Comercio Electrónico: "Riesgos y seguridad en los sistemas de información", por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

La Contabilidad
en la Era del
Auditoría informática
Conocimiento

· Portada
· Objetivos 1) Auditoría informática
· Apartados
Para verificar si se están aplicando las medidas de control más apropiadas
para la salvaguarda e integridad de la información y de los sistemas en
prevención de riesgos de fraude, pérdida, manipulación, fallos de servicio, etc.,
el papel de la auditoría informática es muy importante.
I SOFTWARE
SEGURIDAD
·¿Dónde encontrar La auditoría informática consiste en una revisión profunda y detallada de todos los
software? gratis elementos de que dispone una empresa en el área de sistemas de información.

II AUDITORIA
INFORMÁTICA Una "Guía de Seguridad Informática"
·Guía de seguridad
informática
·Regulación
internacional Ministerio de Administraciones públicas (http://www.csi.map.es/csi/criterios/
·Check list seguridad/index.html) [19 Ene 2007]

III RIESGOS y Esta publicación del Ministerio de Administraciones Públicas (MAP), recoge los requisitos fundamentales de la
seguridad informática, de cara a garantizar la integridad, la confidencialidad y la disponibilidad de los
MEDIDAS de
Sistemas de Información.
SEGURIDAD
·Auditoría de redes
·Diagnósticos de PC En su contenido destacan lo siguientes apartados:

»Errores ● Gestión global de la seguridad de la información

humanos ● Política de seguridad
·Evitar errores
● Organización y planificación de la seguridad
·Machacar ficheros
● Análisis y gestión de riesgos
»Fallos equipos ● Identificación y clasificación de activos a proteger
·Copias seguridad y ● Salvaguardas ligadas al personal
rotacion cintas ● Seguridad física
·Software de Backup ● Autenticación
● Confidencialidad
»Robo
·Check list ● Integridad
·Firewall ● Disponibilidad
·Antirobo internet ● Control de acceso
● Acceso a través de redes
»Virus
·Antivirus ● Firma electrónica
·Centinelas ● Protección de soportes de información y copias de respaldo
● Desarrollo y explotación de sistemas
»Sabotaje ● Gestión y registro de incidencias
·Espías
● Plan de contingencias
·Contraseñas ocultas
en asteriscos ● Auditoría y control de seguridad
·Registro de uso y
auditoría

»Fraude
·Direcciones de correo 2) Un "Check list" de Auditoría Informática
fraudulentas

»Desastres Para proyectar el desarrollo de la estrategia es necesario elaborar un plan de

naturales trabajo que permita medir el alcance de la auditoría en puntos clave y
administrar eficientemente los recursos de tiempo personal que sean
IV CIFRADO asignados. [comentario]
·Sniffer
»Clave única Web recomendada: Un ejemplo de Check List de seguridad referido a las páginas web, Guía del
·Proteger un documento Gobierno de Chile: (http://www.guiaweb.gob.cl/guia/checklists/seguridad.htm).

http://www.ciberconta.unizar.es/leccion/SEGURO/INICIO.HTML (1 de 8)18/06/2009 01:17:03 p.m.

 Comercio Electrónico: "Riesgos y seguridad en los sistemas de información", por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

»Clave doble
Se documentan las áreas de riesgo examinadas en esta auditoría, como por
·Software PGP
·Servidor claves
ejemplo:
públicas
·Firma digital
·Obtener certificado
PLANIFICACIÓN DE LA AUDITORIA

CENTRO DE CÁLCULO___________________________________
V SEGURIDAD
COMERCIO
ELECTRÓNICO OBJETIVO GENERAL DEL TRABAJO A REALIZAR__________
·Navegación anónima ______________________________________________________
·Borrar cookies ______________________________________________________
»SSL ______________________________________________________
·Candado
»Certificación ALCANCE DEL TRABAJO A REALIZAR (Áreas de Revisión)
·Consultar el certificado
»¡Auditores!
● Planificación y organización de sistemas.
·Webtrust
● Seguridad física y lógica
»SET
● Plan de contingencias y documentación
»Micropagos
● Origen, captura y validación de datos
»Consejos
● Procesamiento y actualización de datos
compra segura
● Salidas, utilización y control de resultados
● Integridad y seguridad de los sistemas y de los datos
● Terminales y comunicación de datos
·Reflexión
·Referencias

AUDITORES ASIGNADOS.
Supervisor_______________________ Senior ________________

Junior_________________________________________________

DURACION ESTIMADA______ Horas____ Días____ Semanas___

FECHA INICIACION______ FECHA TERMINACION_________

Y para cada punto a analizar se dispone de un listado con los objetivos y

procedimientos de auditoría. Por ejemplo, para el "sistema de aire
acondicionado" los objetivos y procedimientos de auditoría:

C. SISTEMA DE AIRE ACONDICIONADO (TEMPERATURA,

FILTRACION Y HUMEDAD)

Objetivo de Auditoría:

Verificar la suficiencia del sistema de aire acondicionado en cuanto a:

● Temperatura
● Ventilación
● Filtración
● Humedad
● Protección
● Respaldo

Procedimientos de Auditoría:

1. ¿Se usa el sistema exclusivamente para el centro de cálculo?

2. ¿Los revestimientos de los conductos y los filtros están hechos en materiales no combustibles?

http://www.ciberconta.unizar.es/leccion/SEGURO/INICIO.HTML (2 de 8)18/06/2009 01:17:03 p.m.

Comercio Electrónico: "Riesgos y seguridad en los sistemas de información", por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

3. ¿Se suministran reguladores de corrientes de aire contra incendio?

4. ¿El compresor está alejado del centro de cálculo?

5. ¿La torre de enfriamiento está suficientemente protegida?

6. ¿Existe un sistema de aire acondicionado de respaldo?

7. Las tomas de aire:

a. ¿Están cubiertas con mallas protectoras?

b. ¿Están ubicadas a mayor altura que el nivel de la calle?
c. ¿Están ubicadas para evitar que entren elementos contaminan tes o escombros?

3) Regulación internacional sobre Auditoría de Sistemas de

Información

En materia de Auditoría de Sistemas de Información existen varias

metodologías desde el enfoque de control a nivel internacional. Algunas
de las más importantes para los profesionales de la contabilidad y la auditoría
son:

● ISACA (COBIT)
● COSO
● AICPA (SAS)
● IFAC (NIA)
● SAC
● MARGERIT
● EDP

A) ISACA-COBIT

The Information Systems Audit and Control Foundation, ISACA (http://

www.isaca.org). Es la asociación lider en Auditoría de Sistemas, con 23.000
miembros en 100 países.

ISACA propone la metodología COBIT ® (Control Objectives for Information

and related Technology). Es un documento realizado en el año de 1996 y
revisado posteriormente, dirigido a auditores, administradores y usuarios de
sistemas de información, que tiene como objetivos de control la efectividad y
la eficiencia de las operaciones; confidencialidad e integridad de la información
financiera y el cumplimiento de las leyes y regulaciones.

COBIT [19-ene-
2007]

COBIT (http://www.isaca.org/cobit.htm).
Objetivos de Control para la Información y
Tecnologías Afines. Está disponible en
español el Resumen Ejecutivo, Marco de
Referencia, Objetivos de Control,
Directrices de Auditoría y Conjunto de
Herramientas de Implementación.

El COBIT se desarrolla a través de varios

capítulos: planificación y organización,

http://www.ciberconta.unizar.es/leccion/SEGURO/INICIO.HTML (3 de 8)18/06/2009 01:17:03 p.m.

Comercio Electrónico: "Riesgos y seguridad en los sistemas de información", por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

adquisición e implementación, desarrollo,

soporte y control.

● Planificación y organización

Po1 Definición
de un plan
estratégico
Po2 Definición
de la
arquitectura
de información
Po3
Determinación
de la dirección
tecnológica
Po4 Definición
de
organización y
relaciones
Po5
Administración
de la inversión
Po6
Comunicación
de las políticas
Po7
Administración
de los
recursos
humanos
Po8 Asegurar
el
cumplimiento
con los
requerimientos
Externos
Po9
Evaluación de
riesgos
Po10
Administración
de proyectos
Po11
Administración
de la calidad

● Adquisición e implementación

A11.
Identificación
de soluciones
automatizadas
A12.
Adquisición y
mantenimiento
del software
aplicativo
A13.
Adquisición y
mantenimiento
de la
infraestructura
tecnológica
A14.
Desarrollo y
mantenimiento
de
procedimientos
A15.
Instalación y
aceptación de
los sistemas
A16.

http://www.ciberconta.unizar.es/leccion/SEGURO/INICIO.HTML (4 de 8)18/06/2009 01:17:03 p.m.

Comercio Electrónico: "Riesgos y seguridad en los sistemas de información", por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

Administración
de los cambios

● Prestación y soporte

Ds1.
Definición de
los niveles de
servicios
Ds2.
Administrar
los servicios
de terceros
Ds3.
Administrar la
capacidad y
rendimientos
Ds4. Asegurar
el servicio
continuo
Ds5. Asegurar
la seguridad
de los
sistemas
Ds6.
Entrenamiento
a los usuarios
Ds7.
Identificar y
asignar los
costos
Ds8.
Asistencia y
soporte a los
clientes
Ds9.
Administración
de la
configuración
Ds10.
Administración
de los
problemas
Ds11.
Administración
de los datos
Ds12.
Administración
de las
instalaciones
Ds13.
Administración
de la
operación

● Control

M1. Monitoreo
del
cumplimiento
de los
objetivos de
los procesos
de tecnología
de la
información.
M2. Obtener
realización de
las
evaluaciones
independientes

http://www.ciberconta.unizar.es/leccion/SEGURO/INICIO.HTML (5 de 8)18/06/2009 01:17:03 p.m.

Comercio Electrónico: "Riesgos y seguridad en los sistemas de información", por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

B) COSO

The Committee of Sponsoring Organizations of the Treadway

Commission's Internal Control - Integrated Framework (COSO).

Publicado en 1992 hace recomendaciones a los contables de gestión de

cómo evaluar, informar e implementar sistemas de control, teniendo
como objetivo de control la efectividad y eficiencia de las operaciones, la
información financiera y el cumplimiento de las regulaciones que explica en los
componentes del ambiente de control, valoración de riesgos, actividades de
control, información y comunicación, y el monitoreo.

C) AICPA-SAS

The American Institute of Certified Public Accountants' Consideration of the

Internal Control Structure in a Financial Statement Audit (SAS 55), que ha sido
modificado por el (SAS 78), 1995.

Da una guía a los auditores externos sobre el impacto del control interno en la
planificación y desarrollo de una auditoría de estados financieros de las
empresas, presentado como objetivos de control la información financiera, la
efectividad y eficiencia de las operaciones y el cumplimiento de regulaciones,
que desarrolla en los componentes de ambiente de control, valoración de
riesgo, actividades de control, información, comunicación y monitoreo.

Systrust, la
respuesta de
AICPA y the
Canadian
Institute of
Chartered
Accountants
(CICA)

Systrust (http://
infotech.aicpa.org/...)
es un producto lanzado
por AICPA y CICA para
que los CPA (Contables
colegiados) asesoren en
temas de auditoría
informática.

"SysTrustTM Principles
and Criteria for Systems
Reliability" utiliza los
siguientes cuatro
principios para evaluar si
un sistema de
información es fiable:

● Disponibilidad

http://www.ciberconta.unizar.es/leccion/SEGURO/INICIO.HTML (6 de 8)18/06/2009 01:17:03 p.m.

Comercio Electrónico: "Riesgos y seguridad en los sistemas de información", por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

● Seguridad
● Integridad
● Que se puede
mantener

D) IFAC-NIA

La Federación Internacional de Contables IFAC (http://www.ifac.org) emitió

las Normas Internacionales de Auditoría NIA 15, 16 y 20 en 1991.

IFAC muestra en la NIA 15 (Auditoría en Entornos Informatizados) una

referencia de controles para procesamiento electrónico de datos y la necesidad
de estos cuando estamos en ambientes donde los instrumentos tradicionales
del papel y demás pistas de auditoría no son visibles para los contables en el
momento de realizar su trabajo.

La NIA 16 (Técnicas de Auditoría Asistida por Computador) describe técnicas y

procedimientos de auditoría que se pueden hacer en entornos informatizados
con ayuda de los computadores y otras tecnologías.

La NIA 20 nos presenta los efectos de un entorno informatizado en la

evaluación de sistemas de información contables. Junto con las demás normas
dan una guía al auditor de los controles en general a tener en cuenta en un
ambiente informatizado y en las aplicaciones que procesan la información, así
como técnicas de auditoría asistidas por computador y su importancia.

Para aprender más: Descargue en IFAC el documento en pdf "Information Security

Governance": (http://www.ifac.org/Members/DownLoads/Info_Security_final.pdf_1.pdf)

E) SAC

The Institute of Internal Auditors Research Foundation's Systems

Auditability and Control (SAC).

Realizado en 1991 y revisado posteriormente. Ofrece una guía de estándares y

controles para los auditores internos en el área de auditoría de sistemas de
información y tecnología. Tiene como objetivos de control la efectividad y
eficiencia de las operaciones, la integridad de la información financiera y el
cumplimiento de normas y regulaciones que explica en el ambiente de control,
sistemas manuales y automatizados y procedimientos de control.

F) MARGERIT

Consejo superior de informática del ministerio de administraciones públicas de

España MARGERIT (Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información). 1997

Es una metodología de análisis y gestión de riesgos de los sistemas de

información de las administraciones públicas, emitida en el año 1997 por el
consejo superior de informática y recoge las recomendaciones de las directivas
de la Unión Europea en materia de seguridad de sistemas de información, esta
metodología presenta un objetivo definido en el estudio de los riesgos que
afectan los sistemas de información y el entorno de ellos haciendo unas
recomendaciones de las medidas apropiadas que deberían adoptarse para
conocer, prevenir, evaluar y controlar los riesgos investigados. Margerit
desarrolla el concepto de control de riesgos en las guías de procedimientos,

http://www.ciberconta.unizar.es/leccion/SEGURO/INICIO.HTML (7 de 8)18/06/2009 01:17:03 p.m.

Comercio Electrónico: "Riesgos y seguridad en los sistemas de información", por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas

legales.

G) EDP

La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de

carácter educativo e investigativo en los temas sobre estándares para la
auditoría de los sistemas de información.

Esta fundación ha investigado sobre controles en los sistemas de información,

generando los diez estándares generales de auditoría de sistemas y el código
de ética para los auditores de sistemas que relacionamos a continuación.

Citar como: Serrano Cinca C. (2007): "Riesgos y seguridad en los

sistemas de información", [en línea] 5campus.org, Sistemas
Informativos Contables <http://www.5campus.org/leccion/buscar> [y [Índice]
añadir fecha consulta]

http://www.ciberconta.unizar.es/leccion/SEGURO/INICIO.HTML (8 de 8)18/06/2009 01:17:03 p.m.