamiento técnico y capacidad profesional.
La preparación o entrenamiento debe de ser técnica y representa la adquisición de los

conocimientos y habilidades que son necesarias para el desempeño del trabajo del auditor y
la capacidad debe de ser profesional, misma que requiere de una madurez de juicio que no
se logra con el simple entrenamiento técnico, sino que es logrado con base en la
experiencia.
2) Cuidado y diligencia profesional.
Es necesario además, que el auditor al desempeñar su trabajo, ponga la atención, el cuidado

y la diligencia que se espera para el buen cumplimiento de sus trabajos, con un sentido alto
de responsabilidad.
3) Independencia mental.
Es un requisito fundamental derivado de la propia naturaleza del profesionalismo del

auditor y consiste en que el auditor debe de mantener un juicio imparcial en todos los
asuntos relativos al desempeño de su trabajo, señalando las situaciones que en sentido
estricto expresen los hechos reales que los resultados reflejan.
47
b).- NORMAS RELATIVAS A LA EJECUCIÓN DEL TRABAJO.
Los elementos básicos que integran estas normas, son:
1) Planeación y supervisión.
Consiste en la planeación adecuada de la Auditoria a efectuar y de la supervisión que hay

que realizar a los subalternos, estos se realizan mediante técnicas elegidas por el auditor y
que va depurando conforme a su experiencia.
2) Estudio y evaluación del control.
El auditor debe de estudiar y evaluar la situación general de la empresa o área a revisar, a

fin de determinar los procedimientos de Auditoria que van a aplicarse en cada etapa de la
revisión y fijar la extensión y oportunidad de la Auditoria.
3) Obtención de evidencia suficiente y competente.
Esta norma le indica al auditor la necesidad de contar con la evidencia comprobatoria

suficiente y competente de los hechos, con objeto de fundamentar su opinión.
3.5. TÉCNICAS DE AUDITORÍA.
Para levantar información, el auditor necesita realizar investigaciones que, en último

resultado, tiendan a darle la convicción que requiere como base de su opinión, mismas
opiniones que deberán de tener la evidencia suficiente y competente. Los procedimientos
de investigación y de pruebas que el auditor realiza para lograr obtener la información y
comprobación necesarias para su opinión es lo que se le denomina técnicas de auditoria.
En general las técnicas de auditoria se agrupan en los siguientes rubros:
1) Estudio general
2) Análisis
3) Inspección
4) Confirmación
5) Investigación
6) Declaración o certificación
7) Observación
8) Cálculo
Todo esto a través del uso de la computadora
48
3.5.1. TÉCNICAS DE AUDITORÍA EN SISTEMAS DE INFORMACIÓN.
Dentro de las técnicas de auditoria en sistemas de información, que pueden ser aplicables
para todas las áreas de participación de la misma, tenemos las siguientes:
1) Utilización de software de apoyo, por ejemplo: hoja de cálculo, procesador de palabras,

etc.
2) Software en el mercado, para apoyo a auditoria, como: programas de extracción de

información, etc.
3) Utilización del hardware desarrollado para dar información
4) Herramientas de diagramación, con apoyo de la computadora a manuales.
5) Transferencia de información de equipos grandes a microcomputadoras.
6) Apoyo de software y hardware, para evaluar el nivel de suficiencia de controles.
7) Herramientas de programas de control de acceso.
8) Programas de Auditorias generalizados.
9) Programas de Auditorias especializadas.
10) Utilización de equipos de prueba.
11) Inclusión dentro del desarrollo de sistemas, módulos propios del área de Auditoria.
12) Técnicas de auditoria operacional y/o administrativa, mencionadas con anterioridad.
3.6. PROCEDIMIENTOS DE AUDITORÍA.
Se llama procedimientos de auditoria, al conjunto de técnicas que utiliza el auditor para el

examen de una partida o conjunto de hechos y circunstancias.
En la práctica muchas veces es imposible establecer sistemas rígidos de prueba para

examinar los datos, por lo que los procedimientos de auditoria los selecciona el auditor de
acuerdo a su criterio.
Sin embargo, en ciertos casos hay algunas técnicas cuya aplicación, salvo circunstancias
absolutamente excepcionales, es necesaria para obtener una certeza razonable.
49
3.7. ESTRUCTURA ORGÁNICA DE AUDITORÍA EN SISTEMAS DE
INFORMACIÓN.
Existen diferentes criterios para la determinación de la estructura orgánica del área de la

Auditoria en sistemas de información, ya que las mismas se establecen de acuerdo a las
necesidades propias de la empresa, de manera general el personal se encuentra estructurado
de la siguiente manera:
1) Integrado
2) Integrado orientado a proyectos
3) Totalmente orientado a proyectos.
Los proyectos vienen siendo las áreas de participación del auditor en sistemas de
información.
Dentro de la institución la Auditoria en Sistemas de Información depende estructuralmente

de la dirección general, llegando a encontrarse en ocasiones como un área más de la
Auditoria pero es muy importante que no se llegue a considerar dentro de otro tipo de
auditoria.
3.8. METODOLOGÍA DE AUDITORIA.
Existen dos formas de llevar a cabo una revisión; una de ellas es una revisión programada,
y la otra es una revisión especial, para la revisión programada de manera general deben
seguirse los siguientes pasos:
• Actividades previas (actividades de escritorio)

• Conocimiento general del área a revisar.
Deberá de realizarse una inmersión al área o sistema a revisar, conociendo la cantidad de

equipos, tipos de equipo, software utilizado, estructura del área, cableado, etc.
• Definición de objetivos y alcances.
Al inicio de toda revisión se deben de establecer claramente los objetivos que se pretenden
alcanzar y el alcance esperado a cubrirse durante la revisión.
• Preparar el programa de trabajo.
Se deben de establecer las fechas de inicio y final de la revisión, las actividades a cubrir y
los tiempos estimados de cada actividad. (Gráfica de Gantt).
50
• De ser necesario, preparar una carta de presentación.
Deberá de realizarse una carta de presentación firmada por el representante del área de
auditoria y dirigida al responsable del área a revisar, indicando en ella el motivo de la
revisión.
• Conocimiento previo sobre las políticas y procedimientos existentes.

(normatividad).
Verificar y conocer la existencia de alguna normatividad vigente a donde se dicten la

observancia obligatoria de controles y con ello preceder a preparar pruebas de
cumplimiento y material de apoyo para revisar el acatamiento de las mismas.
• Preparación de pruebas de cumplimiento.
En ésta fase se deberá de preparar el material suficiente para la realización de todo tipo de
pruebas generales y especificas, necesarias para cubrir el alcance de la revisión.
• Preparación de material de apoyo.
En ésta fase, deberá de prepararse los cuestionarios, checklist, etc.; así como cédulas de
observación, matrices de apoyo, etc. que apoyarán durante la revisión.
La revisión especial es aquella cuando se sospecha de malos manejos o usos, de los

sistemas de información. Los mecanismos los estable las necesidades para el fin
perseguido, es por ello que se considera especial, ya que no tiene fecha y hora.
3.9. ACTIVIDADES INTERMEDIAS. (Actividades de Campo)
Protocolos de presentación.
Tanto al inicio como al final de toda revisión, existen protocolos de presentación paro lo
cual es conveniente tener presente:
3.9.1. Ayudas para la Comunicación.
l. Forma pasiva de escuchar
2. Respuesta de reconocimiento
3. Abre puertas, invitaciones a hablar
4. Forma activa de escuchar (retroalimentación)
51
3.9.2. Obstáculos de la Comunicación.
l. Ordenar, dirigir, mandar
2. Advertir, amenazar
3. Moralizar, sermonear
4. Enseñar dar argumentos ilógicos
5. Juzgar, criticar, estar en desacuerdo, culpar
6. Elogiar, dar evaluaciones positivas sin bases para ello
7. Poner apodos, uniformar, ridiculizar
8. Interpretar, analizar, diagnosticar anticipadamente
9. Compadecer, consolar
10. Apartar, distraer, mostrarse sarcástico, condescender, etc.
3.9.3. Levantamiento de Información.
En esta etapa el auditor se apoya en el material desarrollado para conseguir la información

aplicando las diferentes técnicas de auditoria.
El levantamiento de información, nos permitirá conocer los puntos que nos lleven al
objetivo y alcance planteado inicialmente.
3.9.4. Pruebas de Cumplimiento.
En esta etapa deben de realizarse las pruebas de cumplimiento, definidas con anterioridad.
3.9.5. Análisis de Información.
En esta etapa es donde se requiere de mayor experiencia del auditor para detectar
debilidades de control. Es aquí donde se debe de identificar las observaciones, a través del
análisis de la información recabada (checklist, cuestionarios, pruebas de cumplimiento,
etc.) Aquí también es donde se deben de determinar las causas e impactos.
52
3.9.6. Papeles de Trabajo.
Toda la información recabada que constituye un elemento de evidencia para las

observaciones detectadas, deberán de ser referencias en un expediente que se le denominará
papeles de trabajo.
3.9.7. Confirmación de Observaciones.
Es contar con la evidencia completa de lo que el auditor observó en su evaluación. En otras

palabras, consiste en realizar investigaciones que, en último resultado, tiendan a darnos la
convicción que se requiere como base de la opinión del auditor, misma que puede utilizarse
para ello las técnicas de auditoria de confirmación de observaciones ó cédula de
observación, además de ser una herramienta formal y evidencia final, que a su vez permite
tener la prueba de que la debilidad encontrada también fue comentada con la persona
responsable.
La cédula de observación es por lo tanto, la debilidad que se observa y que se plasma en

dicha cédula a fin de comentarla con el responsable y obtener su comentario y firma.
3.10. ACTIVIDADES POSTERIORES (Actividades de Escritorio)
3.10.1. Identificación de Niveles de Riesgo.
Al respecto, es necesario identificar el nivel de riesgo a que está expuesta el área que se está
revisando, a través de un análisis y un peso a cada una de las observaciones. Los niveles de
riesgo existentes, son:
a) Inminente, cuando el problema está presente, o en su defecto puede generar

pérdidas cuantiosas a la institución
b) Potencial, cuando el problema aún no está presente pero es muy probable que ocurra
y
c) Controlable, es cuando es poco probable que ocurra o puede generar pérdidas
mínimas a la institución. (El riesgo, viene siendo el impacto de la observación
detectada).
3.10.2. Consolidación de Niveles de Riesgo.
Después de haber identificado los niveles de riesgo, es necesario consolidar ó agrupar

observaciones comunes, con objeto de presentar agrupadas las debilidades y sugerencias y
mismos que servirán para generar el informe correspondiente.
53
3.10.3. Elaboración del Informe Correspondiente.
El producto final del auditor es su informe, por lo éste deberá de elaborarse con, objetividad
y diligencia profesional.
El contenido que deberá llevar es el siguiente:
De manera general contiene una breve introducción, objetivo cubierto, alcance cubierto,
restricciones si es que las hubo, presentación de las observaciones ya clasificadas por riesgo
y agrupadas por rubro revisado, es conveniente mencionar su causa, el impacto y la
sugerencia (donde la sugerencia debe de referirse a la causa), al final deberá de contarse
con una conclusión.
3.10.4. Actividades Finales de Papeles de Trabajo.
Deberá de integrarse y referenciarse los últimos papeles de trabajo (Informe, flujogramas,

matrices, etc.), recordando que los papeles de trabajo constituyen un conjunto de cédulas y
documentos que el auditor obtuvo y en los que hará constar la descripción y el resultado de
las pruebas realizadas y es la única comprobación para soportar lo mencionado en los
informes.
3.11. AREAS DE PARTICIPACION DE AUDITORIA EN SISTEMAS DE

INFORMACIÓN.
Existen diferentes criterios para la determinación de área de participación, algunos criterios

son la revisión hecha en base a las funciones o al nivel del sistema o la consecuencia de
actividades o la combinación de las funciones, etc.
Otro factor importante, independiente al criterio para la clasificación de las áreas de

participación, es el alcance que el propio auditor debe de darle a su revisión, donde el
auditor en sistemas de información debe de definir cuál será el área objeto de estudio.
Esta definición puede ser desde luego un área completa de participación, o bien puede
concretarse a la revisión de un solo elemento, componente, procedimiento, etc.
3.12. DESARROLLO Y MODIFICACIÓN DE SISTEMAS.
El buen o mal diseño de un sistema de información, determinará su utilidad a la empresa y

hará que esta lo integre o lo rechace.
El auditor en sistemas de información debe de participar sugiriendo el establecimiento de

controles en cada una de las etapas del desarrollo de sistemas.
54
El objetivo general que se persigue es disminuir los riesgos antes de liberar el sistema. Por
lo tanto el auditor en sistemas debe de conocer las fases en que se desarrolla un sistema de
información.
Algo importante a tener en cuenta es que existen varios métodos de desarrollo de sistemas,
cada empresa cuenta o debe de contar con su propia normatividad para el desarrollo de
sistemas.
3.13. SISTEMAS EN PRODUCCIÓN.
Los sistemas en producción son un conjunto de procedimientos manuales y computarizados

interrelacionados entre sí y que persiguen un objetivo en común, además de que constituyen
un sistema que produce información relacionada con cierto tipo de operaciones o
actividades que las empresas requieren.
Los sistemas en producción incluyen la información de las empresas, en cuyo

procesamiento interviene una computadora, en esta área, el auditor en sistemas de
información deberá de tener un conocimiento general del sistema a auditar (aspectos
manuales y aspectos computarizados) antes de iniciar su revisión. De esta manera, se podrá
determinar aquellas funciones o módulos críticos a la que habrá necesidad de darle un
alcance mayor.
Al auditar los sistemas en producción se deben de perseguir los objetivos de totalidad,

exactitud, autorización, oportunidad, mantenimiento y utilidad de la información.
3.14. CENTROS DE CÓMPUTO.
Un centro de procesamiento electrónico de datos es la unidad organizacional de una

empresa en la cuál se realizan actividades de proceso de datos, mediante la utilización de
una o más computadoras.
El auditor en sistemas de información deberá de efectuar, entre otras actividades, la

revisión a los siguientes rubros:
1) Administración.
2) Seguridad lógica del equipo de cómputo.
3) Seguridad física del equipo de cómputo.
4) Operatividad de los sistemas en producción.
5) Controles generales y operativos de las comunicaciones.
55
Al respecto, el auditor en sistemas de información a través de las técnicas de auditoria
deberá de efectuar actividades que le permitan contar con elementos de juicio, para emitir
una opinión en relación a la forma de operar y la suficiencia de controles establecidos en el
centro de cómputo.
La revisión que se efectúe a los sistemas en producción y aspectos de comunicaciones,

deberán de ser aspectos generales que apoyan para ligar riesgos y responsabilidades en un
centro de cómputo.
3.15. INGENIERIA PARA REALIZAR AUDITORÍA.
En esencia, los trabajos de Auditoria no han variado, sin embargo, la tecnología moderna
ha evolucionado los medios para realizar la misma.
“El auditor en sistemas de información aparte de que debe de estar familiarizado con la
organización y funciones de cada una de las áreas y operaciones que se realizan en la
empresa donde trabaje, requiere de conocimientos de electrónica, computación y de
informática”.
Lo anterior es debido a que aquellos procedimientos repetitivos pueden ser sujetos de

automatización.
Además la automatización puede ser muy útil, ya sea por la complejidad del proceso o por
el volumen de la información a auditar.
Otro enfoque que hace la necesidad de contar con esta área de oportunidad es la falta de
pistas de auditoria al utilizar los reportes de un sistema que se encuentra en producción o
bien necesidades propias del área de auditoria.
3.15.1. EN REDES Y TELECOMUNICACIONES.
Con la rápida expansión de las telecomunicaciones se ha visto afectada la vulnerabilidad de

la información que viaja a través de las redes de comunicaciones.
Este es uno de los aspectos que mas se han descuidado en materia de seguridad, aunque ya
actualmente se habla de sistemas de encriptamiento, de control de acceso, protección de
datos, etc.
Como uno de los objetivos a seguir es, el control y la revisión continua de accesos a la
información en línea, sugiriendo el establecimiento de controles en: Identificación.
Autorización y Protección.
56
Como aspectos generales debe de cubrirse: administración. seguridad lógica, seguridad
física y planes de contingencia.
3.16. ADMINISTRACIÓN Y FINANZAS EN SISTEMAS DE INFORMACIÓN
Esta área de participación integra adquisición de equipo de cómputo, sistema de

información, proyectos informáticos, proyectos electrónicos, recursos humanos, etc. es
decir todas las asesorías y diagnósticos que se proporcionan en apoyo a las labores de los
sistemas.
Algunos de los elementos susceptibles de ser auditados, son:
• Adquisición de Hardware
• Adquisición de Software
• Sugerencia sobre la normatividad
• Socios con el área de seguridad de sistemas
• Controles generales administrativos de los equipos de cómputo
• Condiciones de seguridad generales, etc.
Esta área de participación, es conveniente que por su delicadeza, sea auditada por personal
de alto nivel del área de Auditoria en sistemas de información, asimismo está área en la
mayoría de veces tiende a involucrar a las demás áreas de participación.
57
CAPÍTULO IV
PERFIL PROFESIONAL DEL AUDITOR EN
SISTEMAS DE INFORMACIÓN, HERRAMIENTAS
PARA AUDITORIA Y SU EVALUACIÓN
58
4.1. INGENIERÍA EN INSTRUMENTACIÓN ELECTFRÓNICA.
El ingeniero en instrumentación electrónica que desee ser auditor de sistemas de

información, cuenta con muchas herramientas que lo ponen en un lugar privilegiado
respecto a otras carreras, ya que cuentan con los conocimientos en técnicas
administrativas, aplicación de software, aplicación y mantenimiento de hardware, analiza,
diseña e implementa nuevas y modernas tecnologías, sin embargo tendrá que obtener
cursos sobre Ingeniería de Software y cursos de interpretación de estados financieros de
alto nivel.
Teniendo áreas de oportunidades como las que se describen a continuación:
4.2. EXPERTO EN DESARROLLO DE PROYECTOS.
Para ser experto en desarrollo de proyectos se necesita dirigir proyectos dentro y fuera de
una institución, industria u organismos. Al ser líder de proyectos se tienen riesgos,
objetivos y metas creando una mejor visión sobre los controles que se quieren implementar
para tener mayor seguridad en la información.
4.3. ACTUALIZADO EN LAS ÚLTIMAS TECNOLOGÍAS.
Hoy la electrónica crece en una forma exponencial, por tal motivo se tiene que estar
actualizando en forma permanente a través de revistas, periódicos, libros, Internet, etc.
Tratando con esto de proponer las mejores y adecuadas tecnologías en el uso y

manipulación de la información.
4.4. EXPERTO EN BASE DE DATOS Y ADMINISTRACIÓN DE LAS MISMAS.
Se debe tener conocimiento de las bases de datos y su administración conociendo los

programas que existen para crear éstas por ejemplo SQL Server, Access, etc.
4.5. EXPERTO EN APLICACIÓN Y MANIPULACIÓN DE HARDWARE
Se tiene que tener bien identificado el hardware para su implementación en el momento

adecuado que llegara a surgir un problema, como también un conocimiento amplio en
servidores, arquitectura de cableado, pc´s, terminales tontas, Impresoras para redes,
impresoras locales, en general cualquier tipo de tarjeta controladora.
59
4.6. EXPERTO EN SOFTWARE DE COMUNICACIÓN
El conocimiento en software de comunicación a través de Intranet, extranet, redes

satelitales o Internet, es de gran relevancia ya que por medio de ellos se obtiene la
interacción de información, algunos de ellos son: Windows NT, Windows 2000, Novell,
etc.
Al mismo tiempo se tiene que crear una protección en lo posible a través de “filtros”
denominados cortafuegos (firewalls) o proxies que limitan el paso de paquetes, a personas
no autorizada para el uso de ellas, estableciendo restricciones y alertas.
4.7. EXPERTO EN EXPLOTACIÓN Y GESTIÓN.
Saber explotar al máximo el software y el hardware ya que es de gran relevancia para

cualquier organización, como también es de gran importancia tomar decisiones en el
momento adecuado, gestionando siempre en pro del mejoramiento institucional.
4.8. HERRAMIENTAS PARA UNA AUDITORIA.
• Cuestionarios.
• Entrevistas.
• Observación/Investigación.
• Simulación.
• Checklists.
• Conocimiento en ingeniería de Hardware
• Conocimiento en ingeniería de Software.
• Conocimientos en ingeniería del Conocimiento.
• Conocimientos en estados financieros de alto nivel.
• Narrativos de problemas claves en la organización.
• Herramientas CASE
• Técnicas de desarrollo progresivo.
60
CUESTIONARIO
1. ¿Existe una lista de proyectos de sistema de procedimiento de información y fechas
programadas de implantación que puedan ser considerados como plan maestro?
2. ¿Está relacionado el plan maestro con un plan general de desarrollo de la

dependencia?
3. ¿Ofrece el plan maestro la atención de solicitudes urgentes de los usuarios?
4. ¿Asigna el plan maestro un porcentaje del tiempo total de producción al reproceso o

fallas de equipo?
5. Escribir la lista de proyectos a corto plazo.
6. Escribir una lista de sistemas en proceso periodicidad y usuarios.
7. ¿Quién autoriza los proyectos?
8. ¿Cómo se asignan los recursos?
9. ¿Cómo se estiman los tiempos de duración?
10. ¿Quién interviene en la planeación de los proyectos?
11. ¿Cómo se calcula el presupuesto del proyecto?
12. ¿Qué técnicas se usan en el control de los proyectos?
13. ¿Quién asigna las prioridades?
14. ¿Cómo se asignan las prioridades?
15. ¿Cómo se controla el avance del proyecto?
16. ¿Con qué periodicidad se revisa el reporte de avance del proyecto?
17. ¿Cómo se estima el rendimiento del personal?
18. ¿Con qué frecuencia se estiman los costos del proyecto para compararlo con lo
presupuestado?
19. ¿Qué acciones correctivas se toman en caso de desviaciones?
61
20. ¿Qué pasos y técnicas siguen en la planeación y control de los proyectos?
Enumérelos secuencialmente:
( ) Determinación de los objetivos.
( ) Señalamiento de las políticas.
( ) Designación del funcionario responsable del proyecto.
( ) Integración del grupo de trabajo.
( ) Integración del comité de decisiones.
( ) Desarrollo de la investigación.
( ) Factibilidad de los sistemas.
( ) Análisis y valuación de propuestas.
( ) Selección de equipos.
21. ¿Se llevan a cabo revisiones periódicas de los sistemas para determinar si aún
cumplen con los objetivos para los cuales fueron diseñados?
De análisis Si ( ) No ( )
De programación Si ( ) No ( )
Observaciones
22. Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que el
departamento de informática podría satisfacer las necesidades de la dependencia,
según la situación actual.
4.9 CONTROL DE DISEÑO DE SISTEMAS Y PROGRAMACIÓN
El siguiente cuestionario se presenta como ejemplo para la evaluación del diseño y prueba
de los sistemas:
1. ¿Quiénes intervienen al diseñar un sistema?

· Usuario.
· Analista.
· Programadores.
· Operadores.
· Gerente de departamento.
· Auditores internos.
· Asesores.
· Otros.
2. ¿Los analistas son también programadores?
SÍ ( ) NO ( )
3. ¿Qué lenguaje o lenguajes conocen los analistas?
4. ¿Cuántos analistas hay y qué experiencia tienen?
5. ¿Qué lenguaje conocen los programadores?
6. ¿Cómo se controla el trabajo de los analistas?
7. ¿Cómo se controla el trabajo de los programadores?
62
8. Indique qué pasos siguen los programadores en el desarrollo de un programa:
· Estudio de la definición ( )
· Discusión con el analista ( )
· Diagrama de bloques ( )
· Tabla de decisiones ( )
· Prueba de escritorio ( )
· Codificación ( )
· ¿Es enviado a captura o los programadores capturan? ( )
· ¿Quién los captura?______________________________
· Compilación ( )
· Elaborar datos de prueba ( )
· Solicitar datos al analista ( )
· Correr programas con datos ( )
· Revisión de resultados ( )
· Corrección del programa ( )
· Documentar el programa ( )
· Someter resultados de prueba ( )
· Entrega del programa ( )
9. ¿Qué documentación acompaña al programa cuando se entrega?
ENTREVISTA A USUARIOS
1. ¿Considera que el Departamento de Sistemas de Información de los resultados

esperados?-
Si ( ) No ( )
¿Por que?
2. ¿Cómo considera usted, en general, el servicio proporcionado por el Departamento
de Sistemas de Información?
Deficiente ( )
Aceptable ( )
Satisfactorio ( )
Excelente ( )
¿Por que?
3. ¿Cubre sus necesidades el sistema que utiliza el departamento de cómputo?
No las cubre ( )
Parcialmente ( )
La mayor parte ( )
Todas ( )
¿Por que?
4. ¿Hay disponibilidad del departamento de cómputo para sus requerimientos?
Generalmente no existe ( )
Hay ocasionalmente ( )
Regularmente ( )
Siempre ( )
¿Por que?
63
5. ¿Son entregados con puntualidad los trabajos?
Nunca ( )
Rara vez ( )
Ocasionalmente ( )
Generalmente ( )
Siempre ( )
¿Por que?
6. ¿Que piensa de la presentación de los trabajadores solicitados al departamento de
cómputo?
Deficiente ( )
Aceptable ( )
Satisfactorio ( )
Excelente ( )
¿Por que?
7. ¿Que piensa de la asesoría que se imparte sobre informática?
No se proporciona ( )
Es insuficiente ( )
Satisfactoria ( )
Excelente ( )
¿Por que?
8. ¿Que piensa de la seguridad en el manejo de la información proporcionada por el
sistema que utiliza?
Nula ( )
Riesgosa ( )
Satisfactoria ( )
Excelente ( )
Lo desconoce ( )
¿Por que?
9. ¿Existen fallas de exactitud en los procesos de información?
¿Cuáles?
10. ¿Cómo utiliza los reportes que se le proporcionan?
11. ¿Cuáles no Utiliza?
12. De aquellos que no utiliza ¿por que razón los recibe?
13. ¿Que sugerencias presenta en cuanto a la eliminación de reportes modificación,
fusión, división de reporte?
14. ¿Se cuenta con un manual de usuario por Sistema?
Si ( ) No ( )
15. ¿Es claro y objetivo el manual del usuario?
Si ( ) No ( )
16. ¿Que opinión tiene el manual?
Nota: Pida el manual del usuario para evaluarlo.
17. ¿Quién interviene de su departamento en el diseño de sistemas?
18. ¿Que sistemas desearía que se incluyeran?
19. Observaciones:
64
4.10. DOCUMENTACION
• No existe (no pagan por eso. no hay tiempo: el eslabón mas débil, no gusta
documentar. el nuevo enfoque de la programación)
• Existe pero esta desactualizada
• Existe, es actual, pero no se utiliza. paradoja: existen programas bien
documentados pero que fallan y otros con documentación deficiente pero
funcionan con seguridad. ¿PARA QUE DOCUMENTAR?:
• La documentación disminuye la obsolescencia.
4.11. EVALUACIÓN DE SISTEMAS
Comprende dos cosas:
• La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se
debe revisar si realmente los sistemas están entrelazados como un todo o si están
aislados.
• Evaluar si existe un plan estratégico para su elaboración.
El plan estratégico deberá contener:
• Estrategia de desarrollo.
• Consulta a los usuarios.
• Planeación de recursos.
• El plan deberá establecer los servicios que se prestarán en un futuro.

• La estrategia de desarrollo deberá establecer las nuevas aplicaciones y recursos
que proporcionará la dirección de informática y la arquitectura en que estarán
fundamentados.
• En cuanto a la consulta a usuarios, el plan debe definir los requerimientos de
información de la organización.
Los sistemas deben ser evaluados de acuerdo al ciclo de vida que normalmente siguen:
• Requerimientos del usuario.

• Estudio de factibilidad.
• Análisis.
• Diseño lógico.
• Desarrollo.
• Pruebas.
65
Los sistemas deben ser evaluados de acuerdo al ciclo de vida que normalmente siguen:
• Implementación.
• Evaluación.
• Modificaciones.
• Instalación.
• Mejoras.
4.12. EVALUACIÓN DEL ANÁLISIS
En esta etapa se evalúan las políticas, procedimientos y normas que se tienen para
llevar a cabo el análisis.
Se evalúa la planeación de las aplicaciones, que pueden provenir de 3 fuentes:
• Planeación Estratégica
• Requerimientos de los usuarios
• Inventario de sistemas en proceso.
4.12.1. EVALUACIÓN DEL ANÁLISIS (2)
• Se evalúa la obtención de datos sobre la operación.

• Flujo.
• Nivel.
• Jerarquía de la información que se tendrá a través del sistema.
• Límites e interfases con otros sistemas.
4.13. EVALUACIÓN DEL DISEÑO LÓGICO
• Se evalúan las especificaciones del sistema (¿qué deberá hacer?, ¿cómo lo

deberá hacer?, secuencia y ocurrencia de los datos, el proceso y la salida de
reportes.
• Analizar la participación del usuario y en su caso, de auditoria interna.
• Comparar el diseño con lo que se está obteniendo.
4.13.1. EVALUACIÓN DEL DISEÑO LÓGICO (2)
Los puntos a evaluar del diseño son:
• Entradas
• Salidas
66
• Procesos
• Especificaciones de datos
• Especificaciones de proceso

• Métodos de acceso
• Operaciones
• Manipulaciones de datos
• Proceso lógico necesario para producir informes

• Identificación de archivos, tamaño de los campos y registros.
• Proceso en línea y su justificación
• Frecuencia y volumen de información
• Sistemas de seguridad

• Sistemas de control
• Responsables
• Número de usuarios
Dentro del estudio de los sistemas en uso debe solicitarse:

• Manual del usuario
• Descripción de flujo de información
• Descripción y distribución de información
• Manual de formas
Dentro del estudio de los sistemas en uso debe solicitarse:

• Manual de reportes
• Lista de archivos y especificación
67
4.13.7 EVALUACIÓN DEL DISEÑO LÓGICO (8)
Lo que debemos determinar en el sistema:
En el procedimiento:
• ¿Quién hace, cuándo y cómo?
• ¿Qué formas se utilizan en el sistema?
• ¿Son necesarias, se usan, están duplicadas?
• ¿El número de copias es el adecuado?
• ¿Existen puntos de control o faltan?
En los diagramas de flujo:

• ¿Es fácil de usar?
• ¿Es lógica?
• ¿Se encontraron lagunas?
• ¿Hay faltas de control?
En las formas de diseño:

• ¿Cómo está usada la forma en el sistema?
• ¿Qué tan bien se ajusta la forma al procedimiento?
• ¿Cuál es el propósito, por qué se usa?
• ¿Es necesaria, se usa y quién la usa?
4.14. EVALUACIÓN DEL DESARROLLO
Se auditan:
• Los programas y su diseño

• El lenguaje utilizado
• Interconexión de los programas
• Características del hardware empleado para el desarrollo del sistema.
68
4.15. EVALUACIÓN DE LA IMPLEMENTACIÓN
Se auditan:
• La prueba integral del sistema

• Adecuación
• Aceptación del usuario
• Capacitación a usuarios.
4.15.1. EVALUACIÓN DE LA IMPLANTACIÓN (2)
Deben indicarse cuáles puntos se toman en cuenta para la prueba de un sistema:
• Prueba particular de cada programa

• Prueba por fase de validación-actualización
• Prueba integral del paralelo
• Prueba en paralelo.
69
CONCLUSIONES
70
Podemos concluir diciendo que vivimos en la era de la tecnología digital donde existen
cambios nunca antes imaginados y donde la información pasó a ser la parte fundamental de
toda empresa e industria.
Es por eso que en el primer capítulo analizamos los riesgos desde el punto de vista que
ocurra algún evento negativo tanto interno como externo ahí mismo, se estableció la
mecánica de controles en los dos aspectos internos y externos, dando una idea clara y
precisa que para cada riesgo debe existir un control. Por lo tanto se establecieron controles
que deben ser aplicados, llamándole Seguridad en los Sistemas de Información.
La seguridad de la información no se circunscribe únicamente a los Sistemas de

Información, las personas que usan dichos sistemas pueden abrir agujeros de seguridad de
forma inadvertida o con intenciones maliciosas.
Una Auditoria de seguridad interna detecta y resalta todos los problemas que puedan surgir
en su infraestructura telemática y en el uso que sus empleados hacen de ella.
El objetivo principal de esta auditoria es evaluar e identificar los puntos fuertes y débiles de
la seguridad de su empresa, y a partir de estos resultados adoptar una política de seguridad
adaptada a su entorno.
Por otro lado, si la empresa ya posee una política de seguridad, deberá auditar
periódicamente que ésta se cumpla, comprobando la correcta configuración de sus sistemas
de seguridad y el uso que le dan sus empleados.
Utilizando herramientas automáticas y ataques manuales, el equipo de seguridad estudiará y

analizará en distintas fases todos los elementos que componen sus Sistemas de
Información, cubriendo la evaluación de la seguridad en todos los niveles de la empresa.
Estamos convencidos que las personas que cubren en su mayoría el perfil son los egresados
de la facultad de instrumentación electrónica por tal motivo proponemos que se agregue al
campo de aplicación de estos el de auditor en Sistemas de Información.
71
APÉNDICE
72
Apéndice
Aplicación de tema propuesto
Dependencia: COBAEV
Área: Departamento de Tecnología de Información
Se reviso primeramente si existe una lista de proyectos de Sistemas de Información en el

Departamento de tecnología de Información.
DESARROLLO DE CADA AREA
Tecnología en Comunicaciones
La comunicación es una herramienta para alcanzar objetivos estratégicos, ya que la practica

y medios de comunicación son instrumentos que apoyan a los logros de objetivos.
Entendemos al ejercicio de la comunicación como estrategias claras para aumentar la
productividad y la calidad de las organizaciones.
El área de comunicaciones tendrá como responsabilidad los siguientes proyectos.
1.- Establecer una comunicación rápida y confiable entre los tres edificios que componen a
las oficinas centrales del colegio de Bachilleres.
2.- Instalar conmutadores telefónicos enlazados, de igual forma plantear una estrategia para
brindar un servicio de comunicación entre oficinas centrales y los 52 plantes, esto a
través de telefonía IP. (La telefonía IP convierte el computador en un teléfono.
3.- La implementación del Internet en todos los planteles y la correcta aplicación del
programa e-México.
4.- Reestructuración de los centros de cómputo y sus redes locales en cada uno de los
planteles.
73
5.- Estrategias de Seguridad y detección de Intrusos en la red.
6.- Desarrollar una página de Internet del COBAEV dinámica y actualizada, que facilite la
información a padres de familia, alumnos, maestros y personal administrativo, con la
finalidad de ofrecer un servicio vanguardista de acuerdo a la dinámica tecnológica que
existe hoy día.
7.- Buscar alternativas de solución para una correcta aplicación en el programa Cisco-
Lania, a través de la capacitación de redes y Comunicaciones, en el entorno laboral
aplicado, de igual forma buscar nuevas alternativas para esta capacitación ya que la
Universidad Veracruzana cuenta dcon ella en una forma eficiente.
8.- Implementación de reingeniería en los servidores que prestan el servicio de Internet,

para brindar un uso adecuado de correos electrónicos, aplicación de una mensajería
instantánea interna e implementación de sniffer (buscador de red) para búsquedas de
problemas o saturación de información.
Soporte Técnico
Las Nuevas Tecnologías plantean muchas e interesantes posibilidades. No es posible

quedarse al margen, pues se corre el riesgo de claudicar ante la competencia. Pero supone
un riesgo importante no meditar cada paso cuidadosamente. Son necesarios planes de
integración a medio plazo y de resolución de contingencias para conseguir una adaptación
progresiva y meditada al tren tecnológico. Además, debido a la rápida evolución del
mercado no siempre resulta posible mantenerse al día. Surgen nuevas necesidades que
tenemos que cubrir y nuevos riesgos que debemos prever. Es inherente contar con el
asesoramiento de expertos en tecnología sobre necesidades reales.
El área de soporte técnico tiene como responsabilidad los siguientes proyectos
1.- Promover la optimización en la utilización de los Sistemas Operativos y Equipo de

Cómputo, con el fin de minimizar el tiempo y los recursos gastados en el manejo de los
mismos, así como maximizar su productividad, confiabilidad y rendimiento.
2.- Ofrecer un servicio de atención oportuna a los reportes presentados por los usuarios.
3.- Sugerir las propuestas idóneas para la adquisición de hardware y software, con el fin de
brindar su opinión calificada.
74
4.- Relacionar la existencia y ubicación de los equipos instalados, para mantener un
adecuado control de los bienes informáticos que se poseen en el Colegio de
Bachilleres.
5.- Definir lineamientos de seguridad y acceso a los sistemas, con el fin de salvaguardar su
integridad y/o asegurar el uso de las licencias correspondientes.
6.- Actualizar al personal en información basada en las nuevas tecnologías y herramientas

de software y hardware, para aprovechar los adelantos tecnológicos que se presentan.
8.- Revisar que el software instalado esté actualizado y funcionando adecuadamente, con
el objeto de proporcionar un servicio adecuado a los usuarios.
9.- Implementar una pagina que contenga soporte en línea para todos los planteles.
Informática
A lo largo de los últimos años, el crecimiento del Colegio de Bachilleres es notorio y

exige por tanto aplicaciones informáticas que desarrollen nuevos mecanismos para el
análisis, diseños, desarrollos de sistemas, implementación y administración de sistemas
integrales, que ofrezca información en las diferentes áreas, rápida y confiable, de igual
forma se tenga la información necesaria para las tomas de decisiones, dando a los
medios de trabajo una redundancia en la mejoría de su eficiencia. Obviamente, buena
parte de este proceso modernizador, pasa necesariamente por el desarrollo generalizado
de todos aquellos medios y avances tecnológicos a los que se van teniendo acceso.
El área de Informática tiene como responsabilidad los siguientes proyectos.
1. Desarrollar una estrategia de reorganización de información en el departamento de

Recursos Humanos, con la intención de diseñar un programa que facilite la
ejecución de la nomina, nombramientos, plantillas de docentes, SAR., ISSSTE,
declaración anual, en general las tomas de decisiones.
2. Establecer políticas de acceso a la información de pagos a personal y cultura de

respaldo de información privilegiada.
3. Desarrollar un programa que facilite el pago de inscripción en los planteles,

coordinado directamente a través del departamento de Recursos Financieros.
75
4. Fortalecer en forma dinámica los programas de Planeación, Programación y
Presupuesto, consolidando la información, para obtener balances en momentos
deseados.
5. Desarrollar un programa para el control de inventarios, abarcando, plantel, No. de

resguardo, fechas de compra, depreciación y actualización.
6. Implementación de un mecanismo informático que brinde la información fiable de

las entradas y salidas de almacén.
7. Implementación de una pagina web, que brinde información consolidada y fiable

del Departamento de Control escolar hacia todos los padres de familia, incluyendo
boleta de calificaciones, reportes, comentarios de los profesores y sugerencias
académicas.
Al aplicar una Auditoria al departamento, se obtuvieron los siguientes resultados:
CUESTIONARIO
23. ¿Existe una lista de proyectos de sistema de procedimiento de información y fechas

programadas de implantación que puedan ser considerados como plan maestro?
R= Si, cada área cuenta una lista de proyectos, pero no cuenta con fecha de
ejecución.
24. ¿Está relacionado el plan maestro con un plan general de desarrollo de la
dependencia?
R= No, solo se encuentra vinculado con algunas áreas de acuerdo a sus
necesidades.
25. ¿Ofrece el plan maestro la atención de solicitudes urgentes de los usuarios?
R=Si, pero solo en el área de Soporte Técnico
26. ¿Asigna el plan maestro un porcentaje del tiempo total de producción al reproceso o
fallas de equipo?
R=No, no existe un plan de reingeniería de procesos.
27. Escribir la lista de proyectos a corto plazo.
R= Bueno no se encuentras catalogados en un plan de corto, mediano o largo
plazo.
28. Escribir una lista de sistemas en proceso periodicidad y usuarios.
R= No, ese análisis documental no se lleva
29. ¿Quién autoriza los proyectos?
R= Cada área de acuerdo a sus necesidades
30. ¿Cómo se asignan los recursos?.
R= Se propone a la junta directiva para q sean autorizados.
31. ¿Cómo se estiman los tiempos de duración?
R= No existen fechas establecidas para la entrega de los sistemas.
32. ¿Quién interviene en la planeación de los proyectos?
R= El área de cómputo asesorado por un miembro del departamento.
76
33. ¿Cómo se calcula el presupuesto del proyecto?
R= No hay un calculo, se determina de acuerdo a las necesidades.
34. ¿Qué técnicas se usan en el control de los proyectos?
R= Ninguna
35. ¿Quién asigna las prioridades?
R= El encargado del proyecto.
36. ¿Cómo se asignan las prioridades?
R= De acuerdo a las urgencias.
37. ¿Cómo se controla el avance del proyecto?
R= No hay un control.
38. ¿Con qué periodicidad se revisa el reporte de avance del proyecto?
R= No existe un calendario de reportes.
39. ¿Cómo se estima el rendimiento del personal?
R= No se toma en cuenta.
40. ¿Con qué frecuencia se estiman los costos del proyecto para compararlo con lo
presupuestado?
R= No existe esa comparación.
41. ¿Qué acciones correctivas se toman en caso de desviaciones?
R= Volver a modificar la codificación del sistema.
42. ¿Qué pasos y técnicas siguen en la planeación y control de los proyectos?.
Enumérelos secuencialmente:
(4 ) Determinación de los objetivos.
(3 ) Señalamiento de las políticas.
(1 ) Designación del funcionario responsable del proyecto.
(2 ) Integración del grupo de trabajo.
( ) Integración del comité de decisiones.
( ) Desarrollo de la investigación.
( ) Factibilidad de los sistemas.
( ) Análisis y valuación de propuestas.
( ) Selección de equipos.
43. ¿Se llevan a cabo revisiones periódicas de los sistemas para determinar si aún
cumplen con los objetivos para los cuales fueron diseñados?.
De análisis Si ( ) No ( x )
De programación Si ( ) No ( x )
Observaciones: No se prevén. Se hacen modificaciones al sistema cuando surgen
las necesidades.
44. Incluir el plazo estimado de acuerdo con los proyectos que se tienen en que el
departamento de informática podría satisfacer las necesidades de la dependencia,
según la situación actual.
R=No hay plazos estimados, pero sí muchas necesidades.
77
Se practicó una evaluación y prueba de los sistemas, teniendo como resultado lo siguiente:
1. ¿Quiénes intervienen al diseñar un sistema?

· ( ) Usuario.
· ( x ) Analista.
· ( x ) Programadores.
· ( ) Operadores.
· ( ) Gerente de departamento.
· ( ) Auditores internos.
· ( x ) Asesores.
· ( ) Otros.
2. ¿Los analistas son también programadores?
SÍ ( ) NO ( x)
3. ¿Qué lenguaje o lenguajes conocen los analistas?
R= Ninguno
4. ¿Cuántos analistas hay y qué experiencia tienen?
R= 8, algunos tienen 11 años de experiencia
5. ¿Qué lenguaje conocen los programadores?
R= Visual fox
6. ¿Cómo se controla el trabajo de los analistas?
R= Ocasionalmente con una depuración de datos.
7. ¿Cómo se controla el trabajo de los programadores?
R= Comprobando manualmente el resultado a donde se quiere llegar.
8. Indique qué pasos siguen los programadores en el desarrollo de un programa:

· Estudio de la definición ( )
· Discusión con el analista (1 )
· Diagrama de bloques ( )
· Tabla de decisiones ( )
· Prueba de escritorio ( )
· Codificación (4 )
· ¿Es enviado a captura o los programadores capturan? ( 3 )
· ¿Quién los captura? El usuario
· Compilación ( )
· Elaborar datos de prueba (5 )
· Solicitar datos al analista (2 )
· Correr programas con datos (6 )
· Revisión de resultados (8 )
· Corrección del programa ( 9)
· Documentar el programa ( ) No se documenta
· Someter resultados de prueba (7 )
· Entrega del programa (10 )
9. ¿Qué documentación acompaña al programa cuando se entrega?
R= Los resultados impresos.
78
Se consideraron todos los aspectos antes señalados para realizar una entrevista a 50
usuarios, teniendo como resultado los siguientes datos:
1.- Consideran que el departamento de sistemas de información no puede ofrecer resultados

fiables, por no tener un calendario de actividades para cada sistema.
2.- El servicio que proporciona el departamento de sistemas de información es aceptable.
3.- No cubre todas las necesidades que requiere cada uno de los departamentos.
4.- Los trabajos nunca son entregados en tiempo y forma.
5.- No proporciona asesoría al usuario final.
6.- La seguridad en el manejo de la información es nula.
7.- Existen deficiencias en las bases de datos.
8.- No existe un manual de usuario.
9.- La mayoría del personal no está enterado de los proyectos programados por el
departamento de tecnología de información.
Se revisó si existe documentación de acuerdo a los avances en cada uno de los proyectos.
Encontrado como respuesta que no existe documentación por que no le ha sido requerida
por ningún jefe inmediato.
De acuerdo a los resultados obtenidos en el departamento de tecnología de información del

COBAEV, se propone incluir un plan estratégico que contenga los siguientes rubros.
1.- Estrategia de desarrollo; se deben establecer nuevas aplicaciones, y reingeniería de

procesos.
2.- Consulta a usuarios; el plan debe definir los requerimientos de información de las
necesidades.
3.- Planeación de recursos.
4.- Definir proyectos a corto, mediano y largo plazo; con fechas establecidas de inicio y
término del proyecto.
5.- Establecer ciclos de vida de los sistemas.
6.- Desarrollar una parrilla ovar para cada uno de los sistemas.
7.- Manual de usuario; cada sistema implementado debe de tener un manual para el usuario
final.
8.- Desarrollar un sistema de seguridad; la información se encuentra a la deriva y puede ser
usada con mal fin.
9.- Estandarizar el lenguaje de desarrollo y la forma de documentar en cada uno de los
sistemas.
10.- Contar con hardware adecuado en cada uno de los procesos.
11.- Pruebas en paralelo, en la implementación o actualización de cada uno de los procesos.
Podemos concluir diciendo que es urgente implementar controles suficientes para disminuir
los riesgos que generan las bases de datos en el uso de la información, protegiendo de esta
forma el patrimonio de la institución.
79
BIBLIOGRAFÍA
80
• Desarrollo y Gestión de Proyectos Informáticos
Steve Mc Connell
Mc Graw-Hill Interamericana de España, S.A.V.
1ª Edición 1997.
• Soluciones Microsoft de Comercio Electrónico

Brenda Kienan
Mc Graw-Hill / Interamericana de España, S.A.V.
1ª Edición 2000.
• Diseño de Sistemas de Información (Teoría y Práctica)

Burch . Grudnitski
Editorial Limusa S.A. de C.V.
7ª Reimpresión 1999.
• Alvin A. Arens. Año 1995. Auditoria un Enfoque Integral
• Li, DH., Auditoría en los Centros de Cómputo
• Micheletti, La Computación Permite Auditoria
• Moeller, Robert R., Computer Audit, Control, and Security, Wiley, 1989
• Musaij, Yusufali F., Auditing and Segurity, John Wiley and Sons, Inc., 2001
• Royal P. Fisher, La Seguridad en los Sistemas Informáticos
• Strategic Management of Technology and Innovation by Robert A. Burgelman,

Modesto A. Maidique, Steven C. Wheelwringht Hardcover – 1008 pages 3ª
Edition (July 26, 2000) Mc Graw-Hill Higher Education
• The Speeds of Change in the Connected Economy Stan Davis, Christopher

Meyer.
81
• Weill, Peter Marianne Broadbent. Leveraging the New Infrastrusture:How
Market Leader Capitalize on Technology. Editorial: Harvard Business School
Press.
• Strategic Management of Technolo-gy and innovation, Burgelman, Maidique,

Wheerwrigth, 2ª Edition. The Strategic Management of Tech-nological
innovation, Ed. R. Loveridge, M. Pitt. Innovation and Enterpreneurship, P.
Drucker. Take the lead, D. Boddy, D. Buchanan. PH-UK, 1992.
• OGC Quality Management for IT Services ISBN
• Fundamentos de Redes. Microsoft
• Análisis y Diseño de Sistemas- Kendall, Kenneth and Kendall, Julie, 3ª Edición,

Ed. Preyince Hall Hispanoamericana S.A., México, 1991.
• Auditoria Informática en la Empresa- Acha Iturmendi, Juan José – Madrid

Editorial Paraninfo, 1994
• Auditoria y Seguridad en los Sistemas de Computación – Nardelli, Jorge – Bs.

As. Editorial Cangallo, 1984.
• Diseño de Sistemas de Información - Burch, Jhon G. And Grundnisky, Gary,

Ed. Megabyte, México 1992.
• Técnicas de la Auditoria Informática – Derrien y Ann, Madrid, Marcombo S.A.,

1994.
82
REFERENCIAS EN PÁGINAS WEB
83
• http://www.map.es/csi/criterios/index.html
• http://www.m-d-n.com/sistemas-informatizados/LEY-PROTECCION-
DATOS/LOPD.html
• http://www.bcentral.es/partner/s21sec/auditoriadmz/?gsid
• www.eniac.com/fraude_mar01
• http://www.iec.csic.es/criptonomicon/seguridad/mecanism.html
• http://tiny.uasnet.mx/prof/cln/der/silvia/index.htm
• http://www.gratisweb.com/nmrg291/ronaldmitre.htm
• www.rediris.es/cert/doc/unixsec/node25.html
• http://www.cisco.com
• http://www.wi-lan.com
• www.noticias.com/noticias/2001/0108/n01082735.htm
• http://www,sumanet.com/harvard/biometria.htm
• http://www.lafacu.com/apuntes/informatica/audit%5Finfor
• www.imf.org/external/pubs/ft/fandd/spa/2002/09/pdf
• http://www.delitosinformaticos.com
• http://www.cepes.org.pe/apc-aa/archivos-
aa/1e60354f4717edb9fb793dbc5219499d/politica2004.pdf
• http://www.pcm.gob.pe/portal_ongei/seguridad2_archivos/Lib5158/Libro.pdf
84
• http://www.csi.map.es/csi/fr340001.htm
• http://www.s-ig.com.ar/pages/indice.html
• http://www.it.uc3m.es/~spickin/docencia/sisinf
• http://www.oecd.org
• http://www.eclac.cl/software/cepal8d.htm
• http://ccia.ei.uvigo.es/docencia/SSI/VPN.pdf
85
GLOSARIO DE TERMINOS
86
(1) TECNOLOGIAS
Es el uso de un conocimiento científico para especificar modos de hacer cosas de un

modo reproducible, podríamos decir que, mas que herramientas generadoras de productos
finales, son procesos científicos cuyo principal objetivo es la generación de conocimientos,
que a la postre incidirán en los modos de vida de las sociedades, no solo en un ámbito
técnico o especializado, sino principalmente en la creación de nuevas formas de
comunicación y convivencia global.
(2) El RIESGO
Es aquel en el cual las diferencias en los sistemas de información o controles

internos produzcan perdidas inesperadas, esta asociado a errores humanos, fallas en los
sistemas y a la existencia de procedimientos y controles inadecuados.
(3) FUNDACIÓN ARTURO ROSENBLUETH
Es una Institución académica, con un amplio prestigio en el campo de la

computación aplicada, los sistemas de información y la Tecnología Informática, por su
vinculación y contribución al desarrollo nacional en un amplio espectro de actividades.
Adoptó el nombre del Doctor Arturo Rosenblueth como reconocimiento a la labor de este
científico mexicano que participo en el desarrollo de la Cibernética y que estableció el
Centro de Estudios Avanzados del Instituto Politécnico.
(4) CONTROLES
Son diseñados e implementados con el fin de detectar, en un plazo deseado,

cualquier desviación respecto a los objetivos de rentabilidad establecidos para cada
empresa y prevenir cualquier evento que pueda evitar el logro de los objetivos, la obtención
de la información confiable, oportuna, fomentando la eficiencia, reducen el riesgo de
pérdida de valor de los activos y ayudan a garantizar la confiabilidad de los estados
financieros y el cumplimiento de las leyes y normas vigentes.
87
(5) DINAMICA METORICA DEL CAMBIO
Es la relación directa entre la información y la tecnología, patente en nuestras

estructuras sociales de hoy. Estructuras conformadas por maquinas y sistemas que tratan la
información dentro de un complejo estructural. Esa condición es además patente en todas
las construcciones de facto, tanto a nivel micro como macro dentro de la realidad
instrumentada que vivimos en la actualidad. Realidad, que se siente sin embargo menos
patente en la búsqueda y definición, en esta dinámica, del significado, valor y sobre todas
las consecuencias profundas que el sistema tecno-información irá a tener en los aspectos
estratégicos y de largo plazo para determinar el desarrollo y el futuro camino de la
humanidad. Aspectos integrales y determinantes que están en relación con las alternativas
de supervivencia y las posibilidades evolutivas del ser humano. Los estudios y las
comparaciones de maquinas y humanasen su acción de tratar la información permite sobre
todo observar en núcleos, etapas, elementos y unidades como la información se organiza y
se hace selectiva para dar lugar al conocimiento y sus apreciaciones representativas,
interpretadas y modeladas en torno a toda realidad observada. Proceso que no solo permite
observar una condición presente a ser aplicada, o también permite analizar las relaciones
históricas que devienen de una información conocida acompañada de su enorme caudal
contextual, sino también proyectar o modelar un futuro.
(6) CONFIABILIDAD
Se puede definir como la capacidad de un producto de realizar su función de la

manera prevista. De otra forma, la confiabilidad se puede definir también como la
probabilidad en que un producto realizará su función prevista sin incidentes por un período
de tiempo especificado y bajo condiciones indicadas.
(7) HACKERS
Son invasores electrónicos que ingresan a las computadoras corporativas y del

gobierno usando contraseñas robadas o deficiencias de seguridad en el software del sistema
operativo. Lo más común es que solo estén motivados por la curiosidad y el reto intelectual.
(8) BANCOS DE DATOS
Se considera en determinados contextos que podrían considerarse sinónimos de

bases de datos, pero siempre se refieren a una industria, a un producto o a un servicio y que
se diferencian de otros ficheros preexistentes por el uso de la información en su
constitución, producción, mantenimiento y exteriorización.
88
Destaca que esta nueva técnica permite un gran salto cualitativo permitiendo el desarrollo
de las bases de datos relacionadas, estas organizan los datos mediante tablas permitiendo la
búsqueda de determinados datos a partir de atributos establecidos.
(9) MAINFRAME
Es un termino de la industria para una computadora grande, fabricada típicamente

para compañías grandes de usos comerciales y de otros propósitos que computen
información n grande, ya que pueden controlar muchos dispositivos de E/S.
(10) MINI-COMPUTADOR
Es una maquina multiusuario (es decir que usa la técnica de tiempo compartido). Es
mas pequeño y económico que un microcomputador, pero mayor y mas potente que una
computadora personal.
(11) MICROCOMPUTADORA
PC (Personal computer). Computador habitualmente monousuario (aunque puede

configurarse para usuarios múltiples) de propósito general. En una micro se monta el
microprocesador, los circuitos electrónicos para manejar los dispositivos periféricos y los
chips de memoria de un solo tablero de circuitos, el tablero de sistema o tablero madre
(mother borrad). El microprocesador y los otros chips se montan en una portadora antes de
fijarlos a la tarjeta madre. Las portadoras tienen conectores de agujas de tamaño estándar
que permiten se conecte los chips en el tablero de sistema. La PC puede ser de escritorio o
portátil. Dentro de las computadoras encontramos: Laptop, Notebook y Palmtop.
(12) CONTINUIDAD FUNCIONAL
Es el seguimiento transparente del trabajo diario después que ocurrió un desastre, un

atraco o una pérdida de información. La funcionalidad se da con respecto a los controles en
la seguridad de la información.
(13) AUTENTICACIÓN BIOMETRICA
Es el reconocimiento de un usuario por medio de características únicas de cada

persona y opera en base a características físicas o del comportamiento de cada usuario, es
decir, parámetros prácticamente inseparables del individuo como son: impresiones digitales
o huellas dactilares, cara, geometría de las manos y dedos, iris, retina, voz, firma, etc.
89
90

Manual Gestion Conocimiento

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Manual Gestion Conocimiento

Uploaded by

Copyright:

Available Formats

INTRODUCCION

• Seguridad en los sistemas de información.

La Auditoria en sistemas de información es tan importante que es un hecho perfectamente

Describiremos principalmente los controles en un ambiente de procesamiento electrónico

•el 44% de los delitos corresponden a casos de fraude.

•El FBI (Federal Bureau of Investigation calcula que las probabilidades de un

(1) y (2) ver glosario de términos.

• la oportunidad que brinda el sistema.

Algunos avances en materia sobre sistemas de información, se tiene:

El 75% respondió no conocer al respecto, el 15% más o menos, el 5% no opinó y el 5%

¿Comprensión sobre lo que significa la seguridad en sistemas de información? El 53% tiene

(3) ver glosario de términos.

No Familiarizado con el Concepto

Figura 2.- Comprensión del significado de seguridad

SEGURIDAD EN SISTEMAS DE INFORMACIÓN.

La Seguridad en Sistemas de Información, como función siempre ha existido, desde la

Es necesario contar en México con personal capacitado en seguridad física, seguridad

Hoy en día hemos pasado de la era de la computación a la era de la información, donde la

Como activos en los sistemas de información, tenemos:

Como responsables de los sistemas de información, tenemos:

El objetivo es proteger el patrimonio de la institución, entendiendo por tal, instalaciones,

AUDITORÍA EN SISTEMAS DE INFORMACIÓN.

Los grandes volúmenes de información, el avance de la tecnología y el consecuente

La Auditoria en sistemas de información, puede definirse como “la revisión analítica a la

La Auditoria en sistemas de información se puede considerar como una especialidad que

(4), (5) y (6) ver glosario de términos.

Otro aspecto de los auditores en sistemas de información es su capacitación continua. Es

Así el auditor en sistemas de información, parte de la existencia de normas, políticas y

Como ejemplo de áreas de participación de Auditoria en sistemas de información tenemos:

Realmente el área de auditoria en sistemas de información, su objetivo es el de evaluar la

Seguridad establece controles, Auditoria evalúa y sugiere.

En algunas ocasiones es difícil diferenciar el papel de oficial de seguridad en sistemas de

Obviamente, la función de Seguridad de la Información y la del Auditor de Sistemas se

El auditor de sistemas debe de revisar regularmente las actividades de la Seguridad en la

El personal de Seguridad de la Información debe tener procedimientos formales escritos,

De la misma manera, el personal de Seguridad de la Información, puede funcionar como un

Si la comunicación entre las dos funciones está empezando a deteriorarse, teniendo

• COMUNICACIÓN. Los gerentes de ambos grupos deben reunirse regularmente

• ESFUERZO EN EQUIPO. Si se sospecha un fraude por computadora, ambos

• MUTUAMENTE INFORMADOS. Los reportes relevantes de Auditoria, así como

• ALIMENTACIÓN CRUZADA Y MÁXIMO IMPACTO. El Auditor debe ser

La clasificación tradicional que existe referente a los riesgos que amenazan a la

• Robo.- El robo puede realizarse al material, a los recursos o a la información.

• Sabotaje.- Manejando como riesgo interno, éste puede presentarse a través de

• Destrucción.- La destrucción puede hacerse a datos o a recursos, ésta a su vez puede

• Huelga.- Este riesgo puede impedir la operación del servicio completo.

Existen muchas definiciones, que en general concuerdan en lo mismo, una de estas es la

“El control es la observación y medición de la actuación comparándola con las normas

Otra definición, obtenida del documento “Auditoria de Aplicaciones”, es:

• Preventivo, detectivo y correctivo.

En el control interno, se puede delegar su práctica y/o ejercicio pero no la responsabilidad

Independientemente del ámbito de aplicación, el control interno persigue:

• La protección de los activos.

El sistema de control interno consiste de su plan de organización, la asignación de las

El control interno moderno se basa en una estructura que comprende:

c).-Los procedimientos de control, comprenden todas las políticas y procedimientos de la

La función de los sistemas debe de enfocarse a esfuerzos y recursos en la entrega y manejo

• Adhesión a las políticas predefinidas de la empresa.

Los nuevos riesgos de la información involucra, no sólo la pérdida o robo de algunos

Actualmente la mayoría de información de las empresas, es administrada, generada y

1.4. ANÁLISIS EVALUACIÓN DE RIESGOS VS. CONTROLES.

Es importante mencionar, que los riesgos definidos en el tema anterior, no surgen

Por ejemplo, analizando un incendio, el fuego en si no es un riesgo, el riesgo es la