Perfil del Auditor Informtico General

Es un profesional dedicado al anlisis de sistemas de informacin que est especializado en alguna de

las ramas de la auditora informtica, que tiene conocimientos generales de los mbitos en los que sta
se mueve, adems de contar con conocimientos empresariales generales.
El auditor puede actuar como consultor con su auditado, dndole ideas de cmo enfocar la construccin
de los elementos de control y administracin que le sean propios. Adems, puede actuar como consejero
con la organizacin en la que est desarrollando su labor. Un entorno informtico bien controlado puede
ser ineficiente si no es consistente con los objetivos de la organizacin.
Perfiles profesionales de la funcin de Auditora Informtica
El auditor informtico debe ser una persona con un alto grado de calificacin tcnica y al mismo tiempo
estar integrado a las corrientes organizativas empresariales. Se deben contemplar las siguientes
caractersticas de un perfil profesional adecuado y actualizado:
1.

Se deben poseer una mezcla de conocimientos de auditora financiera y de informtica en general.

En el rea informtica, se debe tener conocimientos bsicos de:

Desarrollo de SI (administracin de proyectos, ciclo de vida de desarrollo)

Administracin del Departamento de Informtica
Anlisis de riesgos en un entorno informtico
Sistemas operativos
Telecomunicaciones
Administracin de Bases de Datos
Redes locales
Seguridad fsica
Operacin y planificacin informtica (efectividad de las operaciones y rendimiento del sistema)
Administracin de seguridad de los sistemas (planes de contingencia)
Administracin del cambio
Administracin de Datos
Automatizacin de oficinas (ofimtica)
Comercio electrnico
Encriptacin de datos

2.

Especializacin en funcin de la importancia econmica que tienen distintos componentes financieros

dentro del entorno empresarial Por ejemplo, en un entorno financiero pueden tener mucha
importancia las comunicaciones, por lo que se debe tener una especializacin en esa rama.

3.

Debe conocer tcnicas de administracin de empresas y de cambio, ya que las recomendaciones y

soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se
poseen.

4.

Debe tener un enfoque de Calidad Total, lo cual har que sus conclusiones y trabajo sean
reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en
su totalidad.

Principios deontologicos del auditor informtico.

A continuacion se especifican a manera de caractersticas cada uno de los principios propios del auditor
informatico.

Principio de Beneficio del auditado. Aqu se refiere al hecho de que se debe de obtener el
maximo beneficio con el equipo con que se cuenta, adems de que el auditor debe ser ajeno a la
empresa y sus integrantes adems de que no debe de salir beneficiado con la auditoria.

Principio de calidad.El auditor debe brindar un trabajo de calidad con las herramientas que tiene,
pues tiene la libertad de utilizar todo lo que cra necesario y con las condiciones tecnicas
adecuadas.

Principio de capacidad. El auditor debe de ser capaz de realizar su tarea, adems de estar
consiente de sus capacidades y aptitudes.

Principio de cautela. Debe de ser cuidadoso a la hora de expresarse para no inducir a gastos o
acciones innecesarias.

Principio de comportamiento profesional. Exige estar consiente de sus virtudes y deficiencias,

adems de que debe saber pedir ayuda y dar el credito a quien lo merezca y asi mismo debe de
respetar la politica y puntos de vista de la empresa que audita.

Principio de concentracion en el trabajo. Involucra poner enfasis y dedicar tiempo a cada tarea,
no copy-paste.

Principio de confianza. El auditor debe ser confiable, tanto de hechos y palabra.

Principio de criterio propio. El auditor NO debe dejarse influir por las opiniones o instrucciones de
otros, debe de actuar segn su propia opinion.
Principio de discrecion. Debe de ser reservado tanto en hechos y palabras, no hablar de ms.
Principio de economia. No debe inducir a gastos innecesarios.
Principio de capacitacion continua. Esta obligado a seguirse preparando dentro de su rubro.
Principio de fortalecimiento y respeto a u profesion. Debe de cuidar el valor de sus trabajos y
conclusiones.
Principio de Independencia. Debe de ser autonomo, autosuficiente y no depender de otros para
realizar su tarea.
Principio de informacion suficiente. El auditor debe de brindar informacion suficiente, clara y
precisa en sus resltados.
Principio de Integridad Moral. El auditor debe de ser integro y evitar participar en actos de
corrupcion personal y a terceros.

Tcnicas
Cuestionarios: Las auditoras informticas se materializan recabando informacin y documentacin de
todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo del auditor consiste en lograr
toda la informacin necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos
demostrables, llamados tambin evidencias. Se suele solicitar la completacin de cuestionarios que se
envan a las personas concretas que el auditor cree adecuadas. Estos cuestionarios deben ser
especficos para cada situacin, y muy cuidados en su fondo y su forma. Cabe aclarar, que esta primera
fase puede omitirse cuando los auditores hayan adquirido por otro medios la informacin que aquellos
preimpresos hubieran proporcionado.
Entrevistas: El auditor comienza a continuacin las relaciones personales con el auditado. La
entrevista es una de las actividades personales ms importante del auditor; recoge ms informacin, y
mejor matizada, que la proporcionada por medios propios puramente tcnicos o por las respuestas
escritas a cuestionarios. interrogatorio; es lo que hace un auditor, interroga y se interroga a s mismo.
Checklist: Tener claro lo que se necesita saber, y por qu. Sus cuestionarios son vitales para el
trabajo de anlisis, cruzamiento y sntesis posterior.
Trazas y/o Huellas: Con frecuencia, el auditor debe verificar que los programas, tanto de los Sistemas
como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en
productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que
siguen los datos a travs del programa
Peritaje Informtico: Se conoce como peritaje informtico a los estudios e investigaciones orientados a
la obtencin de una prueba informtica de aplicacin en un asunto judicial para que sirva a un juez para
decidir sobre la culpabilidad o inocencia de una de las partes. La pericia, por ser un medio probatorio,
tiene sus normas, previstas en los cdigos procesales, respecto a la designacin, tiempos y forma de
presentacin.
SINTOMAS DE NECESIDAD DE LA AUDITORIA INFORMATICA
Sntomas de descoordinacin y desorganizacin
-No coinciden los objetivos de la Informtica de la Organizacin y de la propia Organizacin.
En estos casos, las responsabilidades suelen centrarse en los estamentos directivos de la Informtica.
Los objetivos informticos tendrn que estar subordinados a los generales de la empresa.
-Los estndares de productividad se desvan sensiblemente de la media conseguida en forma
habitual.
Si no han existido cambios masivos del plantel de la empresa, las causas pueden hallarse en la
reestructuracin equivocada de algn rea o en la modificacin de alguna Normativa muy importante.
Sntomas de imagen mala y usuarios insatisfechos
-No se atienden los pedidos de modificaciones de los usuarios.
La referencia a cambios de software en las terminales de usuario, refrescamiento de paneles,
modificacin de los archivos que deben ponerse a diario a su disposicin, etc.
-No se hacen las reparaciones de Hardware ni se resuelven incidencias en plazos razonables.
Incluso en casos de poca incidencia general, el usuario cree que est fuera de atencin permanente.

-No se cumplen en todos los casos los tiempos de entrega de resultados en perodos de tiempo
acordados.

Pequeas fluctuaciones pueden causar importantes desviaciones en la actividad del usuario,

especialmente en los resultados de Aplicaciones crticas y sensibles.
Sntomas de debilidades econmico-financieras
-Aumento desmesurado de costos.
Analizar dnde se han producido, o si es un incremento general.
-Necesidad de justificar Inversiones en el Area informtica.
La empresa no est absolutamente convencida de tal necesidad y decide evaluar otras opiniones.
-Desviaciones Presupuestarias de Significacin.
En ocasiones se interviene ms por aspectos de desviaciones en particular de aspectos muy crticos,
( cualitativos), que cuantitativos.
-Costos y tiempos que insumirn nuevos Proyectos.
En estos casos debe auditarse simultneamente a Desarrollo de Proyectos y al rgano que realiz el
pedido.
Evaluacin del Nivel de Riesgo:
Sntomas de inseguridad
-Seguridad Lgica.
-Seguridad Fsica.
-Confidencialidad.
Los datos son propiedad, al principio, de la organizacin que los genera. Los datos del personal son
especialmente confidenciales.
-Continuidad del Servicio.
Es un concepto sumamente importante an ms que la Seguridad. Establece las estrategias de
continuidad ante fallas mediante Planes de Contingencia Totales y Locales.
En estos casos, existen soluciones de asociacin con empresas, para la situacin antedicha, averas,
catstrofes, sabotajes, etc. Es indispensable la compatibilidad de los elementos de Software y Hardware.
-Centro de Cmputos fuera de Control.
Si tal situacin llegara a percibirse, sera prcticamente intil la auditora. Esa es la razn por la cual, en
este caso, el sntoma debe ser reemplazado por el menor indicio.
Por los mismos motivos, la Operatividad de los Sistemas y la Continuidad del Servicio son verdaderos
objetivos comunes a cualquier auditora informtica, tal y como se trat en el Captulo anterior.
AUDITORIA INFORMATICA DE SISTEMAS
Se ocupa de analizar la actividad propia de lo que se conoce como "Tcnica de Sistemas" en todas sus
facetas. En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que las
Comunicaciones, Lneas y Redes de las instalaciones informticas, se auditen por separado, aunque
formen parte del entorno general de "Sistemas".
Vamos a revisar los grupos a revisar:
a) Sistemas Operativos
Se entienden por tales, los proporcionados por el fabricante junto con la mquina. Engloba los
Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas estn
actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones si stas se
han producido. El anlisis de las versiones de los SS.OO. permite descubrir las posibles
incompatibilidades entre algunos otros productos de Software Bsico adquiridos por la instalacin y
determinadas versiones de aqullos.
Deben revisarse los parmetros variables de las Libreras ms importantes de los Sistemas,
especialmente si difieren de los valores habituales aconsejados por el constructor.
b) Software Bsico
Lo constituye el conjunto de productos que, sin pertenecer al Sistema Operativo, configuran
completamente los Sistemas Informticos, haciendo posible la reutilizacin de funciones bsicas no
includas en aqul. Cmo distinguir ambos conceptos? Cules son las razones por las que se plantea
la pregunta anterior? La respuesta a ambas tiene un definido carcter econmico.
En efecto, el Software bsico, o una gran parte de l, es abonado por el cliente a la firma constructora,
mientras el Sistema Operativo y algunos programas muy bsicos, se incorporan a la mquina sin cargo
alguno al cliente.
Ciertamente, es difcil decidir si una funcin concreta debe estar includa en el Sistema Operativo o puede
ser omitida de l. A ttulo de ejemplo, una funcin tan repetitiva e importante como la clasificacin de
registros, es un producto software o forma parte del Sistema? Iguales dudas podras establecerse
respecto a una serie de utilidades (copias, exportaciones e importaciones de archivos, reasignacin
dinmica de recursos internos, etc.).
Con independencia del inters terico que pueda tener la discusin de si una funcin concreta es o no
integrante del Sistema Operativo, para el auditor es fundamental conocer los productos de software
bsico que han sido facturado aparte del propio Ordenador. Ello, por razones econmicas y por razones
de comprobacin de que el Ordenador "podra funcionar" sin el producto adquirido por el cliente.
Resumiendo, los conceptos de Sistema Operativo y Software Bsico tienen fronteras comunes y que, con
independencia de a qu entorno correspondan, la poltica comercial de cada Compaa constructora y sus
relaciones con los clientes determinan finalmente el precio y los productos gratuitos y facturables.

Otra parte importante del Software Bsico es el desarrollado e implementado en los Sistemas
Informticos por el personal informtico de la empresa, por el propio personal de sistemas. Son
desarrollos internos que permiten mejorar la instalacin.
El auditor, en este punto, debe verificar que es software no agrede no condiciona al Sistema. Igualmente,
debe considerar el esfuerzo realizado en trminos de costos, por si hubiera alternativas ms econmicas.
c) Software de Teleproceso
Se ha agregado del apartado anterior de Software Bsico por su especialidad e importancia. Son vlidas
las consideraciones anteriores, Ntese la especial dependencia que el Software del Tiempo Real tiene
respecto a la arquitectura de los Sistemas.
d) Tunning
Es el conjunto de tcnicas de observacin y de medidas encaminadas a la evaluacin del comportamiento
de los subsistemas y del Sistema en su conjunto. Las acciones de Tunning deben diferenciarse de los
controles y medidas habituales que realiza el presonal de Tcnica de Sistemas.
El Tunning posee una naturaleza ms revisora, establecindose previamente planes y programas de
actuacin segn los sntomas observados.
Los Tunning pueden realizarse:
*.- Cuando existe la sospecha de deterioro del comportamiento parcial o general del Sistema.
**.- De modo sitemtico y peridico, por ejemplo cada seis meses. En este ltimo caso, las acciones de
Tunning son repetitivas y estn planificadas y organizadas de antemano.
El auditor informtico deber conocer el nmero de Tunning realizados en el ltimo ao, as como los
resultados. Deber analizar los modelos de carga utilizados y los niveles e ndices de confianza de las
observaciones.
d) Optimizacin de los Sistemas y Subsistemas
Tcnica de Sistemas deber realizar acciones permanentes de optimizacin como consecuencia de la
informacin diaria obtenida a travs de Log, Account-ing, etc. Acta igualmente como consecuencia de la
realizacin de Tunnings preprogramados o especficos.
El auditor verificar que las acciones de optimizacin fueron efectivas y no comprometieron la
Operatividad de los Sistemas ni el "plan crtico de produccin diaria" de Explotacin.
e) Administracin de Base de Datos
Es un Area que ha adquirido una gran importancia a causa de la proliferacin de usuarios y de las
descentralizaciones habidas en las informticas de las empresas.
El diseo de las bases de datos, ya sean relacionales o jerrquicas, se ha convertido en una actividad
muy compleja y sofisticada, por lo general desarrollada en el mbito de Tcnica de Sistemas, y de
acuerdo con las reas de Desarrollo y los usuarios de la empresa.
El conocimiento de diseo y arquitectura de dichas Bases de Datos por parte de los Sistemas, ha
cristalizado en la administracin de las mismas les sea igualmente encomendada. Aunque esta adcripcin
es la ms frecuente en la actualidad, los auditores informticos han observado algunas disfunciones
derivadas de la relativamente escasa experiencia que Tcnica de Sistemas tiene sobre la problemtica
general de los usuarios de las Bases de Datos.
Comienzan a percibirse hechos tendentes a separar el diseo y la construccin de las Bases de Datos, de
la administracin de las mismas, administracin sta que sera realizada por Explotacin. Sin embargo,
esta tendencia es an poco significativa.
El auditor informtico de Bases de Datos deber asegurarse que Explotacin conoce suficientemente las
que son accedidas por los Procedimientos que ella ejecuta. Analizar los sistemas de salvaguarda
existentes, que competen igualmente a Explotacin. Revisar finalmente la integridad y consistencia de
los datos, as como la ausencia de redundancias entre ellos.
f) Investigacin y Desarrollo
El campo informtico sigue evolucionando rapidamente. Multitud de Compaas, de Software
mayoritariamente, aparecen en el mercado.
Slo muy recientemente, las empresas que necesitan de informticas desarrolladas han comprendido que
sus propios efectivos estn desarrollados Aplicaciones y utilidades que, concebidas inicialmente para su
uso interno, pueden ser susceptibles de adquisicin por otras empresas, haciendo la competencia a las
Compaas del ramo.
Como consecuencia, algunas empresas no dedicadas en principio a la venta de productos informticos,
estn potenciando la investigacin de sus equipos de Tcnica de Sistemas y Desarrollo, de forma que sus
productos puedan convertirse en fuentes de ingresos adicionales.
La auditora informtica deber cuidar de que la actividad de Investigacin mas la de desarrollo de las
empresas no vendedoras, no interfiera ni dificulte las tareas fundamentales internas.
En todo caso, el auditor advertir en su Informe de los riesgos que haya observado. No obstante,
resultara muy provechoso comercializar alguna Aplicacin interna, una vez que est terminada y
funcionando a satisfaccin.
Los archivos "accounting", "syslog", "Contabilizadores de errores recuperados o permanentes del Sistema
y de sus perifricos", etc., proporcionan al auditor avezado informacin valiossima e insustituible.
La propia existencia de aplicativos para la obtencin de estadsticas desarrollados por los tcnicos de
Sistemas de la empresa auditada, y su calidad, proporcionan al auditor experto una visin bastante exacta
de la eficiencia y estado de desarrollo de los Sistemas. La correcta elaboracin de esta informacin

conlleva el buen conocimiento de la carga de la instalacin, as como la casi certeza de que existen
Planes de Capacidad, etc.
Vulnerabilidades de un sistema informtico
En un sistema informtico lo que queremos proteger son sus activos, es decir, los recursos que forman
parte del sistema y que podemos agrupar en:

Hardware: elementos fsicos del sistema informtico, tales como procesadores, electrnica y
cableado de red, medios de almacenamiento (cabinas, discos, cintas, DVDs,...).

Software: elementos l gicos o programas que se ejecutan sobre el hardware, tanto si es el

propio sistema operativo como las aplicaciones.

Datos: comprenden la informacin lgica que procesa el software haciendo uso del hardware.
En general sern informaciones estructuradas en bases de datos o paquetes de informacin que
viajan por la red.

Otros: fungibles, personas, infraestructuras,.. aquellos que se 'usan y gastan' como puede ser la
tinta y papel en las impresoras, los soportes tipo DVD o incluso cintas si las copias se hacen en
ese medio, etc.
De ellos los mas crticos son los datos, el hardware y el software. Es decir, los datos que estn
almacenados en el hardware y que son procesados por las aplicaciones software.

Incluso de todos ellos, el activo mas crtico son los datos. El resto se puede reponer con facilidad y los
datos ... sabemos que dependen de que la empresa tenga una buena poltica de copias de seguridad y
sea capaz de reponerlos en el estado mas prximo al momento en que se produjo la prdida. Esto puede
suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer dichos datos con lo que
conllevara de prdida de tiempo y dinero.
Vulnerabilidad: definicin y clasificacin
Definimos Vulnerabilidad como debilidad de cualquier tipo que compromete la seguridad del sistema
informtico.
Las vulnerabilidades de los sistemas informticos las podemos agrupar en funcin de:
Diseo

Debilidad en el diseo de protocolos utilizados en las redes.

Polticas de seguridad deficientes e inexistentes.

Implementacin

Errores de programacin.

Existencia de puertas traseras en los sistemas informticos.

Descuido de los fabricantes.

Uso

Mala configuracin de los sistemas informticos.

Desconocimiento y falta de sensibilizacin de los usuarios y de los responsables de informtica.

Disponibilidad de herramientas que facilitan los ataques.

Limitacin gubernamental de tecnologas de seguridad.

Vulnerabilidad del da cero

Se incluyen en este grupo aquellas vulnerabilidades para las cuales no existe una solucin
conocida, pero se sabe como explotarla.
Vulnerabilidades conocidas

Vulnerabilidad de desbordamiento de buffer.

Si un programa no controla la cantidad de datos que se copian en buffer, puede llegar un momento en que
se sobrepase la capacidad del buffer y los bytes que sobran se almacenan en zonas de memoria
adyacentes.
En esta situacin se puede aprovechar para ejecutar cdigo que nos de privilegios de administrador.

Vulnerabilidad de condicin de carrera (race condition).

Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este tipo de
vulnerabilidad. Es el caso tpico de una variable, que cambia su estado y puede obtener de esta forma un
valor no esperado.

Vulnerabilidad de Cross Site Scripting (XSS).

Es una vulnerabilidad de las aplicaciones web, que permite inyectar cdigo VBSript o JavaScript en
pginas web vistas por el usuario. El phishing es una aplicacin de esta vulnerabilidad. En el phishing la
vctima cree que est accediendo a una URL (la ve en la barra de direcciones), pero en realidad est
accediendo a otro sitio diferente. Si el usuario introduce sus credenciales en este sitio se las est
enviando al atacante.


Vulnerabilidad de denegacin del servicio.
La denegacin de servicio hace que un servicio o recurso no est disponible para los usuarios. Suele
provocar la prdida de la conectividad de la red por el consumo del ancho de banda de la red de la
vctima o sobrecarga de los recursos informticos del sistema de la vctima.

Vulnerabilidad de ventanas engaosas (Window Spoofing).

Las ventanas engaosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es mentira y lo
nico que quieren es que el usuario de informacin. Hay otro tipo de ventanas que si las sigues obtienen
datos del ordenador para luego realizar un ataque.
Controles de auditoria
El control es una de las fases del proceso administrativo, le corresponde:

comparar los resultados obtenidos contra los resultados determinados en el proceso de

planeacin de la estrategia organizacional y de sus actividades tcticas y operativas con el fin de

determinar el nivel de cumplimiento y

Ajustar los diferentes parmetros y caractersticas de los procesos mediante los cuales se busca
el cumplimiento de los objetivos organizacionales.
Seguridad informtica
La seguridad informtica o seguridad de tecnologas de la informacin es el rea de la informtica que se
enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con esta y,
especialmente, la informacin contenida o circulante. Para ello existen una serie de estndares,
protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la
infraestructura o a la informacin. La seguridad informtica comprendesoftware (bases de
datos, metadatos, archivos), hardware y todo lo que la organizacin valore (activo) y signifique un riesgo
si esta informacin confidencial llega a manos de otras personas, convirtindose, por ejemplo, en
informacin privilegiada.
La definicin de seguridad de la informacin no debe ser confundida con la de seguridad informtica, ya
que esta ltima slo se encarga de la seguridad en el medio informtico, pero la informacin puede
encontrarse en diferentes medios o formas, y no solo en medios informticos.
La seguridad informtica es la disciplina que se ocupa de disear las normas, procedimientos, mtodos y
tcnicas destinados a conseguir un sistema de informacin seguro y confiable.
Un delito informtico
es toda aquella accin ilcita llevada a cabo por vas informticas con el fin de perjudicar a personas
naturales, jurdicas, medios y redes electrnicas. A pesar de ser utilizada frecuentemente, los venezolanos
tienen pocos conocimientos sobre esta modalidad del crimen. Al desconocer los riesgos que implican el
uso de las diferentes vas electrnicas las personas se convierten en presas fciles para los delincuentes
cibernticos.
A travs de los aos el crimen ciberntico ha ido aumentado de forma considerable, los delincuentes
utilizan mtodos ms sofisticados para hacer sus fechoras, convirtiendo a la Internet en su arma contra
sus vctimas incautas, quienes caen en sus redes por desconocimiento.
De los Delitos Contra los Sistemas que Utilizan Tecnologas de Informacin Artculo
6. Acceso indebido. El que sin la debida autorizacin o excediendo la que hubiere obtenido, acceda,
intercepte, interfiera o use un sistema que utilice tecnologas de informacin, ser penado con prisin de
uno a cinco aos y multa de diez a cincuenta unidades tributarias Artculo
7. Sabotaje o dao a sistemas. El que destruya, dae, modifique o realice cualquier acto que altere el
funcionamiento o inutilice un sistema que utilice tecnologas de informacin o cualquiera de los
componentes que lo conforman, ser penado con prisin de cuatro a ocho aos y multa de cuatrocientas
a ochocientas unidades tributarias. Incurrir en la misma pena quien destruya, dae, modifique o inutilice
la data o la informacin contenida en cualquier sistema que utilice tecnologas de informacin o en
cualquiera de sus componentes. La pena ser de cinco a diez aos de prisin y multa de quinientas a mil
unidades tributarias, si los efectos indicados en el presente artculo se realizaren mediante la creacin,
introduccin o transmisin, por cualquier medio, de un virus o programa anlogo.