Instituto Tecnolgico de Campeche

Licenciatura en Informtica Auditora Informtica

Nombre del Alumno: Zavala Coria Adrin

Nombre del Maestro: Ing. Rubn Zetina Saravia Fecha: 14 de junio de 2011

ndice de contenido
1.- Introduccin a la auditoria informtica.......................................................................................4 1.1.- Conceptos de auditoria y auditoria Informtica..................................................................4 1.2.- Tipos de auditoria................................................................................................................4 1.2.1 Auditoria interna y externa.............................................................................................4 Auditora Interna................................................................................................................4 Auditoria Externa...............................................................................................................5 1.3.- Campo de la auditoria informtica......................................................................................5 1.4.- Control interno.....................................................................................................................5 1.5.- Modelos de control utilizados en auditoria informtica......................................................6 1.6.- Principios aplicados a los auditores informticos................................................................6 1.7.- Responsabilidades de los administradores y del auditor.....................................................8 2.- Planeacin de la auditoria Informtica......................................................................................10 2.1.- Fases de la auditoria..........................................................................................................10 2.1.1.- Planeacin..................................................................................................................10 2.1.2.- Revisin preliminar....................................................................................................10 2.1.3.- Revisin detallada......................................................................................................10 2.1.4.- Examen y evaluacin de la informacin....................................................................10 2.1.5.- Pruebas de controles de usuario.................................................................................11 2.1.6.- Pruebas sustantivas....................................................................................................11 2.2.- Evaluacin de los sistemas de acuerdo al riesgo...............................................................12 2.3.- Investigacin preliminar....................................................................................................12 2.4.- Personal participante..........................................................................................................12 3.- Auditoria de la funcin informtica...........................................................................................14 3.1.- Recopilacin de la informacin organizacional................................................................14 3.2.- Evaluacin de los recursos humanos.................................................................................14 3.3.- Entrevistas con el personal deinformtica.........................................................................15 3.4.- Situacin presupuestal y financiera...................................................................................15 3.4.1.- Presupuestos...............................................................................................................15 3.4.2.- Recursos financieros y materiales..............................................................................16 4.- Evaluacin de la seguridad........................................................................................................17 4.1.- Generalidades de la seguridad del rea fsica....................................................................17 4.2.- Seguridad lgica y confidencial........................................................................................17 4.3.- Seguridad personal............................................................................................................17 4.4.- Clasificacin de los controles de seguridad.......................................................................18 4.5.- Seguridad en los datos y software de aplicacin...............................................................18 4.6.- Controles para evaluar software de aplicacin..................................................................20 4.7.- Controles para prevenir crmenes y fraudes informticos.................................................21 4.8.- Plan de contingencia, seguros, procedimientos de recuperacin de desastres..................22 4.9.- Tcnicas y herramientas relacionadas con la seguridad fsica y del personal...................22 4.10.- Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin...................................................................................................................................22 5.- Auditoria de la seguridad en la teleinformtica.........................................................................24 5.1.- Generalidades de la seguridad en el rea de la teleinformtica.........................................24
2

5.2 Objetivos y criterios de la auditoria en el rea de la teleinformtica...................................24 5.3 Sntomas de riesgo...............................................................................................................25 5.4 Tcnicas y herramientas de auditoria relacionadas con la seguridad en la teleinformtica.25 6.- Informe de la auditoria informtica...........................................................................................26 6.1.- Generalidades de la seguridad del rea fsica....................................................................26 6.2.- Caractersticas del informe................................................................................................26 6.3.- Estructura del informe.......................................................................................................27 6.4.- Formato para el informe....................................................................................................28 Fuentes de informacin...................................................................................................................29

1.- Introduccin a la auditoria informtica

1.1.- Conceptos de auditoria y auditoria Informtica
En un mbito general, la Auditora es una funcin de direccin cuya finalidad es analizar y determinar, por medio de la investigacin, la adecuacin de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estndares u otros requisitos, la adhesin a los mismos y la eficiencia de su implantacin. Otras posibles definiciones pueden ser: Es un examen comprensivo de la estructura de una empresa, en cuanto a los planes y objetivos, mtodos y controles, su forma de operacin y sus equipos humanos y fsicos. Una visin formal y sistemtica para determinar hasta qu punto una organizacin est cumpliendo los objetivos establecidos por la gerencia, as como para identificar los que requieren mejorarse.

Es el campo de la infomtica, la auditora es un conjunto de tcnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificacin, control eficacia, seguridad y adecuacin del servicio informtico en la organizacin, por lo que comprende un examen metdico, puntual y discontinuo del servicio informtico, con vistas a mejorar en: Rentabilidad Seguridad Eficacia

1.2.- Tipos de auditoria.

1.2.1 Auditoria interna y externa.
Auditora Interna
La auditora interna es el examen crtico, sistemtico y detallado de un sistema de informacin, que es realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulacin interna y no tienen trascendencia a los terceros pues son propios de la organizacin. Las auditoras internas son hechas por personal de la empresa. Un auditor interno tiene a su cargo la evaluacin permanente del control de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los mtodos y procedimientos de control interno que redunden en una operacin ms eficiente y eficaz. Sus objetivos principales son: 1. Revisin y evaluacin de controles operativos. 2. Determinacin de la utilidad de polticas, planes y procedimientos, as como su nivel de cumplimiento. 3. Custodia y contabilizacin de activos. 4. Examen de la fiabilidad de los datos. 5. Divulgacin de polticas y procedimientos establecidos. 6. Informacin exacta a la gerencia.
4

Auditoria Externa
La auditora externa de diferenca de la interna, debido a que el personal que la realiza es ajeno a la institucin y es personal altamente calificado para desempear estos trabajos. El dictamen u opinin independiente tiene trascendencia a los terceros, pues da plena validez a la informacin generada por el sistema ya que se produce bajo la figura de la fe pblica, que obliga a los mismos a tener plena credibilidad en la informacin examinada. La Auditora Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella informacin producida por los sistemas de la organizacin. Sus objetivos son: Obtencin de elementos de juicio fundamentados en la naturaleza de los hechos examinados. Medicin de la magnitud de un error ya conocido, deteccin de errores supuestos o confirmacin de la ausencia de errores. Propuesta de sugerencias, en tono constructivo, para ayudar a la gerencia. Control de las actividades de investigacin y desarrollo.

1.3.- Campo de la auditoria informtica

La auditora se puede aplicar en diversos campos: Investigacin cientfica y humanstica, ecuaciones, encuestas. Aplicaciones tcnicas, circuitos, estructuras. Documentacin e informacin, archivos, bases datos. Inteligencia artificial, electrnica, robots. Otras aplicaciones, juegos, imgenes.

1.4.- Control interno

Es el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados. El Informe COSO define el Control Interno como "Las normas, los procedimientos, las prcticas y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y se corregirn. Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. Sus objetivos son: Establecer como prioridad la seguridad y proteccin de la informacin, del sistema computacional y de los recursos informticos de la empresa. Promover la confiabilidad, oportunidad y veracidad de la captacin de datos , su procesamiento en el sistema y la emisin de informes en la empresa. Implementar los mtodos, tcnicas y procedimientos para el desarrollo de las tecnologas de la empresa.

1.5.- Modelos de control utilizados en auditoria informtica.

En la actualidad existen una gran cantidad de modelos de control interno. Los modelos de control interno informe COSO y COBIT son los dos modelos ms difundidos en la actualidad, aunque podemos encontrar otros como el COCO, AEC y SAC. COSO est enfocado a toda la organizacin, contempla polticas, procedimientos y estructuras organizativas adems de procesos para definir el modelo de control interno. Mientras que COBIT (Control Objectives for Information and Related Technology, Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas) se centra en el entorno IT, contempla de forma especfica la seguridad de la informacin como uno de sus objetivos, cosa que COSO no hace. Adems el modelo de control interno que presenta COBIT es ms completo, dentro de su mbito. Informe COSO El denominado "Informe COSO" sobre control interno, publicado en EE.UU. en 1992, surgi como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e interpretaciones existentes en torno a la temtica referida. Plasma los resultados de la tarea realizada durante ms de cinco aos por el grupo de trabajo que la Treadway Commission, National Commission On Fraudulent Financial Reporting, se cre en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE OF SPONSORING ORGANIZATIONS). El grupo estaba constituido por representantes de las siguientes organizaciones: American Accounting Association (AAA) American Institute of Certified Public Accountants (AICPA) Financial Executive Institute (FEI) Institute of Internal Auditors (IIA) Institute of Management Accountants (IMA)

Se trataba entonces de materializar un objetivo fundamental: definir un nuevo marco conceptual del control interno, capaz de integrar las diversas definiciones y conceptos que venan siendo utilizados sobre este tema, logrando as que, al nivel de las organizaciones pblicas o privadas, de la auditoria interna o externa, o de los niveles acadmicos o legislativos, se cuente con un marco conceptual comn, una visin integradora que satisfaga las demandas generalizadas de todos los sectores involucrados. Componentes El marco integrado de control que plantea el informe COSO consta de cinco componentes interrelacionados, derivados del estilo de la direccin, e integrados al proceso de gestin: Ambiente de control Evaluacin de riesgos Actividades de control Informacin y comunicacin

1.6.- Principios aplicados a los auditores informticos

Principio de beneficio de auditado. El auditor deber ver como se puede conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones ms idneas segn los problemas detectados en el sistema informtico de esta ltima. Principio de calidad. En el auditor deber prestar sus servicios a tenor de las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. Principio de capacidad. El auditor debe estar plenamente capacitado para la realizacin de la auditora
6

encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas. Principio de cautela. El auditor en todo momento debe ser consiente de que sus recomendaciones deben estar basadas en el experiencia contrastada que se le supone tiene adquirida, evitando que, por un exceso de vanidad, el auditado se embarque en proyectos de futuro fundamentos en simples intuiciones sobre la posible evolucin de las nuevas tecnologas de la informacin. Principio de comportamiento profesional. El auditor, tanto en sus relaciones con el auditado como con terceras personas, deber, en todo momento, actuar conforma a las normas, implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal. Principio de concentracion en el trabajo. En su lnea de actuacin, el auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas a l encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente controlada, provocar la conclusin de los mismos sin las debidas garantas de seguridad. Principio de confianza. El auditor deber facilitar e incrementar la confianza del auditoreo en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos. Principio de criterio propio. El auditor durante la ejecucin deber actuar con criterio propio y no permitir que est subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo. Principio de discrecin. El auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria Principio de economa. El auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad. Principio de formacin continuada. Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta. Principio de fortalecimiento y respeto de la profesin. La defensa de los auditados pasa por el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de las auditorias. Principio de independencia. Este principio, muy relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informtica, a exigir una total autonoma e independencia en su trabajo, condicin esta imprescindible para permitirle actuar libremente segn su leal saber y entender. Principio de informacin suficiente. Este principio obliga al auditor a ser plenamente consciente de su obligacin de aportar, en forma pormenorizada, clara, precisa e inteligible para el auditado, informacin tanto sobre todos y cada uno de los puntos relacionados con la auditoria que puedan tener algn inters para el, como sobre las conclusiones a las que a llegado. Principio de integridad moral. Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad, y a evitar participar, voluntaria o inconscientemente, en cualquier acto de corrupcin personal o de terceras personas. Principio de legalidad. La primaca de esta obligacin exige del auditor un comportamiento activo de oposicin a todo intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto integrado en el derecho positivo.
7

Principio de libre competencia. La actual economa de mercado exige que el ejercicio de la profesin se realice en el marco de la libre competencia siendo rechazables, por tanto, las prcticas colusorias tendentes a impedir o limitar la legitima competencia de otros profesionales y las prcticas abusivas consistentes en el aprovechamiento en beneficio propio, y en contra de los intereses de los auditados, de posiciones predominantes. Principio de no discriminacin. El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia, su actuacin deber mantener una igualdad de trato profesional con la totalidad de personas con las que en virtud de su trabajo tenga que relacionarse. Principio de no injerencia. El auditor, dada la injerencia que puede derivarse de su tarea, deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar un cierto desprestigio de su cualificacin profesional. Principio de precisin. Este principio estrechamente relacionado con el principio de calidad exige del auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas , debiendo ampliar sus estudios de ser necesario. Principio de publicidad adecuada. La oferta y promocin de los servicios de auditoria debern en todo momento ajustarse a las caractersticas, condiciones y finalidad perseguidas, siendo contraria a la tica profesional la difusin de publicidad falsa o engaosa que tenga como objetivo confundir a los potenciales usuarios de dichos servicios. Principio de responsabilidad. El auditor deber, como elemento intrnseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje. Principio de secreto profesional. La confidencia y confianza con caractersticas esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligacin de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional. Solamente por imperativo legal podr decaer esa obligacin. Principio de servicio publico. La aplicacin de este principio debe incitar al auditor a hacer lo que este en su mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales. Principio de veracidad. El auditor en sus comunicaciones con el auditado debera tener siempre presente la obligacion de asegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto, correccion, y secreto profesional.

1.7.- Responsabilidades de los administradores y del auditor

El auditor puede actuar como consultor con su auditado, dndole ideas de cmo enfocar la construccin de los elementos de control y administracin que le sean propios. Adems, puede actuar como consejero con la organizacin en la que est desarrollando su labor. Un entorno informtico bien controlado puede ser ineficiente si no es consistente con los objetivos de la organizacin. El auditor informtico debe ser una persona con un alto grado de calificacin tcnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Se deben contemplar las siguientes caractersticas de un perfil profesional adecuado y actualizado: A) Se deben poseer una mezcla de conocimientos de auditora financiera y de informtica en general. En el rea informtica, se debe tener conocimientos bsicos de: 1. Desarrollo de SI (administracin de proyectos, ciclo de vida de desarrollo). 2. Administracin del Departamento de Informtica. 3. Anlisis de riesgos en un entorno informtico.
8

4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15.

Sistemas operativos. Telecomunicaciones. Administracin de Bases de Datos. Redes locales. Seguridad fsica. Operacin y planificacin informtica (efectividad de las operaciones y rendimiento del sistema). Administracin de seguridad de los sistemas (planes de contingencia). Administracin del cambio. Administracin de Datos. Automatizacin de oficinas (ofimtica). Comercio electrnico Encriptacin de datos

B) Especializacin en funcin de la importancia econmica que tienen distintos componentes financieros dentro del entorno empresarial; Por ejemplo, en un entorno financiero pueden tener mucha importancia las comunicaciones, por lo que se debe tener una especializacin en esa rama. C) Debe conocer tcnicas de administracin de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen. 4) Debe tener un enfoque de Calidad Total, lo cual har que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad. Es responsable de realizar las siguientes actividades para la funcin de la Auditora Informtica: Verificacin del control interno tanto de las aplicaciones como de los SI, perifricos, etc. Anlisis de la administracin de Sistemas de Informacin, desde un punto de vista de riesgo de seguridad, administracin y efectividad de la administracin. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs del anlisis de aplicaciones. Auditora del riesgo operativo de los circuitos de informacin. Anlisis de la administracin de los riesgos de la informacin y de la seguridad implcita. Verificacin del nivel de continuidad de las operaciones. Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las consecuencias empresariales que un desfase tecnolgico puede acarrear. Diagnstico del grado de cobertura que dan las aplicaciones a las necesidades estratgicas y operativas de informacin de la empresa

Tambin el auditor informtico es responsable de establecer los objetivos de control que reduzcan o eliminen la exposicin al riesgo de control interno. Despus de que los objetivos de auditora se hayan establecido, el auditor debe revisar los controles y evaluar los resultados de su revisin para determinar las reas que requieran correcciones o mejoras. Adems de analizar el grado de implantacin y cumplimiento de los controles internos, se considera que el auditor puede hacer las veces de consultor del auditado, dndole ideas de cmo establecer procedimientos de seguridad, control interno, efectividad y eficacia, medicin del riesgo empresarial, entre otros.

2.- Planeacin de la auditoria Informtica.

2.1.- Fases de la auditoria
2.1.1.- Planeacin
La planeacin implica, adems, -cuando es el caso- la designacin del personal que debe intervenir en el trabajo. La planeacin de la auditoria tiene tres fases principales: Primera: Investigacin de aspectos generales y particulares de la empresa a examinar. Comprende el estudio de todas aquellas cosas que hacen distintivas a la empresa que se habr de auditar, para poder, con ese conocimiento genrico, decidir los aspectos especficos que deber cubrir la planeacin de dicha auditoria. Segunda: Estudio y evaluacin del control Interno. Desde el punto de vista tcnico sta es la fase de planeacin mas importante e implica el conocimiento formal de los mtodos y rutinas que la empresa tiene establecidos para su operacin y administracin. Tercera: Programacin del trabajo de detalle especficamente aplicable. Es decir, la formulacin del programa de trabajo que indique -punto por punto- cada uno de los trabajos especficos a realizar para lograr la obtencin de evidencia suficiente y competente que apoye las conclusiones de la revisin, sobre las que se basa la opinin final o dictamen.

2.1.2.- Revisin preliminar

El objetivo de esta fase es revisar la instalacin para obtener informacin sobre como llevar a cabo la auditoria. Al finalizarla, el auditor puede proceder de tres maneras: 1. No continuar con la auditoria. Por ejemplo por problemas de independencia, si el auditor no tuviera capacidad tcnica para realizar la auditoria y necesitara ayuda del propio auditado. 2. Pasar a la siguiente fase y para realizar la revisin detallada de los controles internos, esperando poder confiar en ellos y reducir los Test de Apoyo. 3. Pasa directamente a la fase de pruebas. Si no se confa en los controles internos, puede ser menos costoso realizar directamente los Test de Apoyo. Tambin puede ocurrir que los controles de AI sean iguales que los controles del usuario, en cuyo caso puede ser mejor revisar estos ltimos.

2.1.3.- Revisin detallada

Los objetos de la fase detallada son los de obtener la informacion nesesaria para que el auditor tenga un profundo entendimento de los controles usados dentro del area de informatica. El auditor debe de decidir se debe continuar elaborando pruevas de consentimeinto, con la esperanza de obtener mayor confianza por medio del sistema de controlinterno, o proceder directamente a a revision con los usuarios (pruevas compensatorias) o a las pruevas sustantivas.

2.1.4.- Examen y evaluacin de la informacin

Es el examen crtico y sistemtico que hace un auditor para evaluar el sistema de procesamiento electrnico de datos y sus resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un trabajo ms selectivo y de mayor penetracin sobre las actividades, procedimientos que involucran un
10

gran nmero de transacciones. El examen de los objetivos de la auditora, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluacin, nos lleva a la conclusin de que el papel del computador afecta significativamente las tcnicas a aplicar. Mediante una revisin adecuada del sistema de procesamiento electrnico de datos del cliente, y el uso de formatos bien diseados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente. Al evaluar la informacin automtica, el auditor debe revisar varios documentos, como diagramas de flujo y documentos de programacin, para lograr un mejor entendimiento del sistema y los controles que se disearon en l. En el sistema de procesamiento electrnico de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la automatizacin del proceso, y algunos que sustituyen aquellos que en los mtodos manuales se basaron en juicios humanos y la divisin de labores. Muchos de los controles en ambientes informticos, pueden combinarse en los programas de computadoras con en el proceso manual. Para ayudar en la revisin de los sistemas de procesamiento de datos y los controles internos, en ocasiones de suma utilidad los cuestionarios para obtener informacin respecto al sistema. Una vez obtenida la informacin, el auditor debe proceder a obtener evidencias de la existencia y efectividad de los procedimientos para l. Una parte significativa del sistema de control interno est comprendida en el programa de la computadora. Existen baches en la ruta de auditora, haciendo difcil e poco prctico obtener resultados o verificar clculos. Esta situacin es posible tanto en aplicaciones sencillas, como en sistemas integrados complejos.

2.1.5.- Pruebas de controles de usuario

El objetivo de esta fase es comprobar que los controles internos funcionan como lo deben de hacer, es decir, que los controles que se supona que existan, existen realmente y funcionan bien. Las tcnicas utilizadas, adems de la recogida manual de evidencias ya descrita, contemplan el uso del ordenador para verificar los controles. Al final de la fase, el auditor puede decidir evaluar de nuevo el sistema de controles internos, de acuerdo con la fiabilidad que han mostrado los controles individuales. El procedimiento de evaluacin y la eleccin de nuevos procedimientos de auditoria son los mismos que los de las fases anteriores.

El auditor puede decidir que no hace falta confiar en los controles internos porque existen controles del usuario que los sustituyen o compensan. Para un auditor externo, revisar estos controles del usuario puede resultar ms costoso que revisar los controles internos. Para un auditor interno, es importante hacerlo para eliminar posibles controles duplicados, bien internos o bien del usuario, para evitar la redundancia.

2.1.6.- Pruebas sustantivas

El objetivo de las pruebas sustantivas es obtner evidencia suficiente que permita al auditor emitir su juicio en las concluciones acerca de cuando pueden ocurrir perdidad materiales durante el proceso de la informacion. Se peden identificar 8 diferentes pruebas sustantivas: Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. Prueba para asegurar la calidad de los datos. Pruebas para identificar la inconsistencia de datos. Prueba para comparar con los datos o contadores fisicos. Confirmacion de datos con fuentes externas
11

Pruebas para confirmar la adecuada comunicacion. Prueba para determinar falta de seguridad. Pruebas para determinar problemas de legalidad.

2.2.- Evaluacin de los sistemas de acuerdo al riesgo

La administracin de riesgos es el proceso mediante el cual la direccin de una Institucin financiera, identifica, cuantifica y controla los riesgos a los cuales la exponen sus actividades. El objetivo de la funcin es asegurarse que las operaciones, principalmente las que realizan las instituciones no las expongan a prdidas que puedan amenazar el patrimonio de las mismas y la cada vez mayor diversificacin de los instrumentos que se operan, han hecho que la administracin de riesgos sea cada vez ms difcil de evaluar; es por eso que, en la actualidad, es indispensable que las organizaciones cuenten con una unidad de administracin de riesgos.

2.3.- Investigacin preliminar

En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera perdidas sustanciosas), herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando siente que un rea tiene una falla o simplemente no trabaja productivamente como se sugiere, por esta razn habr puntos claves que se nos instruya sean revisados, hay que recordar que las auditorias parten desde un mbito administrativo y no solo desde la parte tecnolgica, porque al fin de cuentas hablamos de tiempo y costo de produccin, ejercicio de ventas, etc. Es decir, todo aquello que representa un gasto para la empresa.

2.4.- Personal participante.

Una de las partes ms importantes en la planeacin de la auditoria en informtica es el personal que deber participar, ya que se debe contar con un equipo seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado. Aqu no se vera el nmero de persona que debern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber considerar son exactamente las caractersticas que debe cumplir cada uno del personal que habr de participar en la auditoria. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga este debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal que intervendr en la auditoria. Primeramente, debemos pensar que hay personal asignado por la organizacin, que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. Este es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, ser casi imposible obtener informacin en el momento y con las caractersticas deseadas.

12

Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para complementar el grupo, como colaboradores directos en la realizacin de la auditoria, se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Conocimientos de Admn., contadura y finanzas. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos y experiencias en psicologa industrial. Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar. Conocimientos de los sistemas ms importantes. En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencias en reas especficas como base de datos, redes y comunicaciones, etctera. Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias sealadas, pero si que deben intervenir una o varias personas con las caractersticas apuntadas.

Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta la carta (convenio de servicios profesionales en el caso de auditores externos -) y el plan de trabajo. La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes que se han de entregar.

13

3.- Auditoria de la funcin informtica.

3.1.- Recopilacin de la informacin organizacional.
Para que un proceso de D.O. tenga xito debe comenzar por obtener un diagnostico con informacin verdadera y a tiempo de lo que sucede en la organizacin bajo anlisis, esta obtencin de la informacin debe ser planeada en forma estructurada para garantizar una generacin de datos que ayuden posteriormente su anlisis. Es un ciclo continuo en el cual se planea la recoleccin de datos, se analiza, se retroalimentan y se da un seguimiento. La recoleccin de datos puede darse de varias maneras: Cuestionarios. Entrevistas. Observacin. Informacin documental (archivo).

Toda la informacin tiene un valor en si misma, el mtodo de obtencin de informacin esta directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad depender del objetivo que se busque y los medios para llevar acabo esa recoleccin de datos en tiempo y forma para su posterior anlisis.

3.2.- Evaluacin de los recursos humanos.

La auditoria de recursos humanos puede definirse como el anlisis de las polticas y prcticas de personal de una empresa y la evaluacin de su funcionamiento actual, seguida de sugerencias para mejorar. El propsito principal de la auditoria de recursos humanos es mostrar como est funcionado el programa, localizando prcticas y condiciones que son perjudiciales par la empresa o que no estn justificando su costo, o prcticas y condiciones que deben incrementarse. La auditoria es un sistema de revisin y control para informar a la administracin sobre la eficiencia y la eficacia del programa que lleva a cabo. El sistema de administracin de recursos humanos necesita patrones capaces de permitir una continua evaluacin y control sistemtico de su funcionamiento. Patrn en in criterio o un modelo que se establece previamente para permitir la comparacin con los resultados o con los objetivos alcanzados. Por medio de la comparacin con el patrn pueden evaluarse los resultados obtenidos y verificar que ajustes y correcciones deben realizarse en el sistema, con el fin de que funcione mejor. Se utilizan varios patrones, esto pueden ser: 1. Patrones de cantidad: son los que se expresan en nmeros o en cantidades, como nmero de empleados, porcentaje de rotacin de empleados, numero de admisiones, ndice de accidentes, etc. 2. Patrones de calidad: son los que se relacionan con aspectos no cuantificables, como mtodos de seleccin de empleados, resultados de entrenamiento, funcionamiento de la evaluacin del desempeo. Etc., 3. Patones de tiempo: consisten en la rapidez con que se integra e personal recin admitido, la permanencia promedio del empleado en la empresa, el tiempo de procesamiento de la requisiciones de personal, etc.
14

4. Patones de costo: son los costos, directos e indirectos, de la rotacin de personal, de los accidentes en el trabajo, de los beneficios sociales, de las obligaciones sociales, de la relacin costo-beneficio del entrenamiento. Los patrones permiten la evaluacin y el control por medio de la comparacin con: 1. Resultados finales: cuando la comparacin entra el patrn y la variable se hace despus de realizada la operacin. La medicin se realiza en trminos de algo rpido y acabado, en el fin de la lnea, lo cual presenta el inconveniente de mostrar los aciertos y las fallas de una operacin ya terminada, una especie de partida de defuncin de algo que ya sucedi. 2. Desempeo: cuando la comparacin entre el patrn y la variable se hace simultneamente con la operacin, es decir, cuando la comparacin acompaa ala ejecucin de la operacin. La medicin es concomitante con el procesamiento de operacin. A pesar de que se realiza en forma simultanea, lo que quiere decir es que es actual, la medicin se realiza sobre una operacin en proceso y no terminada an. La comparacin es la funcin de verificar el grado de concordancia entra una variable u su patrn. La ARH se encarga de planear, organizar y controlar las actividades relacionadas con la vida del personal en la empresa. Parte de la ejecucin de estas actividades al realizan los organismos de recursos humanos, en tantos que alguna parte de ella la realizan diversos organismos de lnea. De este modo las actividades de recursos humanos planeadas y organizadas con antelacin muestran durante su ejecucin y control algunas dificultades y distorsiones que requieren ser diagnosticadas y superadas, con el fin de evitar mayores problemas. La rapidez con que esto se haga depende de una revisin y auditoria permanentes, capaces de suministrar una adecuada retroalimentacin para que los aspectos positivos puedan mejorarse y los negativos, corregirse y ajustarse.

3.3.- Entrevistas con el personal deinformtica.

El auditor comienza a continuacin las relaciones personales con el auditado. Lo hace de tres formas: 1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad. 2. Mediante entrevistas en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividades personales ms importante del auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular

3.4.- Situacin presupuestal y financiera.

3.4.1.- Presupuestos.
Consiste en medir los resultados de la gestin presupuestaria y financiera y la posibilidad de aplicar las
15

medidas correctivas que permitan alcanzar las metas establecidas

3.4.2.- Recursos financieros y materiales.

La adecuacin de los medios financieros a la finalidad se mide por la proporcin entre los gastos exigidos y los resultados (financieros o no) obtenidos, un presupuesto no slo flexible sino modulado en el tiempo. Los mtodos clsicos de la contabilidad analtica permiten establecer los estndares de homogeneidad de los medios financieros. Para elaborar un sistema equitativo sera preciso que dos servicios semejantes diera lugar a una misma valoracin. La seguridad financiera se obtiene por una rentabilidad duradera de la financiacin de hardware y el software, se puede contratarse un seguro para una garanta eficaz de los equipos. Tanto los contratos de adquisicin y seguro como los documentos contables comprenden la documentacin sobre los medios financieros

16

4.- Evaluacin de la seguridad

4.1.- Generalidades de la seguridad del rea fsica
Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma. As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

4.2.- Seguridad lgica y confidencial

La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional. Esta informacin puede ser de suma importancia, y el no tenerla en el momento preciso puede provocar retrasos sumamente costosos. Antes esta situacin, en el transcurso del siglo XX, el mundo ha sido testigo de la transformacin de algunos aspectos de seguridad y de derecho. En la actualidad y principalmente en las computadoras personales, se ha dado otro factor que hay que considerar el llamado ""virus" de las computadoras, el cual aunque tiene diferentes intenciones se encuentra principalmente para paquetes que son copiados sin autorizacin (intrusos) y borra toda la informacin que se tiene en un disco. Al auditar los sistemas se debe tener cuidado que no se tengan copias "piratas" o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de transmisin del virus. El uso inadecuado de la computadora comienza desde la utilizacin de tiempo de mquina para usos ajenos de la organizacin, la copia de programas para fines de comercializacin sin reportar los derechos de autor hasta el acceso por va telefnica a bases de datos a fin de modificar la informacin con propsitos fraudulentos.

4.3.- Seguridad personal

El hecho de poseer o poder manejar una computadora hace que, aunque sea mnimamente, dentro de ella almacenemos datos. La seguridad personal es un mtodo por el que podemos protegernos de intruciones a nuestra privacidad y a los datos que almacenamos en el equipo. Por muy insignificantes que a veces nos parezcan, estos datos hablan de nosotros como usuarios o bien de otras personas. Lo que a nosotros puede parecernos no importante, a otros s puede parecrselo. Es por eso que hay que estar concientes del manejo que realizamos de los datos, porque son valiosos dentro del trfico de datos. Existen tcnicas como firewalls, encriptacin y monitores de malware que evitan hasta cierto grado que
17

nuestra informacin caiga en otras manos, pero es el usuario quien debe guardar celosamente su informacin.

4.4.- Clasificacin de los controles de seguridad

Controles generales Controles Preventivos. Son aquellos que reducen la frecuencia con que ocurren las causas de riesgo o evitan que ocurran errores. Controles Detectivos. Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Controles Correctivos. Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en si una actividad altamente propensa a errores, y es lo ms caro para la organizacin. Controles Fsicos y Lgicos Autenticidad. Permiten verificar la identidad. Passwords Firmas digitales Validacin de campos. Validacin de excesos o casos de borde. Conteo de registros. Cifras de control. Cancelacin de lotes o proceso batch Verificacin de secuencias.

Exactitud. Aseguran la coherencia de los datos

Totalidad. Evitan la omisin de registros as como garantizan la conclusin de un proceso de envo

Redundancia. Evitan la duplicidad de datos.

4.5.- Seguridad en los datos y software de aplicacin

El estndar de niveles de seguridad mas utilizado internacionalmente es el TCSEC Orange Book(2), desarrollado en 1983 de acuerdo a las normas de seguridad en computadoras del Departamento de Defensa de los Estados Unidos. Los niveles describen diferentes tipos de seguridad del Sistema Operativo y se enumeran desde el mnimo grado de seguridad al mximo. Estos niveles han sido la base de desarrollo de estndares europeos (ITSEC/ITSEM) y luego internacionales (ISO/IEC). Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: as el subnivel B2 abarca los subniveles B1, C2, C1 y el D.

Nivel D. Este nivel contiene slo una divisin y est reservada para sistemas que han sido
18

evaluados y no cumplen con ninguna especificacin de seguridad. Sin sistemas no confiables, no hay proteccin para el hardware, el sistema operativo es inestable y no hay autentificacin con respecto a los usuarios y sus derechos en el acceso a la informacin. Los sistemas operativos que responden a este nivel son MS-DOS y System 7.0 de Macintosh. Nivel C1: Proteccin Discrecional. Se requiere identificacin de usuarios que permite el acceso a distinta informacin. Cada usuario puede manejar su informacin privada y se hace la distincin entre los usuarios y el administrador del sistema, quien tiene control total de acceso. Muchas de las tareas cotidianas de administracin del sistema slo pueden ser realizadas por este "super usuario" quien tiene gran responsabilidad en la seguridad del mismo. Con la actual descentralizacin de los sistemas de cmputos, no es raro que en una organizacin encontremos dos o tres personas cumpliendo este rol. Esto es un problema, pues no hay forma de distinguir entre los cambios que hizo cada usuario. A continuacin se enumeran los requerimientos mnimos que debe cumplir la clase C1: Acceso de control discrecional: distincin entre usuarios y recursos. Se podrn definir grupos de usuarios (con los mismos privilegios) y grupos de objetos (archivos, directorios, disco) sobre los cuales podrn actuar usuarios o grupos de ellos. Identificacin y Autentificacin: se requiere que un usuario se identifique antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario no podr ser accedido por un usuario sin autorizacin o identificacin. Nivel C2: Proteccin de Acceso Controlado. Este subnivel fue diseado para solucionar las debilidades del C1. Cuenta con caractersticas adicionales que crean un ambiente de acceso controlado. Se debe llevar una auditoria de accesos e intentos fallidos de acceso a objetos. Tiene la capacidad de restringir an ms el que los usuarios ejecuten ciertos comandos o tengan acceso a ciertos archivos, permitir o denegar datos a usuarios en concreto, con base no slo en los permisos, sino tambin en los niveles de autorizacin. Requiere que se audite el sistema. Esta auditora es utilizada para llevar registros de todas las acciones relacionadas con la seguridad, como las actividades efectuadas por el administrador del sistema y sus usuarios. La auditora requiere de autenticacin adicional para estar seguros de que la persona que ejecuta el comando es quien dice ser. Su mayor desventaja reside en los recursos adicionales requeridos por el procesador y el subsistema de discos. Los usuarios de un sistema C2 tienen la autorizacin para realizar algunas tareas de administracin del sistema sin necesidad de ser administradores. Permite llevar mejor cuenta de las tareas relacionadas con la administracin del sistema, ya que es cada usuario quien ejecuta el trabajo y no el administrador del sistema. Nivel B1: Seguridad Etiquetada. Este subnivel, es el primero de los tres con que cuenta el nivel B. Soporta seguridad multinivel, como la secreta y ultrasecreta. Se establece que el dueo del archivo no puede modificar los permisos de un objeto que est bajo control de acceso obligatorio. A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con un nivel de seguridad jerrquico (alto secreto, secreto, reservado, etc.) y con unas categoras (contabilidad, nminas, ventas, etc.). Cada usuario que accede a un objeto debe poseer un permiso expreso para hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados. Tambin se establecen controles para limitar la propagacin de derecho de accesos a los distintos objetos. Nivel B2: Proteccin Estructurada. Requiere que se etiquete cada objeto de nivel superior por ser padre de un objeto inferior. La Proteccin Estructurada es la primera que empieza a referirse al problema de un objeto a un nivel mas elevado de seguridad en comunicacin con otro objeto a un nivel inferior. As, un disco rgido ser etiquetado por almacenar archivos que son accedidos por distintos
19

usuarios. El sistema es capaz de alertar a los usuarios si sus condiciones de accesibilidad y seguridad son modificadas; y el administrador es el encargado de fijar los canales de almacenamiento y ancho de banda a utilizar por los dems usuarios. Nivel B3: Dominios de Seguridad. Refuerza a los dominios con la instalacin de hardware: por ejemplo el hardware de administracin de memoria se usa para proteger el dominio de seguridad de acceso no autorizado a la modificacin de objetos de diferentes dominios de seguridad. Existe un monitor de referencia que recibe las peticiones de acceso de cada usuario y las permite o las deniega segn las polticas de acceso que se hayan definido. Todas las estructuras de seguridad deben ser lo suficientemente pequeas como para permitir anlisis y testeos ante posibles violaciones. Este nivel requiere que la terminal del usuario se conecte al sistema por medio de una conexin segura. Adems, cada usuario tiene asignado los lugares y objetos a los que puede acceder. Nivel A: Proteccin Verificada. Es el nivel ms elevado, incluye un proceso de diseo, control y verificacin, mediante mtodos formales (matemticos) para asegurar todos los procesos que realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los componentes de los niveles inferiores deben incluirse. El diseo requiere ser verificado de forma matemtica y tambin se deben realizar anlisis de canales encubiertos y de distribucin confiable. El software y el hardware son protegidos para evitar infiltraciones ante traslados o movimientos del equipamiento.

4.6.- Controles para evaluar software de aplicacin

Estos controles pueden implementarse en el Sistema Operativo, sobre los sistemas de aplicacin, en bases de datos, en un paquete especfico de seguridad o en cualquier otro utilitario. Constituyen una importante ayuda para proteger al sistema operativo de la red, al sistema de aplicacin y dems software de la utilizacin o modificaciones no autorizadas; para mantener la integridad de la informacin (restringiendo la cantidad de usuarios y procesos con acceso permitido) y para resguardar la informacin confidencial de accesos no autorizados. Asimismo, es conveniente tener en cuenta otras consideraciones referidas a la seguridad lgica, como por ejemplo las relacionadas al procedimiento que se lleva a cabo para determinar si corresponde un permiso de acceso (solicitado por un usuario) a un determinado recurso. Al respecto, el National Institute for Standars and Technology (NIST)(1) ha resumido los siguientes estndares de seguridad que se refieren a los requisitos mnimos de seguridad en cualquier sistema:

Roles. El acceso a la informacin tambin puede controlarse a travs de la funcin o rol del
usuario que requiere dicho acceso. Algunos ejemplos de roles seran los siguientes: programador, lder de proyecto, gerente de un rea usuaria, administrador del sistema, etc. En este caso los derechos de acceso pueden agruparse de acuerdo con el rol de los usuarios. Transacciones. Tambin pueden implementarse controles a travs de las transacciones, por ejemplo solicitando una clave al requerir el procesamiento de una transaccin determinada. Limitaciones a los Servicios. Estos controles se refieren a las restricciones que dependen de parmetros propios de la utilizacin de la aplicacin o preestablecidos por el administrador del sistema. Un ejemplo podra ser que en la organizacin se disponga de licencias para la utilizacin simultnea de un determinado producto de software para cinco personas, en donde exista un control a nivel sistema que no permita la utilizacin del producto a un sexto usuario. Ubicacin y Horario. El acceso a determinados recursos del sistema puede estar basado en la ubicacin fsica o lgica de los datos o personas. En cuanto a los horarios, este tipo de controles permite limitar el acceso de los usuarios a
20

determinadas horas de da o a determinados das de la semana. De esta forma se mantiene un control ms restringido de los usuarios y zonas de ingreso. Se debe mencionar que estos dos tipos de controles siempre deben ir acompaados de alguno de los controles anteriormente mencionados.

4.7.- Controles para prevenir crmenes y fraudes informticos

Hoy en da, muchos usuarios no confan en la seguridad del Internet. En 1996, IDC Research realiz una encuesta en donde el 90% de los usuarios expres gran inters sobre la seguridad del Internet, pues temen que alguien pueda conseguir el nmero de su tarjeta de crdito mediante el uso de la Red. Ellos temen que otros descubran su cdigo de acceso de la cuenta del banco y entonces transferir fondos a la cuenta del hurtador. Las agencias de gobierno y los bancos tienen gran preocupacin en dar informacin confidencial a personas no autorizadas. Las corporaciones tambin se preocupan en dar informacin a los empleados, quienes no estn autorizados al acceso de esa informacin o quien trata de curiosear sobre una persona o empleado. Las organizacio nes se preocupan que sus competidores tengan conocimiento sobre informacin patentada que pueda daarlos. Aunque los consumidores tienden a agrupar sus intereses juntos por debajo del trmino de la seguridad general, hay realmente varias partes de la seguridad que confunden. La Seguridad significa guardar algo seguro . Algo puede ser un objeto, tal como un secreto, mensaje, aplicacin, archivo, sistema o una comunicacin interactiva. Seguro los medios son protegidos desde el acceso, el uso o alteracin no autorizada. Para guardar objetos seguros, es necesario lo siguiente: La autenticacin (promesa de identidad), es decir la prevencin de suplantaciones, que se garantice que quien firma un mensaje es realmente quien dice ser. La autorizacin (se da permiso a una persona o grupo de personas de poder realizar ciertas funciones, al resto se le niega el permiso y se les sanciona si las realizan). La privacidad o confidencialidad, es el ms obvio de los aspecto y se refiere a que la informacin solo puede ser conocida por individuos autorizados. Existen infinidad de posibles ataques contra la privacidad, especialmente en la comunicacin de los datos. La transmisin a travs de un medio presenta mltiples oportunidades para ser interceptada y copiada: las lneas pinchadas la intercepcin o recepcin electromagntica no autorizada o la simple intrusin directa en los equipos donde la informacin est fsicamente almacenada. La integridad de datos, La integridad se refiere a la seguridad de que una informacin no ha sido alterada, borrada, reordenada, copiada, etc., bien duran te el proceso de transmisin o en su propio equipo de origen. Es un riesgo comn que el atacante al no poder descifrar un paquete de informacin y, sabiendo que es importante, simplemente lo intercepte y lo borre. La disponibilidad de la informacin, se refiere a la seguridad que la informacin pueda ser recuperada en el momento que se necesite, esto es, evitar su prdida o bloqueo, bien sea por ataque doloso, mala operacin accidental o situaciones fortuitas o de fuerza mayor. No rechazo (la proteccin contra alguien que niega que ellos originaron la comunicacin o datos). Controles de acceso, esto es quien tiene autorizacin y quien no para acceder a una pieza de informacin determinada.

Son los requerimientos bsicos para la seguridad, que deben proveerse de una manera confiable. Los requerimientos cambian ligeramente, dependiendo de lo que se est asegurado. La importancia de lo que se est asegurando y el riesgo potencial involucra en dejar uno de estos requerimientos o tener que forzar
21

niveles ms altos de seguridad. Estos no son simplemente requerimientos para el mundo de la red, sino tambin para el mundo fsico.

4.8.- Plan de contingencia, seguros, procedimientos de recuperacin de desastres.

Pese a todas las medidas de seguridad puede (va a) ocurrir un desastre. De hecho los expertos en seguridad afirman "sutilmente" que hay que definir un plan de recuperacin de desastres "para cuando falle el sistema", no "por si falla el sistema". Por tanto, es necesario que el Plan de Contingencias que incluya un plan de recuperacin de desastres, el cual tendr como objetivo, restaurar el servicio de cmputo en forma rpida, eficiente y con el menor costo y prdidas posibles. Si bien es cierto que se pueden presentar diferentes niveles de daos, tambin se hace necesario presuponer que el dao ha sido total, con la finalidad de tener un Plan de Contingencias lo ms completo y global posible. Un Plan de Contingencia de Seguridad Informtica consiste los pasos que se deben seguir, luego de un desastre, para recuperar, aunque sea en parte, la capacidad funcional del sistema aunque, y por lo general, constan de reemplazos de dichos sistemas. Se entiende por Recuperacin, tanto la capacidad de seguir trabajando en un plazo mnimo despus de que se haya producido el problema, como la posibilidad de volver a la situacin anterior al mismo, habiendo reemplazado o recuperado el mximo posible de los recursos e informacin. Se dice que el Plan de Contingencias es el encargado de sostener el modelo de Seguridad Informtica planteado y de levantarlo cuando se vea afectado. La recuperacin de la informacin se basa en el uso de una poltica de copias de seguridad (Backup) adecuada.

4.9.- Tcnicas y herramientas relacionadas con la seguridad fsica y del personal

La seguridad sica es la aplicacion de barreras sicas y procedimientos de control como medidas de control y contramedidas contra las amenazas sicas a los recursos y la informacion condencial. Se mide en dos aspectos: prevencion y deteccion. En muchos casos: mas facil aprovechar vulnerabilidades sicas (maquinas o dispositivos de almacenamiento accesibles, backups antiguos olvidados, ...) que fallos logicos (conguracion no adecuada, agujeros del software, etc...). No solo ataques amenazan seguridad sica: incendios, caidas, robos, interferencias electromagneticas,...

4.10.- Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin
Generalmente se ocupa exclusivamente a asegurar los derechos de acceso a los datos y recursos con las herramientas de control y mecanismos de identificacin. Estos mecanismos permiten saber que los operadores tienen slo los permisos que se les dio. La seguridad informtica debe ser estudiada para que no impida el trabajo de los operadores en lo que les es necesario y que puedan utilizar el sistema informtico con toda confianza. Por eso en lo referente a
22

elaborar una poltica de seguridad, conviene: Elaborar reglas y procedimientos para cada servicio de la organizacin. Definir las acciones a emprender y elegir las personas a contactar en caso de detectar una posible intrusin Sensibilizar a los operadores con los problemas ligados con la seguridad de los sistemas informticos. Los derechos de acceso de los operadores deben ser definidos por los responsables jerrquicos y no por los administradores informticos, los cuales tienen que conseguir que los recursos y derechos de acceso sean coherentes con la poltica de seguridad definida. Adems, como el administrador suele ser el nico en conocer perfectamente el sistema, tiene que derivar a la directiva cualquier problema e informacin relevante sobre la seguridad, y eventualmente aconsejar estrategias a poner en marcha, as como ser el punto de entrada de la comunicacin a los trabajadores sobre problemas y recomendaciones en trmino de seguridad informtica.

23

5.- Auditoria de la seguridad en la teleinformtica

5.1.- Generalidades de la seguridad en el rea de la teleinformtica
En la actualidad tiene una gran trascendencia tanto tcnica como social, lo que se denomina teleinformtica: la unin de la informtica y las telecomunicaciones. Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso de expresiones y conceptos relacionados con la teleinformtica. Se comienza por introducir la historia y evolucin de la teleinformtica y de la manera en que fue desarrollndose, y a su vez, proporcionando un panorama general del tema. Luego se menciona de forma genrica los elementos que integran un sistema teleinformtico, desde un simple terminal hasta una red. Las tcnicas de comunicacin se estructuran en niveles: fsico, enlace de datos, red, transporte, sesin, presentacin y aplicacin. Tambin, mencionamos las redes de rea local ya que son muy importantes en lo que a la teleinformtica respecta. Se hizo hincapi en la red Internet y su protocolo TCP/IP, y en los conceptos bsicos sobre Programas de Comunicacin y Gestin de Red. Analizamos los servicios de valor aadido como el Videotex, Ibercom o La Telefona Mvil. Adems, establecimos los ltimos desarrollos y las tendencias de la teleinformtica, desde las redes digitales hasta el proceso distribuido. Por ltimo, manifestamos la importancia de la relacin que existe entre la teleinformtica y la sociedad, en lo que respecta a la educacin, la sanidad y la empresa. En una comunicacin se transmite informacin desde una persona a otra e intervienen tres elementos: el emisor, que da origen a la informacin, el medio, que permite la transmisin, y el receptor, que recibe la informacin. La primera comunicacin que existi entre los hombres fue a base de signos o gestos que expresaban intuitivamente determinadas manifestaciones con sentido propio. Estos gestos iban acompaados de sonidos. Ms tarde, el hombre tuvo necesidad de realizar comunicaciones a distancia como por ejemplo, entre personas de dos aldeas situadas a cierta distancia pero con visibilidad entre ambas, o bien entre un barco y la costa. Es aqu donde aparecen las seales de humo, destellos con espejos entre innumerables mtodos de comunicacin. Con el paso del tiempo y la evolucin tecnolgica, la comunicacin a distancia comenz a ser cada vez ms importante. La primera tcnica utilizada surgi con la aparicin del telgrafo y el cdigo morse que permitieron comunicaciones a travs de cables a unas distancias considerables. Posteriormente se desarroll la tcnica que dio origen al telfono para la comunicacin directa de la voz a larga distancia. Ms tarde la radio y la transmisin de imgenes a travs de la televisin habilitaron un gran nmero de tcnicas y mtodos que luego fueron muy importantes a lo que respecta a la comunicacin.

5.2 Objetivos y criterios de la auditoria en el rea de la teleinformtica

La auditora interna se ve compelida a velar entre otras cosas por la aplicacin y buen uso de las mismas. Ello ciertamente implica un muy fuerte compromiso. Dijimos antes que la auditora deba velar no slo por los activos de la empresa sino adems por su capacidad competitiva. Cuidar de esto ltimo significa difundir, apoyar y controlar las nuevas y buenas prcticas. As, haciendo uso del benchmarking puede verificar y promover las mejores prcticas para el mantenimiento de la ms alta competitividad. Ser competitivo es continuar en la lucha por la subsistencia o continuidad de la empresa.

24

5.3 Sntomas de riesgo.

Para muchos la seguridad sigue siendo el rea principal a auditar, hasta el punto de que en algunas entidades se cre inicialmente la funcin de auditora informtica para revisar la seguridad, aunque despus se hayan ido ampliando los objetivos. En la auditora de otras reas pueden tambin surgir revisiones solapadas con la seguridad; as a la hora de revisar el desarrollo se ver si se realiza en un entorno seguro, etc. Los aspectos ms importantes a revisar son: Los controles directivos. Son los fundamentos de la seguridad: polticas, planes, funciones, objetivos de control, presupuesto, as como si existen sistemas y mtodos de evaluacin peridica de riesgos. El desarrollo de las polticas. Procedimientos, posibles estndares, normas y guas. Amenazas fsicas externas. Inundaciones, incendios, explosiones, corte de lneas o suministros, terremotos, terrorismo, huelgas, etc., se considera: la ubicacin del centro de procesos, de los servidores, PCs, computadoras porttiles (incluso fuera de las oficinas); estructura, diseo, construccin y distribucin de edificios; amenazas de fuego, riesgos por agua, por accidentes atmosfricos; contenido en paquetes }, bolsos o carteras que se introducen o salen de los edificios; visitas, clientes, proveedores, contratados; proteccin de los soportes magnticos en cuanto a acceso, almacenamiento y transporte. Control de accesos adecuado. Tanto fsicos como lgicos, que se realicen slo las operaciones permitidas al usuario: lectura, variacin, ejecucin, borrado y copia, y quedando las pistas necesarias para el control y la auditora. Uso de contraseas, cifrado de las mismas, situaciones de bloqueo. Proteccin de datos. Origen del dato, proceso, salida de los datos. Comunicaciones y redes. Topologa y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus. Tipos de transacciones. Proteccin de conversaciones de voz en caso necesario, proteccin de transmisiones por fax para contenidos clasificados. Internet e Intranet, correo electrnico, control sobre pginas web, as como el comercio electrnico. El entorno de produccin. Cumplimiento de contratos, outsourcing. El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que stos resulten auditables. Con el uso de licencias (de los programas utilizados). La continuidad de las operaciones. Planes de contingencia o de Continuidad. No se trata de reas no relacionadas, sino que casi todas tienen puntos de enlace comunes: comunicaciones con control de accesos, cifrado con comunicaciones, etc.

5.4 Tcnicas y herramientas de auditoria relacionadas con la seguridad en la teleinformtica.

Las tcnicas de planeacion de seguridad ms importantes son: Anlisis del sistema actual. Anlisis de riesgos. Definicin de polticas de seguridad. Implantacin de la seguridad.

25

6.- Informe de la auditoria informtica

6.1.- Generalidades de la seguridad del rea fsica
La Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial. Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos. Las principales amenazas que se prevn en la seguridad fsica son: Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados.

Sabotajes El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Control de Accesos El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, rea o sector dentro de una empresa o institucin. Verificacin Automtica de Firmas (VAF) En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque tambin podra encuadrarse dentro de las verificaciones biomtricas. Mientras es posible para un falsificador producir una buena copia visual o facsmil, es extremadamente difcil reproducir las dinmicas de una persona: por ejemplo la firma genuina con exactitud. La VAF, usando emisiones acsticas toma datos del proceso dinmico de firmar o de escribir. La secuencia sonora de emisin acstica generada por el proceso de escribir constituye un patrn que es nico en cada individuo. El patrn contiene informacin extensa sobre la manera en que la escritura es ejecutada. El equipamiento de coleccin de firmas es inherentemente de bajo costo y robusto. Esencialmente, consta de un bloque de metal (o algn otro material con propiedades acsticas similares) y una computadora barata.

6.2.- Caractersticas del informe

El informe de auditora financiera tiene como objetivo expresar una opinin tcnica de las cuentas anuales en los aspectos significativos o importantes, sobre si stas muestran la imagen fiel del patrimonio, de la situacin financiera y del resultado de sus operaciones, as como de los recursos obtenidos y aplicados durante el ejercicio. Caractersticas del informe de auditora:

26

1. Es un documento mercantil o pblico. 2. Muestra el alcance del trabajo. 3. Contiene la opinin del auditor. 4. Se realiza conforme a un marco legal.

6.3.- Estructura del informe

No existe una estructura modelo en la redaccin del Informe de Auditora Administrativa, ya que es muy difcil opinar uniformemente, en consecuencia en este tipo de examen, el auditor no dictamina, solo emite opiniones, considerando una serie de factores o caractersticas propias de la actividad, operacin o rea examinada, adems de los principios administrativos y normatividad existente. Definicin del Contenido: El contenido se define de la forma siguiente: Sntesis La Sntesis del Informe tiene por finalidad resumir la opinin del Auditor indicando las observaciones ms significativas e importantes del Informe. Se prepara principalmente para informar al lector del Informe, generalmente personas importantes que no disponen del tiempo suficiente para leer el ntegro del informe, sobre el contenido fundamental de ste para motivarlo a tomar las acciones correctivas. Introduccin Consiste en la descripcin en forma narrativa los aspectos relativos a la empresa o entidad auditada. La Informacin introductoria que se presenta expone, sobre los Antecedentes, Objetivo, Alcance y Naturaleza de la Empresa a examinar. Antecedente. En esta parte de la informacin introductoria, el auditor sealar el motivo que origin la auditora efectuada. La manifestacin puede ser presentada segn el caso, si obedece la realizacin del examen al cumplimiento del Plan de Auditora Anual (cuando se trata de la ejecucin de auditora de acuerdo a la programacin anual que cumple la Oficina de Auditora Interna de una empresa o entidad), o si es hecha, denuncias recibidas o a pedido que puede ser ejecutada por la misma Oficina de Auditora Interna o por una Sociedad de Auditora previo contrato en este ltimo caso. Finalmente se debe consignar o indicar la Fecha de Inicio y Trmino de Trabajo de Campo o la Auditora propiamente dicha. Objetivo. Se consideran los objetivos de la auditora administrativa, que varan de acuerdo a la naturaleza de las funciones del rea examinada. Alcance. Se debe especificar el alcance del rea examinada, los aspectos a examinar, los funcionarios responsables y la comisin encargada de la auditora administrativa si se trata de determinar el alcance del rea de trmite documentario y archivo, se especifican el alcance de la manera siguiente: Observaciones Las Observaciones de la Auditora son las informaciones que el auditor presenta sobre las deficiencias o irregularidades que el auditor presenta sobre las deficiencias o irregularidades encontradas durante el examen, debiendo contener en forma clara y lgica los asuntos de importancia suficientemente comprensible para los que tener que ver con el informe todas las observaciones debern ser objeto y basadas en hechos y respaldadas en los Papeles de Trabajo. Los informes de Auditora presentarn las
27

observaciones que no tienen solucin inmediata, las de menor importancia deben ser dados a conocer a los responsables durante el Trabajo de Campo para su solucin inmediata. Durante el curso del examen, el auditor agotar todos los medios razonables a su alcance a fin de permitir las pruebas documentarias suficientes para absolver las Observaciones que el auditor encuentre. No se expedir ningn informe de Auditora en forma final sin darle a los administradores la oportunidad de discutir las observaciones y presentar sus puntos de vista, excepto en caso de fraude o desfalco. Estas acciones evitarn que los informes de auditora contengan Observaciones y Conclusiones que no estn debidamente sustentadas, o en todo caso, hubiese sido posible solucionarlas en el transcurso de la ejecucin de la auditora. Conclusiones Constituyen el resumen de las Observaciones sobre las irregularidades y deficiencias que son el producto del juicio profesional del auditor. Las Conclusiones sern objetivas, basadas en hechos reales y adecuadamente respaldadas en los Papeles de Trabajo. Las conclusiones son enumeradas y presentadas en orden de importancia haciendo mencin, si fuera necesario del nombre de los responsables que han incurrido en falta. Recomendaciones Las recomendaciones que presenta el auditor, luego de terminar de examinar el conjunto de operaciones y actividades de la empresa o entidad, las considera como sugerencias positivas que tienen por finalidad la solucin de los problemas para coadyudar a la eficiencia de la administracin. Las recomendaciones estarn orientadas a la mejor utilizacin de los recursos humanos, materiales y financieros de la empresa o entidad auditada. La importancia de las recomendaciones en que cumple uno de los fines de la auditora, es decir, enmendar los errores que se vienen cometiendo que no son observados por los empresarios o funcionarios. Las recomendaciones son dirigidas al titular de la organizacin examinada a fin de que provea lo conveniente para su cumplimiento. Las recomendaciones del auditor sern presentadas en el Informe de Auditora, en forma ordenada, considerando el grado de importancia de acuerdo a la presentacin de las Conclusiones. Anexos Son esquemas complementarios que se adjuntan a las auditoras administrativas cuando son necesarios y generalmente sirven de fundamento a las observaciones planteadas.

6.4.- Formato para el informe

El formato para informes finales est enfocado a apoyar y facilitar el proceso de evaluacin de los resultados, con respecto a los compromisos adquiridos en el proyecto aprobado. Adems de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y obtencin de los resultados esperados y de las actividades de investigacin cientfica, el formato contiene: Los informes finales tcnico y financiero, deben ser entregados a la Direccin de Investigacin de la sede, al finalizar el periodo de ejecucin del proyecto. El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada Facultad, Centro o Instituto. El informe debe contener un ndice. Cada pgina del informe debe estar numerada. Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados. El informe tcnico final deber presentarse en versin impresa y magntica (CD o disquete).
28

Contenido del informe tcnico 1. Ttulo y cdigo del proyecto 2. Nombre del investigador principal y de la Facultad, Centro o Instituto al que pertenece 3. Fecha de entrega del Informe 4. Sinopsis divulgativa: Con el propsito de promover la divulgacin de las actividades investigativas que adelanta la Sede Bogot y para dar mayor difusin a los proyectos, deben incluir un resumen de una cuartilla que servir de base para la elaboracin de notas acadmicas dirigidas a los medios de comunicacin de la Universidad. 5. Resumen tcnico de los resultados obtenidos durante la realizacin del proyecto y de las principales conclusiones (mximo cinco pginas). 6. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado, relacione los resultados obtenidos durante la realizacin del proyecto, los cuales deben estar soportados por sus respectivos indicadores verificables: publicaciones, patentes, registros, normas, certificaciones, memorias, formacin de recurso humano, capacitacin, organizacin y/o participacin en eventos cientficos, etc., estos deben numerarse y adjuntarse como anexos del informe (ver cuadro No. 1). 7. Descripcin del impacto actual o potencial de los resultados: En trminos de generacin de nuevo conocimiento a nivel mundial, de aporte para el desarrollo del pas, de contribucin a la solucin de problemas especficos, de fortalecimiento de la capacidad cientfica, y de fortalecimiento de la investigacin y creacin en la Sede Bogot (mximo dos pginas). 8. Conclusiones

Fuentes de informacin
1. Piattini Velthuis, Mario G. Auditoria Informtica. Un enfoque prctico.(2a edicin ampliada y revisada). 2. Jos Antonio Echenique. Auditoria Informtica. Ed. Mc-Graw Hill.

29