AUIBITORIA ENAUDITORIA EN INFORMATICA Segunda edicién JOSE ANTONIO ECHENIQUE GARCIA Universidad Nacional Auténoma de México Universidad Autonoma Metropolitana McGraw-Hill MEXICO « BUENOS AIRES - CARACAS « GUATEMALA « LISBOA « MADRID NUEVA YORK « SAN JUAN + SANTAFE DE BOGOTA - SANTIAGO + SAO PAULO AUCKLAND « LONDRES « MILAN « MONTREAL » NUEVA DELHI + SAN FRANCISCO ‘SINGAPUR - ST. LOUIS - SIDNEY - TORONTOConTENIDO AGRADECIMIENTOS INTRODUCCION, CAPITULO 1: Concepto de auditoria en informatica y diversos tipos de auditorias .. Concepto de auditoria y concepto de informética .. Diversos tipos de auditoria y su relacién con la auditoria en informatica... ‘Auditoria interna/extema y auditorfa contable_/financiera Auditoria administrativa/ operacional Auditoria con informatica . Definicién de auditoria en informatica... Concepto de auditoria en informatica Campo de la auditoria en informa Auditoria de programas ... CAPITULO 2: Planeacién de Ia audiloria en informética sn Fases do la auditoria os “i PlaneaciGn de la auditoria en informatica Revisién preliminar... Revisién detallada Examen y evaluacidn de la informacion . Pruebas de consentimiento .... Pruebas de coniroles del usuario . Pruebas sustantivas.. Evaluacign de los sistemas de acuerdo al riesgo. Investigacién preliminar. Personal participante. CAPITULO 3: Auditoria de la funcién de informatica Recopilacién de la informacién organizacional PPrincipales planes que se requicren dentro de la organiizacicn de informatica Evaluacién de la estructura organica Estructura orgénica Funciones: Objetivos.. Anilisis de onganizaciones EvaluaciGn de los recursos humanos .. Entrevistes con el personal de informatica Situacién presupuestal y financiora ..conTENDO Presupuestos .. Recursos financieros... Recursos materiales CAPITULO 4: Evaluacién de los sistemas... Evaluecion de sistemas Evaluacisn del anlisi Andlisis y disefio estructirade vnesnn Evaluecisn ciel diseno ldgico del sistema... Programas de desarrollo... Bases de datos El administrador de bases de datos Comunicacién ‘ Informes Andlisis de informe’... Ruido, redundancia, entropia Evaluacisn del desarrollo del sistema Sistemas distribuidos, Internet, comunicacién entee oficinas Control de proyectos vemnsmn Control de disefo de sistemas y programadén Instructivos de operacisn .. Forma de implantacion Equipo y facilidades de Programadia Enirevistas a usuarios .. ct Entrevistas . Cuestionario Derechos ce autor y secretos industriales Intemet - - Proteccién de los derechos de autor... 144 Secretos industriales. eon oe CAPITULO 5: Evaluacién del proceso de datos y de los equipos de cémputo Controles: _ Control de datos fuente y manejo de cifras de control... snine LOL Control de operacion... Control de salida Control de asignacién de trabajo Control de medios de almacenamiento masivo Control de mantenimiento Orden en el centro de eSmputo ... de la configuracién del sistema de computo... Puntos a evaluar en los equipos .. CAPETULO 6: Evaluacion de la seguridad ..n. Seguridad ldgica y confidencialidad... Seguri Riesgo Encrip Seguridad Seguridad Ubicac Piso el Aire ac Instala Seguri Seguric Detece: ‘Tempe Seguridad. Protec Seguros . Conic Seguridad. Seguridad. Plan de con de desa Plan de Selecci CAPITULC ‘Técnicas pa Analisi Metodo Evaluaciéa | Anilisis Evaluacion Evaluag Evaluad Evaluad Evaluag Controles Presentacion Conclusion Bibliogratia Indice analitBRGRS S FA Seguridad 16g{¢€ soon Riesgos y controles a auditar Encriptamiento Seguridad en el personal... Seguridad fisica Ubicacién y construccién del centro de cémputo iso elevado o camara plena Aire acondicionado .. Instalacién eléctrica y suministro de energia =. Seguridad contra desastres provocados por agua . Seguridad de autorizacién de accesos. Deteccidn de humo y fuego, extintores ‘Temperatura y humedad. Seguridad en contra de virus Protecciones contra virus y elementos a auditar Seguros Condiciones generales del seguro de equipo electrénico.. Seguridad en la utilizacién del equipo Seguridad al restaurar el equipo Plan de contingencia y procedimientos de respaldo para casos de desastre Plan de contingencias.. Seleccion de la estrategia .. CAPETULO 7: Interpretacién de la informaciéa . ‘Técnicas para la interpretacién de Ia informacisn’ Analisis critico de los hechos Metodologia para obtener el grado de madurez del sistema Evaluacién de los sistemas Analisis Evaluacién de los sistemas de informacién Evaluacién en la ejecucién Evaluacion en el impacto Evaluacién econémica Evaluacién subjetiva . Controles Presentacién. Conclusiones Bibliografia nn. {ndice analiticoINTRODUCCION En la actualidad el costo de los equipos de eémputo ha disminuido considera blemente, mientras que sus capacidades y posibilidades de utilizacién han au- mentado en forma inversa a la reduceién de sus costos. Aunque los costos uni tarioshan disminuido (el de una computadora personal, “microcomputadora”), los costos totales de la computacién (de equipos, sistemas, paquetes, recursos humanos, consumibles, etc.) se han incrementado considerablemente. Ello se debe a que, si bien la relacién precio /memoria es menor, el tamaiio de la me- moria de los equipos y sus capacidades son mucho mayores, con procesadores y dispositivos que permiten acceso de més datos en mucho menos tiempo y que procesan la informacién en forma mas ripida (memorias RAM y ROM, fijos, etc.). Esto hace que, aunque se han reducido los costos, al aumentar sus capacidades y facilidades se ha incrementado el costo total, Io que ha tenido como consecuencia que os costos totales del uso no hayan disminuido en todos los casos. Las nuevas herramientas con que se cuenta (Intemet, Extranet, comu- nicacién, bases de datos, multimedia, etc.) hacen que también se pueda tener acceso a mayor informacién, aunque el costo total de los sistemas, asf como la confiabilidad y segurided con que se debe trabajar, sean muy altos. En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se tiene poca productividad en relaciGn con la informacién y uso que se da a éstas. También se tiene poco control sobre la utilizacién de los equipos, existe un de- ficiente sistema de seguridad tanto fisica como logica y se presenta una falta de confidencialidad de la informaciGn. Lo que se debe incrementar es la producti- vidad, el control, la seguridad y Ia confidencialidad, para tener la informacién necesaria en el tiempo y en el Iugar adecuados para poder tomar las mejores decisiones. Los siguientes puntos de la tecnologia de informacién son particularmente notables: ‘+ Una gran disponibilidad de hardware de computadoras muy poderosos y baratos, incluyendo la incorporacién, a través de Ia miniaturizaci6n de po- derosas capacidades, en diferentes dispositivos disefiados para usos pers nales y profesionales Una gran dispordbilidad de software poderooo, btrato relativamente ac- cesible, con interfases de uso grafico. ‘Ala medida del cliente, cambio de sistemas a software preempacado. ‘Cambio de computadoras principales (mainframe) a computadoras de us0 individual aumentadas como parte de rectes dedicadas a compartir infor- macién, asi como computadoras corporativas con los correspondientes cam-xii irRoDUCCION bios en la naturaleza, organizacisn y localizacién de actividades de los si temas de informaci io final + _Incrementoen la habilidad de las computadoras para accesar datos en tiempo Feal 0 demorado, ambos en forma local 0 a través de acceso a facilidades Temotas, incluyendo via Intemet. + Captura de nuevos datos y el liderazgo en tecnologfa en almacenamiento maximo para incrementar la computarizaci6n, datos/ informacién en tex- tos, graficas y video, con énfasisen la adminisiracisn, presentacisn y comu- nicacidn de informacién, utilizando aproximaciones de multimedia + Lacobertura de informacion y as tecnologias de comunicacién afectan la forma en que se trabaja y se compra ‘+ Incremento del uso de Intemet para unir individuos, intraorganizaciones, a través de sistemas tales como correo electrOnico (E-mail), intemet, inclu- yendo world y wide web. + Elincremento en ol uso de Intornet para conducir comunicacién entre orga- nizaciones e individuos, a través de sistemas de comercio electrénico, tales como intercambio electrénico de datos (EDI)y sistema de transferenciae trSnica de fondos (EFTS). + Mercadeo masivo y distribucién de productos de tecnologia de informa: ida y servicios, tales como computadoras, software preempacado, servicio de recuperacisn de datos en linea, correo electrSnico y servicios financieros. + Reduccién de barreras de uso e sistemas, estimulando una gran penetra ion de sistemas de informacion dentro de organizaciones de todos los ta: mais, de lucto 0 no lucrativas, para contadores y consejos de administs cin, y para propésitos estratégicos ¢ incremento de papeles del usuario final de computadoras. * Una amplia penetracién de tecnologia de informacisn, tal como disefio manufactura por medio de asistencia computarizada (CAD/CAM), siste- ma de imagenes por computadora, sistemas de informacion para eecutivos (EIS) y sistemas de reuniones en forma electrénica (EMS), * Nuevas técnicas de desarrollo de sistemas, basados en tecnologias de infor macidn, tales como software de ingenierfa de asistencia computarizada (CASE), programacién orientada a objetos y temologia de flujos (WORK FLOW). * Desarrollo continuo de soporte de sistemas inteligentes, incorporando sis temas expertos, redes neuronales, agentes inteligentes y otras ayudas de solucién de problemas. + Acceso a reingenieria de nuevos negocios, basado en la integraci6n efectiva de tecnologia de informacién y procesos de negocios. mn, como el cambio a computadoras de usu Uno de los problemas més frecuentes en los centros de informatica es la falta de una adecuada organizacisn, que permita avanzar al ritmo de las exi sgencias de las organizaciones. A esto hay que agregar la situacion que presen- tan los nuevos equipas en cuanto al uso de bases de datos, rades y sistemas de informacién, Loantcrior, combinado con lanecesidad de una eficiente plancacivn cetratégica y corporativa de las organizaciones, y con una descentralizacion de equipos y centralizacidn de la informacién, ha provocado que la complejidad de las decisiones, y las dimensiones de los problemas en cuanto a la mejor for ma de org izar control y adminis En muchos « pleo de herramee Puestos, finanzas Tepercute en una nes con las caract hace que no se cu desvien de los ob La proliferaci manda de control vVacidad de la info Ademés, hay una dad de (a continui sistemas se caigan incompatibles y el Los sistemastt de las herramiont Para poder evaluai Iarlo desde su inic electrénico, 0 bien respaldos, seguride No basta, pues, con Pos de cémpato, qu ma total de informa La informatica Mos afios, En una g prendié hace alga €reaciGn del horno, década hemos visio era algo cominlata Femoto, y considera tedes. Esto ha provo uitica. Yo no poden con microcomputed conocia en detalles de tener especialisia informatica, y en ola rentes funciones que de la informitica yd EI principal obet Ios siguientes puntos La parte adminis! Tos recursos mat Los sistemes y pro necesidades dela