revista
DESCRIPTION
Se encuentra modificado el resto del documento con estilo libre.TRANSCRIPT
1
Control interno. El Control Interno Informático puede definirse como el sistema integrado al proceso
administrativo, en la planeación, organización, dirección y control de las operaciones con el
objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de
economía, eficiencia y efectividad de los procesos operativos automatizados.
También se puede definir el Control Interno como cualquier actividad o acción realizada
manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan
afectar al funcionamiento de un sistema para conseguir sus objetivos.
1.5 Modelos de control
utilizados en auditoria
informática. El COBIT es
precisamente un
modelo para
auditar la
gestión y control
de los sistemas
de información y
tecnología,
orientado a
todos los
sectores de una
organización, es
decir, administradores IT,
usuarios y por supuesto, los
auditores involucrados en
el proceso.
Las siglas COBIT significan
Objetivos de Control para
Tecnología de Información
y Tecnologías relacionadas
(Control Objetives for
Information Systems and
related Technology). El
modelo es el resultado de
una investigación con
expertos de varios países,
desarrollado por ISACA
(Information Systems Audit
and Control Association).
La estructura del modelo
COBIT propone un marco
de acción donde se
evalúan los criterios de
información, como por
ejemplo la seguridad y
calidad, se auditan los
recursos que comprenden
la tecnología de
información, como por
ejemplo el recurso
humano, instalaciones,
sistemas, entre otros, y
finalmente se realiza una
evaluación sobre los
procesos involucrados en
la organización.
El COBIT es un modelo de
evaluación y monitoreo
que enfatiza en el control
de negocios y la seguridad
IT y que abarca controles
específicos de IT desde
una perspectiva de
negocios. “La adecuada
implementación de un
modelo COBIT en una
organización, provee una
herramienta
automatizada, para
evaluar de manera ágil y
consistente el
cumplimiento de los objetivos de control y
controles detallados, que
aseguran que los procesos
y recursos de información y
tecnología contribuyen al
logro de los objetivos del
negocio en un mercado
cada vez más exigente,
complejo y diversificado”,
señaló un informe de ETEK.
COBIT, lanzado en 1996, es
una herramienta de
gobierno de TI que ha
cambiado la forma en que
trabajan los profesionales
de tecnología. Vinculando
tecnología informática y
prácticas de control, el
modelo COBIT consolida y
armoniza estándares de
fuentes globales
prominentes en un recurso
crítico para la gerencia, los
profesionales de control y
los auditores.
COBIT se aplica a los
sistemas de información de
toda la empresa,
1
incluyendo los
computadores personales
y las redes. Está basado en
la filosofía de que los
recursos TI necesitan ser
administrados por un
conjunto de procesos
naturalmente agrupados
para proveer la
información pertinente y
confiable que requiere una
organización para lograr
sus objetivos.
El conjunto de lineamientos
y estándares
internacionales conocidos
como COBIT, define un
marco de referencia que
clasifica los procesos de las
unidades de tecnología de
información de
las
organizaciones
en cuatro
“dominios”
principales, a
saber:
-Planificación y
organización
-Adquisición e
implantación
-Soporte y Servicios
- Monitoreo
Estos dominios agrupan
objetivos de control de alto
nivel, que cubren tanto los
aspectos de información,
como de la tecnología
que la respalda. Estos
dominios y objetivos de
control facilitan que la
generación y
procesamiento de la
información cumplan con
las características de
efectividad, eficiencia,
confidencialidad,
integridad, disponibilidad,
cumplimiento y
confiabilidad.
Asimismo, se deben tomar
en cuenta los recursos que
proporciona la tecnología
de información, tales
como: datos, aplicaciones,
plataformas tecnológicas,
instalaciones y recurso
humano.
“Cualquier tipo de
empresa puede adoptar
una metodología COBIT,
como parte de un proceso
de reingeniería en aras de
reducir los índices de
incertidumbre sobre
vulnerabilidades y riesgos
de los recursos IT y
consecuentemente, sobre
la posibilidad de evaluar el
logro de los objetivos del
negocio apalancado en
procesos tecnológicos”,
finalizó el informe de ETEK.
1.6 Principios aplicados a
los auditores informáticos.
El auditor deberá ver cómo
se puede conseguir la
máxima eficacia y
rentabilidad de los medios
informáticos de la empresa
auditada, estando
obligado a presentar
recomendaciones acerca
del reforzamiento del
sistema y el estudio de las
soluciones más idóneas
según los problemas
detectados en el sistema
informático de esta última.
En ningún caso está
justificado que realice su
trabajo el prisma del
propio beneficio.
Cualquiera actitud que se
anteponga intereses
personales del auditor a los
del auditado deberá
considerarse como no
ética. Para garantizar el
beneficio del auditado
como la necesaria
independencia del
auditor, este último deberá
evitar estar ligado en
cualquier forma, a
intereses de determinadas
marcas, productos o
equipos compatibles con
los de su cliente. La
adaptación del auditor al
sistema del auditado debe
implicar una cierta
simbiosis con el mismo, a
fin de adquirir un
conocimiento
pormenorizado de sus
características intrínsecas.
Únicamente en los casos
en el que el auditor
dedujese la imposibilidad
de que el sistema pudiera
acomodarse a las
exigencias propias de su
1
cometido, este podrá
proponer un cambio
cualitativamente
significativo de
determinados elementos o
del propio sistema
informático globalmente
contemplado. Una vez
estudiado el sistema
informático a auditar, el
auditor deberá establecer
los requisitos mínimos,
aconsejables y óptimos
para su adecuación a la
finalidad para la que ha
sido diseñado. El auditor
deberá lógicamente
abstenerse de recomendar
actuaciones
innecesariamente
onerosas, dañinas o que
generen riesgos
injustificados para el
auditado. Una de las
cuestiones más
controvertidas, respecto
de la aplicación de este
principio, es la referente a
facilitar el derecho de las
organizaciones auditadas
a la libre elección del
auditor. Si el auditado
decidiera encomendar
posteriores auditorías a
otros profesionales, éstos
deberías poder tener
acceso a los informes de
los trabajos profesionales,
éstos deberían poder tener
acceso a los informes de
los trabajos anteriormente
realizados sobre el sistema
del auditado.
del grado de cobertura
que dan las aplicaciones a
las necesidades.
2.1.2 Revisión preliminar.
En esta fase el auditor
debe de armarse de un
conocimiento amplio del
área que va a auditar, los
objetivos que debe
cumplir, tiempos (una
empresa no pude dejar sus
equipos y personal que lo
opera sin trabajar porque
esto le genera pérdidas
sustanciosas), herramientas
y conocimientos previos,
así como de crear su
equipo de auditores
expertos en la materia con
el fin de evitar tiempos
muertos a la hora de iniciar
la auditoria.
Es de tomarse en cuenta
que el propietario de
dicha empresa, ordena
una auditoria cuando
siente que un área tiene
una falla o simplemente no
trabaja productivamente
como se sugiere, por esta
razón habrá puntos claves
que se nos instruya sean
revisados, hay que
recordar que las auditorias
parten desde un ámbito
administrativo y
no solo desde la
parte
tecnológica,
porque al fin de
cuentas
hablamos de
tiempo y costo
de producción,
ejercicio de
ventas, etc. Es
decir, todo
aquello que representa un
gasto para la empresa.
2.1.3 Revisión detallada.
Los objetos de la fase
detallada son los de
obtener la información
necesaria para que el
auditor tenga un profundo
entendimiento de los
controles usados dentro
del área de informática.
El auditor debe de decidir
se debe continuar
elaborando pruebas de
consentimiento, con la
esperanza de obtener
mayor confianza por
medio del sistema de
control interno, o proceder
directamente a revisión
con los usuarios (pruebas
compensatorias) o a las
pruebas sustantivas.
2.1.4 Examen y evaluación
de la información.
Periodo en el que se
desarrollan las pruebas y su
extensión
1
Las Áreas de Auditoria
estructuran sus pruebas en
programas de trabajo
lógicos y pueden usarse
para capturar información
relacionada con los
objetivos de cada
programa de trabajo.
2.1.6 Pruebas sustantivas.
El objetivo de las pruebas
sustantivas es obtener
evidencia suficiente que
permita al auditor emitir su
juicio en las conclusiones
acerca de cuándo
pueden ocurrir pérdidas
materiales durante el
proceso de la información.
Se pueden identificar 8
diferentes pruebas
sustantivas:
1 pruebas para identificar
errores en el
procesamiento o de falta
de seguridad o
confidencialidad.
2 prueba para asegurar la
calidad de los datos.
3 pruebas para identificar
la inconsistencia de datos.
4 prueba para comparar
con los datos o contadores
físicos.
5 confirmaciones de datos
con fuentes externas
6 pruebas para confirmar
la adecuada
comunicación.
7 prueba para determinar
falta de seguridad.
8 pruebas para determinar
problemas de legalidad.
2.2 Evaluación de los
sistemas de acuerdo al
riesgo.
Riesgo
Proximidad o posibilidad
de un daño, peligro, etc.
Cada uno de los
imprevistos, hechos
desafortunados, etc., que
puede cubrir un seguro.
Sinónimos: amenaza,
contingencia, emergencia,
urgencia, apuro.
Seguridad
Cualidad o estado de
seguro
Garantía o conjunto de
garantías que se da a
alguien sobre el
cumplimiento de algo.
Ejemplo: Seguridad Social
Conjunto de organismos,
medios, medidas, etc., de
la administración estatal
para prevenir o remediar
los posibles riesgos,
problemas y necesidades
de los trabajadores, como
enfermedad, accidentes
laborales, incapacidad,
maternidad o jubilación; se
financia con aportaciones
del Estado, trabajadores y
empresarios.
Se dice también de todos
aquellos objetos,
dispositivos, medidas, etc.,
que contribuyen a hacer
más seguro el
funcionamiento o el uso de
una cosa: cierre de
seguridad, cinturón de
seguridad.
2.4 Personal participante.
Una de las partes más
importantes en la
planeación de la auditoría
en informática es el
personal que deberá
participar, ya que se debe
contar con un equipo
seleccionado y con ciertas
características que
puedan ayudar a llevar la
auditoria de manera
correcta y en el tiempo
estimado.
Aquí no se verá el número
de persona que deberán
participar, ya que esto
depende de las
dimensiones de la
organización, de los
sistemas y de los equipos,
lo que se deberá
considerar son
exactamente las
características que debe
cumplir cada uno del
personal que habrá de
participar en la auditoria.
Uno de los esquemas
generalmente aceptados
para tener un adecuado
control es que el personal
que intervenga esté
debidamente capacitado,
que tenga un alto sentido
de moralidad, al cual se le
exija la optimización de
recursos (eficiencia) y se le
retribuya o compense
justamente por su trabajo.
Con estas bases debemos
considerar los
conocimientos, la práctica
profesional y la
capacitación que debe
tener el personal que
intervendrá en la auditoria.
1
3.2 Evaluación de los
recursos humanos
La auditoría de recursos
humanos puede definirse
como el análisis de las
políticas y prácticas de
personal de una empresa y
la evaluación de su
funcionamiento actual,
seguida de sugerencias
para mejorar. El propósito
principal de la auditoria de
recursos humanos es
mostrar cómo está
funcionado el programa,
localizando prácticas y
condiciones que son
perjudiciales para la
empresa o que no están
justificando su costo, o
prácticas y condiciones
que deben incrementarse.
La auditoría es un sistema
de revisión y control para
informar a la
administración sobre la
eficiencia y la eficacia del
programa que lleva a
cabo.
El sistema de
administración de recursos
humanos necesita
patrones capaces de
permitir una continua
evaluación y control
sistemático de su
funcionamiento.
Patrón en in criterio o un
modelo que se establece
previamente para permitir
la comparación con los
resultados o con los
objetivos alcanzados. Por
medio de la comparación
con el patrón pueden
evaluarse los resultados
obtenidos y verificar que
ajustes y correcciones
deben realizarse en el
sistema, con el fin de que
funcione mejor.
3.3 Entrevistas con el
personal de informática.
La entrevista es uno de los
eslabones finales para
conseguir la posición
deseada. Desde el otro
lado del mostrador y
habiendo entrevistado a
5.000 profesionales en
sistemas entre nuestro
equipo de selectores, te
dejamos valiosos consejos
en esta nota.
Es un diálogo directo entre
el entrevistador y
entrevistado. El
entrevistador dirige la
conversación e intenta
obtener la máxima
información posible del
candidato.
Te preguntará por tu
currículum, experiencias,
habilidades, aficiones e
intentará ponerte en
situaciones reales para
estudiar tus reacciones. En
ocasiones puede haber
más de un entrevistador,
con el fin de tener más de
un punto de vista a la hora
de elegir el candidato
final.
Modalidades de la
Entrevista Personal
Estructurada (dirigida)
El entrevistador dirige la
conversación y hace las
preguntas al candidato
siguiendo un cuestionario o
guión. El entrevistador
formulará las mismas
preguntas a todos los
candidatos.
Se recomienda contestar a
las preguntas aportando
aquella información que se
pide, con claridad y
brevedad.
No estructurada (libre)
El entrevistador te dará la
iniciativa a ti, y deberás
desenvolverte por tu
cuenta. El entrevistador
podría empezar con la
pregunta: “Háblame de ti”,
y luego seguir con
preguntas generales, que
surgen en función del
desarrollo de la
conversación.
Lo más aconsejable es
empezar siguiendo el
guión de tu historial
profesional. También
puedes preguntar si está
interesado en conocer
algo en particular.
Aprovecha para llevar la
conversación a los puntos
fuertes que deseas
destacar en relación con
el puesto ofertado.
Semi-estructurada (mixta)
Es una combinación de las
dos anteriores. El
entrevistador utilizará
preguntas directas para
conseguir informaciones
precisas sobre ti, y
preguntas indirectas para
sondearte respecto a tus
motivaciones. Intenta
seguir un orden discursivo,
sé conciso e intenta
relacionar tus respuestas y
1
comentarios con las
exigencias del puesto al
que optas.
3.4 Situación presupuestal y
financiera.
El estudio y evaluación del
control interno deberá
efectuarse conforme a lo
dispuesto en el boletín 3050
“Estudio y Evaluación del
Control Interno”, emitido
por la Comisión de Normas
y Procedimientos de
Auditoría del Instituto
Mexicano de Contadores
Públicos, A.C., éste servirá
de base para determinar
el grado de confianza que
se depositará en él y le
permita determinar la
naturaleza, alcance y
oportunidad, que va a dar
a los procedimientos de
auditoría, por lo que el
auditor para el
cumplimiento de los
objetivos deberá
considerar lo siguiente:
- Existencia de factores
que aseguren un ambiente
de control
- Existencia de riesgo en la
información financiera
Existencia de un sistema
presupuestal que permita
identificar, reunir, analizar,
clasificar, registrar y
producir información
cuantitativa de las
operaciones basadas en
flujos de efectivo y partidas
devengadas
- Existencia de
procedimientos relativos a
autorización,
procesamiento y
clasificación de
transacciones,
salvaguarda física de
documentación soporte y
de verificación y
evaluación, incluyendo los
aplicables a la
actualización de cifras y a
los controles relativos al
procesamiento electrónico
de datos. - Vigilancia sobre
el establecimiento y
mantenimiento de
controles internos con
objeto de identificar si
están operando
efectivamente y si deben
ser modificados cuando
existan cambios
importantes.
Para efectos de estudio y
evaluación del control
interno en una revisión en
una revisión de estados
presupuestarios, el auditor
deberá considerar los
siguientes aspectos:
a. Existencia de un
presupuesto anual
autorizado
b. Existencia e políticas,
bases y lineamientos
presupuestarios
c. Existencia de un sistema
de registro presupuestario
d. Existencia de un
procedimiento de
autorizaciones
e. Procedimientos de
registro, control y reporte
presupuestario
Obtener el estado
analítico de recursos
presupuestarios y el
ejercicio presupuestario del
gasto, tal como lo
establecen los Términos de
Referencia para auditorías
a Órganos
1
Desconcentrados y
Entidades Paraestatales de
la SFP, así como el flujo de
efectivo que detalle el
origen y el destino de los
egresos (Art.103 de la Ley
Federal de Presupuesto y
Responsabilidad
Hacendaria)
UNIDAD IV Evaluación de
la seguridad.
Generalidades de la
seguridad del área física.
Es muy importante ser
consciente que por más
que nuestra empresa sea
la más segura desde el
punto de vista de ataques
externos, Hackers, virus,
etc. (conceptos luego
tratados); la seguridad de
la misma será nula si no se
ha previsto como combatir
un incendio.
La seguridad física es uno
de los aspectos más
olvidados a la hora del
diseño de un sistema
Informático. Si bien algunos
de los aspectos tratados a
continuación se prevén,
otros, como la detección
de un atacante interno a
la empresa que intenta a
acceder físicamente a una
sala de operaciones de la
misma, no.
Esto puede derivar en que
para un atacante sea más
fácil lograr tomar y copiar
una cinta de la sala, que
intentar acceder vía lógica
a la misma.
Así, la Seguridad Física
consiste en la “aplicación
de barreras físicas y
procedimientos de control,
como medidas de
prevención y
contramedidas ante
amenazas a los recursos e
información confidencial”
(1). Se refiere a los
controles y mecanismos de
seguridad dentro y
alrededor del Centro de
Cómputo así como los
medios de acceso remoto
al y desde el mismo;
implementados para
proteger el hardware y
medios de
almacenamiento de
datos.
4.2 Seguridad lógica y
confidencial.
La seguridad lógica se
encarga de los controles
de acceso que están
diseñados para
salvaguardar la integridad
de la información
almacenada de una
computadora, así como
de controlar el mal uso de
la información.
La seguridad lógica se
encarga de controlar y
salvaguardar la
información generada por
los sistemas, por el software
de desarrollo y por los
programas en aplicación.
Identifica individualmente
a cada usuario y sus
actividades en el sistema, y
restringe el acceso a
datos, a los programas de
uso general, de uso
específico, de las redes y
terminales.
La falta de seguridad
lógica o su violación
puede traer las siguientes
consecuencias a la
organización:
Cambio de los datos antes
o cuando se le da entrada
a la computadora.
Copias de programas y /o
información.
Código oculto en un
programa
Entrada de virus
Un método eficaz para
proteger sistemas de
computación es el
software de control de
acceso. Los paquetes de
control de acceso
protegen contra el acceso
no autorizado, pues piden
al usuario una contraseña
antes de permitirle el
acceso a información
confidencial. Sin embargo,
los paquetes de control de
acceso basados en
componentes pueden ser
eludidos por delincuentes
sofisticados en
computación, por lo que
no es conveniente
depender de esos
paquetes por si solos para
tener una seguridad
adecuada.
1
4.3 Seguridad personal.
A finales del siglo XX, los
Sistemas Informáticos se
han constituido en las
herramientas más
poderosas para
materializar uno de los
conceptos más vitales y
necesarios para cualquier
organización empresarial,
los Sistemas de Información
de la empresa.
La Informática hoy, está
subsumida en la gestión
integral de la empresa, y
por eso las normas y
estándares Son aquellos
que no evitan que ocurran
las causas del riesgo sino
que los detecta luego de
ocurridos. Son los más
importantes para el
auditor. En cierta forma
sirven para evaluar la
eficiencia de los controles
preventivos.
Ejemplo: Archivos y
procesos que sirvan como
pistas de auditoría
Procedimientos de
validación
Ayudan a la investigación
y corrección de las causas
del riesgo. La corrección
adecuada puede resultar
difícil e ineficiente, siendo
necesaria la implantación
de controles defectivos
sobre los controles
correctivos, debido a que
la corrección de errores es
en sí una actividad
altamente propensa a
errores.
4.5 Seguridad en los datos
y software de aplicación.
Este apartado aborda los
aspectos asociados al
componente lógico del
sistema: programas y
datos. Para ello, se
distingue entre las medidas
para restringir y controlar el
acceso a dichos recursos,
los procedimientos para
asegurar la fiabilidad del
software (tanto operativo
como de gestión) y los
criterios a considerar para
garantizar la integridad de
la información.
Control de acceso.
Sistemas de identificación,
asignación y cambio de
derechos de acceso,
control de accesos,
restricción de terminales,
desconexión de la sesión,
limitación de reintento.
Software de base.
Control de cambios y
versiones, control de uso
de programas de utilidad,
control de uso de recursos
y medición de
'performance'.
Software de aplicación.
En este apartado se trata
todo lo concerniente al
software de aplicación, es
decir, todo lo relativo a las
aplicaciones de gestión,
sean producto de
desarrollo interno de la
empresa o bien sean
paquetes estándar
adquiridos en el mercado.
Desarrollo de software.
. Metodología: existe, se
aplica, es satisfactoria.
Documentación: existe,
esta actualizada, es
accesible.
. Estándares: se aplican,
como y quien lo controla.
Involucración del usuario.
. Participación de personal
externo.
. Control de calidad.
. Entornos real y de prueba.
. Control de cambios.
Adquisición de software
estándar.
Metodología, pruebas,
condiciones, garantías,
contratos, capacitación,
licencias, derechos,
soporte técnico.
1
Datos.
Los datos es decir, la
información que se
procesa y se obtiene son la
parte más importante de
todo el sistema informático
y su razón de ser. Un
sistema informático existe
como tal desde el
momento en que es capaz
de tratar y suministrar
información. Sin ésta, se
reduciría a un conjunto de
elementos lógicos sin
ninguna utilidad.
En la actualidad la
inmensa mayoría de
sistemas tienen la
información organizada en
sendas Bases de Datos. Los
criterios que se citan a
continuación hacen
referencia a la seguridad
de los Sistemas de Gestión
de Bases de Datos (SGBD)
que cumplan normas ANSI,
si bien muchos de ellos
pueden ser aplicables a los
archivos de datos
convencionales.
Diseño de bases de datos.
Es importante la utilización
de metodologías de
diseño de datos. El equipo
de analistas y diseñadores
deben hacer uso de una
misma metodología de
diseño, la cual debe estar
en concordancia con la
arquitectura de la Base de
Datos elegida jerárquica,
relacional, red, o bien
orientada a objetos.
Debe realizarse una
estimación previa del
volumen necesario para el
almacenamiento de datos
basada en distintos
aspectos tales como el
1
Básicamente existen dos
niveles de integridad: la de
datos, que se refiere al
tipo, longitud y rango
aceptable en cada caso,
y la lógica, que hace
referencia a las relaciones
que deben existir entre las
tablas y reglas del
negocio.
Debe designarse un
Administrador de Datos, ya
que es importante
centralizar en personas
especializadas en el tema
las tareas de redacción de
normas referentes al gestor
de datos utilizado,
definición de estándares y
nomenclatura, diseño de
procedimientos de
arranque, recuperación de
datos, asesoramiento al
personal de desarrollo
entre algunos otros
aspectos.
Creación de bases de
datos.
Debe crearse un entorno
de desarrollo con datos de
prueba, de modo que las
actividades del desarrollo
no interfieran el entorno de
explotación. Los datos de
prueba deben estar
dimensionados de manera
que permitan la realización
de pruebas de integración
con otras aplicaciones, de
rendimiento con
volúmenes altos.
En la fase de creación,
deben desarrollarse los
procedimientos de
seguridad,
confidencialidad e
integridad definidos en la
etapa de diseño:
. Construcción de los
procedimientos de copia y
restauración de datos.
. Construcción de los
procedimientos de
restricción y control de
acceso. Existen dos
enfoques para este tipo de
procedimientos:
Confidencialidad basada
en roles, que consiste en la
definición de los perfiles de
usuario y las acciones que
les son permitidas (lectura,
actualización, alta,
borrado,
creación/eliminación de
tablas, modificación de la
estructura de las tablas).
4.6 Controles para evaluar
software de aplicación.
Una vez conseguida la
Operatividad de los
Sistemas, el segundo
objetivo de la auditoría es
la verificación de la
observancia de las normas
teóricamente existentes en
el departamento de
Informática y su
coherencia con las del
resto de la empresa. Para
ello, habrán de revisarse
sucesivamente y en este
orden:
1. Las Normas Generales
de la Instalación
Informática. Se realizará
una revisión inicial sin
estudiar a fondo las
contradicciones que
pudieran existir, pero
registrando las áreas que
carezcan de normativa, y
sobre todo verificando que
esta Normativa General .
Informática no está en
contradicción con alguna
Norma General no
informática de la empresa.
2. Los Procedimientos
Generales Informáticos. Se
verificará su existencia, al
menos en los sectores más
importantes. Por ejemplo,
la recepción definitiva de
las máquinas debería estar
firmada por los
responsables de
Explotación. Tampoco el
alta de una nueva
Aplicación podría
producirse si no existieran
los Procedimientos de
Backup y Recuperación
correspondientes.
3. Los Procedimientos
Específicos Informáticos.
Igualmente, se revisara su
existencia en las áreas
fundamentales. Así,
Explotación no debería
explotar una Aplicación sin
haber exigido a Desarrollo
la pertinente
documentación. Del
mismo modo, deberá
comprobarse que los
Procedimientos Específicos
no se opongan a los
Procedimientos Generales.
En todos los casos
anteriores, a su vez,
deberá verificarse que no
existe contradicción
alguna con la Normativa y
los Procedimientos
Generales de la propia
empresa, a los que la
1
Informática debe estar
sometida.
4.7 Controles para prevenir
crímenes y fraudes
informáticos.
En los años recientes las
redes de computadoras
han crecido de manera
asombrosa. Hoy en día, el
número de usuarios que se
comunican, hacen sus
compras, pagan sus
cuentas, realizan negocios
y hasta consultan con sus
médicos online supera los
200 millones, comparado
con 26 millones en 1995.
A medida que se va
ampliando la Internet,
asimismo va aumentando
el uso indebido de la
misma. Los denominados
delincuentes cibernéticos
se pasean a su aire por el
mundo virtual, incurriendo
en delitos tales como el
acceso sin autorización o
"piratería informática", el
fraude, el sabotaje
informático, la trata de
niños con fines
pornográficos y el acecho.
Los delincuentes de la
informática son tan
diversos como sus delitos;
puede tratarse de
estudiantes, terroristas o
figuras del crimen
organizado. Estos
delincuentes pueden
pasar desapercibidos a
través de las fronteras,
ocultarse tras incontables
"enlaces" o simplemente
desvanecerse sin dejar
ningún documento de
rastro.
Pueden despachar
directamente las
comunicaciones o
esconder pruebas
delictivas en "paraísos
informáticos" - o sea, en
países que carecen de
leyes o experiencia para
seguirles la pista -.
Según datos recientes del
Servicio Secreto de los
Estados Unidos, se calcula
que los consumidores
pierden unos 500 millones
de dólares al año debido a
los piratas que les roban de
las cuentas online sus
números de tarjeta de
crédito y de llamadas.
Dichos números se pueden
vender por jugosas sumas
de dinero a falsificadores
que utilizan programas
especiales para
codificarlos en bandas
magnéticas de tarjetas
bancarias y de crédito,
señala el Manual de la
ONU.
Otros delincuentes de la
informática pueden
sabotear las
computadoras para
ganarle ventaja
económica a sus
competidores o amenazar
con daños a los sistemas
con el fin de cometer
extorsión. Los malhechores
manipulan los datos o las
operaciones, ya sea
directamente o mediante
los llamados "gusanos" o
"virus",
que pueden paralizar
completamente los
sistemas o borrar todos los
datos del disco duro.
Algunos virus dirigidos
contra computadoras
elegidas al azar; que
originalmente pasaron de
una computadora a otra
por medio de disquetes
"infectados"; también se
están propagando
últimamente por las redes,
con frecuencia
camuflados en mensajes
electrónicos o en
programas "descargados"
de la red.
4.8 Plan de contingencia,
seguros, procedimientos
1
4.9 Técnicas y herramientas
relacionadas con la
seguridad física y del
personal.
SEGURIDAD FISICA
Es todo lo relacionado con
la seguridad y salvaguarda
de los bienes tangibles de
los sistemas
computacionales de la
empresa, tales como el
hardware, periféricos, y
equipos asociados, las
instalaciones eléctricas, las
instalaciones de
comunicación y de datos.
Igualmente todo lo
relacionado con la
seguridad y salvaguarda
de las construcciones, el
mobiliario y equipo de
oficina, así como la
protección a los accesos al
centro de sistematización.
En sí, es todo lo
relacionado con la
seguridad, la prevención
de riesgos y protección de
los recursos físicos
informáticos de la
empresa.
UNIDAD V Auditoria de la
seguridad en la
teleinformática.
5.1 Generalidades de la
seguridad en el área de la
teleinformática.
En la actualidad tiene una
gran trascendencia tanto
técnica como social, lo
que se denomina
teleinformática: la unión
de la informática y las
telecomunicaciones. Tanto
en la vida profesional
como en las actividades
cotidianas, es habitual el
uso de expresiones y
conceptos relacionados
con la teleinformática.
Este trabajo se basa en
conceptos fundamentales
expresados de la manera
más simple posible, pero a
su vez siendo precisos.
Comenzamos por
introducir la historia y
evolución de la
teleinformática y de la
manera en que fue
desarrollándose, y a su vez,
proporcionando un
panorama general del
tema. Luego
mencionamos de forma
genérica los elementos
que integran un sistema
teleinformática, desde un
simple terminal hasta una
red.
Continuamos explicando
las técnicas fundamentales
de transmisión de datos,
para comprender cómo
viaja la información de un
sistema a otro a través de
los circuitos de
telecomunicación.
Las técnicas de
comunicación se
estructuran en niveles:
físico, enlace de datos,
red, transporte, sesión,
presentación y aplicación.
También, mencionamos las
redes de área local ya que
son muy importantes en lo
que a la teleinformática
respecta.
Hicimos inca pié en la red
Internet y su protocolo
TCP/IP, y en los conceptos
básicos sobre
Programas de
Comunicación y Gestión
de Red.
Analizamos los servicios de
valor añadido como el
Video tex, Ibercom o La
Telefonía Móvil.
Además, establecimos los
últimos desarrollos y las
tendencias de la
teleinformática, desde las
redes digitales hasta el
proceso distribuido.
Por último, manifestamos la
importancia de la relación
que existe entre la
teleinformática y la
sociedad, en lo que
respecta a la educación,
la sanidad y la empresa.
Explicaremos claramente
la importancia de la
teleinformática y su
desarrollo a través de la
historia desde el comienzo
ya que es uno de los
factores que ha constituido
y constituye un elemento
fundamental para la
evolución de la
humanidad: la
comunicación.
En una comunicación se
transmite información
desde una persona a otra
e intervienen tres
elementos: el emisor, que
da origen a la información,
el medio, que permite la
1
transmisión, y el receptor,
que recibe la información.
La primera comunicación
que existió entre los
hombres fue a base de
signos o gestos que
expresaban intuitivamente
determinadas
manifestaciones con
sentido propio. Estos gestos
iban acompañados de
sonidos.
Posteriormente, comenzó
la comunicación hablada
a través de un
determinado lenguaje, en
el cuál cada palabra
significaba algo y cada
frase tenía un contenido
informativo.
Más tarde, el hombre tubo
necesidad de realizar
comunicaciones a
distancia como por
ejemplo, entre personas de
dos aldeas situadas a
cierta distancia pero con
visibilidad entre ambas, o
bien entre un barco y la
costa. Es aquí donde
aparecen las señales de
humo, destellos con
espejos entre innumerables
métodos de
comunicación.
Con el paso del tiempo y
la evolución tecnológica,
la comunicación a
distancia comenzó a ser
cada vez más importante.
La primera técnica
utilizada surgió con la
aparición del telégrafo
y el código morse que
permitieron
comunicaciones a través
de cables a unas
distancias considerables.
Posteriormente se
desarrolló la técnica que
dio origen al teléfono para
la comunicación directa
de la voz a larga distancia.
Más tarde la radio y la
transmisión de imágenes a
través de la televisión
habilitaron un gran número
de técnicas y métodos
que luego fueron muy
importantes a lo que
respecta a la
comunicación.
5.2 Objetivos y criterios de
la auditoria en el área de
la teleinformática.
Así ante la continua
aparición de nuevas
herramientas de gestión, la
auditoría interna se ve
compelida a velar entre
otras cosas por la
aplicación y buen uso de
las mismas. Ello
ciertamente implica un
muy fuerte compromiso.
Dijimos antes que la
auditoría debía velar no
sólo por los activos de la
empresa sino además por
su capacidad competitiva.
Cuidar de esto último
significa difundir, apoyar y
controlar las nuevas y
buenas prácticas. Así,
haciendo uso del
benchmarking puede
verificar y promover las
mejores prácticas para el
mantenimiento de la más
alta competitividad. Ser
competitivo es continuar
en la lucha por la
subsistencia o continuidad
de la empresa.
Como brillantemente lo
expresa Fernando Gaziano
(Deloitte Chile), "los
auditores y los astrónomos
compartimos plenamente
una idea: el universo se
expande. Así como
después del "big bang" un
universo de planetas y
estrellas comenzó y
continúa expandiéndose,
de la misma forma el
mundo del Auditor Interno
es cada vez más amplio.
Como nunca,
probablemente hoy se
enfrenta a uno de los
cambios más importantes
en su profesión, debiendo
abordar aspectos
relacionados con el
Gobierno Corporativo y los
nuevos riesgos a los que se
enfrentan las
organizaciones.
1
5.3 Síntomas de riesgo.
La Auditoría de la
Seguridad
Para muchos la seguridad
sigue siendo el área
principal a auditar, hasta el
punto de que en algunas
entidades se creó
inicialmente la función de
auditoría informática para
revisar la seguridad,
aunque después se hayan
ido ampliando los
objetivos. Cada día es
mayor la importancia de la
información,
especialmente
relacionada con sistemas
basados en el uso de
tecnología de información
y comunicaciones, por lo
que el impacto de las
fallas, los accesos no
autorizados, la revelación
de la información, entre
otros problemas, tienen un
impacto mucho mayor
que hace algunos años.
En la auditoría de otras
áreas pueden también
surgir revisiones solapadas
con la seguridad; así a la
hora de revisar el desarrollo
se verá si se realiza en un
entorno seguro, etc.
Son los fundamentos de la
seguridad: políticas,
planes, funciones, objetivos
de control, presupuesto, así
como si existen sistemas y
métodos de evaluación
periódica de riesgos.
políticas. Procedimientos,
posibles estándares,
normas y guías.
externas. Inundaciones,
incendios, explosiones,
corte de líneas o
suministros, terremotos,
terrorismo, huelgas, etc., se
considera: la ubicación del
centro de procesos, de los
servidores, PCs,
computadoras portátiles
(incluso fuera de las
oficinas); estructura,
diseño, construcción y
distribución de edificios;
amenazas de fuego,
riesgos por agua, por
accidentes atmosféricos;
contenido en paquetes},
bolsos o carteras que se
introducen o salen de los
edificios; visitas, clientes,
proveedores, contratados;
protección de los soportes
magnéticos en cuanto a
acceso, almacenamiento
y transporte.
adecuado. Tanto físicos
como lógicos, que se
realicen sólo las
operaciones permitidas al
usuario: lectura, variación,
ejecución, borrado y
copia, y quedando las
pistas necesarias para el
control y la auditoría. Uso
de contraseñas, cifrado de
las mismas, situaciones de
bloqueo.
Origen del dato, proceso,
salida de los datos.
Topología y tipo de
comunicaciones, posible
uso de cifrado,
protecciones ante virus.
Tipos de transacciones.
Protección de
conversaciones de voz en
caso necesario, protección
de transmisiones por fax
para contenidos
clasificados. Internet e
Intranet, correo
electrónico, control sobre
páginas web, así como el
comercio electrónico.
producción. Cumplimiento
de contratos, outsourcing.
aplicaciones en un entorno
seguro, y que se
incorporen controles en los
productos desarrollados y
que éstos resulten
auditables. Con el uso de
licencias (de los programas
utilizados).
operaciones. Planes de
contingencia o de
Continuidad.
No se trata de áreas no
relacionadas, sino que casi
todas tienen puntos de
enlace comunes:
comunicaciones con
control de accesos,
cifrado con
comunicaciones, etc.
Evaluación de riesgos
Se trata de identificar
riesgos, cuantificar su
probabilidad e impacto y
1
analizar medidas que los
eliminen o que disminuyan
la probabilidad de que
ocurran los hechos o
mitiguen el impacto. Para
evaluarlos hay que
considerar el tipo de
información almacenada,
procesada y transmitida, la
criticidad de las
operaciones, la tecnología
usada, el marco legal
aplicable, el sector de la
entidad, la entidad misma
y el momento. Los riesgos
pueden disminuirse
(generalmente no pueden
eliminarse), transferirse o
asumirse.
5.4 Técnicas y herramientas
de auditoría relacionadas
con la seguridad en la
teleinformática.
Introducir al estudiante en
los aspectos técnicos,
funcionales y
organizacionales que
componen la
problemática de
seguridad en las redes
teleinformáticas, ilustrando
las operaciones, técnicas y
herramientas más usuales
para garantizar
privacidad, autenticación
y seguridad.
Introducción General a la
Seguridad en Redes
. Definiciones
. Generalidades
. Intrusos
. Amenazas
. Ataques
Planeación de la
Seguridad
. Análisis del sistema actual
. Análisis de riesgos
. Definición de políticas de
seguridad
. Implantación de la
seguridad
Servicios de Seguridad
. Modelo OSI para
arquitecturas de Seguridad
. Modelo TCP/IP
UNIDAD VI Informe de la
auditoria informática.
6.1 Generalidades de la
seguridad del área física.
Es muy importante ser
consciente que por más
que nuestra empresa sea
la más segura desde el
punto de vista de ataques
externos, Hackers, virus,
etc. (conceptos luego
tratados); la seguridad de
la misma será nula si no se
ha previsto como combatir
un incendio.
La seguridad física es uno
de los aspectos más
olvidados a la hora del
diseño de un sistema
informático. Si bien algunos
de los aspectos tratados a
continuación se prevén,
otros, como la detección
de un atacante interno a
la empresa que intenta a
acceder físicamente a una
sala de operaciones de la
misma, no.
Esto puede derivar en que
para un atacante sea más
fácil lograr tomar y copiar
una cinta de la sala, que
intentar acceder vía lógica
a la misma.
1
Así, la Seguridad Física
consiste en la “aplicación
de barreras físicas y
procedimientos de control,
como medidas de
prevención y
contramedidas ante
amenazas a los recursos e
información
confidencial”(1). Se refiere
a los controles y
mecanismos de seguridad
dentro y alrededor del
Centro de Cómputo así
como los medios de
acceso remoto al y desde
el mismo; implementados
para proteger el hardware
y medios de
almacenamiento de
datos.
6.2 Características del
informe.
Objetivos, características y
afirmaciones que contiene
el informe de auditoría
El informe de auditoría
financiera tiene como
objetivo expresar una
opinión técnica de las
cuentas anuales en los
aspectos significativos o
importantes, sobre si éstas
muestran la imagen fiel del
patrimonio, de la situación
financiera y del resultado
de sus operaciones, así
como de los recursos
obtenidos y aplicados
durante el ejercicio.
Características del informe
de auditoría:
1. Es un documento
mercantil o público.
2. Muestra el alcance del
trabajo.
3. Contiene la opinión del
auditor.
4. Se realiza conforme a un
marco legal.
Principales afirmaciones
que contiene el informe:
Indica el alcance del
trabajo y si ha sido posible
llevarlo a cabo y de
acuerdo con qué normas
de auditoría.
Expresa si las cuentas
anuales contienen la
información necesaria y
suficiente y han sido
formuladas de acuerdo
con la legislación vigente
y, también, si dichas
cuentas han sido
elaboradas teniendo en
cuenta el principio
contable de uniformidad.
Asimismo, expresa si las
cuentas anuales reflejan,
en todos los aspectos
significativos, la imagen fiel
del patrimonio, de la
situación financiera, de los
resultados y de los recursos
obtenidos y aplicados.
Se opina también sobre
la concordancia de la
información contable del
informe de gestión con la
contenida en las cuentas
anuales.
En su caso, explica las
desviaciones que
presentan los estados
financieros con respecto a
unos estándares
preestablecidos.
Podemos sintetizar que el
informe es una
presentación pública,
resumida y por escrito del
trabajo realizado por los
auditores y de su opinión
sobre las cuentas anuales.
6.3 Estructura del informe.
Concluido el Trabajo de
Campo, el auditor tendrá
como responsabilidad la
confección del
Informe de Auditoría como
un producto final de este
trabajo. El informe
contendrá el mensaje del
Auditor sobre lo que ha
hecho y como lo ha
realizado, así como los
resultados obtenidos.
Concepto
Es el documento emitido
por el Auditor como
resultado final de su
examen y/o evaluación,
incluye información
suficiente sobre
Observaciones,
Conclusiones de hechos
significativos, así como
Recomendaciones
constructivos para superar
las debilidades en cuanto
a políticas, procedimientos,
cumplimiento de
actividades y otras.
Importancia
El Informe de Auditoría,
reviste gran Importancia,
porque suministra a la
administración de la
empresa, información
sustancial sobre su proceso
1
ocasionando de este
modo que, se torne inútil y
pierda su utilidad. En
consecuencia, para que el
informe logre su objetivo
de informar o comunicar al
cliente, el Auditor:
. Evitará el uso de un
lenguaje técnico, florido o
vago.
. Evitará ser muy breve.
. Evitará incluir mucho
detalle.
. Utilizará palabras simples,
familiares al lector, es
decir, escribirá en el
idioma que el lector
entiende.
6.4 Formato para el
informe.
El formato para informes
finales está enfocado a
apoyar y facilitar el
proceso de evaluación de
los resultados de los
proyectos financiados por
la sede Bogotá, con
respecto a los
compromisos adquiridos en
el proyecto aprobado.
Además de reportar sobre
el cumplimiento de los
objetivos y el impacto
logrado a partir del uso y
obtención de los resultados
esperados y de las
actividades de
investigación científica.
• Los informes finales
técnico y financiero,
deben ser entregados a la
Dirección de
Investigación de la sede, al
finalizar el periodo de
ejecución del proyecto.
• El informe debe ser
aprobado previamente
por el respectivo Consejo
Directivo de cada
Facultad, Centro o
Instituto.
• El informe debe contener
un índice. Cada página
del informe debe estar
numerada.
• Cada anexo debe estar
numerado haciendo
referencia a lo anotado en
los cuadros de resultados.
• El informe técnico final
deberá presentarse en
versión impresa y
magnética (CD o
disquete).
I. CONTENIDO DEL
INFORME TÉCNICO
1. Título y código del
proyecto
2. Nombre del investigador
principal y de la Facultad,
Centro o Instituto al que
pertenece
3. Fecha de entrega del
Informe
4. Sinopsis divulgativa: Con
el propósito de promover
la divulgación de las
actividades investigativas
que adelanta la Sede
Bogotá y para dar mayor
difusión a los proyectos,
deben incluir un resumen
de una cuartilla que servirá
de base para la
elaboración de notas
académicas dirigidas a los
medios de comunicación
de la Universidad.
5. Resumen técnico de los
resultados obtenidos
durante la realización del
proyecto y de las
principales conclusiones
(máximo cinco páginas).
6. Cuadro de resultados
obtenidos: De acuerdo a
los objetivos y resultados
esperados planteados en
el proyecto aprobado,
relacione los resultados
obtenidos durante la
realización del proyecto,
los cuales deben estar
soportados por sus
respectivos indicadores
verificables: publicaciones,
patentes, registros, normas,
certificaciones, memorias,
formación de recurso
humano, capacitación,
organización y/o
participación en eventos
científicos, etc., estos
deben numerarse y
adjuntarse como anexos
del informe (ver cuadro
No. 1).
7. Descripción del impacto
actual o potencial de los
resultados: En términos de
generación de nuevo
conocimiento a nivel
mundial, de aporte para el
desarrollo del país, de
contribución a la solución
de problemas específicos,
de fortalecimiento de la
capacidad científica, y de
fortalecimiento de la
investigación y creación
en la Sede Bogotá
(máximo dos páginas).
8. Conclusiones
.
CONTENIDO DEL CURSO:
ADMINISTRACIÓN DE LA
FUNCIÓN INFORMÁTICA
UNIDAD I
Introducción a la auditoria
informática.
Conceptos de auditoría y
auditoria Informática.
1
La auditoría informática es
el proceso de recoger,
agrupar y evaluar
evidencias para
determinar si un Sistema de
Información salvaguarda el
activo empresarial,
mantiene la integridad de
los datos, lleva a cabo
eficazmente los fines de la
organización y utiliza
eficientemente los
recursos.
Auditar consiste
principalmente en estudiar
los mecanismos de control
que están implantados en
una empresa u
organización,
determinando si los mismos
son adecuados y cumplen
unos determinados
objetivos o estrategias,
estableciendo los cambios
que se deberían realizar
para la consecución de los
mismos.
Los objetivos de la
auditoría Informática son:
* El control de la función
informática
* El análisis de la eficiencia
de los Sistemas
Informáticos
* La verificación del
cumplimiento de la
Normativa en este ámbito
* La revisión de la eficaz
gestión de los recursos
informáticos.
La auditoría informática
sirve para mejorar ciertas
características en la
empresa como:
- Eficiencia
- Eficacia
- Rentabilidad
- Seguridad
Generalmente se puede
desarrollar en alguna o
combinación de las
siguientes áreas:
- Gobierno corporativo
- Administración del Ciclo
de vida de los sistemas
- Servicios de Entrega y
Soporte
- Protección y Seguridad
- Planes de continuidad y
Recuperación de desastres
1.2 Tipos de auditoría.
estados financieros) – no es
interés del curso.
a cabo un departamento
dentro de la organización
y existe una relación
laboral.
existe relación laboral y la
hacen personas externas al
negocio para que los
resultados que nos arroje
sean imparciales como
pueden ser las firmas de
contadores o
administradores
independientes.
(William. P Leonard) es un
examen completo y
constructivo de la
estructura organizativa de
la empresa, institución o
departamento
gubernamental o de
cualquier otra entidad y de
sus métodos de control,
medios de operación y
empleo que dé a sus
recursos humanos y
materiales.
gubernamental.
Consiste en una revisión
exploratoria y critica de los
controles subyacentes y los
registros de contabilidad
de una empresa realizada
por un contador público.
operaciones: Se define
como una técnica para
evaluar sistemáticamente
de una función o una
unidad con referencia a
normas de la empresa,
utilizando personal no
especializado en el área
de estudio.
en verificar el correcto y
oportuno pago de los
diferentes impuestos y
obligaciones fiscales de los
1
contribuyentes desde el
punto de vista físico
(SHCP), direcciones o
tesorerías de hacienda
estatales o tesorerías
municipales.
de programas: Esta
auditoría la eficacia y
congruencia alcanzadas
en el logro de los objetivos
y las metas establecidas.
Este tipo de auditoría tiene
como finalidad revisar si la
dependencia o entidad,
en el desarrollo de sus
actividades.
examen que proporciona
una evaluación objetiva y
constructiva acerca del
grado en que los recursos
humanos, financieros y
materiales.
1.2.1 Auditoría interna y
externa.
La Auditoría Externa
examina y evalúa
cualquiera de los sistemas
de información de una
organización y emite una
opinión independiente
sobre los mismos, pero las
empresas generalmente
requieren de la evaluación
de su sistema de
información financiero en
forma independiente para
otorgarle validez ante los
usuarios del producto de
este, por lo cual
tradicionalmente se ha
asociado el término
Auditoría Externa a
Auditoría de Estados
Financieros, lo cual como
se observa no es
totalmente equivalente,
pues puede existir.
Auditoría Externa del
Sistema de Información
Tributario, Auditoría Externa
del Sistema de Información
Administrativo, Auditoría
Externa del Sistema de
Información Automático
etc.
La auditoría Interna es el
examen crítico, sistemático
y detallado de un sistema
de información de una
unidad económica,
realizado por un
profesional con vínculos
laborales con la misma,
utilizando técnicas
determinadas y con el
objeto de emitir informes y
formular sugerencias para
el mejoramiento de la
misma. Estos informes son
de circulación interna y no
tienen trascendencia a los
terceros pues no se
producen bajo la figura de
la Fe Pública.
1.3 Campo de la auditoria
informática.
Algunos campos de
aplicación de la
informática son las
siguientes:
humanística: Se usan la las
computadoras para la
resolución de cálculos
matemáticos, recuentos
numéricos, etc.
Usa la computadora para
facilitar diseños de
ingeniería y de productos
comerciales, trazado de
planos, etc.
información: Es uno de los
campos más importantes
para la utilización de
computadoras. Estas se
usan para el
almacenamiento de
grandes cantidades de
datos y la recuperación
controlada de los mismos
en bases de datos.
Automatiza las funciones
de gestión típicas de una
empresa.
computadoras se
programan de forma que
emulen el comportamiento
de la mente humana. Los
programas responden
como previsiblemente lo
haría una persona
inteligente.