Auditoria A

NDICE
INTRO DUCCI N .................................................................................................................i OBJETIVO GENERAL Y ESPECFICOS........................................................................ iii CAP TULO I INTRODUCCIN A LA AUDITORA INFORMTICA .....................1 1.1. CONCEPTOS DE AUDITORA Y AUDITORA INFORMTICA............................2 1.2. TIPOS DE AUDITORA ......................................................................................... 10 1.3. CAMPO DE LA AUDITORA INFORMTICA....................................................... 16 1.4. CONTROL INTERNO ............................................................................................. 20 1.5. MODELOS DE CONTROL UTILIZADOS EN AUDITORA INFORMTICA....... 27 1.6. PRINCIPIOS APLICADOS A LOS AUDITORES INFORMTICOS ..................... 35 1.7. RESPONSABILIDADES DE LOS ADMINISTRADORES Y DEL AUDITOR ........ 38 CAP TULO II PLANEACIN DE LA AUDITORA INFO RMTICA .................... 42 2.1. FASES DE LA AUDITORA ................................................................................... 43 2.2. EVALUACIN DE LOS SISTEMAS DE ACUERDO AL RIESGO ......................... 61 2.3. INVESTIGACIN PRELIMINAR ........................................................................... 63 2.4. PERSONAL PARTICIPANTE ................................................................................. 68 CAP TULO III AUDITORA DE LA FUNC IN INFORMTICA .......................... 73 3.1. RECOPILACIN DE LA INFORMACIN ORGANIZACIONAL ........................... 74 3.2. EVALUACIN DE LOS RECURSOS HUMANOS .................................................. 79 3.3. ENTREVISTAS CON EL PERSONAL DE INFORMTICA ................................... 90 3.4. SITUACIN PRESUPUESTAL Y FINANCIERA.................................................... 92 CAP TULO IV EVALUACIN DE LA SEGURIDAD ................................................. 97
4.1. GENERALIDADES DE LA SEGURIDAD DEL REA FSICA ............................... 98 4.2. SEGURIDAD LGICA Y CONFIDENCIAL..........................................................100 4.3. SEGURIDAD PERSONAL.....................................................................................111 4.4. CLASIFICACIN DE LOS CONTROLES DE SEGURIDAD ...............................113 4.5. SEGURIDAD EN LOS DATOS Y SOFTWARE DE APLICACIN ......................120 4.6. CONTROLES PARA EVALUAR SOFTWARE DE APLICACIN.........................122 4.7. CONTROLES PARA PREVENIR CRMENES Y FRAUDES INFORMTICOS ...124 4.8. PLAN DE CONTINGENCIA, SEGUROS, PROCEDIMIENTOS DE RECUPERACIN DE DESASTRES .............................................................................124 4.9. TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FSICA Y DEL PERSONAL........................................................................................................130 4.10. TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIN ...........................................................141 CAP TULO V AU DITORA DE LA SEGURIDAD EN LA TELEIN FORMT ICA ............................................................................................................................................151 5.1. GENERALIDADES DE LA SEGURIDAD EN EL REA DE LA TELEINFORMTICA ....................................................................................................152 5.2. OBJETIVOS Y CRITERIOS DE LA AUDITORA EN EL REA DE LA TELEINFORMTICA ....................................................................................................154 5.3. SNTOMAS DE RIESGO......................................................................................156 5.4. TCNICAS Y HERRAMIENTAS DE AUDITORA RELACIONADAS CON LA SEGURIDAD EN LA TELEINFORMTICA .................................................................158
CAP TULO VI .........................163
INFORME
DE
LA
AUDITORA
INFORMTICA
6.1 CARACTERSTICAS DEL INFORME....................................................................164 6.2. ESTRUCTURA DEL INFORME ............................................................................167 6.3. FORMATO PARA EL INFORME..........................................................................169 CONC LUSIONES Y RECOMENDACIONES ................................................................iv REFERENCIAS BIBL IOGRFICAS Y VIRTUALE S ...................................................v ANEXOS ...............................................................................................................................vi
INTRODUCCIN
El siguiente material ser una gua la cual nos dar un panorama para la realizacin de auditoras a practicar, para poder brindar algunos puntos desde como la podemos planear para llevarla a la practica y quienes de las mismas instituciones nos pueden proporcionar la informacin que necesitamos ya que los auditores externos analizan todos los procedimientos que los empleados, usuarios, etc., realizan con frecuencia y sobre todo estn muy familiarizados teniendo en cuenta que en muchas de las ocasiones los mismos empleados saben de las debilidades del trabajo que realizan.
Se trata de ver desde un panorama general, de los presupuestos financieros y materiales con los que cuenta, personal que trabaja y de que manera salvaguarda toda la informaron que se maneja, todo esto con la finalidad de evitar, fraudes y fugas de informacin, teniendo la mejor forma de elaborar controles mas seguros. Se tocara los momentos de una auditora, los tipos que existen, donde los podemos aplicar y quienes son las personas responsables y las responsabilidades que tienen, se avaluarn los sistemas de acuerdo al riesgo, como se recabar la informacin y quien participar en ella. Se evaluarn los recursos con los que se cuenta tanto humanos, presupuestal y financiera as como las entrevistas que se realizarn al personal participante con algunos ejemplos. Se brindan algunas recomendaciones de cmo verificar la seguridad de las reas fsicas, seguridad del
personal, seguridad lgica y confidencial, la mejor manera de proteger los datos mediante el software y los crmenes o fraudes que pueden surgir. Se siguieren planes de contingencia y seguros. Por tal motivo en la actualidad la teleinformtica esta presente en muchas reas de la vida cotidiana y se explicar como podemos proteger algunas instalaciones de formas ms seguras. Por ltimo se explicar como se rendir un informe sobre los puntos alcanzados y que se encontr, as como la mejor manera de dar solucin a los problemas expuestos.
Este material ser un apoyo didctico para la materia de auditora informtica de la carrera de licenciatura en informtica ya que se adecua al plan de estudio de dicha especialidad, la cual se imparte en este instituto tecnolgico superior de teziutln.
ii
OBJETIVO GENER AL Y ESPECFICOS
Crear un material de apoyo didctico que permita dar a conocer como se llevara a cabo la realizacin de una auditora para detectar las problemticas existentes en el rea de informtica dentro de las empresas, y que las esta ocasionando ya sean de carcter humano o material, para tomar la medidas correctivas lo mas pronto posible evitando todo riesgo en la institucin.
ESPEC FICOS
Dar a conocer los fundamentos tericos sobre el desempeo de la auditora informtica. Contar con un material de apoyo para docentes en la imparticin de la materia de auditora informtica. Aportar una gua de estudio al alumno que cursara la materia de auditora informtica. Facilitar un resumen de consulta para personas interesadas en conocer el proceso de una auditora sobre el rea de informtica, ajenas al instituto tecnolgico superior de teziutln.
iii
CAPTULO I
INTRODUCCIN A LA AUDITORA INFORMTICA
En la actualidad todas las empresas e instituciones cada da necesitan de mejores formas de proteccin tanto de instalaciones como de sistemas para su correcto funcionamiento, por tal motivo se hace necesario realizar auditorias no para buscar culpables sino para corregir las debilidades de todo tipo que se puedan encontrar para solucionarlas de la mejor manera posible.
1.1. CONCEPTOS D E AUD ITORA Y AUDITORA INFORMTICA

Auditora: Este concepto se le ha tomado o empleado de manera muy errnea ya que se considera como que su nico fin es la evaluacin, la deteccin de errores y fallas. Por otro lado este concepto es mucho ms amplio: no solo se detectarn errores, se trata de un examen crtico sobre las actividades, con el objeto de evaluar la eficiencia y eficacia de alguna o todas las parte de una institucin u organismo para poder alcanzar los objetivos propuestos.
En la actualidad existen normas y procedimientos para realizar auditorias, como lo son las contables para instituciones, en las cuales tambin se deben de establecer normas y procedimientos para realizar auditorias en informtica ya como parte de toda una profesin en nuestros das muy demandada, siempre con la visin de evaluar lo existente, correccin de errores y proponer la mejor o las mejores
alternativas de solucin. Tambin se dice que puede ser la emisin profesional sobre el objeto sometido a los anlisis que presente una realidad que se encuentre sustentada mediante procedimientos las cuales deben de tener una gran fiabilidad. Esta es una accin posterior a las actividades que se realizan y sobre las que se emite una opinin lo mejor fundamentada y lo mayor apegada a la realidad.
Informtica: Este concepto es mas amplio a cada da que transcurre, ya que no solo se limita al uso de una computadora sino que ya intervienen muchos aspectos, como son desde la utilizacin de una sola maquina en adelante, las bases de datos (que se refiere a manejo de informacin como datos personales), entradas a sistemas, seguridad, estructura del rea de trabajo (edificios)
programas, redes, telecomunicaciones, internet, etc.
La informacin se maneja como una serie de datos ordenados y clasificados de manera tal que se puedan facilitar la utilizacin de la misma, que se basaran en smbolos, signos, nmeros, letras, etc. La informacin esta dirigida a reducir o acortar los procesos para la utilizacin de esta con tal, la cual se pueda imprimir o guardar y que se pueda utilizar en el momento ms necesario para cualquier persona o institucin que lo requiera.
La informacin tambin se ha dividido en varios niveles. El primero se le conoce como nivel tcnico, ste considera aspectos de eficiencia y capacidad de los
canales de transmisin; el segundo se enfoca a lo semntico a la informacin desde el punto de vista de su significado en el cual nos pueden dar ms ideas, el tercero se conoce como pragmtico, que ste considera al receptor en un contexto dado, y por ltimo el cuarto nivel se encarga de analizar la informacin desde el punto de vista normativo y de la parte tica que esto se enfoca ms al cuando, donde, y a quien se le destinar la informacin.
Recordemos que la informacin tradicional se vea afectada dentro de la informtica cuando se introduce el manejo de medios electrnicos. La informacin tambin se puede manejar de forma rpida y en grandes volmenes, lo cual permite generar, localizar, duplicar y distribuir esta informacin de una manera muy rpida, herramientas como microcomputadoras, redes de comunicacin, procesos distribuidos, bases de datos, etc. Todo esto permite que varios usuarios puedan disponer de esta informacin en cualquier momento, teniendo acceso, actualizando, he intercambiando la misma que y que la pueden utilizar en el mismo momento.
Todos los procedimientos con informtica pueden variar de acuerdo con la filosofa y tcnica de cada organizacin o departamentos de la auditora. Pero sin embargo existen tcnicas y procedimientos compatibles. Algunas tcnicas (tesis) se dividen en dos: mtodos manuales y mtodos asistidos por computadora.
Utilizacin de las tcnicas de auditora asistidas por computadora.
Por lo generan un auditor deber utilizar una computadora como apoyo para realizar la auditora, con esta se ampla el proceso de examen, reduciendo el tiempo, costos de las pruebas y realizando procedimientos de muestreo, que de no tener esta herramienta tan til tendran que efectuarse la mayora de las pruebas de una forma manual. Recordemos que existen paquetes (software) para realizar auditorias en sistemas financieros y contables. La computadora puede ocuparse principalmente por el auditor para apoyarlo en:
Transmitir informacin de
la contabilidad
de la organizacin a la
computadora del auditor, para que el la trabaje o tambin se puede conectar con la finalidad de laborar pruebas. Verificar cifras totales y clculos para comprobar los reportes de salidas que se producen mediante el departamento de informtica. Pruebas a los registros de archivos para verificar la consistencia de los montos de las operaciones que la empresa o institucin realiza. Clasificacin y anlisis de los datos. Seleccionan mediante muestreos de datos e imprimirlos para revisiones.
Todos los paquetes o programas creados en auditora se debern guardar bajo un estricto control por el departamento de informtica, por consiguiente toda la
documentacin, los materiales de prueba impresos, programas fuente y objeto con todos los cambios que se les haya elaborado sern de total responsabilidad del auditor o auditores. Todos los programas que se hayan utilizado pueden ser guardados utilizando contraseas de proteccin. Los programas que se hallan desarrollados con el objetivo de realizar la auditora debern estar cuidadosamente documentados para definir sus propsitos, objetivos y asegurarse de una ejecucin continua.
Los programas actuales que se encuentren ocupando los auditores internos debern asegurar la integridad del procesamiento, mediante algunos controles como:
Mantener un control sobre programas que se encuentran catalogados en el sistema con protecciones apropiadas. Observar cuidadosamente todo el proceso de auditora. Elaborar o desarrollar programas independientes de control que verifiquen todos los procesos de la auditora que se realiza.
Mantener un
control
sobre
especificaciones
de
los
programas,
toda la
documentacin necesaria y principalmente si se tienen comandos de control.
Podemos finalizar diciendo que la auditora informtica es la revisin y evaluacin de los controles, sistemas y procedimientos de la informacin; de los equipos de cmputo, de la empresa o institucin para que sea ms confiable, eficiente y segura de su propia informacin que principalmente servir para una adecuada toma de decisiones.
Algunos de los factores que pudieran intervenir o influir en la organizacin a travs del control y la auditora en informtica son:
El uso evolucionado de las computadoras. El control de la computadora ya que cada da son ms importantes y ms costosas. El alto costo de un error en la organizacin. La mala utilizacin de las computadoras. Decisiones incorrectas. El valor del hardware, software y el personal que las manejar. La posibilidad de perder informacin o en su defecto el mal uso de esta. La necesidad de mantener la privacidad en la organizacin.
La auditora en informtica debe comprender no slo la evaluacin de los equipos de cmputo o de un sistema o procedimiento especfico, sino que tiene que evaluar todos los sistemas de informacin desde sus entradas, comunicacin,
archivos, procedimientos, controles, seguridad, personal, y la obtencin de todo el informacin, y que todos los equipos de cmputo arrojarn informacin adecuada y tendrn un organizacin especfica.
No hay que olvidar que tienen una gran responsabilidad las personas que estn a cargo de las computadoras y de las redes de comunicacin, habr que asegurar que la informacin que sea recolectada he integrada sea entregada rpidamente, y con toda la confidencialidad que se requiera. Las bases de datos de caer en malas manos se pueden usar para fines ajenos a su finalidad alterando los fines para los que fueron diseados y poner en peligro la privacidad de las personas.
Concluiremos que la auditora Informtica ser la herramienta que nos permita diagnosticar la infraestructura, la calidad y el estado que guarda actualmente la Organizacin en trminos de Informtica, adems de tener una imagen inicial y precisa de los recursos informticos con los que se cuenta para mejorar la funcionalidad y agilizar la administracin, obteniendo as xito en el cumplimiento de los objetivos a corto y largo plazo.
OBJETIVOS.
Proteccin de los Activos y Recursos: Control interno que protege los activos
de la instalacin informtica de cualquier posible amenaza o riesgo.
Integridad de
Datos: Mecanismos
que
vigilen
constantemente
el
mantenimiento de los datos.
Efectividad del Sistema: Un sistema de informacin efectivo alcanza sus

objetivos y dependen de las caractersticas y necesidades de los usuarios, as como de los procedimientos de decisin.
Eficiencia del Sistema: Mnimo de recursos necesarios para obtener las

salidas requeridas.
Control de la funcin informtica. Cumplimiento de Normatividad gerencial de la empresa en este mbito. Seguridad y confidencialidad.
Recordemos que la tecnologa no es buena ni mala, el uso que nosotros le demos depender en el desarrollo de cosas productivas para el beneficio de la sociedad. Todos debemos proclamar una legalizacin ms estricta en el uso de tecnologa y principalmente del Internet para considerar que ste sea de investigacin o de provecho para toda persona y no de daos, hay que recordar que todo invento es para el beneficio de la humanidad en el mundo.
1.2. TIPOS AUDITORA
DE
Cada clase de auditora o tipo de esta poseen sus propios procedimientos para alcanzar su fin aunque estos pueden coincidir en muchos puntos. En estos tipos se pretende se considere todo lo que pueda influir para obtener los mejores resultados desde considerar reas fsicas, operaciones y elementos que
intervengan. La auditora informtica general se realiza por reas especficas. Si se examina por grandes temas resulta evidente la mayor calidad y el empleo de ms tiempo y mayor cantidad de recursos. Cuando la auditora se realiza por reas especficas, se abarcan de una sola vez todas las dificultades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente y de menor calidad por lo que resulta ms factible realizar las auditorias por reas especficas obteniendo los siguientes resultados:
Todo trabajo se supervisa y planifica adecuadamente. Se evala y estudia todo un sistema para el control interno. Al final del proyecto se obtiene una mejor evidencia que ser suficiente y adecuada.
Las auditoras son de diferentes tipos dependiendo de los objetivos que se pretendan alcanzar con cada una de ellas en las empresas y sus reas de aplicacin as por ejemplo existen:
10
Auditora de usuario: La cual se enfoca nica y exclusivamente al personal del rea de informtica y es aplicada a las mquinas de cada uno de los empleados para conocer el estatus de la informacin que se ha generado de la propia institucin en un determinado tiempo. Auditora informtica de actividades internas: sta se refiere al anlisis de las actividades que dentro del rea de informtica se han venido generando por los usuarios en beneficio de la institucin para la cual laboran, as como se analiza el impacto que dichas actividades hasta el momento han tenido en la organizacin y desarrollo de la misma, con el fin de replantear nuevas estrategias para un mejor servicio. Auditora informtica de direccin: sta va de la mano con la anterior ya que tiene como finalidad detectar las necesidades de la institucin y buscar estrategias de solucin que conlleven a una mejor direccin del apoyo que el departamento de informtica brinda a la institucin. Auditora de seguridad: La cual se encarga de evaluar la seguridad tanto de los equipos como de respaldar la informacin que en el rea de informtica se genera, as como de verificar que los equipos con los que estn trabajando los usuarios, se encuentren en un estado ptimo para que se lleve a cabo un trabajo eficaz y eficiente.
11
Se considera que estas cuatro auditorias son las ms importantes a llevar a cabo dentro de cualquier institucin en su rea de informtica.
1.2.1. Auditora externa
interna
La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la empresa o sea, que puede optar por su disolucin en cualquier momento.
Por otro lado, la auditora externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.
Es por ello que en ambos casos de aplicacin de auditora la empresa se ver beneficiada ya que las dos tienen el objetivo de evaluar las ventajas y las desventajas de las actividades que hasta el momento se estn llevando a cabo en la empresa, aunque cabe mencionar que la auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto a la externa y que en muchas de las ocasiones no son tan perceptibles como en las auditoras
convencionales, ya que la auditora interna tiene la ventaja de que puede llevarse
12
a cabo peridicamente haciendo revisiones generales como parte de
las
actividades normales de control de la empresa las cuales generalmente se encuentran especificadas en los proyectos anuales de la empresa y por
consiguiente el personal se encuentra tan habituado a que se lleven a cabo estas actividades que se acostumbran a las auditorias, particularmente si los resultados que estas generan, han beneficiado en la mayora de las ocasiones a su calidad de trabajo.
Sin embargo una empresa o institucin que posee una auditora interna como parte de sus actividades permanentes de control interno debe en ocasiones contratar los servicios de una auditora externa por las siguientes razones:
Necesidad de auditar una materia de gran especializacin para lo cual los servicios propios con los que cuenta no se encuentran lo suficientemente capacitados. Por la necesidad de comparar algn informe interno con el que resulte de la auditora externa, ya que este ejercicio enriquecer en gran medida el
trabajo de dicha empresa que lo lleve a cabo. Se deben llevar a cabo como una medida ms de seguridad de posibles auditoras informticas externas decretadas por la misma empresa.
13
Por ltimo aunque porque las auditoras externan nos sirven para tener una visin desde afuera de la empresa, pues las auditorias internas forman parte de la misma empresa.
Algo que es importante mencionar es que la auditora informtica
tanto interna
como externa se debe realizar en las empresas de manera peridica para una mayor eficiencia de la misma y sobre todo deben de estar exentas de cualquier inters social o poltico y de la propia estrategia y poltica de la empresa, stas deben realizarse por iniciativa de la propia empresa y siempre pensadas en generar el mayor beneficio para las mismas. Generalmente es recomendable acudir a las auditorias externas cuando en la empresa se observan algunos cambios drsticos que estn perjudicando la organizacin. Estos pueden ser:
Cuando los objetivos de la institucin no coinciden con los objetivos de su rea de informtica. Cuando su nivel de productividad no es el proyectado a la media que se viene obteniendo. Cuando los usuarios se encuentran inconformes por que sus computadoras no contienen la informacin necesaria o el software con el que trabajan se vuelve obsoleto o no esta actualizado, esto acompaado de que el hardware de su equipo en ves de que les agilice el trabajo hace que tarden el doble
14
de tiempo o en ocasiones casi tengan que realizar sus operaciones de forma manual.
Dentro de la implantacin de polticas y culturas de seguridad se necesita que este compuesta por fases y tiene que estar soportada por la direccin, todas tienen un papel importante dentro de las fases.
Direccin de Negocios o de Sistemas de Informacin. Definen las polticas

para los sistemas de informacin basadas a las necesidades y pueden ser internas y externas.
Direccin de Informtica. Definen el funcionamiento del entorno y cada una

de sus funciones con las publicaciones y creaciones de estndares,
procedimientos, metodologa y normas. Tienen que aplicarse forzosamente a los usuarios y reas de la empresa o negocio.
Control Interno Informtico. Definen los controles peridicos que se tendrn

que realizar en cada una de las etapas de acuerdo al nivel de riesgo de cada una de sus etapas, estos son diseados de acuerdo a las necesidades de cada empresa y que puedan ser aplicables legalmente.
15
1.3. CAMPO DE LA AUDITOR A INFORMTICA

El campo de la auditora informtica es muy grande y da a da crece mas, se tratara de mostrar lo mas claro y sencillo posible.
El campo de la accin del auditor en informtica principalmente es:
La evaluacin administrativa del rea de trabajo. Evaluar los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la informacin. Una evaluacin eficiente y eficaz con la que se trabaja. Evaluacin del proceso de los datos, los sistemas y los equipos de cmputo con todo lo que implica (software, redes, comunicaciones, hardware, bases de datos, etc.). Confidencialidad y la seguridad de toda la informacin. Aspectos legales de todos los sistemas.
Para lograr todos estos puntos se necesitar:
A)
Una
evaluacin
administrativa
del
departamento
informtica.
Que
comprende una evaluacin de:
Todos los objetivos de cada departamento. 16
Las metas, los planes, polticas y procedimientos de los procesos electrnicos. La organizacin del rea y toda su estructura orgnica. Las funciones y niveles de autoridad as como responsabilidades del rea de procesos electrnicos. La integracin de recursos materiales y tcnicos. Controles y costos presupuestales. Controles administrativos del rea de procesos electrnicos.
B) Evaluacin de los sistemas y procedimientos, de la eficiencia y eficacia para el uso de la informacin:
Evaluacin de los sistemas y sus diferentes etapas. Evaluacin del diseo lgico del sistema. Evaluacin del desarrollo fsico del sistema. La facilidad para elaborar un sistema. Control de proyectos. Control de sistemas y programacin. Instructivos y documentacin. Formas de implantacin. La seguridad fsica de lgica de los sistemas. Confidencialidad de los sistemas.
17
Controles de mantenimiento y formas de respaldo de los sistemas. Prevencin de factores que pueden causar contingencias. Seguros y recuperacin en caso de desastre. Productividad. Derechos de autor y secretos industriales.
C) Evaluacin del proceso de datos y de los equipos de cmputo que comprende:
Controles de datos fuente y manejo de cifras de control. Control de operacin. Control de salida. Control designacin de trabajo. Control de medios de almacenamiento masivos. Control de otros elementos de cmputo. Control de medios de comunicacin. Orden en el centro de cmputo.
D) Seguridad:
Seguridad fsica y lgica. Confidencialidad. Respaldos.
18
Seguridad del personal. Seguros contra desastres. Seguridad en utilizacin de los equipos. Plan de contingencia y procedimientos en casos de desastre. Restauracin de equipo y de sistemas.
Los principales objetivos y necesidades de la auditora en informtica son:
Salvaguardar los activos. Esto se refiere a la proteccin del hardware,

software y de recursos instituciones. humanos existentes en las compaas o
La integridad de datos. Los datos deben mantener consistencia y no

duplicarse.
Efectividad de sistemas. Los sistemas deben cumplir con los objetivos de la

organizacin o institucin.
Eficiencia de sistemas. Que todos los objetivos se cumplan con los menores
recursos posibles (optimizar).
Seguridad y confidencialidad.
No hay que olvidar que hay que tener un adecuado control de los activos, la integridad de todos sus datos y la eficiencia de los sistemas solamente se lograra si
19
la administracin de la organizacin desarrolla un adecuado sistema de control interno. Todas las caractersticas del control dependern de muchos factores como por ejemplo, en un ambiente de mini computadoras, pueden estar conectadas en serie o trabajar en forma individual, la divisin de responsabilidades y la delegacin de autoridad cada da es ms difcil debido a que muchos usuarios comparten recursos, lo que dificulta en gran medida un control interno con exactitud.
Por lo que en la actualidad las auditoras se deben realizar por personas con un alto grado de conocimientos en informtica y con toda la experiencia que se pueda tener en el rea, la informacin deber ser confiable, verdica, oportuna y siempre manejarse de manera segura y con la suficiente confidencialidad y por supuesto siempre dentro de todos los parmetros legales y ticos que ellos puedan tener para obtener resultados lo ms claros y seguros posibles, recordando que malos manejos son del propio personal.
1.4. INTERNO
CONTR OL
Este medio controla de manara diaria las actividades de los sistemas de informacin para cumplir los procedimientos y estndares, para que a final de cuentas los mecanismos implantados sean correctos y vlidos. Los controles
20
tendrn que ser sometidos a rigurosas pruebas constantemente, adems las empresas tiene iniciativas de crear nuevos controles segn sus necesidades. Los objetivos bsicos del control interno son principalmente:
Se dirigen a la proteccin de activos de la prensa. La obtencin de toda la informacin financiera veraz, confiable y oportuna. La promocin de la eficiencia en la operacin del negocio. Lograr que en la operacin se cumplan las polticas establecidas por los administradores de las mismas empresas. La reestructuracin de procesos empresariales, junto con la gestin de la calidad. La descentralizacin. Rendimiento de las secciones.
El control
interno
contable
comprende
el
plan
de
organizacin
los
procedimientos, registros que se refieren una proteccin de los archivos y a la confiabilidad de los registros financieros.
Tambin existen tendencias que pueden influir sobre las empresas que giran a nuestro alrededor y que lo vemos da a da.
21
La globalizacin. La fusin o formacin de alianzas como estrategias para la competencia. Controles sobre la calidad y eficiencia del desarrollo as como
mantenimiento del software. Control sobre en software de base. Licencias y relaciones que se tengan con terceras personas o sociedades. Asesorar sobre los riesgos informticos.
Queda claro que ante todos los cambios que se viene presentando en nuestra vida actual los directivos toman muy en cuanta los controles para reevaluar y reestructurar los sistemas de controles internos, antes de que surjan problemas tomando medidas para su seguridad y en la actualidad se hacen cada vez mas seguros y poder soportar los ataques del fututo. Por tal motivo los auditores informticos contribuyen con sus conocimientos especficos ya que estn mas en contacto con la tecnologa informtica, por lo tanto todos estos especialistas son de importancia a las organizaciones.
22
Control Interno y Auditora. Polticas de Seguridad.
Plan de Seguridad.
Normas y Procedimientos. Medidas Tecnolgicas Implantadas Formacin y Mentalizacin.
Objetivos de autorizacin.
Todas las operaciones y movimientos se realizarn con las autorizaciones generales o en su caso especfico de la administracin. Estas autorizaciones debern estar de acuerdo a los criterios establecidos por todo el nivel apropiado de la administracin. Las transacciones deben ser vlidas para conocerse y ser sometidos oportunamente a su aceptacin. Por lo general todos estos movimientos debern ser registrados oportunamente y estar respaldados por archivos adecuados.
23
Objetivos del procesamiento y clasificacin de transacciones.
Todas las acciones deben registrarse para permitir la preparacin de todos los estados financieros o cualquier otro criterio aplicable a estas para mantener los archivos apropiados, los datos relativos a activos sujetos a custodia.
Objetivos de salvaguarda fsica.
El acceso a todos los activos se deber permitir bajo el acuerdo con autorizacin de la administracin, siendo una de sus funciones la administracin y gestin del software de seguridad.
El control fsico tambin es para que se asegure el acceso, el cual estar restringido solo al personal autorizado, y de entrar personal no autorizado debern ser acompaados as como vigilados para no ser objetos de algn tipo de atentado o fuga de informacin.
Los equipos contaran con claves para uso del personal autorizado e intransferible a otras personas.
24
Tendrn instaladas medidas preventivas en caso de que ocurra un incendio o algn otro tipo de siniestro, as como la evacuacin de instalaciones de forma parcial o total del edificio.
Objetivos de verificacin y evaluacin.
Todos los registros relativos a los activos sujetos a custodia deben compararse con los activos existentes a intervalos razonables, y se debern tomar las medidas apropiadas respecto a las diferencias existentes. Los objetivos generales del control interno de sistemas son aplicables a todos los ciclos. El rea informtica puede interactuar de dos maneras en el control interno, la primera servir para un adecuado control interno, la segunda ser un control del rea y el departamento de informtica.
El primer caso se realiza por medio de una evaluacin a la organizacin, y utilizando la computadora como una herramienta auxiliar y principal en este proceso, la cual se har por paquetes ya conocidos para las auditoras. El segundo como ya hemos sealado anteriormente se deben proteger los activos de la organizacin por medio del control, para tener una informacin veraz, oportuna y principalmente confiable para mejorar la eficiencia y operacin de la organizacin enfocada siempre a la informtica.
25
La auditora informtica siempre tendr presentes los objetivos de autorizacin, procesamiento y clasificacin de las transacciones, as como de la salvaguarda fsica, verificacin y evaluacin de todos los equipos de la empresa o institucin donde se realicen estas actividades y que principalmente ser de su informacin, recordemos que la auditora interna est y debe estar presente en todas y cada una de las partes de la organizacin. La informtica es una herramienta muy valiosa con la cual se debe tener un adecuado control y ser un gran auxiliar de la auditora interna, segn estudios los objetivos generales del control interno son:
Autorizacin. Procesamiento y clasificacin de las transacciones. Salvaguardia fsica. Verificacin y evaluacin.
En el diseo general y detallado de los sistemas principalmente se sugiere incluir a personal de la contralora interna, pero claro estas personas debern tener conocimientos de especialistas. informtica con requerimientos mnimos aunque no sean
El auditor interno, en todo momento que se elaboran los sistemas deber participar en todas sus etapas:
26
Que los requerimientos de seguridad y de auditora sean incorporados y l participe en la revisin de estos puntos.
Revisar la aplicacin de los sistemas y el control de usuario como en el centro de informtica.
Que las polticas de seguridad y los procedimientos estn claramente especificados en incorporados al plan en casos de desastre. Incorporar tcnicas avanzadas de auditora en los sistemas de cmputo.
Todos los planes en casos de desastre, se debern elaborar desde el momento en que se disea el sistema la seguridad no puede llevarse a cabo los procedimientos de controles adecuados.
1.5. MODELOS DE CONTR OL UTILIZADOS EN AUDITORA INFORMTICA

En la actualidad pueden existir varios modelos de control cuando una instalacin se encuentra operando sistemas avanzados, varios ejemplos son: cuando se procesan datos en lnea, las bases de datos, procesamientos distribuidos, etc., se pueden evaluar los sistemas utilizando tcnicas avanzadas. Recordemos que estos mtodos de control requieren un experto y si el departamento no cuenta con la 27
capacitacin deber realizarse un entrenamiento adecuado y lo ms pronto posible. Asimismo recordemos, que otra limitante en los controles puede ser un alto costo de inversin, otro puede ser la sobrecarga del sistema y trabajo, y como consecuencia habr que esperar ms tiempo para recibir una respuesta. Sin embargo cuando se realizan apropiadamente todos estos componentes harn que se supere una auditora tradicional como las que en muchas empresas en la actualidad obteniendo mejores resultados.
Los controles informticos se encuentran divididos en tres puntos de los cuales tambin se desarrollan en ms de estas categoras.
Preventivos. Para evitar o tratar de evitar los errores antes de que ocurra, como software para impedir los accesos no autorizados.
Detectivos. Cuando fall el preventivo entrar ste, para poder conocer que fue lo que paso o que ocurri, como cuando hay intentos no autorizados a un sistema o el registro de actividades diarias para tener un control de los sucesos como un histrico.
Correctivos. Para facilitar en su totalidad o lo ms cercano a la realidad, las acciones de prevencin que se tengan de los errores, como un ejemplo pueden ser las copias que se realizan para seguridad y poder reestablecer como se tena, por
28
ejemplo una base de datos del da anterior que se devuelve para continuar trabajando.
A medida que se tienen avances tecnolgicos los sistemas se vuelven ms complejos y por eso se presentan ms situaciones para su control.
Simulacin. ste control consistir en realizar pruebas a la aplicacin o programas y compararlos con resultados de la simulacin a la aplicacin real.
Revisiones a los accesos. Se deber realizar un registro computarizado de todas y cada uno de las acciones que se realizaron, los archivos podrn contener por ejemplo, informacin de la identificacin tanto de alguna terminal como de usuarios, fechas, horas, y movimientos realizados a toda clase de archivos (prcticamente un historial).
Pruebas integrales. En ste caso son transacciones realizadas por el auditor independiente de la aplicacin normal, pero que se realizarn al mismo tiempo. Se deber tomar en cuenta y ser muy cuidadoso en las participaciones que se estn utilizando en el sistema para prueba de la contabilidad o balances, a fin de evitar errores.
29
Operaciones en paralelo. Esta prueba consiste en verificar con exactitud toda la informacin de los resultados que produce un sistema nuevo, a comparacin de un sistema pasado que tambin fue auditado.
Evaluacin de un sistema con datos de prueba.
Consistir
en
aprobar
los
resultados producidos en la aplicacin con los datos de prueba contra los resultados obtenidos inicialmente en las pruebas del programa.
Registros extendidos. Consistir en agregar un campo de control a un registro determinado, como un campo especial de un registro extra el cual puede incluir datos de todos los programas que forman parte del procesamiento para que quede determinada transaccin con los siguientes casos.
Totales aleatorios de ciertos programas. Se consiguen totales en algunas partes del sistema para verificar su exactitud de una forma parcial.
Los mtodos anteriormente descritos ayudarn al auditor interno para establecer una metodologa en la revisin de los sistemas de aplicacin de una institucin, o dependencia. Sin embargo sabemos que en la actualidad se estn desarrollando programas y sistemas de auditora cada vez ms confiables que intervienen en actividades e informacin cuyo control solamente corresponden al departamento de informtica. En la actualidad el auditor puede desarrollar gran parte de sus
30
funciones con slo intervenir en las redes de comunicacin internas. El tener una microcomputadora constituye una herramienta que facilita la realizacin de actividades como:
El traslado de datos de un sistema a un ambiente para el control del auditor. Llevar a cabo una seleccin de datos. Verificar la exactitud de clculos mediante muestreos estadsticos. Visualizacin de datos. Ordenamiento de la informacin, para la produccin de reportes e histogramas.
El auditor interno tiene que participar en el diseo general y especfico de los sistemas, para que todos tengan los controles de acuerdo a las polticas internas antes de comenzar la programacin del sistema. Ahora mostraremos algunos ejemplos de formas tradicionales de evidencia que existe en un proceso manual y las maneras en que la computadora las puede cambiar:
Transacciones originadas por personas y accesadas a un sistema para su proceso. Las aplicaciones pueden generarse automticamente. Por ejemplo, el sistema puede emitir automticamente una orden de reposicin cuando el inventario est a un nivel por debajo del punto de orden.
31
El registro manual de la informacin necesaria para originar una transaccin. Se pueden producir documentos impresos cuando la informacin es accesada.
La revisin de transacciones por el personal, que deja constancia con sus firmas, iniciales o sellos de los documentos para indicar la autorizacin del proceso. En la mayora de las aplicaciones computarizadas la autorizacin puede ser automtica. Por ejemplo, cuando se realice una venta a crdito puede ser automtica mientras no se rebase el lmite de crdito previamente determinado. Otro mtodo tambin puede ser la autorizacin electrnica incluyendo excesos mediante claves de seguridad.
Anteriormente se tena firmas en donde ahora slo se tiene una clave o llave de acceso y que en la actualidad lleva un registro de la hora y el da en el que fue autorizada.
El transporte de documentos de una estacin de trabajo otra por personas, correos o algn otro servicio similar de un lugar del negocio a otro sitio completamente distinto. En aplicaciones de computadoras, los datos son enviados
electrnicamente (mediante Internet). Previamente codificada o encriptada para ser enviada por medio electrnico y que al final se elabora un registro de cuando se recibi la informacin por el receptor.
32
Procesamiento manual. En las aplicaciones computarizadas, este proceso se efecta electrnicamente dentro de la memoria por procesos programados y siguiendo reglas predeterminadas.
Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabilidad de error. Estos procesos son complejos debido a la velocidad y exactitud de los procesadores. Por ejemplo, en una compaa se puede utilizar una computadora para calcular posibles horarios o cdulas de produccin con la finalidad de seleccionar el ms adecuado proceso, que si este proceso se elabora de forma manual se tardara mucho tiempo o sera casi imposible de realizarlo.
Mantenimiento de manuales de informacin. En las aplicaciones computarizadas esta informacin se almacena como catlogo, que de forma manual sera muy amplio y sera imposible actualizar los datos de manera inmediata.
Listado de proceso de documentos impresos. No todos los sistemas podrn emitir resultados impresos ya que en ocasiones los fondos pueden ser transferidos de manera electrnica. Por ejemplo, la elaboracin de cheques.
Almacenamiento de documentos de entrada, proceso y salida en registro de archivos. La informacin puede localizarse y rescatarse de manera manual del rea de almacenamiento fsico, la mayora de los archivos que se encuentran en medios
33
magnticos. Tambin se podrn utilizar programas extractivos para recobrar la informacin de tales medios, los cuales en la actualidad son mas rpidos y exactos como es el caso de las bases de datos.
Uso de documentos impresos para construir el proceso. En los procesos manuales estos documentos contienen informacin fuente, firmas de autorizacin mtodo de proceso y resultados de salida. En las pistas de una auditora pueden verse fragmentadas, por lo regular esto ocurre en un ambiente de bases de datos, gran parte de esta secuencia en las auditoras requieren entender las reglas del proceso del sistema pero no siempre es obvio cules pasos se ejecutaron, principalmente cuando el proceso computacional es complejo.
Uno o ms manual es de procedimientos. Este manual principalmente ser la gua de usuarios cuando este desconozca que procedimiento contina cuando manipula un sistema mediante las ya conocidas ayudas (help).
La divisin de tareas entre los empleados. Esto implica no slo la divisin de tareas de los empleados sino tambin entre los pasos y procesos automatizados. Por ejemplo, los programas pueden procesar diferentes partes de una transaccin en diversos lugares, pero tambin se requiere que tengan sistemas de seguridad de acceso a nivel sistema, dato o programa, como es el caso de los sistemas bancarios.
34
1.6. PRINCIPIOS APLICAD OS A LOS AUDITORES INFORMTICOS

Los auditores sern capases de dar un soporte tangible sobre las actividades que se realizan dentro de una empresa, una vez teniendo contacto con los medios sobre los cuales observaron los procedimientos siendo muchas veces los medios fsicos de la compaa como equipos de computo, manuales, reportes etc. sern personas estrictamente objetivas, no tienen que inculpar a alguien necesariamente sino de dar solucin a todos los problemas que pudieran encontrar, para no reincidir por parte de los mismos usuarios o personal extrao a la institucin o empresa.
Por lo regular los auditores suelen ser personal con perfiles universitarios o que tengan una experiencia multidisciplinaria teniendo algunas de estas caractersticas:
35
Informtico en General.
Con experiencia en distintas ramas como lo son de sistemas, explotacin y desarrollo de proyectos. Con experiencia en anlisis de Experto en Proyectos. proyectos y de metodologas las cuales las puede aplicar o reutilizar. Expertos en Bases de Datos y gran Tiene experiencia en el manejo de las bases de datos y su mantenimiento, Administrador. conocen otros productos que los pueden complementar para as explotarlos al mximo, como pueden ser la emisin de reportes. Amplios conocimientos en Tcnicos en Sistemas. sistemas operativos, el conocer productos compatibles y de buen rendimiento para una mejor explotacin de estos recursos. Experto en Software de Comunicacin. Con amplios conocimientos en las redes y sistemas de teleprocesos. Experto en Explotacin y Gestin de Responsable de Centro de Clculo. Amplia experiencia en Automatizacin CPDS. de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas. Experto organizador y Tcnico de Organizacin. coordinador. Especialista en el anlisis de flujos de informacin. Economista con conocimiento de Tcnico de Evaluacin de Coste. Informtica, Gestin de costes.
El rol del auditor informtico solamente est basado en la verificacin de controles, evaluacin del riesgo, de fraudes, el diseo y desarrollo de exmenes que sean apropiados a la naturaleza de la auditora asignada, y que deben razonablemente detectar:
36
Irregularidades que puedan tener un impacto sobre el rea auditada o sobre toda la organizacin. Debilidades en los controles internos que podran resultar en la falta de prevencin o deteccin de irregularidades.
CAPACIDAD Y ENTRENAMIENTO
Conocimientos generales. Todo tipo de conocimientos tecnolgicos, de forma actualizada y
especializada respecto a las plataformas que existan en la organizacin. Normas y estndares para la auditora interna. Polticas organizacionales sobre la informacin y las tecnologas de la informacin. Caractersticas de la organizacin respecto a la tica, estructura
organizacional, tipo de supervisin existente, compensaciones monetarias a los empleados, extensin de la presin laboral sobre los empleados, historia de la organizacin, cambios recientes en la administracin, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempea la organizacin, etc. Aspectos Legales. Herramientas. Herramientas de control y verificacin de la seguridad.
37
Herramientas de monitoreo de actividades. Tcnicas de evaluacin de riesgos. Clculo pos operacin. Monitoreo de actividades. Recopilacin de grandes cantidades de informacin. Anlisis e interpretacin de la evidencia, etc.
Recordemos que las bases de toda auditora ser la informacin que los empleados bajo su papel de autoridad, prestigio y tica profesional puedan proporcionar, para tener un amplio panorama de a que nos enfrentamos.
1.7. RESPONSABILIDADES DE LOS ADMINISTRADORES Y DEL AUDITOR

Las responsabilidades sern bsicamente compartidas, el auditor dar su objetivo punto de vista y las maneras en que las problemticas se podrn solucionar ya sea por medio de control de accesos, claves, manuales, actualizaciones,
mantenimiento, etc., par que en manos de los administradores puedan reajustar todas y cada una de las fallas que se tengan ya que estas pueden ser de forma inconsciente y otras con toda la ventaja para ser aprovechadas por mismos usuarios o personal ajeno a las instituciones. El auditor en especial el interno no tiene que desarrollar sus actividades como una funcin de polica o detective 38
informtico solo esperando algn error del personal, sino crear un ambiente pacifico y de forma agradable a las relaciones personales para ser un colaborador ms de la empresa. Por esto debern de tener sus Normas y Procedimientos emitidos para cada una de las figuras y que tambin sean conocidas por todo el personal.
Cuando un auditor informtico al detectar irregularidades que indiquen la presencia de un delito informtico, deber realizar lo siguiente: Determinar si se considera la situacin un delito realmente. Establecer pruebas claras y precisas. Determinar los vacos de la seguridad existentes y que permitieron el delito. Informar a la autoridad correspondiente dentro de la organizacin.
El auditor manejara la situacin con discrecin total y con el mayor profesionalismo posible; y evitando que el pblico o empleados tengan conocimiento. Muchas veces de no manejarse adecuadamente este delito, puede traer efectos negativos en la organizacin, como los siguientes:
Se puede generar una desconfianza de los empleados hacia el sistema. Se pueden generar ms delitos al mostrar las debilidades encontradas. Se puede perder la confianza de los clientes, proveedores e inversionistas.
39
Se pueden perder empleados clave de la administracin, an cuando no estn involucrados en la irregularidad debido a que la confianza en la administracin y el futuro de la organizacin puede estar en riesgo.
Si por medio de la auditora informtica realizada se han detectado delitos, el auditor deber sugerir acciones especificas a seguir para resolver el vaco de seguridad, para que los responsables de la unidad informtica puedan actuar. Estas acciones, pueden ser:
Revisin total del proceso involucrado. Instalacin de controles adicionales. Establecimiento de planes de contingencia efectivos. Adquisicin de herramientas de control.
Adems de brindar recomendaciones, el auditor informtico deber ayudar a la empresa en el establecimiento de estrategias contra los delitos, entre las que pueden destacarse:
Adquisicin de herramientas computacionales de alto desempeo. Controles sofisticados. Estndares bien establecidos y probados. Revisiones continas del sistema.
40
Con el paso del tiempo los auditores se vuelven expertos por que reelaboran sus cuestionarios de acuerdo a los escenarios que inspeccionan puesto que si no lo hicieran se estancaran y no tendran avances en las auditoras futuras. Las preguntas que el realice sern claras por que sabe en realidad lo que trata de buscar, principalmente obtener los puntos que considere como dbiles, pero tambin los aciertos, una ves que tenga estos datos realizara un anlisis y comparativos de estos, las preguntas que elaborara no sern con trminos rebuscados sino lo mas sencillas pero muy significativas, algunas personas sugieren que esta actividad no se realice ya que opinan que slo es leer muchas preguntas a los usuarios y perdida de tiempo, pero en realidad se sabe que no es cierto. A estos cuestionarios tambin se les puede conocer como CHECKLIST.
41
CAPTULO II
PLANEACIN DE LA AUDITORA INFORMTICA
42
Como todo trabajo se necesita realizar una adecuada planeacin para obtener los mejores resultados posibles, desde que informacin se maneja, como se aplica, quien la realiza, las personas que intervienen en ella y cuales son los mtodos de control que en la actualidad se estn manejado y todo esto ser nuestra herramienta de partida.
2.1. FASES AUDITORA
DE
LA
Para la elaboracin de la auditora se tienen que realizar muchas fases para que esta tenga el xito esperado tomando en cuenta que al solicitar los servicios de la auditora tiene que llevar un orden desde como se iniciaran las pruebas, solicitudes de reportes, que es lo que se ocupa, para que se ocupa, quienes participan para que al final de que se practique la auditora pueda brindar las mejores soluciones a las instituciones o empresas.
2.1.1. Planeacin
Para elaborar una adecuada planeacin para efectuar una auditora hay que realizar una serie de pasos, que stos nos permitan evaluar el tamao y 43
caractersticas del rea dentro del organismo o institucin a auditar, sus sistemas, organizacin, equipo para as poder determinar el nmero y caractersticas del personal que se requiere para la auditora, el tiempo, herramientas, costo para al mismo tiempo definir los alcances, y en su caso poder elaborar el contrato de los servicios.
En este punto la planeacin, es el paso ms importante ya que una inadecuada planeacin provocar una serie de problemas que pueden impedir que no se realicen en su totalidad o que no se realice con profesionalismo de cada auditor. Todo trabajo de auditora deber incluir una planeacin el examen y la evaluacin de la informacin, la comunicacin de los resultados y el seguimiento.
Todo planeacin deber documentarse y tendr que incluir:
Establecer claramente los objetivos y el alcance del trabajo. Obtener informacin de apoyo sobre las actividades. Delimitar los recursos necesarios para autorizar la auditora. Establecer una comunicacin en el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Necesaria con todo el personal que estar involucrado en auditora.
44
Realizar una inspeccin fsica para familiarizarse con las actividades y controles a auditar, as como de criticar las reas en las que se pondr ms atencin y promover comentarios para una promocin de los auditados. La preparacin por escrito del programa de auditora. Establecer la persona o responsables de cmo, cuando y a quien se le comunicarn los resultados de la auditora. Si la revisin debe realizarse por reas generales o especficas. En el primer caso, la elaboracin es ms compleja y costosa. En el plan no se consideran calendarios, porque se manejan recursos genricos y no especficos. El plan establece disponibilidad futura de los recursos durante la revisin. El plan estructura las tareas a realizar por cada integrante del grupo. En el plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.
Obtener la aprobacin del plan de trabajo con la cual se llevar cabo la auditora. En el caso de la auditora informtica la planeacin es fundamental, pues tiene que hacerse desde el punto de vista de varios objetivos como:
Evaluacin administrativa del rea de procesos electrnicos. Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.
45
Evaluacin de proceso de datos, de los sistemas y de los equipos de cmputo (software, hardware, bases de datos, comunicaciones, redes). Seguridad y confidencialidad de la informacin. Aspectos legales de todos los sistemas y de toda la informacin.
Primeramente requerida toda la informacin general sobre la organizacin y sobre la funcin informtica a evaluar. Por ello se requiere hacer una investigacin preliminar y realizar algunas entrevistas previas, para as planear el programa de trabajo del cual tendr que incluir costos, tiempos, personal necesario y
documentos auxiliares a desarrollar durante todo este proceso. Este proceso de planeacin tambin comprende:
Metas. Programas de trabajo de auditora. Presupuesto financiero y planes de contratacin de personal. Informes actividades.
Para lo cual las metas se debern establecer principalmente que se puedan lograr, sobre los planes especficos de operacin y de los presupuestos y de preferencia hasta donde pueda ser posible debern ser cuantificables, los cuales tendrn criterios para medirlas y fechas lmites para su logro. Todos los programas debern incluir, las actividades, cuando sern realizadas, el tiempo requerido, tomando en
46
consideracin el alcance planeado sin olvidar la extensin del trabajo, todo esto deber ser lo suficiente flexible para cubrir aqullas demandas que no fueron previstas.
Los planes, presupuestos financieros en el que se incluyen el nmero de auditores, su conocimiento, experiencia todo esto deber contemplarse en los programas de trabajo igualmente actividades administrativas, la escolaridad, el adiestramiento requerido, y los esfuerzos que se desarrollen durante todo este proceso por ello es necesario marcar tiempos para poder calendarizar adecuadamente todo el proceso ya que durante el mismo surgirn siempre aspectos imprevistos durante la planeacin, por lo cual siempre se recomienda ser flexibles en las actividades y marcar un poco ms de tiempo por todos los contratiempos que puedan surgir.
A continuacin se elabora un esquema sobre los puntos ms importantes para elaborar una planeacin:
47
Tema de auditora. Objetivos de la Auditora. Alcances de auditora.
Se identifica el rea a ser auditada. Propsito del trabajo de auditora a realizar. Se identifica los sistemas especficos o secciones de organizacin que se han de incluir en la
revisin en un perodo de tiempo determinado.
Planificacin previa.
Donde se identifica los recursos que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones que se auditaran.
Procedimientos de auditora.
Recopilacin de datos. Identificacin entrevistar. Identificacin y obtencin de polticas y normas. Desarrollo de herramientas y metodologa para probar y verificar los controles de lista de personas a
existentes. Procedimientos para evaluar los resultados. tener de comunicacin con la gerencia. Procedimientos de seguimiento.
48
2.1.2. preliminar
Revisin
El siguiente pas despus de la planeacin es realizar una revisin preliminar de la red informtica. El principal objetivo es obtener toda la informacin necesaria para que el auditor pueda tomar la decisin de cmo proceder en la auditora. Despus de esta revisin preliminar el encargado de este proceso podr tomar cualquiera de estos tres puntos.
Diseo de la auditora. En esta etapa pueden surgir problemas por la falta de competencias tcnicas para realizar ste trabajo.
Se podr realizar una revisin detallada de los controles internos, de todos y cada uno de los sistemas para depositar toda la confianza en ellos, y de realizar una serie de pruebas para tratar de reducir la mayor cantidad de consecuencias que se puedan dar en este proceso.
Se puede dar el caso de confiar en los controles internos de todo sistema. El primero se puede ser ms eficiente desde un punto de vista costo- beneficio que ser en realizar pruebas sustantivas directamente. El segundo en que los controles del rea de informtica pueden duplicarse, estos controles pueden ser los del rea de usuario. Se puede decir que se obtendr un
49
mayor costo-beneficio cuando su meta es una mayor confianza a los controles de compensacin.
La revisin preliminar significa la recoleccin de evidencias por medio de entrevistas a todo personal de la instalacin, la observacin de las actividades en la instalacin y la revisin de toda la documentacin. sta informacin se pueda recolectar por cuestionarios iniciales, o tambin por entrevistas (CHECKLIST). Sin olvidar que esta informacin inicial slo nos dar un panorama general para la elaboracin del programa de trabajo la cual se tendr que estar desarrollando y se profundizar en toda la auditora.
Tanto la revisin preliminar que puede realizar un auditor interno ser diferente a las realizada por un auditor externo principalmente en tres puntos. El primero, el auditor interno requerir menos revisiones a los trabajos principalmente en la parte gerencial de la organizacin ya que como trabaja en ella tiene ms
conocimiento del funcionamiento de la empresa. El segundo, el auditor externo buscar las causas de las prdidas y todos los medios necesarios para justificar las decisiones que el pueda tomar; el auditor interno tendr un amplio panorama, la cual tomar en cuenta sobre sus consideraciones sobre eficiencia y eficacia con las que l trabaja y se desarrolla. En tercer lugar, el auditor interno supondr ciertas debilidades en sus controles, y no proceder directamente con las pruebas, por lo tanto revisar la forma detallada para elaborar recomendaciones con las cuales los
50
controles internos pueden ser ms seguros y confiables para que stos den mejores resultados.
2.1.3. detallada
Revisin
El objetivo principal de esta etapa ser obtener la informacin posible necesaria para que el auditor pueda tener un profundo conocimiento de todos los controles, usados dentro del rea de informtica de esta empresa u organizacin.
El auditor tiene la capacidad de definir si desea continuar elaborando ms pruebas, con la finalidad obtener mayor confianza o en su defecto iniciar en el momento que el as crea conveniente la revisin con los usuarios de estos sistemas. En la mayora de los casos el auditor decidir, despus del anlisis lo que l crea conveniente para los controles internos, se tiene la suficiente confianza y en su defecto cules sern los procedimientos alternos ms apropiados para esta auditora.
En esta etapa es de suma importancia que el auditor puede identificar la causa de aquellas prdidas, que existen dentro de una instalacin y refrmala para reducir las mismas y los efectos que se causan por todas ellas. l tendr la capacidad para decidir y evaluar en qu momento los controles establecidos podrn reducir las
51
prdidas, para encontrarse dentro de los niveles que se pueden aceptar. Todos los mtodos de informacin al momento de realizar una evaluacin sern los mismos usados en la revisin preliminar con la nica diferencia, de que ser ms confiable la informacin y al mismo tiempo mucho ms evaluada.
El auditor interno considerar las causas de las prdidas que afectan la eficiencia y eficacia, puede evaluar que controles son los mejores para que todas las prdidas que se realizan regresar nuevamente a un nivel aceptable. Tambin podr evaluar si los controles escogidos son lo mejor, y si los controles tendrn un nivel satisfactorio, para tambin saber cuales de estos controles son los menos costosos para la empresa o institucin. El puede tomar la decisin de seguir con estos controles o dar las recomendaciones que sern necesarias para mejorar todos los controles de los sistemas existentes, dentro de las compaas pueden existir prdidas que pueden ser econmicas, de informacin y/o materiales pero tendrn que estar dentro de un margen mnimo que se pueda permitir. No olvidando, que las decisiones que l tome podrn influir dentro en la empresa y son su responsabilidad dar las mejores soluciones a todos y cada uno de los problemas que puede encontrarse.
52
2.1.4. Examen y evaluacin de la informacin
Los auditores internos debern obtener, interpretar, analizar y documentar toda la informacin para que en base a ella puedan sostener sus resultados de todo este proceso (auditora).
Recopilar toda la informacin para todos y cada uno de los asuntos que se relacionaron para corregir las fallas con los objetivos y alcances de esta auditora. Toda la informacin deber ser lo bastante real, para que de este modo sea lo bastante slida para el informe de hallazgos y las recomendaciones que sta auditora realice al personal. La informacin ser lo bastante fcil de entenderse para que toda persona llegue a las mismas conclusiones que el auditor tenga que tomar. Esta informacin significar que puede ser confiable y que se puede obtener de la mejor manera posible, siempre y cuando las tcnicas empleadas en auditora sean las ms apropiadas. Teniendo en cuenta que todo esto es con el fin de que la empresa, pueda desarrollar sus objetivos y cumplir sus metas que se ha propuesto. Todo procedimiento que se realice en esta auditora incluyendo todas las pruebas, se tendrn que elegir desde un inicio, o cuando considere
53
necesario implantar, efectuar.
y se requiera algn tipo de modificacin se pueda
Todo este proceso de recabar informacin, interpretar los resultados, analizar de la documentacin esta se deber supervisar bajo un control que asegure la objetividad que el auditor mantuvo a lo largo de este proceso, y que cada uno de los objetivos de esta auditora se cumpli. Los documentos de trabajo debern ser supervisados y preparados por los propios auditores y revisados por la gerencia. En estos casos se registrara la informacin obtenida as como el anlisis efectuado, y sobre todo se debern de apoyar en los hallazgos y las recomendaciones que stos puedan hacer.
Los auditores tienen que reportar el trabajo obtenido. El auditor deber discutir las conclusiones y recomendaciones para los niveles que corresponda, antes de que el emita un informe final. Todos los informes que le entregue tienen que ser objetivos, claros, constructivos y oportunos. Estos informes presentarn todos los propsitos, alcances y los resultados efectuados y cuando l considere apropiado podr expresar su opinin de cada uno de estos procesos. Estos informes podrn contener recomendaciones para mejorar el trabajo y de una manera satisfactoria poder mencionar maneras correctivas. Los puntos de vista de los auditores pueden ser incluidos en el informe que se presente. El auditor interno puede llevar un
54
seguimiento de las recomendaciones realizadas para verificar si la solucin est dando resultados. Se elaborar un programa de trabajo para seleccionar y desarrollar los recursos necesarios, que principalmente pueda contemplar: Descripcin de las actividades de todos los puestos y de cada nivel. Seleccionar cuidadosamente a los individuos calificados para cada actividad. Capacitacin y entrenamiento profesional as como una contina
capacitacin para todos los auditores. Realizar una evaluacin del trabajo realizado por cada uno de los auditores, por lo menos una vez al ao.
El trabajo de una auditora interna y externa se deber coordinar para tener la mejor cobertura y para disminuir todos aquellos gastos de esfuerzos que se tengan que realizar. En el departamento de auditora interna se tendr un control de calidad. Con la finalidad que este proceso proporciona una seguridad razonable para que este trabajo de auditora cumpla con las normas mnimas, este programa de control tendr que incluir los siguientes elementos:
Supervisiones peridicas. Revisiones externas. Revisiones internas.
55
La supervisin del trabajo realizado por los auditores, se realizar de forma continua para as asegurar que est trabajando bajo normas, polticas y programas de auditoras en informtica. Todas las revisiones internas se supervisaran peridicamente por el personal de esta auditora interna, para evaluar el trabajo de auditora realizado.
2.1.5. Pruebas usuario
de
controles
de
El objetivo de esta etapa es determinar si estos controles realmente estn cumpliendo su funcin para lo que fueron diseados, l auditor deber observar si realmente stos existen y estn trabajando. Desgraciadamente gran parte de las auditoras realizadas por los auditores prefieren, no confiar en todo los controles internos establecidos dentro de las instalaciones, ya que los usuarios como son quien tienen mayor contacto estn muy familiarizados y pueden tener cierta influencia sobre estos, e incluso de cierta forma los podran manipular si es que si ellos lo deciden. Estas pruebas de los controles internos generalmente son aplicadas mediante entrevistas, cuestionarios, visitas y evaluaciones directamente con los usuarios. hechas
56
Revisin de Centros de Cmputo.
Revisin de controles en el equipo: Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento, prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado peridicamente. Revisin de programas de operacin: Se verifica que el cronograma de actividades para procesar la informacin, asegure la utilizacin efectiva del computador. Revisin de controles ambientales: Se hace para verificar si los equipos tienen un cuidado adecuado, es decir si se cuenta con deshumidificadores, aire acondicionado, fuentes de energa continua, extintores de incendios, etc. Revisin del plan de mantenimiento: Aqu se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su
funcionamiento continuo. Revisin del sistema de administracin de archivos: Se hace para verificar que existan formas adecuadas de organizar los archivos en el computador, que estn respaldados, as como asegurar que el uso que le dan es el autorizado. Revisin del plan de contingencias: Aqu se verifica si es adecuado el plan de recuperacin en caso de desastre.
57
2.1.6. PRUEBAS SUSTANTIVAS
Una vez que el auditor ha recabado la suficiente informacin que le permita a este emitir sus propias conclusiones, de el o los momentos en los que considere que se pueda dar un dictamen, rendir su propio informe. Este auditor interno tendr la libertad de expresarse de acuerdo a su opinin de cuando un proceso est mal diseado o no tengan suficiente control de la informacin. Se enlistan algunas de estas pruebas:
Pruebas para identificar la mayor cantidad de errores durante el proceso. Pruebas para verificar la seguridad o confidencialidad. Pruebas para certificar la calidad de los datos. Pruebas para identificar la redundancia de los datos. Pruebas para comparar los datos. Rectificacin de los datos con fuentes externas. Pruebas para confirmar la adecuada comunicacin. Pruebas para determinar la falta de seguridad en el sistema. Pruebas para determinar los problemas de legalidad existentes.
Deberemos de tomar en cuenta todos los beneficios que tendremos al tener un alto grado de control, ya que nuestros sistemas estarn mejor protegidos pero sin olvidarnos de el costo que esto poder presentar para la institucin o empresa. Por
58
eso es necesario devaluar el costo que representara una falla en el sistema y todos los problemas que esto traera para determinar su riesgo, para s compararlo si es que en realidad vale la pena la inversin que se efecte en la implantacin de estos controles.
Se sugiere el auditor participe en tres estados del sistema:
En la fase del diseo del sistema. En la fase de operacin. En la fase posterior a la auditora realizada.
En la actualidad se dice que tanto la alta gerencia como el gerente de informtica piensan, que el que el auditor participe en las fases del diseo disminuye su propia independencia pero tambin se dice que no es as como a continuacin se detalla:
stos aumentaran los conocimientos en informtica por parte del auditor. Reasignar diferentes auditores en la fase del diseo, durante el trabajo de auditora y posteriormente a la auditora. Crear una seccin de auditora informtica que trabaje dentro del departamento previamente creado de auditora interna, preferentemente especializado en informtica.
59
El realizar una auditora en informtica es un trabajo demasiado complejo y hay que saber realizarlo. Para esto los auditores necesitarn fraccionar o dividir en subsistemas, para poder identificar todos y cada uno de las actividades que se realicen en cada proceso para que despus, una vez realizados los trabajos poder evaluar cmo es que funciona realmente todo el sistema, ya que la suma de estos subsistemas nos dar la mejor aproximacin para demostrar de lo que es capaz de realizar.
Los pasos que se necesitan en una auditora informtica son muy semejantes, a los que se utilicen en una auditora manual. Primero realizando una investigacin y documentndonos para familiarizarnos con estos, para saber sus principios y los pasos de los procesos. En segundo lugar el auditor confiar los controles internos de todo el sistema, del cual realizar las pruebas necesarias o investigacin. El tercer punto el auditor tras su veredicto sobre los controles que considera ms importantes. Un cuarto lugar realiza pruebas sustantivas en los procesos.
El auditor no dar a conocer su opinin. Sino hasta que realice el informe para poder evaluar los controles internos, mientras decide las alternativas que pueda ofrecer, las decisiones que pueda tomar sern difciles, pero tendrn un respaldo ya que tienen que estar soportadas y documentadas.
60
2.2. EVALUACIN DE LOS SISTEMAS DE ACUERDO AL RIESG O

Una de las formas para realmente poder evaluar un sistema para el uso de una organizacin, es el que no sea utilizado adecuadamente, el que pueda perder informacin o que incluso sea utilizado por personal ajeno a la organizacin, o un mismo personal sin previa autorizacin para manipularla.
Algunos sistemas por sus aplicaciones son considerados de alto riesgo debido a que son:
Muy susceptibles a diferentes tipos de prdida econmica. Que son ms conocidos como fraudes o desfalcos y entre los ms comunes son los financieros.
El auditor podr tener mayor atencin en todos aquellos sistemas que manejen controles financieros para un adecuado funcionamiento. Como pueden ser cajas, inversiones cuentas por pagar, por cobrar y nmina entre otras. Estas fallas pueden tener grandes impactos en toda la organizacin.
Aqu un ejemplo claro podr ser el procesamiento para la elaboracin de nminas y como consecuencia el personal pueda llevar a cabo una huelga.
61
Interfiere con otros sistemas y los errores pueden daar otros subsistemas. Pueden surgir altos riesgos en relacionaron a la competencia, algunos sistemas estn diseados para dar un rendimiento bastante alto en cuanto al mercado en el cual est trabajando.
Por ejemplo algn sistema de planeacin o patentes, derechos de autor los cuales son de grandes recursos de organizacin, otros pueden ser que teniendo prdidas podrn destruir la imagen o llevar a la quiebra a una institucin u organizacin.
Sistemas con tecnologas de punta. Cuando los sistemas utilizan alta tecnologa.
Los ms conocidos con sistemas de bases de datos, distribuidos o de comunicacin, ya que como surgen cada da tecnologas ms avanzadas puede que la compaa u organizacin tenga muy poca experiencia como consecuencia surjan problemas para tener mayor control. Sistemas de alto costo. Son sistemas muy complicados y altamente costosos con los que si no se tiene mucho cuidado puede causar demasiados problemas de control as como un alto costo en su mantenimiento.
62
2.3. PRELIMINAR
INVESTIGACIN
sta etapa de la investigacin deber incorporar fases del control gerencial y el control de aplicaciones. Durante todas las revisiones de los controles gerenciales el auditor tiene la obligacin de entender la organizacin, polticas y prcticas que se usan en cada uno de sus niveles dentro de toda la estructura en la que se encuentren las computadoras.
Se deber documentar toda la informacin posible para tener una idea general del departamento, las cuales podrn ser mediante observaciones, entrevistas
preliminares y solicitar los documentos necesarios con el fin de verificar el objetivo y los alcances del estudio, as como el programa detallado previamente.
Hay que tener en cuenta el estado del departamento, el papel que desempea dentro de la organizacin, si existe la informacin solicitada previamente o en su defecto solicitar la ltima fecha de su actualizacin.
Toda la informacin es previamente analizada una vez realizada una visita programada a la organizacin, sus reas de informtica y todos los equipos con los que se este trabajando.
Administracin.
Se
concentra
la mayor
cantidad
informacin
para saber
especficamente que se dedica este departamento que puede ser mediante 63
observaciones, entrevistas y documentos para tener claros objetivos alcances de este departamento. El que tenga xito el departamento informtica slo se logra si lleva un fin comn con la institucin y que se adapte a los posibles cambios, claro estos cambios slo son posibles si los altos ejecutivos y los usuarios toman parte en las decisiones en referencia a la direccin y utilizacin de los sistemas de informacin quedando claro que l o los responsables de los sistemas est consultando y pidiendo asesora as como cooperacin a ejecutivos y usuarios.
Tambin dependeremos de todas las personas involucradas, para que ellas tengan una actitud positiva respecto a sus actividades y evaluar constantemente su trabajo, dentro de su rea que pueden ser estableciendo metas para as de alguna forma incrementar su productividad.
Por lo general los usuarios ven esto como una herramienta para asegurarse un mejor desempeo de su trabajo. Por lo regular todos los ejecutivos de alguna empresa consideren al departamento de informtica como una inversin
importante, y con la cual se tienen que cumplir los objetivos del organizacin, esperan que todo lo invertido en este departamento informtica puedan arrojar grandes beneficios, y con la cual puedan tomar grandes decisiones. Hoy en da es una herramienta con la cual se pueda administrar y disminuir tiempos de la manera ms eficaz y rpida posible.
64
Para poder analizarse y delimitar la estructura a auditar se tienen que solicitar por departamentos la siguiente informacin:
En el nivel de organizacin:
Los objetivos a corto y largo plazo. Manual de la organizacin. Antecedentes de la organizacin. Las polticas generales.
En el nivel del rea de informtica:
Los objetivos a corto y largo plazo. Manual de la organizacin as como su organigrama. Manual de polticas, reglamentos internos y todos los lineamientos generales. Nmero de personal que labora y sus puestos. Procedimientos administrativos de rea. Puestos y costos de cada rea.
En los recursos materiales y tcnicos:
65
Solicitar un inventario fsico de cada uno de los equipos (instalados, por instalar y programados). Estudios de viabilidad. Fecha de instalacin de los equipos. Los contratos vigentes de compra, renta y servicios de mantenimiento. Configuracin de los equipos y capacidades actuales y mximas. Configuracin de los equipos redes internas y externas. Plan de expansin. Ubicacin de los equipos. Polticas de operacin. Polticas de uso de los equipos. Plan de seguridad y prevencin contra contingencias internas y externas. Contratos de seguros existentes.
Los sistemas:
Descripcin general de los sistemas instalados o por instalar y que contengan mucha informacin. Manual de formas. Manual de procedimientos de los sistemas. Manuales de entrada y salir de archivos. Proyectos para instalar nuevos sistemas.
66
Procedimientos y polticas en casos de desastre. Los sistemas propios, rentados y adquiridos.
En todo momento de la planeacin de la auditora, debemos tener en cuenta que se pueden presentar muchas situaciones:
Se solicita la informacin como consecuencia: No se tienen la informacin y se necesita. No se tiene la informacin y no es necesaria.
Cuando se tienen la informacin pero: No se usa. Est incompleta. No es actualizada. Se usa, esta actualizada, es adecuada y finalmente completa (informacin perfecta).
Recordemos que habr informacin disponible y no disponible tendremos que evaluar si la necesitamos o no por eso necesitamos evaluarla, si le necesitamos sino la tenemos se tendr que labora la forma en la cual la podemos ocupar, recordemos que no solamente hay que dar una buena opinin de las cosas malas que se pueden encontrar sino tambin de las buenas.
67
Nos debemos pasar por alto el xito del producto y analizar tambin las consideraciones como:
Estudiaran y verificar hechos y no opiniones necesariamente, investigar las causas y los efectos. Atender las razones. No siempre confiar en la memoria sino preguntar constantemente para no cometer errores. Criticar de manera objetiva todos los datos recabados de cada uno de los informes.
2.4. PARTICIPANTE
PERSONAL
Otra de las partes importantes al realizar una auditora es el personal que puede participar en ella, no precisamente se enfocara al nmero de personas que podrn participar, ya que esto depende de las organizaciones los sistemas con los que se est trabajando as como total de equipos; lo cual esta fase se enfoca a las caractersticas y conocimientos que el personal necesita tener para realizar una buena auditora.
68
Est personal deber estar muy capacitado y con las mayores actualizaciones posibles, sobre todo que tenga un gran sentido de moralidad y mucha objetividad por las situaciones que puede encontrar en esta auditora, ya que los auditores tratarn de optimizar una mayor cantidad de recursos, hay que tener en cuenta una buena gratificacin por el trabajo que ellos realicen.
Con esto se debe de tener en cuenta los conocimientos que ellos tengan, la facilidad para desarrollar su trabajo, sus conocimientos y capacitacin. Claro esta que tendr asignado personal por parte de la organizacin del cual conozca muy bien todas las actividades que se realizan y como se realizan ya que a este personal se le podr solicitar informacin la que el auditor necesita, programar reuniones y si es que se necesita entrevistar a ms personal el deber saber quin puede auxiliar en sta tarea.
Este personal ser de gran apoyo para el auditor, por lo tanto la organizacin tiene que designar a las personas o persona adecuadas para este trabajo y sin ellas no se podr realizar la auditora y si se llega a ser puede tardar mucho tiempo o no obtener los resultados deseados.
Durante todo este proceso tambin se deber contar con la participacin de los usuarios, ya que forman parte de esta empresa o compaa a al cual tambin se le podr solicitar informacin para sin comprobar las hiptesis que no slo es
69
comparar el punto de vista de la direccin de informtica sino que tambin del usuario que esta ms familiarizado con el sistema, o incluso en ocasiones los usuarios pueden saberse algn tipo de problema que presente y que los mismo empleados desconocen.
Para la elaboracin de esta auditora podemos tener un grupo conformado con personal con estas caractersticas:
Tcnicos en informtica. Personal con conocimientos en administracin, finanzas y contadura. Con experiencia en el rea de informtica. Con experiencia en operacin y anlisis de sistemas. Con conocimientos en psicologa industrial aplicada. Conocimientos de los sistemas importantes para empresas. Conocimientos comunicaciones. de sistemas operativos, redes, bases de datos,
En base a este ltimo punto se pueden tener una o ms personas sobre estos conocimientos para facilitar este trabajo, tal vez no sean expertos en todas estas caractersticas y por eso se hace la aclaracin que pueden ser varios participantes. Por lo tanto ya que se plane la auditora se presentar el convenio de los servicios
70
que se prestarn (recordando cuando es el caso que sean auditores externos) con su correspondiente plan de trabajo previamente elaborado.
El convenio es firmemente un compromiso que el auditor entrega al cliente para que ste confirme y acepte lo que en este est asentado. En este documento se especificarn los objetivos y alcances de la auditora, as como las limitaciones que pueda tener la colaboracin que necesitan por parte de la empresa o institucin las responsabilidades que adquieren as como los informes que debern entregar en tiempos marcados.
Ya que se realiz la planeacin, se puede utilizar un formato como el que a continuacin se detalla en anexo 2.1, este formato podr servir de base para llevar un control del desarrollo de este trabajo, claro que las correcciones dependern del auditor y esta podrn aumentar u omitir informacin segn lo considere
conveniente. ste formato contiene el nombre del organismo, nmero, fecha, la fase, descripcin, actividad, nmero de personal, un perodo tanto de inicio como de trmino, das y horarios establecidos.
Un control del avance lo podemos llevar con otro formato como el anexo 2.2 para registrar control del avance en la auditora para asegurarnos se est llevando a cabo con los recursos y tiempos estimados durante la planeacin.
71
Se muestra tambin un ejemplo de auditora, el anexo 2.3, y un ejemplo como contrato de auditora el anexo 2.4.
72
CAPTULO III
AUDITORA DE LA FUNCIN INFORMTICA
73
La mayora de las instituciones maneja informacin de todo tipo y para este adecuado manejo es muy necesario algunos mtodos de recoleccin de esta, as como tambin la forma en que la institucin opera y toda la clase de recursos con los que cuenta por lo cual se da una explicacin de estas etapas.
3.1. RECOPILACIN DE LA INFORMACIN ORGANIZACIONAL

Teniendo ya elaborada la planeacin de la auditora, la cual sirve de gua y teniendo asentados los tiempos, prioridades, costos y necesidades tendremos que empezar con la recoleccin de la informacin por lo cual se necesita una revisin de los elementos siguientes:
1.
Como revisin de la estructura orgnica. La jerarqua existente. Entre las cuales su funcin, su autoridad y su forma de trabajo. Estructura orgnica. Objetivos y funciones.
2.
La situacin actual de los recursos humanos.
74
3.
Entrevistas a personal. Departamentos. Programadores y operadores. Personal para base de datos. Comunicacin incluyendo Internet y redes. Usuarios en general. Personal administrativo y mantenimiento. Personal de capacitacin.
En algunas empresas el personal tiene a su cargo diferentes actividades de las mencionadas, ya sea por la falta de capacidad del personal o por que no se cuentan con los recursos de personal o financieros, y tambin por que la empresa o institucin no tiene muchos equipos para estos profesionales.
4.
Hay que tener conocimiento de la situacin de: Recurso financiero disponible. Recursos materiales como mobiliario y equipos. El presupuesto asignado (si es por ao o por mes).
5.
Se realizaran entrevistas al personal humano para conocer su situacin de: El numero total de empleado y donde estn laborando. Puestos actuales.
75
Personal de confianza y de base. Capacitacin si esta es continua o se programa de forma anual. Salario como se compone y si es que tienen incrementos. Conocimientos. Escolaridad mxima o si estn estudiando. Antigedad as como la experiencia si han desarrollado varios puestos. Expediente dentro de la institucin. Movimientos de puestos.
6.
Cumplimiento de trmites administrativos. Normatividad y polticas. Procedimientos. Objetivos. Planes de trabajo como programas operativos anuales. Organizacin.
Despus de recabar esta informacin estaremos en condiciones de determinar si la organizacin esta definida adecuadamente para lo que fue creada, siguiendo sus objetivos, normatividades y organizacin. Toda institucin o empresa deber documentar sus actividades, funciones y responsabilidades de acuerdo a cada uno de los puestos, el personal que los atiende estn de acuerdo con las actividades
76
que estos realizan ya que pueden estar realizando sus actividades, mas las de otras personas o departamentos.
Todas las instituciones o empresas debern estar capacitando a sus empleados constantemente, para tener los recursos humanos necesarios y capases de desempear su labor as como su salario de acuerdo a puesto para poder evaluar los resultados obtenidos siempre y cuando se les den las herramientas necesarias para su actividad.
Una de las formas ms seguras con las que se puede evaluar el desempeo es que la gerencia o altos mandos realicen: Planeacin: Definir los alcances y metas (realistas y no solo por nmeros). Organizacin: Dar las herramientas necesarias, la estructura del personal as como la asignacin de actividades grupales o de manera individual. Recursos Humanos: Teniendo el necesario y capacitndolo de acuerdo a su actividad. Direccin: Coordinando las actividades, motivando al personal, concertando apoyos en beneficio de su trabajo y actividades con una forma de liderazgo. Control: Revisando lo alcanzado contra lo planeado y de ser necesario realizar los ajustes correspondientes.
77
Estas son algunas de las preguntas mas frecuentes que se pueden utilizar:
QUE
Qu acciones se realizan? Qu recursos se utilizan de manera especfica? Qu consecuencias tiene hacerlo de esa forma? Qu caractersticas tiene o se requieren?
QUIEN
Quin tiene la informacin? Quin interviene? Quin apoya? Quin es el responsable?
CUANDO Y CUANTO
Cundo se llevan a cabo los procesos? Cunto tiempo lleva hacerlo? Cunto tiempo requiere? Cunto dinero se gasta?
DONDE
Dnde se lleva a cabo el proceso? Dnde se encuentran los recursos?
PORQUE
Por qu se toma esa decisin? Por qu es importante el proceso? Por qu se tienen problemas?
COMO
Cmo se realiza el proceso? Cmo se evala? Cmo esta organizado? Cmo se consigue el objetivo? Cmo se obtiene el recurso?
78
3.2. EVALUACIN HUMANOS
DE
LOS
RECURSOS
El desarrollo del personal implica que este tenga las mismas oportunidades de crecimiento y apoyo de jefes inmediatos. Que tengan educacin y capacitacin constante no importando si son de base o de confianza, para que el personal tenga la confianza y moral elevadas para poder ser capases de alcanzar sus metas y objetivos. En el rea de informtica es muy importante tener una adecuada capacitacin, que tendr que ser constante ya que da a da surgen cambios significativos que pueden repercutir en el trabajo a realizar, tambin hay que tener en cuanta que no todas las instituciones o empresas cuentan con el suficiente recurso para la capacitacin constante.
Hay que obtener informacin mediante entrevistas al personal de estas reas de informtica para saber su desempeo y comportamiento, sus condiciones de trabajo, la forma en que lo organizan, el desarrollo que tienen y la motivacin para saber de que forma se pueden estar capacitando por que esto es un punto fundamental. Como pueden ser las siguientes preguntas:
DESEMPEO EFICIENTE.
Se tiene el personal suficiente para las actividades de esa rea? No haces todas las actividades por falta de personal? Esta capacitado el personal para hacer sus funciones?
Si Si
No No
79
No, por que? Es buena la calidad de tu trabajo? No, por que? Se repiten las actividades? El manejo de la informacin es de manera discreta? Se apegan a la normatividad y polticas creadas? El personal respeta a la autoridad inmediata? El personal coopera para realizar las actividades encomendadas? No, por que? _
Si
No
Si Si Si Si Si Si
No No No No No No
Se aportan sugerencias para realizar actividades de la mejor manera posible? Si Se toman en cuentas las sugerencias no importando quien las realice? Si No No
SUPERVISIN.
Explica como se supervisa al personal de cada rea. _ _ _ _ _ _
80
Si no se realiza esta actividad, por que no se hace? _ _ _ De que forma se da un seguimiento a los retardos he inasistencias del personal? _ _ _
Sino se lleva un seguimiento, explique por que. _ _ _
Por qu considera que se evala al personal? _ _ _
81
CAPACITACIN.
Este es uno de los puntos importantes dentro de toda estructura por que se tienen cambios constantes, al no tener esta capacitacin se puede poner en peligro por el atraso en tecnologas de ms reciente creacin como es el caso de los virus informticos que surgen o se instalan de formas muy constantes y cada da tienen nuevas formas de atacar sin ser detectados rpidamente.
Esta capacitacin incluye al personal de: Departamentos. Programadores y operadores. Personal para base de datos. Comunicacin incluyendo Internet y redes. Usuarios en general. Personal administrativo y mantenimiento. Otro (especifique)
Se han podido identificar necesidades sobre capacitacin para el personal de las diferentes reas? No, Por qu? Si No
Se efectan capacitaciones para el personal de esta rea?
Si No
82
No, Por qu?
Ayudan los jefes inmediatos a efectuar las capacitaciones?
Si No
En realidad se evalan las capacitaciones para saber el aprovechamiento de las capacitaciones? Si No
Los jefes estn capacitados o entran a las capacitaciones o solo las toma el personal? _ _ _
Nota: revisar si efectivamente se realizan las capacitaciones como se planearon. (Esta sugerencia puede ayudar a replantear las actividades que no se han realizado).
LIMITANTES.
Cules considera que son los factores que limiten el desarrollo del personal, de manera interna? _ _
83
Cules considera que son los factores que limiten el desarrollo del personal, de manera externa? _ _ _
Departamentos. Programadores y operadores. Personal para base de datos. Comunicacin incluyendo Internet y redes. Usuarios en general. Personal administrativo y mantenimiento. Otro (especifique)
De manera general el personal se adapta a los cambios de forma administrativa? Si No
El personal suele comportarse de forma irrespetuosa o prepotente? Existen normas para corregir la indisciplina del personal? Tienen efecto esas normas? Existen otras personas que se quejan de estas reas por su desempeo?
Si No Si No Si No
84
Si No
De que forma se puede otorgar un asenso de puestos o de salario? _ _
Cul es la principal causa de inasistencia laboral? _ _
CONDICIONES DE TRABAJO.
Se ha comprobado que mientras se tenga un rea digna para trabajar, las condiciones y resultados sern los mejores ya que la autoestima de los empleados resultara mejor, para cualquier situacin de trabajo.
El personal conoce las reglas internas?
Si
No
Se apoyan de las reglas o contratos para dar solucin a cualquier conflicto laboral que pueda surgir? No Por qu? _ _ Si No _
85
Cmo son las relaciones entre el personal del rea y el sindicato?
Si
No
Hay problemas frecuentemente? Si, Por qu? _
Si
No
Cuales son las medidas para que se resuelvan los problemas mas frecuentes? _ _
REMUNERACIONES.
Por mucho tiempo y encuestas realizadas se ha demostrado que las personas estn no muy conformes con las remuneraciones que se les asignan, en ocasiones desconocen la forma en que se les evala para poderles otorgar su remuneracin.
Su personal esta satisfecho con su remuneracin respecto a su: Trabajo que realiza? Los diferentes puestos que se tienen? Los puestos semejantes a otras empresas? El trato que reciben actualmente? Si Si Si Si No No No No
Si, como es que esto impacta? _
86
No, Cmo es que esto impacta?
Se siguiere poder conseguir el sueldo que se tienen en otras empresas o instituciones, ms menos con las mismas caractersticas y funciones que realicen los empleados para poder realizar un comparativo y de este modo tratar de hacer ajustes si es que se pueden realizar de acuerdo al presupuesto que se tenga.
EL AMBIENTE DE TRABAJO.
El ambiente es un factor muy importante en esta rea de informtica, para poder lograr un eficiente desarrollo.
El personal realmente trabaja como un grupo de trabajo? No, Cul es la razn? _ _ Hasta que punto el personal convive adecuadamente? _ _
Si
No
_ _
87
Cmo aprovecha el jefe inmediato esto para mejorar el ambiente laboral? _ _ _ _
Son adecuadas las condiciones de trabajo referente a:
El espacio de trabajo? Equipo de oficina y mobiliario? Clima? Ventilacin? Ruido? Limpieza de oficinas? Sanitarios limpios y suficientes? Instalacin para comunicacin de personal?
Si Si Si Si Si Si Si Si
No No No No No No No No
De esta forma podremos conocer algunas de las necesidades que se debern de corregir para un mejor aprovechamiento de las instalaciones, y poder obtener un mejor desempeo.
88
ORGANIZACIN DE TRABAJO.
El jefe participa en la seleccin del personal? No, Por qu? _ Quines realizan la contratacin? _ Por consecuencia estas actividades qu acarrean? _
Si No
Se sabe de las necesidades de personal, las cules se pueden contratar? De calidad? En cantidad? No, Por qu? Si el jefe inmediato conoce las necesidades del personal y el no puede realizar las contrataciones tendr que poner de conocimiento estas para que cuando se contrate personal sepan realmente las necesidades de la empresas, ya que en muchas ocasiones sabemos que se contrata por las ya conocidas palancas o recomendaciones. Si Si No No
89
3.3. ENTREVISTAS CON EL PERSONAL DE INFORMTICA

Se podr entrevistar al personal de las reas de informtica, esta puede ser eligiendo a un grupo de personas, claro que tambin pueden participar los que deseen y se siguiere que puede algn lugar y hora que ellos elijan. Hay quienes incluso solicitan que las reuniones sean fuera de las instalaciones ya que esto les dar un clima de mayor confianza, tambin se les solicita que las opiniones que tengan estn totalmente fundamentadas ya sea por escritas o con pruebas de dichos acontecimientos. Estas entrevistas nos servirn para determinar:
Hasta que punto la estructura organizacional esta cumpliendo con sus objetivos. Cumplimiento de procedimientos y polticas. Acuerdos y desacuerdos. La capacitacin, si se esta realizando o no. Sugerencias generales.
A continuacin se presenta una forma de gua sobre una entrevista:
ENTREVISTA. 1. 2. Puesto que desempea. Nombre del jefe inmediato y puesto.
90
3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.
Quines reportan al entrevistado? Descripcin de las actividades diarias. Qu actividades peridicas realiza? Recibi capacitacin antes de desempear sus actividades? Cuenta con manuales para el desempeo de sus actividades? Seale los defectos que usted encuentra en la organizacin. Si menciona cargas de trabajo tendr que anotarlas. Cmo es que las controla? Cmo se deciden las polticas implantadas? Si recibe capacitacin, con qu frecuencia se realizan? Sobre que tema le gustara que se le capacitara? Sobre que fue la capacitacin mas reciente en el ltimo ao? Cree que el ambiente laboral es del todo satisfactorio para el desempeo
de sus funciones? 16. Observaciones generales.
Nota: cuando se realizan entrevista por que el personal lo solicita se podrn omitir algunos punto que identifiquen a este personal, incluyendo el nombre del solicitante, de este modo se podr saber las necesidades y cuales son los defectos que se tienen, recordando que si se tienen denuncias estas se tendrn que realizar de manera fundamentada para as actuar.
91
3.4. SITUACIN FINANCIERA

3.4.1 Presupuestos
PRESUPUESTAL
Se solicitar la informacin presupuestal, tambin el nmero de equipos y las caractersticas que integran cada uno par poder realizar un anlisis de la situacin para saber el costo econmico. Dentro de esto se encontrar, costo de cada departamento, el presupuesto desglosado por reas, caractersticas de cada uno de los equipos as como el nmero total y contratos.
Esta informacin nos servir para tener una idea del poder adquisitivo de la empresa y se sugieren algunas preguntas:
1. Cul es el gasto del rea de informtica (con gastos de mantenimiento y actualizacin actual)? _
2. Se tiene un inventario de control de gastos?
3. Los usuarios conocen el costo de sus equipos y el mantenimiento que representan? Si No
4. Al realizar el control de gastos se sabe cuanto se gasta del presupuesto asignado? Si No 92
5. Anote los principales insumos que necesita as como el mantenimiento que requiere para que este departamento funcione correctamente:
Papelera (hojas, cintas, disco, toner, cartuchos). Material de limpieza de los equipos (espumas, lquidos, franelas, etc.) Mobiliario y equipos. Software. Mantenimiento y actualizaciones.
6.
Qu situacin jurdica tiene cada equipo?
El equipo se renta. El equipo es propio. Es de renta con opcin a compra. El equipo fue donado. El equipo lo adquiri la empresa.
( ) ( )
( ) ( ) ( )
7.
Cul es la situacin jurdica del Software?
Se realizan programas internos de acuerdo a las necesidades. ( Se compra a proveedores. Se renta.
( ) ( )
93
Pertenece a la institucin y son instalados desde su inicio y solo requieren de actualizaciones. ( )
Se deber tener claro la situacin de los equipos ya que estos pueden tener un numero de inventario y pueden ser federales o estatales o simplemente de la empresa y por lo tanto se tendr que llevar un inventario de cada equipo, en cuanto al software se deber tener cuidado ya que se deben de tener licencias para el uso de los programas y no incurrir en delitos de autor.
3.4.2. Recursos materiales
financieros
Recordemos que el recurso financiero esta sujeto a la asignacin, y que en ocasiones este ya se encuentra establecido por jefes inmediatos o reas
respectivas, pero que tambin se pueden realizar propuestas de acuerdo a las experiencias laborales que se tengan, este recurso pude ser o no suficiente para las actividades que se realizan y que tambin estn sujetas a los objetivos y metas que se pretenden alcanzar.
El recurso material esta muy ligado al financiero y tambin es indispensable para el cumplimiento de las metas y objetivos de la empresa y como principales puntos podemos encontrar:
94
La programacin. Adecuaciones durante las actividades. Servicios o mantenimientos. Equipos y mobiliario.
Dentro de la programacin se tendr que establecer un programa operativo para la utilizacin de los recursos, seleccionar quines pueden participar en este proyecto.
El recurso material y financiero tendr que ser suficiente para las actividades recordando que tiene que estar en tiempo y forma pues aunque se tenga en cantidad si no se tiene en tiempo esto origina atrasos en las actividades para poder obtener los resultados deseados.
Los servicios y mantenimiento tendrn que realizarse de forma peridica para no tener contratiempos en las actividades ya que se puede estar realizando en tiempo y forma y de repente tener que parar por que no se hicieron los ajustes necesarios.
El mobiliario tendr que ser el suficiente y el adecuado, tendr que estar distribuido adecuadamente en las instalaciones o lugares donde se requiera, hay que tener en cuanta que se pueden dejar de realizar actividades por falta de mobiliario y equipo, si esto fueran la causa se tendr que informar al jefe
95
inmediato para que se tomen las medidas necesarias. Recordar que se tiene que dar mantenimiento de acuerdo a lo programado, teniendo en cuenta las medida de seguridad para evitar errores, cuando un equipo quede obsoleto de su uso se tendr que reportar para tener actualizado el inventario y saber con que se cuenta para poder ser renovado y para esta actividad deber de existir un responsable de este control de inventario.
96
CAPTULO IV
EVALUACIN DE LA SEGURIDAD
97
Siempre tendremos que evaluar todos nuestros datos para de esta forma darles la mejor proteccin posible, desde la forma de procesarla hasta la forma utilizarla, mediante seguridad de sistemas, datos, software, fsica, personal, etc., hasta llegar a los ya conocidos crmenes informticos que por desgracia son cada das mas frecuente y que para muchas instituciones y empresas se transforman en perdidas do todo tipo.
4.1. G ENERALIDADES DE LA SEGURIDAD DEL REA FSICA

Las reas de informtica debern de estar en total orden y con reglas definidas para el cuidado de estas. Los dispositivos con que cuentan en el centro de cmputo y as como los archivos de respaldo pueden estar en riesgo si se tienen accesos no autorizados, los dispositivos pueden sufrir prdidas irreparables que como consecuencia se transforman en trabajos extras para la reconstruccin de archivos que pueden ya no ser tiles, por eso se tendrn que tener en cuenta todas las medidas de seguridad posibles. Estas pueden ser algunas de las indicaciones mas frecuentes.
La limpieza del rea. La ventilacin y de tener ductos de aire debern de tener aseo. 98
Limpieza de pisos falsos. No existir humedad en los cuartos o lugares donde se almacenen los respaldos y donde se tengan la papelera a utilizar. Anuncios relacionados con salidas de emergencia. Prohibir la entrada de alimentos. No fumar en estas reas. La iluminacin del rea. El aislamiento del ruido. El aislamiento de la energa elctrica y su sealizacin. Ocultar correctamente las lneas de red. En caso de incendios extintores sealizados. Planes de contingencia en casos de desastres.
Su objetivo es establecer polticas, procedimientos y prcticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, informacin debido a contingencias como incendio, inundaciones, terremotos, huelgas, disturbios, sabotaje, etc. y continuar en medio de la emergencia hasta que sea restaurado el servicio completo.
99
4.2. SEGURIDAD CONFID ENCIAL
LGICA
La seguridad lgica se encargara de tener la mayor seguridad posible para que la informacin de cada computadora se encuentre lo ms segura y no se realice un mal uso. Por lo cual podemos intuir que puede tener repercusiones para la empresa el mal uso de la informacin he inclusive poder ser usada en su contra, por personal no autorizado, el crimen organizado, etc.
Tambin se encarga de proteger el software en desarrollo o aplicacin, poder identificar a los usuarios y las actividades que estos realizan en los equipos, restringir accesos a programas o archivos a los cuales deben tener contacto, y el uso de las redes o terminales.
Unas de las ms frecuentes infracciones que surgen en la falta de seguridad lgica son:
Copias de informacin o programas no autorizadas. Modificaciones a los datos en la entrada o actualizacin. Cdigos ocultos. Entrada de virus que en la actualidad son de las ms frecuentes.
La seguridad empieza desde una clave de acceso bsica, hasta mayor seguridad, pero hay que tener en cuenta que cuanta mayor seguridad tengamos tambin 100
subirn los costos. Para ello se tendr que tener una proporcionada relacin de seguridad/costo.
Tendremos que tener en cuenta que un porcentaje de filtracin de informacin la realizan las personas que capturan o por las que pasan estos datos dentro de todo este proceso. Se han detectado mas delitos en el momento de la programacin donde alguien puede crear archivos para realizar modificaciones a los sistemas o borrados de informacin total, y mas cuando no se tienen los programas fuente para poder detectar las modificaciones, ya que por lo regular solo son unas cuantas personas que realizan esta actividad, no con esto queremos decir que todos los programadores realizan delitos sino que tambin hay muchos
programadores honestos, todos los programas tendrn que ser debidamente documentados para que no solo en unas cuantas manos este el funcionamiento de una empresa.
Para poder proteger nuestros sistemas de computacin podemos iniciar con accesos con claves para cada usuario y personal que maneje un equipo, estos mtodos se han estado utilizando ya desde hace varios aos. Desgraciadamente en la actualidad hay personas (delincuentes) muy avanzados en conocimientos sobre computacin y pueden con facilidad elegir las claves y entrar a los sistemas y se sugiere que se tengan ms medidas de seguridad como pueden ser acompaadas de:
101
Definir mejores polticas de seguridad. Divisin de responsabilidades. Mejores elementos administrativos. Bitcoras de acceso a la informacin. Solo personal autorizado.
SEGURIDAD LGICA.
Dentro de esta seguridad depender del alto grado con que un usuario pueda actuar o moverse dentro del sistema o las restricciones que este tenga, la informacin puede estar en un archivo, base de datos o bien manejada por medio de una red local o externa, por o mismo se pueden definir varios tipos de usuarios como son:
Propietario. Este es el dueo del control total de la informacin y ser el

mayor responsable de esta, el realiza cualquier funcin como consultar, borrar, corregir y permitir accesos a otros usuarios hasta donde el lo permita.
102
Administrador. El slo actualiza o modifica el software
mediante la
autorizacin del Propietario. La informacin no la puede modificar, se responsabiliza de la seguridad lgica y de los datos.
Usuario principal. A ste le asigna actividades el Propietario, tales como

hacer modificaciones, cambios o utilizar datos, pero el no dar autorizacin a otros usuarios para entrar a ciertas reas.
Usuario de consulta. Solo revisar pero no puede realizar cambios de ningn

tipo, si puede realizar reportes o consultas para estadsticas para la elaboracin de reportes.
Usuario para auditora. Puede utilizar la informacin y rastrearla para

realizar la auditora con fines especficos. (cuando estas se realicen).
En toda empresa o institucin pueden existir muchos usuarios, pero se recomienda que solo exista un propietario o administrador que en muchos casos as se le nombra para tener mayor seguridad de los datos de forma fsica designados bajo la consulta de los jefes inmediatos de ser necesario. La informacin se debe proteger bajo las siguientes caractersticas.
La confidencialidad. Ser responsabilidad de las personas autorizadas para consultar. La integridad. Ser responsabilidad de cada individuo autorizado para la modificacin de datos y programas y de los usuarios a los que se les
103
permita los accesos y que puedan ser fuera de las responsabilidades de trabajo. La disponibilidad. Es responsabilidad de individuos autorizados para alterar parmetros de control de acceso a los sistemas operativos, a los manejadores de bases de datos, software y los medios de comunicacin como las redes.
Para minimizar los riesgos podemos considerar los siguientes factores:
El valor de los datos. La probabilidad de que se puedan realizar accesos no autorizados. Las consecuencias que puedan tener si hay accesos no autorizados. El riesgo que se producir con la informacin que pueda ser mal utilizada. Rutas de acceso. Claves por usuarios. Software de control. Encriptameinto.
104
Rutas de acceso.
El principal objetivo de la seguridad de un sistema de informacin es que se puedan controlar las operaciones y el ambiente para el monitoreo de accesos a la informacin y a los programas, para que se puedan determinar las causas probables de las desviaciones y un correcto seguimiento. Por lo cual es necesario poder utilizar un software en los sistemas y contar con rutas de acceso.
Se ha sealado o que debe de ser necesario que los usuarios pasen por distintos tipos de seguridad antes de llegar a lo que ellos necesitan como acceso a programas y datos dentro de los tipos de restricciones son:
Para solo consulta. Para solo lectura. Lectura y consulta. Actualizacin de datos altas, bajas, cambios o copiar archivos.
Con esto se puede identificar:
Identificar al usuario. El tipo de usuario. El dispositivo por el cual entro.
105
El software usado. Los recursos a los cuales accedi.
El auditor deber de conocer los puntos de acceso para la evaluacin de los puntos de control para poder proteger los datos de la mejor manera posible y sin limitaciones.
CLAVES DE ACCESO.
Este es un punto importante de la seguridad lgica, y por los cuales existen diferentes tipos de maneras de identificar a un usuario como puede ser un password, credencial con banda magntica, un cdigo de barras, caractersticas de usuarios, etc. este es un proceso para saber de que usuario se trata ya que se identificar por entrada nica reconocida por el sistema. El password tambin conocido como clave de acceso sern usadas para controlar el nivel al que pueden o no acceder controlar la entrada a una computadora, que informacin pueden o no ver, las funciones permitidas, etc. Entre algunas caractersticas pueden tener:
Que el usuario este registrado. La longitud de que los caracteres correspondan.
106
No se debe visualizar la clave al ser tecleada (como por ejemplo: #####). Debern ser encriptadas para mayor seguridad. Se recomienda sean caracteres numricos y alfanumricos (no es
recomendable familiarizarlas con su nombre, apellidos, fechas de nacimiento etc.).
Credencial por banda magntica. Como toda credencial se recomienda que tenga nombre y firma como las utilizadas en los bancos, para poder acceder a los sistemas, tambin se tendr que tener confianza en los usuarios que no la traspasen o presten a personal ajeno, por tal motivo es la foto y la firma, y al realizarlas poner medidas de proteccin que sean infalsificables, en la actualidad en ves de bandas magnticas se colocan cdigo de barras.
Caractersticas de usuarios. En la actualidad son de los mtodos ms sofisticados y seguros, pero sin dejar de lado que son muy costosos, son de tecnologa biomtrica y que pueden basarse en el reconocimiento de:
La voz. La firma. La retina. Huella dactilar (de solo un dedo). Huella completa de la mano.
107
SOFTWARE DE CONTROL DE ACCESOS.
Este software es diseado par permitir el manejo y control de acceso a los recursos:
Archivos de datos. Programas de aplicacin. Utileras. Diccionario de datos. Comunicacin. Archivos. Programas.
Controla los accesos a toda la informacin llevando un registro de cada usuario entre las cuales se encuentran las siguientes funciones:
Registro de funciones del usuario cuando acceso al sistema. Define cada usuario.
Este software proteger los recursos mediante la identificacin de usuarios por sus llaves de acceso, esto se guardara en archivos los cuales se encriptarn para mayor seguridad, como se ha dicho todos los usuario tendrn un grado de
108
accesibilidad para poder controlar la informacin. Unos pueden restringir el acceso a datos, archivos, libreras mientras otros podrn restringir el uso de una terminal, o el uso de alguna informacin.
Otra de sus cualidades es que estos paquetes pueden detectar violaciones, cuando se toma en cuenta las siguientes medidas:
Terminaciones de procesos. Cuando se obligan a las terminales para que se apaguen. Desplegar los mensajes de error. Registros para la auditora.
Tambin se sugiere que se pueda realizar una bitcora donde se registrarn los accesos exitosos por parte de personas no autorizadas y que actividades
realizaron, as como las no exitosas que llevan en el da, la hora, la clave con la que entraron, por donde entraron, etc.
El software que se manejan en la actualidad son:
Sistemas Operativos. Es un programa o conjunto de programas de computadora destinados a permitir una gestin eficaz de los recursos entre el software y el hardware. Manejan los controladores para la ejecucin de
109
programas y prevn servicios que el usuario necesita, cada servicio necesita un calendario de trabajo, manejador de equipos perifricos, un contador de trabajo, compilador de programas y pruebas. Tienen sistemas de control en la salida para tener accesos importantes del sistema. Usan claves de acceso, algunos restringen las fallas cuando se pretende entrar con claves errneas.
Software manejador de bases de datos. Su finalidad es la de controlar, organizar y manipular los datos, manipula la integridad de los datos entre operaciones, funciones y tareas de la organizacin.
Software de consolas o terminales maestras. Se define como varios programas del sistema operativo para proveer soporte y servicio para que las terminales puedan acceder a programas, incluye funciones de seguridad para restringir el acceso a los datos por programas de aplicacin gran parte de estas consolas llevan un registro de las llaves de acceso vlidas y no vlidas.
Software de libreras. Est formado por datos y programas para ejecutar una funcin especifica en la organizacin. Los programas de aplicacin ms conocidos como libreras se pueden guardar en archivos del sistema y su acceso se puede controlar por programas de software. Cuando se instala este software se definen las libreras y los respectivos niveles de proteccin.
110
Software de utileras. En la actualidad encontramos dos tipos, uno usado en sistemas de desarrollo que provee productividad. Por ejemplo para el desarrollo de programas y editores en lnea, el segundo para asistir en manejo de operaciones de una computadora como ejemplo de manejadores de disco. Algunos ejemplos de utileras de este software estn: 1. Manejador de discos. 2. Utileras de monitores. 3. Editores en lnea. 4. Sistemas de virus. 5. Software de telecomunicaciones.
4.3. PERSONAL
SEGURIDAD
Para que un buen centro de computo funcione es necesario de que el personal este comprometido, estn integrados, sean estables y sean leales, para lo cual cuando se integren a estos lugares de trabajo se examinen sus antecedentes de trabajo.
Es importante considerar sus valores morales ya que estas personas trabajan por lo regular bajo presin por lo que es importante su actitud de servicio y de dar lo mejor de si mismos. Las personas de informtica tendrn un alto sentido tico y de 111
lealtad claro que no todas las personas cuentan con estas caractersticas, por lo cual el auditor tendr que ser muy cuidadoso y examinar no solo el trabajo del personal de informtica sino tambin la veracidad y confiabilidad de los programas.
Por lo regular en estos puestos se trabaja demasiado y con gran presin, y muchos de estos no se toman sus vacaciones como debe de ser, debido a la dependencia de estas personas que ocupan los puestos, algunos de estos llegan a considerarse que son indispensables en su totalidad, por lo que es conveniente trabajen y descansen lo mejor posible, en caso de renuncia tendr que existir otra persona que se quede a cargo sin que esto ponga en riesgo a la empresa.
Se sugiere la rotacin del personal principalmente en los altos mandos para poder evitar toda clase de fraudes que puedan estar realizando, ya que en la rotacin por mes se puede observar si estn realizando algn tipo de fraude o desvi de informacin se pueden detectar por las personas que llegan a esos puestos, claro que esta rotacin puede implicar costos para la organizacin pero se pueden evitar perdidas que podran tener mayor costo tanto financiero como de reputacin ante la sociedad, tambin se identifica que empleados funcionan y quienes no para de este modo poder prescindir de sus servicios.
Una forma de motivar al personal es la rotacin, as como la capacitacin y actualizacin, y un empleado motivado dar lo mejor de si mismo y es mucho mas
112
leal de esta forma y se logran disminuir los ataques que se pudieran programar e incluso proponiendo incentivos justos.
El empresario as como los auditor debe saber que mucho de los fraudes y fugas de informacin surgen del mismo personal a cargo de estos departamentos, por tal motivo se debe de motivar al personal, as como teniendo los controles de seguridad adecuados los cuales sern observados principalmente por el rea de informtica, de la motivacin y capacitacin depender que se disminuya en gran porcentaje todo tipo de delito.
4.4. CLASIFICACIN DE LOS CONTR OLES D E SEGUR IDAD

Tipos de Controles.
Controles de Preinstalacin. Controles de Organizacin y Planificacin. Controles de Sistemas en Desarrollo y Produccin. Controles de Procesamiento. Controles de Operacin. Controles de uso de Microcomputadores.
113
Controles de Preinstalacin.
Hacen referencia a procesos y actividades previas a la adquisicin e instalacin de un equipo de cmputo y obviamente a la automatizacin de los sistemas existentes.
Objetivos Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran
mayores beneficios que cualquier otra alternativa. Garantizar una seleccin adecuada de equipos y sistemas de computacin. Asegurar la elaboracin de un plan de actividades previo a la instalacin.
Controles de Organizacin y Planificacin.
Se refiere a la definicin clara de funciones, lnea de autoridad y responsabilidad de las diferentes unidades del rea.
Acciones a seguir
Las funciones de operacin, programacin y diseo de sistemas deben estar claramente delimitadas.
114
Evitar interferir en las funciones. Debe existir un control de calidad, tanto de datos de entrada como de los resultados del proceso. El manejo y custodia de dispositivos y archivos magnticos deben estar expresamente definidos por escrito. Las actividades deben obedecer a planificaciones a corto, mediano y largo plazo sujetos a evaluacin.
Controles de Sistema en Desarrollo y Produccin.
Se debe justificar que los sistemas han sido la mejor opcin para la empresa, bajo una relacin costo-beneficio que proporcionen oportuna y efectiva informacin, que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados.
Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan conocimiento y experiencia de su rea y esta actividad facilite el proceso de cambio.
115
Acciones a seguir. El personal de auditora interna/control debe formar parte del grupo de diseo para sugerir y solicitar la implantacin de rutinas de control. El desarrollo, diseo y mantenimiento de sistemas obedece a planes especficos, metodologas estndares, procedimientos y en general a normatividad escrita y aprobada. Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores. Los programas antes de pasar a Produccin deben ser probados con datos que agoten todas las excepciones posibles. Todos los sistemas deben estar debidamente documentados y actualizados. La documentacin deber contener: Informe de factibilidad Diagrama de bloque Diagrama de lgica del programa Objetivos del programa Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobacin de modificaciones. Formatos de salida. Resultados de pruebas realizadas. Implantar procedimientos de solicitud, aprobacin y ejecucin de cambios a programas, formatos de los sistemas en desarrollo.
116
El sistema concluido ser entregado al usuario previo entrenamiento y elaboracin de los manuales respectivos.
Controles de Procesamiento.
Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida de la informacin, lo que conlleva al establecimiento de una serie de pasos para:
Asegurar que todos los datos sean procesados. Garantizar la exactitud de los datos procesados. Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora. Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.
Controles de Operacin.
Abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de almacenamiento, la administracin de discoteca y
117
cintoteca, la operacin de terminales y equipos de comunicacin por parte de los usuarios de sistemas on line.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cmputo durante un proceso. Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios. Garantizar la integridad de los recursos informticos. Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos.
Controles en el uso del Microcomputador.
Es la tarea ms difcil pues son equipos mas vulnerables, de fcil acceso, de fcil explotacin pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la informacin. Acciones a seguir.
118
Adquisicin de equipos de proteccin como supresores de pico, reguladores de voltaje y de ser posible UPS (Uninterruptible Power Supply o Sistema de Alimentacin Ininterrumpida) previo a la adquisicin del equipo. Vencida la garanta de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. Establecer procedimientos para obtencin de backups de paquetes y de archivos de datos. Revisin peridica y sorpresiva del contenido del disco para verificar la instalacin de aplicaciones no relacionadas a la gestin de la empresa. Mantener programas y procedimientos de deteccin e inmunizacin de virus en copias no autorizadas o datos procesados en otros equipos. Estandarizacin del Sistema Operativo, software utilizado como
procesadores de palabras, hojas electrnicas, manejadores de base de datos y mantener actualizadas las versiones y la capacitacin sobre modificaciones incluidas.
119
4.5. SEGURIDAD EN LOS DATOS Y SOFTWARE D E APLICACIN

Objetivo.
Se centra principalmente en proteger el elemento principal que es la informacin que se compone tanto de las aplicaciones informticas como del contenido de las bases de datos y de los archivos. Se dice que la informacin esta entre los activos mas importantes de la empresa, hablando en trminos contables. La aplicacin de la seguridad de la informacin nos exige una previa clasificacin de sta, debido a que no siempre tiene el mismo valor.
Los responsables de cada rea deben ser los quienes manejen informacin y sern clasificacin por niveles.
Confidenciales: Son datos de difusin no autorizada. Su mal uso puede ocasionar

un importante dao a la organizacin.
Restringidos: Son datos de difusin no autorizada. La mala utilizacin ira contra

los intereses de la organizacin y/o sus clientes. (Por ejemplo, datos de produccin de la organizacin, programas o utilidades, software, datos personales, datos de inventarios, etc.)
120
Uso interno y No clasificado: No tienen la necesidad de algn grado de proteccin

para poder circular dentro de la organizacin. (Organigramas, poltica y
estndares, listn telefnico interno, etc.)
Caractersticas de la Seguridad.
Confidencialidad: Intenta que la informacin sea conocida exclusivamente por los

usuarios autorizados en tiempo y forma determinados.
Integridad: Intenta que la informacin sea creada, modificada o borrada slo por
los usuarios autorizados.
Disponibilidad: intenta que la informacin se pueda utilizar cuando y cmo lo

requieran los usuarios autorizados.
Autenticacin: Acreditando que el remitente del mensaje es quin dice ser y no

otra persona para evitar sea interceptada.
No repudio: Tanto en origen como en destino, previniendo que ni el remitente ni el

destinatario puedan alegar que no han enviado o recibido algunos datos y poder ser comprobables para aclaraciones.
Control de accesos: Solo personal autorizado puede acceder a los recursos.
121
Confiabilidad e Integridad.
Tiene como resultado el comprobar el origen de los datos, autorizacin, incorporacin al sistema por el cliente, por empleados de forma automtica, revisin de cmo se verifican los errores todo esto como consecuencia de tener un mayor control del sistema.
Proceso de los datos: Controles de validacin, de integridad, almacenamiento, etc. Salida de resultados: Controles en transmisiones, en impresin, en distribucin,
etc.
Para as obtener retencin de la informacin y proteccin en funcin de su clasificacin, destruccin, etc.
4.6. CONTR OLES PARA EVALUAR SOFTWARE DE APLICACIN

Estos tienen como principal objetivo que se verifique que existe un sistema de control interno que protege los activos materiales e inmateriales de la instalacin informtica de cualquier posible amenaza o riesgo que se le conoce como la proteccin de Activos y Recursos. Se tendr que mantener la integridad de los datos mediante mecanismos de control que se evalen constantemente la calidad
122
de los datos, recordemos que todo sistema tiene que tener efectividad para alcanzar los objetivos del sistema dependiendo de sus caractersticas y
necesidades, circulando por los canales ya asignados, hay que tener en cuenta que un sistema eficiente es aquel que con el mnimo de recursos para dar el mejor resultado. Los sistemas se pueden evaluar mediante.
Un estudio de factibilidad para saber si el sistema es:
Adecuado a realizarse. Su relacin costo/benefici.
Se deber solicitar el estudio de factibilidad de los diferentes sistemas, que se encuentren en operacin, los que estn en fase de anlisis para verificar que:
Se considere la disponibilidad y caractersticas del equipo. Los sistemas operativos y lenguajes disponibles. Las necesidades de los usuarios y el uso que le den. Las formas de utilizacin de los sistemas. Congruencia de los diferentes sistemas. Tendremos que tener en cuenta que en todo sistema existen problemas.
123
4.7. CONTR OLES PARA PR EVENIR CRMENES Y FRAUDES INFORMTICOS

En la actualidad se define como fraude a toda accin que se define como engao o contraria a la verdad y rectitud, muchos estudiosos en cuanto a derecho tratan de formular una opinin para este mal, ya que llevan una conexin entre la vida social o cotidiana con la vida jurdica de cada pueblo a lo largo de muchos aos.
Un crimen es un acto humano o accin, un crimen es antisocial y lesiona, por lo cual pone en peligro a un inters jurdicamente protegido. Y ante la ley es un acto o accin que se har merecedor a un castigo.
No solo perjudica lo fsico sino tambin la funcionalidad as como seguridad.
4.8. PLAN DE PROCEDIMIENTOS DESASTRES
CONTINGENCIA, SEGUR OS, DE RECUPER ACIN DE
Los ataques principalmente que sufren las instalaciones pueden ser por personas que laboran dentro de la misma empresa, defraudadores, ladrones informticos, en algunos casos por manejos inadecuados de la informacin, bien sabemos que no estamos exentos de que surjan desastres que puedan daar nuestros sistemas o instalaciones por lo cual siempre es importante que podamos prever tales 124
acontecimientos tomando algunas medidas de seguridad, por muy bsicas que sea es necesario contar con un plan de contingencia el cual nos ayudar a identificar y actuar ante un acontecimiento crtico asegurando con ello la estabilidad del personal del rea de cmputo as como la informacin y mobiliario que se encuentren ah. Para que en la medida de nuestras posibilidades se efectuara una restauracin en el menor tiempo posible, por consiguiente toda oficina de informtica tendr que contar con un plan de contingencia; el cual debe estar previamente aprobado para tales emergencias y deber contener de manera bsica los siguientes puntos:
Procedimientos bsicos. Informacin necesaria.
Con estos puntos se podr reanudar el sistema o centro de cmputo. Algunas compaas piensan que a ellos nunca les suceder ningn desastre pero sin embargo se tiene que realizar y cada plan de contingencia ser especialmente elaborado para cada compaa o institucin, por las caractersticas de sus equipos instalaciones, forma de trabajo, etc., ya que no se pueden utilizar para todos en general, recordando que se tratara de hacer en el menor tiempo posible y en el menor costo, tratando de afectar lo menos posible a la compaa o institucin.
125
Para que un sistema sea capas de resolver los problemas que se puedan presentar, tendrn que ponerse a prueba dentro de condiciones normales, para que de este modo se pueda comprobar su efectividad y de no ser as se puedan realizar las adecuaciones para tratar de que el plan sea lo mejor posible.
Varias compaas que se dedican a la auditora sugieren algunos puntos a considerar en la elaboracin y aplicacin de un plan de contingencia:
Garantizar la integridad de los datos. Saber de forma rpida cual es la informacin confidencial. Preservar los activos de desastre provocados por la mano del personal. Asegurar la capacitacin del personal sobre el plan para sobrevivir a accidentes.
Es importante sealar que durante la prueba del plan de contingencia no se debe perder de vista ningn detalle tal es el caso de conocer la configuracin, el sistema operativo, los discos, etc., del equipo de cmputo con que se estar trabajando en caso de presentarse algn desastre ya que estos aspectos en una emergencia pueden obstaculizar el proceso de respaldo de la informacin interfiriendo con ello el xito de la aplicacin del plan de contingencia. Por lo tanto cuando se pone a prueba el plan de contingencia se debe siempre tener en mente que las
126
situaciones de desastre que se estn representando pueden hacerse reales en cualquier momento. Y por ello debemos de estar preparados.
Es recomendable que las revisiones al plan de contingencia se hagan cada seis meses para con ello evitar ser sorprendidos en caso de algn tipo de desastre cuyas soluciones no se hayan contemplado en el plan de contingencia. Una vez que el plan fue puesto a prueba y ha sido aprobado con las modificaciones pertinentes es de vital importancia repartirlo al personal responsable de su operacin, que en la mayora de los casos es al personal que se encuentra laborando en las reas de cmputo. Adems de ser distribuido es muy importante contar con una copia del plan de contingencia en algunos lugares que se encuentren cercanos al centro de cmputo como una medida ms en caso de que el desastre fuera mayor y se produjera la destruccin total del centro de cmputo, por ello cuando se elabora el plan de contingencia es de gran importancia identificar los procesos crticos, el tiempo y los recursos para restablecer el servicio ante una contingencia y considerar todo aquello que asegure la continuidad de la organizacin, incluyendo registros manuales y documentacin fuente.
Dependiendo del tipo de informacin que un plan de contingencia contenga ser clasificado como confidencial o de acceso restringido segn sea el caso y por consiguiente el gerente de la empresa designar a las personas que tendrn acceso al conocimiento total o parcial del mismo.
127
Como ya se ha mencionado las empresas no estn exentas de sufrir algn tipo de desastre y desafortunadamente en algunas ocasiones los daos que stos pueden llegar a causar son de mayor o menor magnitud, en base a ello podemos decir que existen diferentes tipos de desastres:
Perdida total del rea de informtica. Destruccin de la informacin que se tenga documentada ya se parcial o total. Perdida parcial del rea. Cuando el rea de informtica sufre daos de electricidad, en su estructura como pisos, paredes, entradas, etc. Tambin intervienen problemas laborales. Se considera como grave la perdida de algn integrante de la organizacin.
Dependiendo de la magnitud del desastre el plan de contingencia deber contar con una metodologa la cual nos ayudar a tener una mayor eficacia en la pronta recuperacin de la situacin ante una contingencia sufrida.
Un plan de contingencia debe ser elaborado por el personal que se encuentre en las reas de informtica particularmente debern estar al frente el personal de administracin de dicha rea como pueden ser los jefes de operacin de anlisis, programacin y auditora interna ya que ellos como encargados del rea poseen un
128
mayor conocimiento acerca del manejo y funcionamiento de la misma, as como tienen acceso a la informacin que se genera en dicho espacio y que en la mayora de los casos tienen un carcter confidencial. A su vez es importante que este personal se apoye en algunos otros trabajadores que sean de absoluta confianza para que las tareas a llevar a cabo en la realizacin del plan de contingencia sean repartidas y con ello optimizar el desarrollo del mismo.
Dentro de los objetivos que todo plan de contingencia debe tener son los siguientes:
Disminuir los daos que el desastre realice. Deber contener el costo del plan de recuperacin, incluyendo la capacitacin y la organizacin para restablecer las actividades de la empresa en caso de que se genere una interrupcin de las operaciones. Asignar tareas para evaluar los procesos indispensables de la empresa. Contar con una excelente metodologa que permita valorar los procesos
para un menor tiempo de respuesta.
129
4.9. TCNICAS Y HERRAMIENTAS R ELACIONADAS CON LA SEGURIDAD FSICA Y DEL PERSONAL

El objetivo de la seguridad fsica es seguir los procedimientos, polticas y practicas para evitar desastres y prolongar las interrupciones para poder trabajar o procesar datos, como son:
Incendios. Inundaciones. Huelgas. Sabotajes. Terremotos. Huracanes.
Tambin pudiendo evaluar algunos de estos aspectos que tambin son reas.
Edificios (ubicacin del edificio, ubicacin del rea de cmputo, elementos de construccin, control de accesos). Instalaciones (potencia elctrica, sistemas contra incendio). Equipamiento y telecomunicaciones. (Potencia elctrica, seguridad de los equipos y medios de comunicacin). Datos (duplicacin y respaldo de datos, integridad de la informacin, seguridad de los datos). 130
Personas (seguridad fsica de las personas, seleccin de personal).
Para poder reanudar los servios en el menor tiempo posible, y las perdidas de informacin menores posibles. Unas de las tcnicas que se pueden considerar para la seguridad son:
1. Ubicacin y construccin del rea de informtica. 2. Pisos elevados. 3. Aire acondicionado. 4. Instalacin elctrica. 5. Seguridad contra desastres provocados por agua. 6. Equipos de seguridad.
UBICACIN Y CONSTRUCCIN DEL REA DE INFORMTICA.
En tiempos pasados estos espacios eran construidos en lugares muy visibles, o ventanas muy grandes ya que era un orgullo tener sistemas de computo los cuales se podan ver desde fueras de las propias instalaciones o a gran distancia, estos espacios eran de trfico pesado para que pudieran ver todo el equipo que se tenia, en la actualidad ya estos lugares se encuentra mas escondidos, no visibles al publico, prcticamente estn aislados de todo trfico de personas que no tienen nada de que enterarse de cuanto quipo se tiene resguardado por ser objeto de
131
riesgo para sabotajes y robos de equipos y de informacin, y todos prcticamente con accesos limitados a cierto personal.
Los materiales con que se construyen estas reas han cambiado y ya no son altamente inflamables, o que puedan ocasionar mucho polvo el cual daar notablemente los equipos y su rendimiento o ciclo de vida, se han sustituido por materiales de mejor calidad. Se prefieren lugares donde no de directamente el sol al interior del inmueble y ventanas pequeas para no poner en riesgo al personal y el equipo. Hay que tener mucho en cuenta el espacio que se tiene para el nmero de equipos que se tengan que instalar en un rea, ya que de no tomarse en cuenta puede generar demasiado calor o saturacin de personal lo cual generara perdidas, en la actualidad se consideran paredes falsas para poder ser movibles y as tener mejores espacios aunque bien sabemos que los quipos cada vez son mas pequeos y ocupan menos espacios pero puede incrementar el numero de estos.
Se deber contemplar dentro de estos espacios lugar para:
Almacenamiento de respaldos y software de instalacin. Formateara a utilizar. Mobiliario como mesas de trabajo y escritorios. Un rea y herramienta para mantenimiento. Equipo de telecomunicaciones y servidores.
132
rea de energa elctrica. rea de recepcin de seal cuando se cuenta con servicio de Internet.
Recordemos que estas medidas debern proteger ntegramente al personal para evitar el mayor porcentaje posible de accidentes dentro de esta rea.
PISO ELEVADO.
En tiempos pasados era necesario de un piso totalmente falso, para el acomodo de cables he incluso de conductos de aire, pero en la actualidad por las condiciones de las computadoras ya no es necesario este piso, ya se instalan conductos para el tendido de cables principalmente de redes para comunicacin y que tambin ya se sustituyen por redes inalmbricas.
De tener un piso falso este deber ser capaz de soportar cargas elevadas y uniformes, as como cargas por equipos extras que se tengan que utilizar en esta rea segn se haga mas grande la adquisicin de equipo, se sugiere que los acabados sean con plsticos antiestticos, este piso debe de tener las
caractersticas de ser movido fcilmente para la instalacin de cables y la limpieza se pueda hacer con un trapo hasta con equipo nuevo como una aspiradora.
133
AIRE ACONDICIONADO.
Este dispositivo depender en gran medida del tipo de computadoras que se utilicen depende del lugar en que se encuentren y de verificar las temperaturas mximas y mnimas que se tengan, los conductos por los que llegara a pasar el aire tendrn que estar en constante servicio de limpieza para evitar el polvo principalmente, estos conductos son frecuentemente causas de incendios, y muy vulnerables a ataques fsicos por lo cual se tendrn que proteger con mayas en interiores y exteriores, se siguiere instalar detectores de humo para prevenir toda clase de incendio recordando que los usuarios o trabajadores estn lo mejor protegidos.
INSTALACIN ELCTRICA.
Este es uno de los puntos en donde se debe de tener mucho cuidado ser evaluado y controlado, ya que no solamente puede ser objeto de interrupciones de energa y prdidas de informacin ya que tambin es una de las causas de incendios. Todo auditor tendr que apoyarse de una persona especialista en electricidad par poder evaluar las condiciones en las cuales se encuentran trabajando estas reas. Todo el sistema elctrico tiene que estar perfectamente identificado como tradicionalmente se hace por medio de colores. Para todo el sistema de cmputo
134
las conexiones deben de ser independientes, adems de contar con tierra fsica la cual las protege en casos de descargas elctricas. Se debern tener los planos de la instalacin y si han sufrido modificaciones tendrn que estar actualizados. Es comn que cuando estos contactos no se especifican para equipos de cmputo pueden instalar otros equipos como copiadoras o aires acondicionados los cuales pueden producir picos de corrientes elctricas.
Los niveles de variacin de la energa pueden ser causados por mquinas elctricas como motores, ascensores los cuales pueden producir daos a los equipos por lo cual se recomienda se cuente con tierra fsica la cual tiene que estar debidamente instalada de acuerdo con especificaciones de los proveedores, as como tambin es importante contar con reguladores de energa conocidos como no-break, es esencial tomar en cuenta las caractersticas de los reguladores los cuales pueden funcionar para varios equipos o solo pueden limitarse a un nmero reducido dependiendo de las cargas especficas del regulador a utilizar esto nos ayudar a evitar sobrecargas en ellos. Otras de las medidas de seguridad es contar en la medida de las posibilidades con reguladores elctricos de energa las cuales puedan almacenar energa para que en cierto periodo ya sea por horas o minutos para que se realice el apagado de los equipos lo mas rpido posible as como los respaldos correspondientes para guardar la informacin que fuera mas importante en ese momento.
135
Es importante recordar tambin que existe fauna nociva que puede daar el sistema elctrico y de comunicaciones, como son los roedores que
tradicionalmente se comen los plsticos de los cables por lo cual hay que combatirla de forma inmediata, una de las opciones seran con trampas o venenos, aunque de utilizar esta ltima medida se debe tener mucho cuidado en su aplicacin para evitar con ello algn problema al personal.
Cuando se tienen sistemas de alto riesgo o seguridad los cuales no deben de tener fallos de energa elctrica un claro ejemplo son los sistemas bancarios que no solo tendrn que contar con reguladores y con interruptores sino con plantas de luz de emergencia para cuando se pierda la energa por un perodo prolongado.
Los incendios a causa de energa elctrica son un riesgo latente, para reducir en gran medida este problema los cables podrn ser puestos en paneles o canales resistentes al fuego, en la actualidad estos canales se encuentran en los pisos de los centros de cmputo. Se debe cuidar que no solo estn aislados sino que no se encuentren distribuidos por toda la oficina reas de cmputo.
Los circuitos de iluminacin y sistemas de aire no debern conectarse a los tableros utilizados por los sistemas. Cada proveedor deber distribuir un tablero que contenga un interruptor general, voltmetro, ampermetro e interruptor
136
individual para cada unidad que configure. ste tablero deber estar en un lugar visible y accesible as como rotulado para su fcil localizacin.
SEGURIDAD CONTRA DESASTRES PROVOCADOS POR AGUA.
stas reas nunca deben de estar en stanos o plantas bajas, se recomienda instalarlas en plantas altas o lugares elevados para con ello evitar que al existir alguna inundacin o desastre por el agua los equipos puedan ser daados y con ello se pierda algn tipo de informacin, recordando que en zonas ssmicas no
provoquen problemas por exceso de peso y puedan surgir problemas. Siempre se tendr que optar por la mejor opcin para tener la mejor seguridad posible cuando en las zonas existan problemas de inundaciones o ssmicas. En algunas zonas la ruptura de caeras o el bloqueo de los drenajes pueden originar problemas para la instalacin de los centros de cmputo. Si es necesario se podrn instalar bombas de emergencia para que se resuelvan las inundaciones inesperadas.
Otro de los cuidados para evitar daos es poseer aspersores contra incendios especiales que no utilicen agua.
137
AUTORIZACIN DE ACCESOS.
Es importante que los accesos sean estrictos todo el tiempo incluyendo al personal de la propia organizacin, y poner un especial cuidado durante los descansos y cambios de turnos. Preferentemente se debern identificar antes de entrar a estas instalaciones, para lo cual ser de gran utilidad que porten un gafete que los identifique como personal de esa rea. El personal autorizado podr acceder por medio de llaves que les han sido proporcionadas por la gerencia de la empresa. A continuacin se dan algunas sugerencias para restringir estos accesos:
Puerta con cerradura: Con la tradicional llave de metal tratando de que sta sea muy difcil de duplicar. Puerta de combinacin: Este sistema contendr una combinacin de
nmeros para poder accesar; de preferencia esta clave se debe cambiar con regularidad, y ms an cuando un usuario sea transferido o termine la funcin dentro de esa rea. Puerta Electrnica: ste sistema utiliza una tarjeta de plstico magntica o una llave de entrada la cual contiene un cdigo especial que es ledo por un sensor. Registros de Entrada: Todo visitante deber registrarse indicando su nombre, su procedencia, la razn de la visita, y persona o departamento al
138
que visita. Es recomendable solicitar una identificacin con foto para asegurar que la persona no de datos falsos. Videocmaras: Se colocarn en puntos clave para poder tener un mayor control sobre las actividades que se realizan en esta rea. Las cintas debern ser guardadas para posibles anlisis en caso de presentarse algn problema. Gua de visitantes: Todo visitante deber ser acompaado por un empleado. A un visitante se le considera desde un amigo, proveedor asistente de
mantenimiento, auditor y en general a cualquier persona ajena a esta rea. Puertas dobles: Se trata de dos puertas donde no se controla el tiempo de apertura y una abre despus de la otra. Un claro ejemplo son las que se utilizan en los bancos. Alarmas: Estas alarmas se instalarn de la manera ms discreta posible para no llamar la atencin. sta medida puede ocuparse en las reas cercanas al centro de cmputo y dentro de ste.
EQUIPOS DE SEGURIDAD.
Es recomendable que existan detectores de humo por ionizacin, estos sistemas debern sonar una alarma para indicar la situacin; esto permitir interrumpir la energa elctrica al equipo de cmputo. Se debern colocar en lugares estratgicos
139
para prevenir cualquier clase de incendio. A si mismo se tiene que contar con extintores porttiles los cuales deben revisarse peridicamente para saber cuntos existen, su capacidad, el peso, el tipo de producto que se utiliza, la forma en que se pueden transportar, fijarse que sus componentes no deben de provocar mayor prejuicio a las mquinas (que pueden ser lquidos), que produzcan gases txicos, que sean factibles para ser manejados por una mujer y que estn colocados en una altura adecuada.
Cabe sealar que en caso de incendio los productos como cintas magnticas al quemarse producen gases txicos y todo papel al quemarse es altamente inflamable, por lo cual se sugiere que todo este tipo de material se encuentre en cuartos aislados o fabricados para resistir el calor por lo menos dos horas. Por lo cual se sugiere la elaboracin de planes de evacuacin que estn documentados y aprobados para garantizar la seguridad del todo el personal que labora en estas reas.
140
4.10. TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIN
Seguridad estndar.
En la mayor parte de las ocasiones, los equipos se utilizan para almacenar datos valiosos y confidenciales de las empresas o instituciones. Estos datos pueden ser de tipos muy diversos, pasando por informacin financiera hasta archivos del personal o correspondencia privada.
Tambin deber protegerse de cambios
accidentales o voluntarios en la
configuracin del equipo. Sin embargo, los usuarios de los equipos necesitan realizar su trabajo sin obstculos que dificulten excesivamente el acceso a los recursos que precisan.
Por lo cual se sugiere la aplicacin de un Test de seguridad de antivirus en equipos que contienen archivos confidenciales
141
Cuentas de usuarios y grupos.
Con una configuracin de seguridad estndar, se debera necesitar una cuenta de usuario (que es un nombre de usuario) y una contrasea para poder utilizar el equipo (como ya se ha definido formado de nmeros y letras de preferencia y cambiados constantemente). Puede establecer, eliminar o deshabilitar cuentas de usuario con el Administrador de usuarios, que se encuentra en el grupo de programas de Herramientas administrativas. El Administrador de usuarios tambin permite establecer directivas de contraseas y organizar las cuentas de usuario en grupos.
142
Contraseas.
Cualquier persona que conozca un nombre de usuario y la contrasea asociada puede iniciar una sesin como si fuera ese usuario. Los usuarios deben procurar mantener sus contraseas en secreto. A continuacin, se ofrecen algunas sugerencias: Cambie de contrasea con frecuencia y evite volverla a utilizar. No utilice palabras que se puedan adivinar fcilmente ni que aparezcan en el diccionario. Una frase o una combinacin de letras y nmeros podr ser lo mejor. No anote la contrasea, procure elegir una que le resulte fcil de recordar.
Test de Auditora de contraseas.
143
Proteger archivos y directorios.
El sistema de archivos NTFS (New Technology File System o Nueva Tecnologa de Sistema de Archivos) proporciona ms caractersticas de seguridad que el sistema FAT (File Allocation Table o tabla de ubicacin de archivos) y debe utilizarse siempre que la seguridad sea importante.
Con NTFS, puede asignar distintas protecciones de archivos y directorios, especificando qu grupos o cuentas individuales pueden tener acceso a estos recursos y de qu modo.
1. Evaluacin de los Sistemas.
Para investigar el costo de un sistema se debe considerar: Costo de los programas. Uso de los equipos. Tiempo, personal y operacin. Costos directos e indirectos de operacin.
Como beneficios podemos citar: Ahorro en los costos de operacin. Reduccin en tiempo de proceso.
144
Mayor exactitud. Mejor servicio. Mejor control. Mayor confiabilidad y seguridad.
Entre los problemas ms comunes en un sistema podemos citar:
Falta de estndares en el desarrollo, anlisis, y programacin. Falta de participacin de los usuarios. Deficiente anlisis costo beneficio. Nueva tecnologa no usada o usada incorrectamente. Inexperiencia por parte del personal de anlisis y programacin. Diseo deficiente que tiene como consecuencia inadecuados procedimientos de seguridad, de recuperacin y de archivos. Falta de integracin de Sistemas. Documentacin inadecuada o inexistente. Problemas en la implementacin y conversin. Procedimientos incorrectos o no autorizados.
2. Evaluacin del Anlisis. En esta etapa se evaluaran las polticas, procedimientos y normas, que se tienen para llevar a cabo el anlisis de sistemas.
145
Evaluacin de la planeacin de las aplicaciones en lo referente a:
Una planeacin estratgica (Aplicaciones agrupadas, relacionadas entre si, y no como trabajando aisladamente). Requerimientos de usuarios. Inventario de sistemas en proceso (Informacin de cambios solicitados). Planeada para desarrollo. En desarrollo. En proceso, pero con modificaciones en desarrollo. En proceso con problemas detectados. En proceso sin problemas. En proceso espordicamente.
Revisar Documentos y Registros usados en la elaboracin del sistema: Salidas y reportes. Flujo de la informacin y procedimientos. Archivos almacenados. Relacin con otros archivos y sistemas. Frecuencia de acceso. Seguridad y control.
146
3. Evaluacin del Diseo Lgico. En esta etapa se debern analizar las especificaciones del sistema: Cmo lo deber hacer? Ser de las preguntas mas frecuentes, Qu deber hacer? Tambin como pregunta principal, la secuencia y ocurrencia de datos que se estarn trabajando y por ultimo el proceso que se realizar con toda la informacin y que esto llevar a una emisin de reportes los cuales nos arrojarn la informacin lo mayor clara y precisa posible. Para as obtener:
Estudiar la participacin que tuvo el usuario en la identificacin del nuevo sistema. La participacin de la auditora interna en el diseo de controles y la determinacin de los procedimientos de operacin y decisin. Al tener el anlisis del diseo lgico debemos compararlo con lo que realmente se esta obteniendo que principalmente nos arrojara:
Entradas y salidas. Procesos especficos. Especificaciones de datos y manipulacin de estos. Mtodos de acceso Operaciones Proceso lgico necesario para producir informes. Identificacin de archivos, tamao de los campos y registros.
147
Proceso en lnea o lote y su identificacin. Frecuencia y volmenes de operacin. Sistemas de seguridad. Sistemas de control Responsables Numero de usuarios
Dentro del estudio de los sistemas en uso se deber solicitar: Manual de usuario. Descripcin de flujo de informacin. Descripcin y distribucin de informacin Manual de reportes. Listas de archivos y especificacin.
Teniendo estos procesos lo que se debe determinar en toda clase de sistemas y que nos puede ayudar en un mejor control ser:
PROCEDIMIENTO.
Quin hace, cundo y cmo? El nmero de copias es el adecuado?
148
Existen puntos de control o faltan?
GRFICA DE FLUJO DE INFORMACIN.
Es fcil de usar? Es lgica? Se encontraron lagunas? Hay faltas de control?
FORMAS DE DISEO
Cmo esta la forma en el sistema? Qu tan bien se ajusta la forma al procedimiento? Cul es el propsito, porqu se usa? Se usa y es necesaria? Quin lo usa?
ANLISIS DE INFORMES
Una vez que se ha estudiado los formatos de entrada, debemos de analizar los informes para posteriormente evaluarlos con la informacin proporcionada por la encuesta a los usuarios.
149
4. Evaluacin del Desarrollo del Sistema. En esta etapa del sistema se debern auditar: Los programas. Su diseo. El lenguaje utilizado. Interconexin entre los programas. Caractersticas del Hardware empleado.
Es recomendable realizar una evaluacin cuando el sistema ya se implemento y se encuentra trabajando correctamente, para asegurarnos que tenga las fallas menos posibles. Las caractersticas a evaluarse en los sistemas son:
Dinmicos Accesibles Oportunos Modulares nicos
Estructurados Necesarios Funcionales Jerrquicos
Integrados Comprensibles Estndar Seguros
150
CAPTULO V
AUDITORA DE LA SEGURIDAD EN LA TELEINFORMTICA
151
Toda clase de medio de comunicacin puede tener puntos vulnerables por tal razn hay que tener muy en cuanta toda la seguridad posible que se pueda tener recordando que las telecomunicaciones las utilizamos todos los das, desde accesos telefnicos hasta el ya conocido Internet y por tal razn se debe de tener un adecuado control para la recepcin y salidas de los datos.
5.1. G ENERALIDADES DE LA SEGURIDAD EN EL R EA DE LA TELEINFORMTICA

En la actualidad cada uno de nosotros empleamos en nuestra vida diaria las Telecomunicaciones como por ejemplo el telfono para tener una platica con alguna persona en cualquier parte de nuestro pas o el mundo, las computadoras personales ya las ocupamos en casi cualquier tipo de trabajo donde se necesite entablar una comunicacin y desempean un papel muy importante para el desarrollo de cualquier institucin. Los estudiantes por su parte realizan investigaciones en el ya tan conocido INTERNET o tambin para el envi de correos electrnicos o Chat.
La telefona por medio de celulares es da a da ms conocida y se expande rpidamente a ms lugares del mundo sin tener que poseer una lnea de telfono, y ya en pases desarrollados se pone en practica el ya trabajar desde sus hogares
152
sin asistir a la oficina con el envi y recepcin de informacin por medio del INTERNET pudiendo recibir informacin que tengan almacenada y trabajar desde lugares lejanos, la informacin solicitada viajara por la red que puede ser publica o privada para lo cual se necesitar una preparacin de cmo realizarlo, que seremos como usuarios o diseadores de esta red.
Todo esto surge por la necesidad de estar comunicados lo mejor posible acortando los tiempos y distancias, esto trae como consecuencia un proceso que es la codificacin que representaran el proceso de transmisin de datos, esto para
privacidad de la informacin, ya que algunos terceros tratarn de interceptarla y descifrarla, la informacin es una parte imprescindible, la cantidad de
conocimientos que desde hace mucho tiempo pueden ser almacenados, que no se podran guardar de forma fsica y por tanto se puede transmitir.
Entre las principales reas de la teleinformtica que requieren de proteccin son:
Aplicaciones teleinformticas de las redes telefnicas. Equipos de radio. Equipos de terminales de lnea. Elementos integrantes de las redes teleinformticas. Equipos de circuitos de datos. Equipos de terminal de datos.
153
Las redes telefnicas.
5.2. OBJETIVOS Y CRITERIOS DE LA AUDITORA EN EL REA DE LA TELEINFORMTICA

Se debe comprobar que existan normas en comunicaciones al menos para las siguientes reas:
Tipos de equipamiento, como adaptadores LAN (Local Area Network o Red de rea Local), que puedan ser instalados en la red. Procedimientos de autorizacin para conectar nuevo equipamiento en la red para que no tenga problemas a la hora de transmitir. Para los planes y procedimientos de autorizacin para la introduccin de lneas y equipos fuera de las horas normales de operacin. Tambin se necesitaran los procedimientos para el uso de cualquier conexin digital con el exterior, como lnea de red telefnica conmutada o Internet, estos debidamente instalados.
Para los procedimientos de autorizacin para el uso de exploradores fsicos y lgicos tendrn que existir planes de comunicaciones de largo plazo, incluyendo estrategia de comunicaciones de voz y datos.
Los planes de comunicaciones a alta velocidad, como fibra ptica (en caso de ser necesario) tienen que estar bien instalados para evitar algn tipo de falla. Se tiene
154
que realizar una buena planificacin de redes de cableado integral para cualquier edificio y dependencia que vaya utilizar la empresa la cual pude ser dentro del rea de cmputo hasta oficinas adjuntas en donde se necesite estar comunicado como lo son oficinas de los ejecutivos.
El plan de recuperacin de desastres considera el respaldo y recuperacin de los sistemas de comunicaciones.
Las listas de inventarios incluyen todo el equipo de comunicaciones de datos, como modems, controladores, terminales, lneas y equipos relacionados entre mejor se tenga un control mejor ser el resultado. Se mantienen los diagramas de red que documentan las conexiones fsicas y lgicas entre las comunicaciones y otros equipos de proceso de datos lo cual ayudara en caso de realizar correcciones o ampliaciones que se realicen de acuerdo a las necesidades que se tienen.
Se refleja correctamente en el registro de inventario y en los diagramas de red, una muestra seleccionada de equipos de comunicaciones, dentro y fuera de sala de computadores. Los procedimientos de cambio de equipos, as como para aadir nuevas terminales o cambios en direcciones, son adecuados y consistentes con otros procedimientos de cambio de las operaciones de proceso de datos.
155
Existe un procedimiento formal de prueba que cubre la introduccin de cualquier nuevo equipo o cambios en la red de comunicaciones. Existen procedimientos adecuados de identificacin, documentacin y toma de acciones correctivas ante cualquier fallo de comunicaciones.
Existe
un sistema
comprensible
de contabilidad
y cargo
en costes
en
comunicaciones, incluyendo lneas, equipos y terminales.
5.3. SNTOMAS RIESGO
DE
Los problemas mas frecuentes que hoy en da que se pueden encontrar y se plantean para la puesta en funcionamiento de lo que en la actualidad denominamos como sistema teleinformtico son muchos y complejos, como principales se tienen los siguientes:
La transformacin de la informacin digital que circula por la computadora es una clase de seal, analgica o digital, adecuada a los circuitos que se utilizan para la transmisin. La utilizacin ptima de la lnea de telecomunicacin, transmitiendo mltiple informacin soportar. 156 paralelamente, y de acuerdo a la capacidad que pueda
La eliminacin o el nivel mas bajo de los errores que puedan producirse por ruidos e interferencias, as como la proteccin contra la prdida o
atenuacin de la seal que se produce al ser enviada principalmente cuando viaja a grandes distancias. El intercambio de circuitos y de mensajes necesaria en una red para establecer diferentes orgenes y destinos. La compatibilidad entre los equipos y medios de comunicacin, tanto a nivel fsico como lgico.
Por este medio se enviara informacin de tipo analgica o digital, claro dependiendo del tipo de medio utilizado, as como la tecnologa. La tecnologa mas utilizada actualmente es la digital, recordemos que para la salida y recepcin de seal se tendr que ocupar un mdem o adaptador de la seal dependiendo de la clase de adaptacin que se tenga que realizar. Por otra parte recordemos que se trata de estar lo mejor protegidos posibles de cualquier clase de ataque a las lneas de comunicacin.
157
5.4. TCNICAS Y HERRAMIENTAS D E AUD ITORA RELACIONADAS CON LA SEGURIDAD EN LA TELEINFORMTICA

Auditando la red fsica.
Comprobar que los accesos fsicos provenientes del exterior han sido debidamente registrados. Comprobar que desde el interior del edificio no se intercepta fsicamente el cableado. Como objetivos de control, se debe marcar la existencia de:
reas controladas para los equipos de comunicaciones, previendo as accesos inadecuados. Proteccin y control adecuado de cables y lneas de comunicaciones, para evitar accesos fsicos. Controles de equipos de comunicaciones, usados para monitorizar la red y su trafico, que impidan su utilizacin inadecuada.
Hay que tener una atencin especial a la recuperacin de los sistemas de comunicacin de datos, en el plan de recuperacin de desastres. Los controles especficos en caso de que se utilicen lneas telefnicas normales con acceso a la
158
red de datos para prevenir accesos no autorizados al sistema o a la red y se debe de comprobar que:
El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a personas no autorizadas. Solo personal autorizado pueda entrar permanentemente en las salas de equipos de comunicaciones. Existen procedimientos para la proteccin de cables y bocas de conexin que dificulten el que sean interceptados o conectados por personas no autorizadas.
Se tiene que realizar una revisin peridicamente a la red de comunicaciones, buscando intercepciones activas o pasivas. Las lneas telefnicas usadas para datos, cuyos nmeros no deben ser pblicos, tienen dispositivos/procedimientos de seguridad y recordando que entre mayor seguridad mejor seguridad de los datos.
Auditando la red lgica.
Como objetivos de control, se debe marcar la existencia de:
Contraseas y otros procedimientos para limitar y detectar cualquier intento de acceso no autorizado a la red de comunicaciones.
159
Facilidades de control de errores para detectar errores de transmisin y establecer las retransmisiones apropiadas. Registro de la actividad de la red, para ayudar a reconstruir incidencias y detectar accesos no autorizados. Deben existir tcnicas de cifrado de datos donde haya riesgos de accesos impropios a transmisiones sensibles. Controles adecuados que cubran la importancia o exportacin de datos a travs de puertas, en cualquier punto de la red, a otros sistemas informticos. Se debe comprobar que:
El software de comunicaciones, tiene que ser hasta cierto punto el que exige acceso, y pida cdigo de usuario y contrasea, para que se revisen el procedimiento de conexin de usuario y comprobar:
El no acceso hasta cumplir con una identificacin correcta. Inhabilitar usuario que no introduzca contrasea despus de algunos intentos. Cualquier procedimiento del fabricante, mediante hardware o software, que permita el libre acceso y que haya sido utilizado en la instalacin original, ha de haber sido inhabilitado o cambiado.
160
Existen controles para que los datos sensibles solo puedan ser impresos en las impresoras designadas y vistos desde terminales autorizadas. Existe anlisis de riesgos para aplicaciones de procesos de datos a fin de identificar aquellas en las que el cifrado resulte apropiado. Si se utiliza cifrado:
Existen procedimientos de control sobre generacin e intercambio de claves. Las claves de cifrado son cambiadas regularmente. El transporte de las claves de cifrado desde donde se generan a los equipos que las utilizan siguen un procedimiento adecuado. Si se utiliza la transmisin de datos sensibles a travs de redes abiertas como internet, comprobar que estos datos viajan cifrados.
Como conclusin podemos resumir que la auditora de la red permite la bsqueda de la informacin que pueda garantizar:
La integridad de la informacin transmitida a lo largo de toda la red. La capacidad y velocidad de la informacin transmitida de acuerdo a los requerimientos exigidos actuales y futuros. La proteccin de la vida y salud de los usuarios de la red. La proteccin de los equipos conectados a la red.
161
La proteccin de las oficinas y edificios en donde est instalada la red. El cumplimiento de la aplicacin de los estndares internacionales en la instalacin de la red. El cumplimiento de la aplicacin de las caractersticas mecnicas, elctricas, trmicas y pticas de los medios de transmisin, de acuerdo a estndares internacionales.
162
CAPTULO VI
INFORME DE LA AUDITORA INFORMTICA
163
Cuando la labor del auditor termino tendr que entregar su informe final para de este modo poder evaluar como se encuentra la institucin, y cuales fueron los puntos ms dbiles que se encontraron de la manera mas objetiva posible, no con le objetivo de exhibir a las personas o las causas sino para dar la mejor de las soluciones posibles.
6.1 CARACTERSTICAS INFORME
DEL
Cuando se ha terminado la auditora se realizar el informe final para la presentacin de los resultados a los directivos de la institucin, y personal de la misma tendr como consecuencia el reporte de la evaluacin final. ste informe se presenta por escrito previa conclusin de los borradores que se elaboraron a lo largo de este proceso en donde se plasmaran todos los acontecimientos que los auditores encontraron pudiendo ser fallos provocados intencionalmente o por desconocimiento de los empleados que pondrn en riesgo la integridad de la informacin, personal humano, equipo con el que cuentan para la realizacin de su trabajo ya incluidos, equipos de computo, mobiliario, manuales, respaldos, rea de computo u oficinas, etc.
164
El Informe Final podr contener algunas de estas caractersticas:
Fecha de inicio de la auditora. Fecha de elaboracin del informe. Nombre del personal que participo en la auditora. Nombre de las personas entrevistadas (se incluye puesto, rea de trabajo). Objetivos y alcances de la auditora. Alcance y objetivos de la auditora. Enumeracin de temas considerados. Para cada tema, se podr ocupar este orden: Situacin actual. Cuando sea una revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin, se expondr la situacin encontrada y la situacin actual. Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras. Puntos dbiles y amenazas. Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora informtica. Redaccin posterior de la Carta de Introduccin o Presentacin.
La carta de introduccin es muy importante porque en ella ha de resumirse la auditora realizada. Solo se le entregar a quien es el responsable mximo de la
165
empresa o institucin, o la persona especfica quien encargo o contrato la auditora.
Se podrn imprimir las copias de la auditora en los tantos que la soliciten y al personal que los jefes quieran dar a conocer los resultados, (los que solicite el cliente) pero bajo ninguna circunstancia se elaborar ms copias de la carta de introduccin solo en su caso que el propio contratante o gerente lo solicite.
Estas son las caractersticas que ms se manejan en esta carta de introduccin:
Tendr como mximo 4 folios. Incluir fecha, naturaleza, objetivos y alcance. Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad encontradas. Presentar las debilidades en orden de importancia y gravedad (punto muy importante y tendr que ser lo mas especfico posible). En la carta de introduccin no se escribirn nunca recomendaciones (ya que solo es de carcter informativo y que este enterado de la situacin real).
166
6.2. ESTRUCTURA DEL INFORME

Dentro de la estructura del informe:
Situacin actual de la empresa. Donde se expondrn las circunstancias en las que se encontr y que cambios o situaciones se dieron en este tiempo de la auditora. Tendencias. Se realizaran comparativos que nos permitan dar una idea del comportamiento a futuro. Las amenazas y puntos vulnerables. Los acontecimientos que puedan ocasionar problemas internos y externos, as como puntos dbiles
identificables para que realicen ataques que pueden ser por personal de las misma institucin o ajenos a sta. Medidas de solucin y plan de accin. Se mencionaran las mejores estrategias para la solucin de los problemas dando los mejores puntos de vista mencionando como y por que se tienen que hacer antes de que puedan surgir problemas mayores, y no solo una vaga idea. Este punto y el anterior se consideran como la parte ms esencial de toda auditora practicada. Anexos. Se aadirn los borradores, apuntes, entrevistas, y documentacin en la que se baso esta auditora como soporte de las conclusiones a las que se llego.
167
El informe contendr los hechos ms importantes, estos tendrn un amplio significado de verificar objetivamente los acontecimientos, se tendr que acompaar de la documentacin que soporte este hecho y que puede contener estos criterios.
Por ser un hecho encontrado como debilidad podr ser objeto de cambios. El cambio propuesto tendr que ser lo mejor planteado para resolver la situacin. Las recomendaciones del auditor sobre algn hecho siempre sern lo mejor posible que las actuales ya que por tal razn se efectu una revisin, para puedan ser las ms viables. La recomendacin del auditor ser lo ms clara y concreta posible as como estar lo bastante soportada, se plantearan las o la medida de solucin y en que tiempo se pueden implementar, y tambin al personal que se puede hacer cargo de este proceso.
168
6.3. FORMATO PARA EL INFORME.

Sugerencia de formato para conclusiones de la auditora practicada.
DIRECCIN: SE AUDITO A
HOJA NUM.
DE
FECHA EN QUE SE TERMINO LA AUDITORA
NUM.
PROBLEMAS
CAUSAS
DEBILIDADES
MEDID AS DE SOLUCIN
OBSERVACIONES
FECHA PARA APLICACIN
RESPONSABLE DE LA RECOMENDACIN.
169
Sugerencia para la recomendacin de la auditora practicada. Periodo reportado _ _
DIRECCIN: SE AUDITO A
_ _
_ _
HOJA NUM. DE FECHA EN QUE SE TERMINO LA AUDITORA _
NUM. OBS.
RECOMENDACIN.
FECHA ESTIMADA DE RESOL.
FECHA REAL DE RESOL.
MOTIVO POR EL CUAL NO SE HA RESUELTO
ESTRATEGIA PARA LA SOLUCIN.
OBSERVACIN
FECHA PROBAB. IMPLAN.
RESPONS. DE LAS RECOMEN.
170
PROBLEMAS RESUELTOS
Mediante este anlisis, as como las opciones que se han mostrado se tratar de asegurar los sistemas de todo tipo, los problemas no se han resuelto, hasta que no se practiquen las auditorias para de este modo saber que es lo que esta fallando en la institucin, por que aunque a los ojos de los directivos no esta pasando nada y que crean que todo marcha lo mejor posible pueden estar sucediendo problemas en los niveles mas abajo sin que ellos estn enterados, por lo cual se necesitan realizarse estas auditoras para que la institucin este lo ms segura posible para poder competir y brindar los servicios lo mejor posible, sobre todo fin fugas de informacin o riesgos que pueden causar perdidas y en ocasiones hasta el cierre total.
Se tendrn que poner en practica mucho de estos puntos por el bien de la institucin, de ante mano se sabe que los problemas surgen en la practica y necesitamos medidas de control para ir cerrando todos esos espacios que pueden estar abiertos de cualquier modo. Los problemas se resuelven en la practica de estas acciones no hay que creer que todo lo que se tiene es seguro e invulnerable, la tecnologa avanza todos los das para mejoras, pero tambin hay personas que se dedican a buscar los medios para hacer dao a lo que consideramos ms seguro.
171
CONCLUSIONES Y RECOMENDACIONES
Como ya hemos visto al parecer nada esta seguro por lo cual se recomienda realizar evaluaciones peridicas de toda clase, aunque estas parezcan repetitivas, por que no se sabe en que momento el sistema puede estar en riesgo, ya sea por factores fsicos, lgicos, mantenimiento, etc., por lo tanto hay que practicar auditoras, y como ya se menciono anteriormente son para encontrar las
debilidades de la institucin para cerrar esos espacios o accesos no deseados con la finalidad de que la institucin este lo ms protegida posible para cualquier tipo de desastre o ataque por lo cual se sugieren:
Revisiones peridicas. Adecuado mantenimiento. Personal capacitado. Un ambiente de trabajo limpio. Trato respetuoso. La mejor planeacin posible. Todo con la finalidad de que la institucin sea segura, claro siempre contando con que los directivos pongan atencin a los resultados, sugerencias y tomen las mejores decisiones, ya que algunos de estos problemas podrn surgir por falta de atencin de los directivos por querer ahorrar o pagar favores poniendo en riesgo su propio trabajo.
iv
REFER ENCIAS BIBLIOGRFICAS Y VIRTUALES

Piattini Velthuis, Mario G. y Del Peso Navarro, Emilio. Auditora Informtica Un enfoque prctico. 2 edicin ampliada y revisada, Editorial Alfaomega, Mxico, 2001
Echenique, Jos Antonio. Auditora Informtica. Editorial Mc-Graw Hill, Mxico, 1190
Hernndez Hernndez Enrique. Auditora en Informtica. Editorial CECSA, Mxico, 1999
Derrien, Yann. Tcnicas de la Auditora Informtica. Editorial Alfaomega, Mxico, 1999
www .eumed.net/cursecon/libreria/rgl-genaud/1x.htm www.auditi.com/audinfo1.htm www.solocursosgratis.com www.monografas.com/computacion
ANEXOS
ANEXO 2.1 FORMATO PARA PROGRAMA DE AUDITORA.
ORGANISMO O DEPENDENCIA: _ FECHA DE ELABORACIN : _ RESPONSABLE: NUM. DE HOJA: _ DE _ _ _
INICIO
FIRMA DEL RESPONSABLE:
TERMINO
DESCRIPCIN
ACTIVIDADES
No DE PERSO-
DAS HOMBRE ESTIMADOS
DAS HABILES ESTIMADOS
ETAPA
OBSERVACIONES
Vo. Bo.
vi
ANEXO 2.2 FORMATO PARA AVANCE Y CUMPLIMIENTO DEL PROGRAMA DE AUDITORA.
PROGRAMA DE AUDITORA.
ORGANISMO O DEPENDENCIA: _ FECHA DE ELABORACIN : _ RESPONSABLE: NUM. DE HOJA: _ DE _ PERIODO A REPORTAR: _
DAS UTILIZADOS REALES GRADO DE AVAN-CE.
_ _ _
AUDITORA NO INICIADA EN PROCESO TERMINADA
AUDITORA
DAS HOMBRES
SITUACION DE LA
PERIODO REAL DE LA
EXPLICACIN DE LAS VARIACIONES EN RELACIN CON LO PROGRAMADO.
INICIADA
FIRMA DEL RESPONSABLE:
TERMINADA
FASE
Vo. Bo.
vii
ANEXO 2.3 SE DESCRIBE UNA SUGERENCIA DE SERVICIO DE AUDITORA INFORMTICA.
I.- ANTECEDENTES. (Anotar los antecedentes especficos del proyecto a auditar.) II.- OBJETIVO DE ESTA AUDITORA. (Anotar el objetivo especifico de esta Auditora, las causas por las que se realiza.) III.- ALCANCES DEL PROYECTO.
1.- EL ALCANCE DEL PROYECTO PUEDE COMPRENDER LOS SIGUIENTES PUNTOS:
Su organizacin. Objetivos. Funciones Normas y polticas de la empresa. Planes de trabajo. Estructura organizacional. Recursos humanos disponibles. Capacitacin. Estndares. Condiciones de trabajo. Situacin presupuestal y financiera.
viii
2.- EVALUACIN DE LOS SISTEMAS:
Evaluacin del sistema con el que actualmente opera la empresa (documentacin, procedimientos, organizacin de los archivos, organizacin del o los sistemas, la forma en que esta programado, opinin de los usuarios en cuanto a su utilizacin.) Evaluacin de los sistemas que se encuentran en desarrollo y que estn en acuerdo con los objetivos de la empresa. Seguridad lgica del o los sistemas, confidencialidad y respaldos. Derechos de autor, secretos de la organizacin y de sus propios sistemas. Evaluacin de las bases de los datos.
3.- EVALUACIN DE LOS EQUIPOS.
Adquisicin. Estandarizacin. Controles Nuevos proyectos de adquisicin. Almacenamiento. Comunicacin. Redes. Equipos adicionales.
ix
4.- EVALUACIN DE LA SEGURIDAD:
Seguridad del personal. Seguridad lgica y confidencial. Seguridad fsica. Seguridad contra los virus (vacunas). Seguridad para la utilizacin de los equipos por el personal. Seguridad para restaurar equipos y sistemas en caso de fallos. Planes de contingencia y procedimientos en caso de desastres.
IV.- METODOLOGA. Se har una presentacin de la metodologa a utilizar:
1.- SE ENLISTAN ACTIVIDADES A TOMAR EN CUENTA PARA LA EVALUACIN DE LA DIRECCIN: Se solicitan los manuales sobre las reglas de operacin, normatividad, objetivos, funciones del personal y departamentos, polticas y programas de trabajo. Solicitar costos y presupuestos para el departamento de informtica. Elaborar un cuestionario para la evaluacin de este departamento. Se aplicaran cuestionarios y entrevistas al personal de la organizacin. Anlisis y evaluacin de la informacin.
Elaboracin y presentacin del informe. 2.- PARA UNA ELABORACIN DE LOS SISTEMAS QUE SE ENCUENTRAN OPERANDO Y QUE SE PIENSAN INSTALAR SE PUEDEN REALIZAR LAS SIGUIENTES ACTIVIDADES: Estudio de viabilidad y costo/beneficio. Anlisis sobre los sistemas en operacin y desarrollo. Solicitar documentacin de los sistemas en operacin (manuales tcnico, de usuarios, de servicios, etc.) Solicitar planes de trabajo. Solicitar contratos sobre utilizar. Permisos y licencias vigentes. Planes de contingencia y recuperacin de los datos en caso de desastre. Anlisis de bases de datos. Analizar la seguridad lgica y confidencial. Evaluacin de la participacion de la auditora interna que exista. Evaluacin de controles. Entrevistas con usuarios de los sistemas. Evaluacin de la informacin contra las necesidades de los usuarios as como la forma en la que se obtiene. Anlisis y evaluacin de la informacin compilada. Elaboracin de un informe el cual se presentara a la direccin general. la adquisicin de software para que se pueda
xi
3.- PARA EVALUAR LAS ACTIVIDADES SE PUEDEN LLEVAR A CABO LAS SIGUIENTES ACTIVIDADES: Solicitar los estudios de viabilidad, costo/beneficio y caractersticas de los equipos de trabajo con los que cuenta actualmente la empresa o compaa, alguna nueva adquisicin que se tenga planeada o las actualizaciones que requieran para los equipos en trabajo. Solicitar informacin sobre la compra o renta de equipos. Solicitar informacin si se han actualizado equipos de cmputo. Solicitar informacin sobre contratos y convenios de respaldos. Solicitar informacin para asegurarse si se tienen contratos de seguros previamente establecidos. Revisar bitcoras de los equipos de computo (que esta informacin muchas de las ocasiones las empresas no cuentan con ellas.) Elaborar un cuestionario sobre las utilizacin de los equipos de cmputo para la elaboracin de reportes, el manejo de los archivos y su respaldo, las unidades de entrada/salida quien o quienes las manejan, equipos
perifricos, y todo lo que pueden tener como seguridad. Visita o inspeccin de el o los lugares donde guardan los archivos de forma magntica (condiciones). Verificar la seguridad fsica y lgica del lugar de trabajo del rea de informtica.
xii
Revisin del sistema elctrico y de ambiente para los equipos y del local as como toda la instalacin para saber si son adecuadas. Revisin del acceso a los sistemas como medio de seguridad. Una evaluacin de toda la informacin recopilada, elaborando porcentajes, grficas, la utilidad de los equipos, justificacin, etc. Por ltimo la elaboracin de un informe como resultado y presentacin de ste. 4.- ELABORACIN DEL INFORME FINAL, PRESENTACION, Y DISCUSIN DE STE, AS COMO PRESENTAR LAS CONCLUSIONES Y RECOMENDACIONES ELABORADAS POR LOS AUDITORES. V.- TIEMPO Y COSTO. En este punto se describir el tiempo que tardar la auditora a realizar, se siguiere indicar todos los tiempos para cada una de las etapas; incluir el personal participante, el costo del proceso y la forma en que se realizar el pago.
ANEXO 2.4 SUGERENCIA DE CONTRATO DE AUDITORA INFORMTICA. Contrato a celebrarse por al prestacin de un servicio de auditora informtica por una parte representado por carcter de _ _ _ ,
, en su , y que el lo sucesivo se _ , , a quien se
denominara cliente , por otra parte representada por
xiii
denominara el auditor , de conformidad con las declaraciones y clusulas siguientes:
DECLARACIONES. I.- El cliente declara: a) b) Que es una Que esta representado para este acto por_ y que tiene como su domicilio . c) Que requiere tener servicios auditora informtica, por lo que ha decidido contratar los servicios de un auditor experto.
II.- Declara el auditor: a) Ser una sociedad annima, constituida y que existe de acuerdo a lo
restablecido con las leyes vigentes y que dentro de sus principales objetivos esta el de prestar auditora informtica _ b) _.
Que se encuentra constituida legalmente segn la escritura nmero _de fecha _ del _ _ ante el notario pblico nmero Lic. _ .
xiv
c)
Que
seala
como
su _
domicilio
particular _ III.- Declaran ambas partes:
Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan otorgando el presente contrato que se contiene en las siguientes: Clusulas. Primero. Objeto El auditor se obliga a prestar al cliente los servicios de auditora informtica para llevar a cabo una evaluacin de este departamento del cliente, que se desarrollar en la propuesta de servicios que se anexan, firmada por ambas partes la cual forma parte del presente contrato. Segundo. Alcance del trabajo. El alcance de las actividades que se realizara por el auditor interno dentro de este contrato son: a) Evaluaciones de la direccin de informtica en lo que corresponde a: La organizacin. Funciones. Estructura. Recursos humanos. Normas y polticas. Capacitacin.
xv
Planes de trabajo. Controles. Condiciones de trabajo. Situacin presupuestal y financieras.
b) Evaluacin de los sistemas: Evaluacin de l o los sistemas en uso como procedimientos,
documentacin, organizacin de archivos, estndares de programacin, utilizacin de sistemas, etc. Evaluacin de avances de los sistemas en pleno desarrollo y congruencia con su diseo, as como el control de estos. Evaluacin de los recursos ya asignados (humanos y de cmputo). Evaluacin de prioridades. Seguridad de lgica, confidencialidad y respaldos. Derechos de autor, de sus propios sistemas utilizados por la organizacin. Supervisin de bases de datos.
c) Evaluacin de los equipos: Adquisicin, estudios de viabilidad y del costo/beneficio. Capacidades. Utilizacin. Controles.
xvi
Nuevos proyectos a implementar. Almacenamiento. Comunicacin. Redes. Respaldo de los equipos. Mantenimientos.
d) Evaluacin de la seguridad. Seguridad lgica y confidencial. Seguridad del personal. Seguridad fsica. Seguridad contra los virus. Seguros. Seguridad para utilizar equipos. Seguridad para restaurar equipos y sistemas. Plan de contingencia en caso de desastres.
d) Elaboracin de informes por cada uno de los incisos a, b, c, d, de estas clusulas con sus conclusiones y recomendaciones. Tercero. Programa de trabajo.
xvii
El cliente y el auditor desarrollaran de manera conjunta un programa de trabajo, en el cual se establecern las actividades a realizar por cada una de las partes, los responsables de realizarlas as como las fechas en que stas se estarn realizando. Cuarto. Supervisin El cliente o en su defecto a la persona que ste designe responsable, podr supervisar el trabajo que est realizando el auditor dentro de este contrato y podr dar a conocer sus opiniones por escrito que l crea conveniente para el desarrollo de la misma. Quinto. Coordinacin de los trabajos. El cliente podr designar a un responsable para este trabajo, que tambin ser el responsable de recolectar la informacin que el auditor necesite y la entrega para su anlisis, el tambin se encargara de que las reuniones y entrevistas
previamente programadas se realicen en las fechas ya establecidas. Sexto. Horario de trabajo El personal de los auditores establecern tiempo para cumplir con los trabajos previamente establecidos en este contrato, el auditor y su personal tendr total libertad de tiempo destinado a cumplir estas actividades por lo tanto no estn sujetos a horarios y jornadas determinadas, siempre y cuando lo cumplan. Sptimo. Personal asignado El auditor tendr la facultad de designar para los trabajos de este contrato a integrantes del propio despacho, en nmero y capacidades de cuantos disponga as como personal tcnico capacitado.
xviii
Octava. Relacin Laboral. Todo personal del auditor no tendr ningn tipo de relacin laboral con el cliente y queda expresamente estipulado que este contrato se subscribe en atencin a que el auditor por ningn motivo se considere intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las obligaciones que se deriven de las relaciones entre el y su personal, y que exime al cliente de cualquier responsabilidad que a este respecto existiere. Novena. Plazo de trabajo. El auditor se obliga a terminas los trabajos de este contrato estipulados la segunda clusula en das hbiles despus de la fecha en que se firme el
contrato sea cobrado el anticipo correspondiente. El tiempo estimado para la terminacin de los trabajos a realizar ser a la rapidez de que el cliente entregue la documentacin necesaria y que requiera el auditor y para el cumplimiento de las fechas marcadas en el programa de trabajo acordado por las partes, por lo que cualquier retrazo por parte de personal del cliente y usuarios del sistema tendrn repercusin en los tiempos dando como resultado la prolongacin de fechas para los trabajos y sin repercusin para el auditor. Dcima. Honorarios. El cliente se ve obligado a pagar al auditor por los trabajos del presente contrato, que sern los honorarios por la cantidad de _ _ ms el
impuesto al valor agregado correspondiente. La forma de pago ser la siguiente: _ % a la firma del contrato.
xix
_ _ final.
% a los
das hbiles despus de iniciados los trabajos.
% a la terminacin de los trabajos y presentacin del informe
Undcima. Alcance de los honorarios. El importe puesto de la clusula dcima compensara al auditor por sueldos, honorarios y organizacin de los servicios de la auditora, prestaciones sociales y laborales de su personal. Duodcima. Incremento de honorarios. En caso de tener un atraso debido a la falta de entrega de informacin, demora o cancelacin de reuniones u otra causa imputable al cliente, el presente contrato se incrementara en forma proporcional al retraso y se sealara el incremento de comn acuerdo. Decimotercera. Trabajos adicionales De ser necesaria una extensin de alcances o trabajos al presente contrato, las partes celebraran por separado un convenio que tambin formara parte de este y en forma conjunta se acordara el nuevo costo. Decimocuarta. Viticos y pasajes. El importe de viticos y pasajes que tenga el auditor para el traslado, hospedaje y alimentacin que requiera durante su permanencia en la cuidad de
_ , como consecuencia de los trabajos a realizar por el presente contrato sern por cuenta del cliente. Decimoquinta. Gastos generales.
xx
Los gastos de fotocopiado, dibujo, etc. que se generen con motivo de este trabajo sern pagador por parte del cliente. Decimosexta. Causas de rescisin. Ser motivo de rescisin del presente contrato la violacin o incumplimiento de cualquier clusula de este contrato. Decimosptima. Jurisdiccin. Todo lo no previsto en este contrato se regir por las disposiciones relativas, contenidas en el Cdigo Civil del y, en caso de controversia para
su interpretacin y cumplimiento, las parte se someten a la jurisdiccin de los tribunales federales, renunciando al fuero que les pueda corresponder en razn de su domicilio presente y futuro. Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de conformidad, en original y tres copias, en la ciudad de , el da _ .
EL CLIENTE
EL AUDITOR
xxi

Auditoria A

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoria A

Uploaded by

Copyright:

Available Formats

NDICE

CAP TULO VI .........................163

OBJETIVO GENER AL Y ESPECFICOS

INTRODUCCIN A LA AUDITORA INFORMTICA

1.1. CONCEPTOS D E AUD ITORA Y AUDITORA INFORMTICA

programas, redes, telecomunicaciones, internet, etc.

Utilizacin de las tcnicas de auditora asistidas por computadora.

documentacin necesaria y principalmente si se tienen comandos de control.

mantenimiento de los datos.

Efectividad del Sistema: Un sistema de informacin efectivo alcanza sus

Eficiencia del Sistema: Mnimo de recursos necesarios para obtener las

1.2. TIPOS AUDITORA

1.2.1. Auditora externa

convencionales, ya que la auditora interna tiene la ventaja de que puede llevarse

a cabo peridicamente haciendo revisiones generales como parte de

Algo que es importante mencionar es que la auditora informtica

Direccin de Negocios o de Sistemas de Informacin. Definen las polticas

Direccin de Informtica. Definen el funcionamiento del entorno y cada una

Control Interno Informtico. Definen los controles peridicos que se tendrn

1.3. CAMPO DE LA AUDITOR A INFORMTICA

El campo de la accin del auditor en informtica principalmente es:

Para lograr todos estos puntos se necesitar:

comprende una evaluacin de:

Todos los objetivos de cada departamento. 16

B) Evaluacin de los sistemas y procedimientos, de la eficiencia y eficacia para el uso de la informacin:

C) Evaluacin del proceso de datos y de los equipos de cmputo que comprende:

Seguridad fsica y lgica. Confidencialidad. Respaldos.

Los principales objetivos y necesidades de la auditora en informtica son:

Salvaguardar los activos. Esto se refiere a la proteccin del hardware,

La integridad de datos. Los datos deben mantener consistencia y no

Efectividad de sistemas. Los sistemas deben cumplir con los objetivos de la

Control Interno y Auditora. Polticas de Seguridad.

Normas y Procedimientos. Medidas Tecnolgicas Implantadas Formacin y Mentalizacin.

Objetivos del procesamiento y clasificacin de transacciones.

Objetivos de salvaguarda fsica.

Objetivos de verificacin y evaluacin.

Autorizacin. Procesamiento y clasificacin de las transacciones. Salvaguardia fsica. Verificacin y evaluacin.

Revisar la aplicacin de los sistemas y el control de usuario como en el centro de informtica.

1.5. MODELOS DE CONTR OL UTILIZADOS EN AUDITORA INFORMTICA

Evaluacin de un sistema con datos de prueba.

1.6. PRINCIPIOS APLICAD OS A LOS AUDITORES INFORMTICOS

Conocimientos generales. Todo tipo de conocimientos tecnolgicos, de forma actualizada y

1.7. RESPONSABILIDADES DE LOS ADMINISTRADORES Y DEL AUDITOR

2.1. FASES AUDITORA

Todo planeacin deber documentarse y tendr que incluir:

Tema de auditora. Objetivos de la Auditora. Alcances de auditora.

revisin en un perodo de tiempo determinado.

2.1.4. Examen y evaluacin de la informacin

necesario implantar, efectuar.

y se requiera algn tipo de modificacin se pueda

Supervisiones peridicas. Revisiones externas. Revisiones internas.

2.1.5. Pruebas usuario

Revisin de Centros de Cmputo.

2.1.6. PRUEBAS SUSTANTIVAS

Se sugiere el auditor participe en tres estados del sistema:

2.2. EVALUACIN DE LOS SISTEMAS DE ACUERDO AL RIESG O

especficamente que se dedica este departamento que puede ser mediante 63

En el nivel del rea de informtica:

En los recursos materiales y tcnicos:

Procedimientos y polticas en casos de desastre. Los sistemas propios, rentados y adquiridos.

3.1. RECOPILACIN DE LA INFORMACIN ORGANIZACIONAL

La situacin actual de los recursos humanos.

3.2. EVALUACIN HUMANOS