Sei sulla pagina 1di 99

INSTITUTO PROFESIONAL

SANTO TOMS
ARICA

METODOLOGA
PARA REALIZAR UNA AUDITORA
DE SEGURIDAD INFORMTICA
PROYECTO DE TTULO PARA OPTAR AL TITULO
PROFESIONAL DE: INGENIERIA (E) EN INFORMATICA

ALUMNO:
JOHNNY SEGUNDO MAITA ZARZURI
PROFESOR GUA:
SR. CESAR VALDENEGRO ORTIZ

ARICA 2015
DEDICATORIA

Primeramente a Dios por haberme permitido llegar hasta este punto de mi vida, lleno
de batallas y continuas luchas que obtuve en mi etapa como estudiante, por su infinito amor, por
haberme dado vida y salud, logrando as todos mis objetivos.

A mis Padres Segundo Maita Villalobos y Guillermina Zarzuri Villalobos (Q.E.P.D.),


por la educacin y formacin que me entregaron, adems de sus consejos y sus valores que me
inculcaron siempre. En especial a mi Madre que ahora se encuentra en el cielo, Por haberme
entregado su amor, su apoyo incondicional y por la motivacin constante que me entreg en vida, ya
que hasta el da de hoy me ha permitido ser una persona de bien.

A mi amada Esposa Catherine Coria Cceres, por su paciencia y espera en aquellas


noches cuando me desvelaba estudiando; por su apoyo, nimo y amor incondicional que me brinda
da a da para alcanzar mis metas, tanto profesionales como personales.

A mi querida Familia, primeramente a mi hermana Elena Maita Zarzuri por ser el


ejemplo de una hermana mayor, de la cual aprend de sus aciertos y de sus momentos difciles; a mis
hermanos Jaime Maita Zarzuri, Adrin Maita Zarzuri, Alfredo Maita Zarzuri y Marilyn Maita
Zarzuri; a mis sobrinos queridos, Bryan, Nayra, y al Alonsito; a mis Suegros, Cuados y a todos
aquellos que participaron directa e indirectamente en mi Formacin Acadmica y en la elaboracin de
este Proyecto de Titulo.

AGRADECIMIENTOS

Agradezco a los Profesores del rea de Informtica de este Instituto Profesional, Sr.
Juan Stanovich, Sr. Edward Villar, Sr. Boris Gutirrez, Sr. Eugenio Gana y Sra. Gloria Tarque,
por transmitir sus conocimientos en las horas de clases, por el gran apoyo y motivacin que me
entregaron para la culminacin de mis estudios, por los malos ratos que les hice pasar junto con mis
compaeros, por su dedicacin y entrega para formar buenos profesionales y por sus consejos que
siempre fueron recibidos de buena manera y a quienes recordare por siempre.

A mis Compaeros y Amigos que nos apoyamos mutuamente en nuestra formacin


profesional, Gian Carlos Rojas, Johan Fernndez, Manuel Ros, Adrin Prieto, Juan Carlos Gil, y
Michael Aguirre. Por todos los momentos buenos y malos que compartimos en las aulas durante
nuestro paso como estudiantes, esperando que esta experiencia que hemos vivido y la amistad
nunca se nos olvide.

A mis Colegas y Amigos de la Seccin O.S.7 Arica, por darme la oportunidad de


estudiar y as poder obtener mi Ttulo Profesional, por el apoyo incondicional que me entregaron
durante todos estos aos. Finalmente Agradezco a m Jefe de Seccin, Teniente Coronel Sr. Esteban
Daz Urbina, por confiar en m y darme la oportunidad de participar en todos los proyectos
informticos que realizamos, esperando que todo lo hecho pueda implementarse con xito en el
futuro, aportando as con un granito de arena en el desarrollo tecnolgico de esta hermosa Institucin
como lo es Carabineros de Chile.

Muchas Gracias a Todos!

NDICE GENERAL DEL TEXTO


3

DEDICATORIA.............................................................................................................. II
AGRADECIMIENTOS...................................................................................................III
NDICE DE TABLAS....................................................................................................VI
NDICE DE FIGURAS.................................................................................................VII
GLOSARIO................................................................................................................ VIII
RESUMEN.................................................................................................................... X

I.

II.

FUNDAMENTOS..................................................................................................1
I.1

INTRODUCCIN.....................................................................................1

I.2

OBJETIVOS DE LA AUDITORA EN INFORMATICA..............................2

DESARROLLO DEL LA PRACTICA PROFESIONAL.........................................3


II.1

DESCRIPCIN DE LA EMPRESA O INSTITUCIN................................3

II.1.1

Identificacin de lugar de Prctica...............................................3

II.1.2

Resea de la Seccin O.S.7 Arica..............................................4

II.1.3

Misin de la Seccin O.S.7 Arica...............................................4

II.1.4

Directivos Principales de la Seccin O.S.7 Arica..........................5

II.1.5

Organigrama de la Seccin O.S.7 Arica......................................5

II.2

DESCRIPCIN DE LAS TAREAS DESARROLLADAS EN LA PRACTICA


PROFESIONAL........................................................................................6

III.

DESARROLLO DEL PROYECTO........................................................................7


III.1

LA AUDITORIA INFORMTICA...............................................................7

III.1.1

La Importancia de la Auditora Informtica...................................7

III.1.2

Formas de Llevar una Auditoria Informtica.................................8

III.1.3

Sntomas que Indican la Necesidad de una Auditoria....................9

III.2

HERRAMIENTAS Y TECNICAS PARA REALIZAR UNA AUDITORIA INFORMTICA.


11

III.2.1

Los Cuestionarios..................................................................12

III.2.2

Entrevistas........................................................................... 13

III.2.3

Checklist.............................................................................. 13

III.2.4

Trazas y/o Huellas.................................................................17

III.2.5

Software De Interrogacin.......................................................18

III.3

AUDITORA INFORMTICA INTERNA Y EXTERNA...........................19

III.3.1

Auditora Interna....................................................................20

III.3.2

Auditora Externa...................................................................20

III.3.3

Concepto de Auditoria Informtica............................................21

III.4

LA AUDITORA DE SEGURIDAD INFORMATICA................................23

III.4.1

Fases de una Auditoria...........................................................23

III.4.2

Tipos de Auditoria...................................................................24

III.4.3

Estndares de Auditoria Informtica y Seguridad........................25

III.4.4

Proceso de la Auditoria de Sistemas.........................................25

III.4.5

Planificacin de la Auditoria.....................................................26

III.4.6

Objetivos de Controles y Objetivos de Auditora.........................28

III.4.7

Evaluacin de Fortalezas y Debilidades de la Auditora...............31

III.4.8

Informe de Auditora...............................................................32

III.4.9

Clasificacin General de los Controles......................................34

III.4.10

Controles Administrativos en un Ambiente de Procesamiento de Datos.

III.4.11

Anlisis de Casos de Controles Administrativos..........................43

36

III.4.12

Procesos de Auditora.............................................................48

III.4.13

Evaluacin de la Seguridad......................................................52

III.5.

INFORME FINAL..................................................................................70

III.5.1

IV.

Confeccin y Redaccin del Informe Final................................71

PRODUCTO FINAL............................................................................................74
AUDITORA DE SEGURIDAD INFORMATICA REALIZADA A LA SECCIN O.S.7 ARICA
75

V.

ASPECTOS COMPLEMENTARIOS...................................................................87
V.1

CONCLUSIN........................................................................................87

V.2

BIBLIOGRAFA.......................................................................................88

V.3

ANEXOS................................................................................................89

ANEXO 1............................................................................................................ 89
ANEXO 2............................................................................................................ 90
ANEXO 3............................................................................................................ 91

NDICE DE TABLAS
Tabla 1. ESTRUCTURA DE PROGRAMA DE AUDITORA........................................29

Tabla 2. EVALUACION DE DEBILIDADES Y FORTALEZAS.....................................31

NDICE DE FIGURAS
Figura 1. UBICACIN DE LA SECCION O.S7 ARICA.................................................3
Figura 2. FOTOGRAFA DE LA SECCIN O.S.7 ARICA.............................................3
Figura 3. LOGO DE CARABINEROS DE CHILE.........................................................4
Figura 4. LOGO DE LA SECCIN O.S.7......................................................................4
Figura 5. JEFE DE SECCIN.......................................................................................5
Figura 6. JEFE AREA DE INTELIGENCIA OPERATIVOS...........................................5
Figura 7. ORGANIGRAMA O.S.7 ARICA.....................................................................5
Figura 8. SISTEMAS DE CARABINEROS...................................................................6
Figura 9. PARTICIPANTES DE UNA AUDITORA........................................................7
Figura 10. PLAN DE CONTINGENCIA PARA UN BACKUP......................................11
Figura 11. HERRAMIENTAS Y TECNICAS DE UNA AUDITORA.............................12
Figura 12. SELECCIN DE UNA AUDITORA...........................................................19
Figura 13. AUDITORA INTERNA...............................................................................20
Figura 14. AUDITORA EXTERNA.............................................................................20
Figura 15. ESTANDARES DE SEGURIDAD DE AUDITORA....................................25
Figura 16. CARTA GANTT DE UNA AUDITORA INFORMATICA.............................30

Figura 17. CONTROL TIEMPO - SEMANA................................................................30


Figura 18. ELEMENTOS DE UNA AUDITORA..........................................................43
Figura 19. ESTUDIO CON EL EQUIPO DE AUDITORA............................................45
Figura 20. LOS FLUJOS DEL PROCESO..................................................................48
Figura 21. NOTICIA DE SABOTAJE INFORMATICO.................................................53
Figura 22. DETECCIN DE VIRUS DE COMPUTADORA.........................................55
Figura 23. EMPRESA CON INFORME DE AUDITORA.............................................71

GLOSARIO
Aplicacin: Aunque se suele utilizar indistintamente como sinnimo genrico de programa es
necesario subrayar que se trata de un tipo de programa especficamente dedicado al proceso de una
funcin concreta dentro de la empresa.
Archivo de datos: Cualquier archivo creado dentro de una aplicacin: por ejemplo, un documento
creado por un procesador de textos, una hoja de clculo, una base de datos o un grfico. Tambin
denominado Documento.
Archivo de programa:
Auditor: Persona que efecta una auditora.
Auditora: Examen de las operaciones de una empresa por especialistas ajenos a ella y con objetivos
de evaluar la situacin de la misma.
Cliente: Cliente o 'programa cliente' es aquel programa que permite conectarse a un determinado
sistema, servicio o red.
Confidencialidad: Se refiere a que la informacin solo puede ser conocida por individuos
autorizados.

Costos estimados: Son los clculos anticipados de los gastos que predominarn en el futuro (mano
de obra, material, etc), dentro de un periodo dado, con la intencin de pronosticar un costo total.
Datos: Trmino general para la informacin procesada por un ordenador.
Factibilidad: Es la disponibilidad de los recursos necesarios para llevar a cabo los objetivos o metas
sealadas, sirve para recopilar datos relevantes sobre el desarrollo de un proyecto y en base a ello
tomar la mejor decisin.
Gobernabilidad de TI:
Hardware: Conjunto de dispositivos de los que consiste un sistema. Comprende componentes tales
como el teclado, el Mouse, las unidades de disco y el monitor.
Integridad: La habilidad de determinar que la informacin recibida es la misma que la informacin
enviada.

ISO: (Organizacin Internacional para la Normalizacin) Organizacin de carcter voluntario fundada


en 1946 que es responsable de la creacin de estndares internacionales en muchas arreas,
incluyendo la informtica y las comunicaciones. Est formada por las organizaciones de
normalizacin de sus 89 pases miembro.
Metodologa: Conjunto de mtodos utilizados en la investigacin cientfica
Norma: Principio que se impone o se adopta para dirigir la conducta o la correcta realizacin de una
accin o el correcto desarrollo de una actividad.
Password: Conocida tambin como 'clave de acceso'. Palabra o clave privada utilizada para
confirmar una identidad en un sistema remoto que se utiliza para que una persona no pueda usurpar
la identidad de otra.
Procedimiento: Mtodo o sistema estructurado para la ejecucin de actividades
Proceso: Conjunto de operaciones lgicas y aritmticas ordenadas, cuyo fin es la obtencin de
resultados.
Red: Servicio de comunicacin de datos entre ordenadores. Conocido tambin por su denominacin
inglesa: network. Se dice que una red est dbilmente conectada cuando la red no mantiene
conexiones permanentes entre los ordenadores que la forman. Esta estructura es propia de redes no
profesionales con el fin de abaratar su mantenimiento.

10

Servidor o server: Ordenador que ejecuta uno o ms programas simultneamente con el fin de
distribuir informacin a los ordenadores que se conecten con l para dicho fin. Vocablo ms conocido
bajo su denominacin inglesa 'server'.
Sistema de informacin: Se denomina Sistema de Informacin al conjunto de procedimientos
manuales y/o automatizados que estn orientados a proporcionar informacin para la toma de
decisiones.
Software: Componentes inmateriales del ordenador: como los programas, sistemas operativos, etc.
T.I: Tecnologas de la Informacin.
Tcnicas: Conjunto de procedimientos de una ciencia los cuales nos ayudan a solucionar problemas.

RESUMEN
INSTITUTO PROFESIONAL SANTOTOMAS
INGENIERIA DE EJECUCIN EN INFORMATICA
ARICA
2 SEMESTRE DEL AO 2015

AUDITORA DE
SEGURIDAD INFORMTICA

Autor
Profesor Gua

: Johnny Segundo Maita Zarzuri.


: Sr. Cesar Valdenegro Ortiz.

11

PALABRAS CLAVES: AUDITORIA, SERVIDOR, INTERNET, HERRAMIENTAS, EMPRESA,


INFORMACIN, PROYECTO.

En el Presente informe de Proyecto, veremos aspectos fundamentales de la auditora


de seguridad informtica y de los diversos procedimientos que existen, los cuales permiten al auditor
obtener informacin, analizar las caractersticas, verificar los resultados y fundamentar las
conclusiones de la auditora.

La Auditora de seguridad informtica es un examen y validacin de los controles y


procedimientos usados por el rea de Sistemas (Informtica) a fin de verificar que los objetivos de
continuidad del servicio, confidencialidad y seguridad de la informacin as como la integridad y
coherencia de la misma, se cumplan satisfactoriamente y de acuerdo a la normatividad externa e
interna de la Empresa.

I.

I.1

FUNDAMENTOS

INTRODUCCIN

La auditora informtica verificar el funcionamiento de un sistema de informacin,


aplicando una serie de conocimientos, tcnicas y mtodos con el propsito de examinar la
operatividad del sistema. En el proceso de investigacin el auditor comprueba si en los sistemas se
estn aplicando medidas de seguridad y de control apropiadas para asegurar la integridad de la
informacin.

En la actualidad la informtica se encuentra evidentemente vinculada con la gestin de


las empresas y es por esto que es de vital importancia que exista la auditoria informtica, para
analizar el desempeo y funcionamiento de los sistemas de informacin, de los cuales depende la
organizacin. Cabe aclarar que la informtica no gestiona propiamente la empresa, sino que ayuda a
la toma de decisiones, pero no decide por s misma. La informtica est vinculada en las tareas o
transacciones de la empresa debido a esto deben aplicarse las normas y procedimientos
informticos.

12

El auditor debe realizar un anlisis profundo de todos los componentes que integran el
sistema informtico, velar por la correcta utilizacin de los recursos que la empresa pone en juego
para disponer de un eficiente y eficaz sistema de informacin. Claro est que para la realizacin de
una auditoria de seguridad y que esta pueda resultar, se debe entender a la empresa en su ms
amplio sentido, ya que esta sea pblica o privada, todas utilizan a la informtica para gestionar sus
negocios de forma rpida y eficiente con el fin de obtener beneficios econmicos y reduccin de
costos, ya que un sistema mal diseado puede resultar muy peligroso y perjudicial para la empresa.

I.2

OBJETIVOS DE LA AUDITORA EN INFORMATICA

Los principales objetivos que constituyen a la auditoria de seguridad Informtica son el


control de la funcin informtica, el anlisis de la eficiencia de los Sistemas Informticos, la
verificacin del cumplimiento de la Normativa general de la empresa en este mbito y la revisin de la
eficaz gestin de los recursos materiales y humanos informticos.

La Auditora de seguridad informtica deber comprender no slo la evaluacin de los


equipos de computacin, de un sistema o procedimiento especfico, sino que adems habr de
evaluar los sistemas de informacin en general desde sus entradas, procedimientos, controles,
archivos, seguridad y obtencin de informacin.

Esta auditora es de vital importancia para el buen desempeo de los sistemas de


informacin, ya que proporciona los controles necesarios para que los sistemas sean confiables y con
un buen nivel de seguridad. Adems debe evaluar todo: informtica, organizacin de centros de
informacin, hardware y software.

13

Es importante saber qu buscan los auditores en una auditoria de Sistemas. En


general Durante el proceso de sta, los auditores buscan evidencias indicativas como por ejemplo:

Que la empresa ha diseado controles eficaces para resolver sus requisitos de cumplimiento y
que no hay errores en el diseo.
Que la empresa aplica consistentemente los controles diseados y que no existen deficiencias
operativas.

Entender los pasos del proceso de la auditora de seguridad permite a los


administradores de informtica saber lo que deben esperar de la auditoria. De esta forma pueden
lograr los objetivos de cumplimiento normativo de su empresa y optimizar el proceso de auditora para
completarlo ms eficazmente. Posteriormente entregar a la empresa un informe final con relacin a lo
auditado.

II.
II.1

DESARROLLO DEL LA PRACTICA PROFESIONAL.

DESCRIPCIN DE LA EMPRESA O INSTITUCIN.

II.1.1 Identificacin de lugar de Prctica


DATOS DE LA INSTITUCIN:
Nombre

: Carabineros de Chile
Seccin O.S.7 Arica.

Direccin Arica

: Av. Loa N 1441

RUT

: 66.505.000-K

Telfono

: (58) 2458061

Correo electrnico

: os7.arica@carabineros.cl

Pgina web

: http://www.carabineros.cl

14

Figura 1. Ubicacin de la Seccin O.S.7 Arica.

Figura 2. Fotografa de la Seccin O.S.7 Arica.

II.1.2

Resea de la Seccin O.S.7 Arica


Carabineros de Chile fue fundado el 27 de abril de 1927 por el entonces Vicepresidente

de la Repblica, Coronel de Ejrcito Don Carlos Ibez del Campo, en virtud del D.F.L. N 2.484, que
fusion la Polica Fiscal con el Cuerpo de Carabineros, instituciones policiales existentes a la fecha y
cuya historia, naturaleza y carcter explican los slidos fundamentos que tiene Carabineros de Chile.
La Seccin O.S.7 Arica depende de la Zona Norte Control Drogas e Investigacin
Criminal perteneciente a Carabineros de Chile (Polica de carcter militar y con presencia en todo el
territorio chileno), y fue creada el 11 de febrero del ao 1977, como la 3 Seccin Control Drogas y
Estupefacientes de Arica y tena por misin cumplir las funciones contempladas en la ley 17.934.

15

En la actualidad cumple sus funciones contempladas en la ley

N 20.000

de Drogas y su sector jurisdiccional corresponde a toda la XV Zona de Carabineros Arica y


Parinacota, con una superficie territorial de 16.873 km2.

II.1.3

Misin de la Seccin O.S.7 Arica


Desarrollar procesos de Investigacin Policial en todas aquellas materias relacionadas

con el Trfico Ilcito de Estupefacientes, sustancias psicotrpicas y delitos conexos; a objeto de


neutralizar a las organizaciones, asociaciones o meras agrupaciones de personas e individuos
dedicados de cualquier forma a tales ilcitos.

Figura 3. LOGO DE CARABINEROS DE CHILE

II.1.4

Figura 4. LOGO DE LA SECCIN O.S.7

Directivos Principales de la Seccin O.S.7 Arica


Jefe de Seccin

: Teniente Coronel Sr. Esteban Daz Urbina.


Figura 5. JEFE DE

SECCION

Jefe rea Inteligencia

: Capitn Sr. Cristian Espinoza Salame.

16

Figura 6. JEFE AREA DE INTELIGENCIA

II.1.5

Organigrama de la Seccin O.S.7 Arica

Figura 7. ORGANIGRAMA O.S.7 ARICA

II.2

DESCRIPCIN DE LAS TAREAS DESARROLLADAS EN LA PRACTICA


PROFESIONAL.
Mi desempeo en el rea informtica consisti en dar soporte operacional tanto a los

computadores como a todo elemento que forma parte de l. Entindase impresoras, proyectores,
UPS, dispositivos de conectividad, etc. lo que conlleva a que todo el sistema tanto computacional
como tecnolgico funcione al 100%.

17

Adems pude participar en la supervisin de los sistemas actuales que mantiene esa
Institucin y capacitacin a la mayora los funcionarios, en relacin a uso y cuidado de los elementos
tecnolgicos e computacionales. Adems pude participar en la planificacin, desarrollo y
programacin de un proyecto Informtico, como lo es el Sistema R A.C. (Registro y Anlisis
Carretero), cuyo objetivo es registrar en el sistema a todos los vehculos que ingresen a la Zona Norte
y mantener una estadstica actual, para as evaluar e identificar posibles delitos.

Figura 8.
SISTEMAS DE CARABINEROS

Para entregar un servicio de calidad a nuestros clientes; El horario de prctica se


iniciaba de Lunes a Viernes, desde las 08:00 hrs, luego se sala a colacin a las 14:00 hrs. Y se
entraba nuevamente a las 15:00 hrs. para luego terminar a las 20:00 hrs. Las horas de prctica a la
semana daban un total de 45 horas.

Tambin se cuenta con la vestimenta apropiada, que consista en zapatos formales,


pantalones de tela, una camisa y una chaqueta, con la cual era necesario trabajar con ella ya que
tenamos que tener una vestimenta tanto para trabajar como para estar de una manera formal ante la
presencia de otras personas.

III.

III.1

DESARROLLO DEL PROYECTO

LA AUDITORIA INFORMTICA.

Las auditoras informticas se materializan recabando informacin y documentacin de


todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes entornos.

18

El trabajo de campo del auditor consiste en lograr toda la informacin necesaria para la
emisin de un juicio global objetivo, siempre amparado en hechos demostrables, llamados tambin
evidencias.

Figura 9. PARTICIPANTES DE UNA AUDITORA.

III.1.1

La Importancia de la Auditora Informtica.

La tecnologa de informtica, traducida en hardware, software, sistemas de informacin,


investigacin tecnolgica, redes locales, base de datos, ingeniera de software, telecomunicaciones,
servicios y organizacin de informtica, es una herramienta estratgica que brinda rentabilidad y ventajas
competitivas a los negocios frente a sus similares en el mercado, pero puede originar costos y desventajas
si no es bien administrada por el personal encargado.
Para darse cuenta si se est administrando de manera correcta la funcin de la informtica
es necesario que se evale dicha funcin mediante evaluaciones oportunas y completas por personal
calificado consultores externos, auditores en informtica o evaluaciones peridicas realizadas por el
mismo personal de informtica, entre otras estrategias.

III.1.2

Formas de Llevar una Auditoria Informtica.

La auditora interna es la realizada con recursos materiales y personas que pertenecen


a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La

19

auditora interna existe por expresa decisin de la empresa, o sea, que puede optar por su disolucin
en cualquier momento.
Por otro lado, la auditora externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la auditora Interna,
debido al mayor distanciamiento entre auditores y auditados.
La auditora en informtica interna cuenta con algunas ventajas adicionales muy
importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las
auditorias convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente
realizando revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados
conocen estos planes y se habitan a las auditorias, especialmente cuando las consecuencias de las
recomendaciones habidas benefician su trabajo.

En una empresa, los responsables de Informtica escuchan, orientan e informan sobre


las posibilidades tcnicas y los costos de tal sistema. Con voz, pero a menudo sin voto, el rea de
informtica trata de satisfacer lo ms adecuadamente, posible aquellas necesidades. La empresa
necesita controlar su Informtica y sta; necesita que su propia gestin est sometida a los mismos
procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza
en la figura del auditor interno en informtica.
En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una
auditora propia y permanente, mientras que el resto acude a las auditoras externas. Puede ser que
algn profesional informtico sea trasladado desde su puesto de trabajo a la auditora Interna de la
empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de control
interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura
Informtica ya no sera independiente. Hoy, ya existen varias organizaciones Informticas dentro de la
misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos
de Sistemas de Informacin de las Empresas.

Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones
contratar servicios de auditora externa. Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios
no estn suficientemente capacitados.

20

Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de
emisin interna de graves recomendaciones que chocan con la opinin generalizada de la
propia empresa.
Servir como mecanismo protector de posibles auditorias en informtica
decretadas por la misma empresa.

externas

Aunque la auditora interna sea independiente del Departamento de


Sistemas, sigue
siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras externas
como para tener una visin desde afuera de la empresa.
La auditora en informtica, tanto externa como interna, debe ser una actividad exenta
de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa.
La funcin de auditoria puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte,
esto es, por encargo de la direccin o cliente.

III.1.3

Sntomas que Indican la Necesidad de una Auditoria.

Las empresas acuden a las auditorias en informtica cuando existen sntomas que son
claramente perceptibles y que indican debilidad. Estos sntomas pueden agruparse en clases:

Sntomas de descoordinacin y desorganizacin:


No coinciden los objetivos de la Informtica de la empresa y de la propia empresa.
Los estndares de productividad se desvan sensiblemente de los promedios conseguidos
habitualmente. (Puede ocurrir con algn cambio masivo de personal, o en una
reestructuracin fallida de alguna rea o en la modificacin de alguna norma importante)

Sntomas de mala imagen e insatisfaccin de los usuarios:


No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en
los terminales de usuario, refrescamiento de paneles, variacin de los ficheros que deben
ponerse diariamente a su disposicin, etc.
No se reparan las averas de Hardware ni se resuelven incidencias en plazos razonables. El
usuario percibe que est abandonado y desatendido permanentemente.

21

No se cumplen en todos los casos los plazos de entrega de resultados peridicos. Pequeas
desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial
en los resultados de aplicaciones crticas y sensibles.

Sntomas de debilidades econmico-financieras.


Incremento desmesurado de costos.
Necesidad de justificacin de Inversiones Informticas (la empresa no est absolutamente
convencida de tal necesidad y decide contrastar opiniones).
Desviaciones Presupuestarias significativas.
Costos y plazos de nuevos proyectos (deben auditarse simultneamente a desarrollo de
proyectos y al rgano que realiz la peticin).

Sntomas de Inseguridad: Evaluacin de nivel de riesgos


Seguridad Lgica
Seguridad Fsica
Confidencialidad (Los datos son propiedad inicialmente de la organizacin que los genera.
Los datos de las personal son especialmente confidenciales)
Continuidad del Servicio. Es un concepto an ms importante que la Seguridad. Establece las
estrategias de continuidad entre fallos mediante Planes de Contingencia' Totales y Locales.
Centro de Proceso de Datos fuera de control. Si tal situacin llegara a percibirse, sera
prcticamente intil la auditoria. Esa es la razn por el cual, en este caso, el sntoma debe ser
sustituido por el mnimo indicio.

Planes de Contingencia:

Por ejemplo, la empresa sufre un corte total de energa o de aluna forma sufre una
explosin, Cmo sigo operando en otro lugar?, Lo que generalmente se pide es que se hagan
Backups de la informacin diariamente y que aparte, sea doble, para tener un Backup en la empresa
y otro afuera de sta.

22

Una empresa puede tener unas oficinas paralelas que posean servicios bsicos (luz,
telfono, agua) distintos de los de la empresa principal, es decir, si a la empresa principal le provea
telfono la compaa Entel y a las oficinas paralelas la compaa Telefnica. En este caso, si se
produce una inoperancia de Sistemas en la empresa principal, se utilizara el Backup para seguir
operando en las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el tiempo
que estipule la empresa, y despus se van reciclando a travs del tiempo.

Figura 10. PLAN DE CONTINGENCIA PARA UN BACKUP.

III.2

HERRAMIENTAS Y TECNICAS PARA REALIZAR UNA AUDITORIA


INFORMTICA.

Las auditorias en informtica se materializan recabando informacin y documentacin


de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes entornos.

El trabajo de campo del auditor consiste en lograr recopilar toda la informacin


necesaria para la emisin de un juicio global objetivo, siempre amparado en hechos demostrables,
llamados tambin evidencias. Veremos entonces las tcnicas utilizadas para lograr este objetivo.

23

Figura 11. HERRAMENTAS Y TCNICAS DE AUDITORA.

III.2.1

Los Cuestionarios.

Para realizar esto, se debe enviar comenzar enviado cuestionarios


pre-impresos
a personas concretas que el auditor cree necesarias, sin que sea obligatorio que dichas personas
sean las responsables oficiales de las diversas reas a auditar.
Estos cuestionarios a completar por ningn motivo se debern repetir, siendo muy
diferentes para cada instalacin o departamento, teniendo que ser muy especficos para cada
situacin, adems de ser muy cuidadoso en su fondo y su forma.
Sobre esta base, se estudia y analiza la documentacin recibida, de modo que tal
anlisis determine a su vez la informacin que deber elaborar el propio auditor. El cruzamiento de
ambos tipos de informacin es una de las bases fundamentales de la auditora.
Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan
adquirido por otro medios la informacin que aquellos pre-impresos hubieran proporcionado.

III.2.2

Entrevistas.

El auditor comienza a partir de las relaciones personales con el el personal auditado. Y


lo hace de tres formas:
1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad.

24

2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de


sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un mtodo
y busca unas finalidades concretas.

preestablecido de antemano

La entrevista es una de las actividades personales ms importante del auditor; en ellas,


ste recoge ms informacin, y mejor matizada, que la proporcionada por medios propios puramente
tcnicos o por las respuestas escritas a cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado
se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se
interroga a s mismo. El auditor informtico experto entrevista al auditado siguiendo un cuidadoso
sistema previamente establecido, consistente en que bajo la forma de una conversacin correcta y lo
menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas
variadas, tambin sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una
preparacin muy elaborada y sistematizada, y que es diferente para cada caso particular.

III.2.3

Checklist.

El auditor profesional y experto es aqul que elabora muchas veces sus cuestionarios
en funcin de los escenarios auditados. Tiene claro lo que necesita saber y por qu. Sus
cuestionarios son vitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cual no quiere
decir que haya que someter al auditado a unas preguntas innecesarias que no conducen a nada. Muy
por el contrario, el auditor conversar y har preguntas "normales", que en realidad servirn para la
complementacin sistemtica de sus Cuestionarios..

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle
una pila de preguntas recitadas de memoria o ledas en voz alta descalifica al auditor informtico. El
profesionalismo pasa por un procesamiento interno de informacin a fin de obtener respuestas
coherentes que permitan una correcta descripcin de puntos dbiles y fuertes. El profesionalismo
pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.

25

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las


Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalizacin a cualquier
otra forma.
Segn la claridad de las preguntas y el talante del auditor, el auditado responder
desde posiciones muy distintas y con disposicin muy variable. El auditado, habitualmente informtico
de profesin, percibe con cierta facilidad el perfil tcnico y los conocimientos del auditor, precisamente
a travs de las preguntas que ste le formula. Esta percepcin configura el principio de autoridad y
prestigio que el auditor debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo y el orden de su
formulacin. Las empresas externas de Auditora Informtica guardan sus Checklists, pero de poco
sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la funcin auditora
se ejerce sobre bases de autoridad, prestigio y tica.
La utilizacin del Checklist por parte del auditor deber ser a modo de que el auditado
responda clara y escuetamente. Se deber interrumpir lo menos posible, y solamente se har en los
casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se
har necesario invitar a que se exponga con mayor amplitud sobre un tema concreto y en algunos
casos, se deber evitar absolutamente la presin sobre el mismo.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser
repetidas. En efecto, bajo apariencia distinta, el auditor formular preguntas equivalentes a las
mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se
podrn descubrir con mayor facilidad los puntos contradictorios; el auditor deber analizar los matices
de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones,
hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las
preguntas. El auditor, por su parte, tomar las notas imprescindibles en presencia del auditado, y
nunca escribir cruces ni marcar cuestionarios en su presencia.

Los cuestionarios o Checklists responden fundamentalmente a dos tipos de


filosofa" de calificacin o evaluacin:

a. Checklist de rango:
Contiene varias preguntas que el auditor debe puntuar dentro de un rango
preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo)
Ejemplo de un Checklist de rango:

26

Realizaremos una auditoria sobre la seguridad fsica de una instalacin y dentro de


ella, se analiza el control de los accesos de las personas y cosas al Centro de Clculo. Podran
formularse las preguntas que figuran a continuacin, en donde las respuestas tienen un significado de
acuerdo a la siguiente puntuacin:
1. Muy deficiente.
2. Deficiente.
3. Mejorable.

4. Aceptable.
5. Correcto.

Se figuran posibles respuestas de los auditados. Las preguntas deben sucederse sin
que parezcan encorsetadas ni clasificadas previamente. Basta con que el auditor lleve un pequeo
guin. La complementacin del Checklist no debe realizarse en presencia del auditado, como se
muesra a continuacion:.
Existe personal especfico de vigilancia externa al edificio?
No, solamente un guarda por la noche que atiende adems otra instalacin adyacente.
<Puntuacin: 1 >
Para la vigilancia interna del edificio, Hay al menos un vigilante por turno en los
aledaos del Centro de Clculo?
S, pero sube a las otras 4 plantas cuando se le necesita. <Puntuacin: 2>
Hay salida de emergencia adems de la habilitada para la entrada y salida de
mquinas?
S, pero existen cajas apiladas en dicha puerta. Algunas veces las quitan. <Puntuacin: 2>
El personal de Comunicaciones, Puede entrar directamente en la Sala de
Computadoras?
No, solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente salvo causa muy
justificada, y avisando casi siempre al Jefe de Explotacin. <Puntuacin: 4>
El resultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4)= 9 / 4 = 2,25 Que sera
deficiente.

b. Checklist Binaria:
Esta opcin est constituida por preguntas con dos respuestas nicas y excluyente: Si
o No. Aritmticamente, equivalen a 1 (uno) o 0(cero), respectivamente.
Ejemplo de Checklist Binaria:
Se supone que se est realizando una Revisin de los mtodos de pruebas de programas en el
mbito de Desarrollo de Proyectos.

27

Existe Normativa de que el usuario final compruebe los resultados finales de los programas?
<Puntuacin: 1>
Conoce el personal de Desarrollo la existencia de la anterior normativa? <Puntuacin: 1>
Se aplica dicha norma en todos los casos? <Puntuacin: 0>
Existe una norma por la cual las pruebas han de realizarse con juegos de ensayo o copia de
Bases de Datos reales? <Puntuacin: 0>

Obsrvese como en este caso estn contestadas las siguientes preguntas:


Se conoce la norma anterior?
<Puntuacin: 0>
Se aplica en todos los casos?
<Puntuacin: 0>

Los checklists de rango son adecuados si el equipo auditor no es muy grande y


mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisin en la
evaluacin que en los checklist binarios. Sin embargo, la bondad del mtodo depende excesivamente
de la formacin y competencia del equipo auditor.
Los checklists Binarios siguen una elaboracin inicial mucho ms ardua y compleja.
Deben ser de gran precisin, como corresponde a la suma precisin de la respuesta. Una vez
construidas, tienen la ventaja de exigir menos uniformidad del equipo auditor y el inconveniente
genrico del <si o no> frente a la mayor riqueza del intervalo.

No existen checklists estndar para todas y cada una de las instalaciones informticas
a auditar. Cada una de ellas posee peculiaridades que hacen necesarios los retoques de adaptacin
correspondientes en las preguntas a realizar.

III.2.4

Trazas y/o Huellas.

28

Con frecuencia, el auditor informtico debe verificar que los programas, tanto de los
sistemas como del usuario se realizan exactamente las funciones previstas, y no otras. Para ello se
apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los
caminos que siguen los datos a travs del programa.

Muy especialmente estas Trazas" se utilizan para comprobar la ejecucin de las


validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema.
Si la herramienta auditora produce incrementos apreciables de carga, se convendr de antemano las
fechas y horas ms adecuadas para su empleo.
Por lo que se refiere al anlisis del Sistema, los auditores informticos emplean
productos que comprueban los valores asignados por Tcnica de Sistemas a cada uno de los
parmetros variables de las Libreras ms importantes del mismo. Estos parmetros variables deben
estar dentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunas instalaciones
descompensan el nmero de iniciadores de trabajos de determinados entornos o toman criterios
especialmente restrictivos o permisivos en la asignacin de unidades de servicio segn los tipos
carga. Estas actuaciones, en principio tiles, pueden resultar contraproducentes si se traspasan los
lmites.
No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la descripcin de
la auditora informtica de Sistemas: el auditor informtico emplea preferentemente la amplia
informacin que proporciona el propio Sistema: As, los ficheros de <Accounting> o de
<Contabilidad>, en donde se encuentra la produccin completa de aqul, y los <Log*> de dicho
Sistema, en donde se recogen las modificaciones de datos y se minimiza la actividad general.

Del mismo modo, el Sistema genera automticamente una exacta informacin sobre el
tratamiento de errores de la maquina central, perifricos, etc. (La auditora financiero-contable
convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo
correcto de los clculos de nminas, primas, etc.).

*Log:
El log vendra a ser un historial que informa que fue cambiando y cmo fue cambiando
(informacin). Las bases de datos, por ejemplo, utilizan el log para asegurar a lo que llamamos las
transacciones. Las transacciones son unidades atmicas de cambios dentro de una base de datos;
toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo que va haciendo la
Aplicacin (grabar, modificar, borrar) dentro de esa transaccin, queda grabado en el log. La

29

transaccin tiene un principio y un fin, cuando la transaccin llega a su fin, se vuelca todo a la base
de datos. Si en el medio de la transaccin hubo una interrupcin por alguna razn, lo que se hace es
volver para atrs. El log te permite analizar cronolgicamente que es lo que sucedi con la
informacin que est en el Sistema o que existe dentro de la base de datos.

III.2.5

Software De Interrogacin.

Hasta hace ya algunos aos se han utilizado productos software llamados


genricamente paquetes de auditora, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informtico.
Ms tarde, dichos productos evolucionaron hacia la obtencin de muestreos
estadsticos que permitieran la obtencin de consecuencias e hiptesis de la situacin real de una
instalacin.
En la actualidad, los productos de software especiales para la auditora informtica se
orientan principalmente hacia lenguajes que permiten la interrogacin de ficheros y bases de datos de
la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto
los internos disponen del software nativo propio de la instalacin.
Del mismo modo, la proliferacin de las redes locales y de la filosofa "ClienteServidor", han llevado a las firmas de software a desarrollar interfaces de transporte de datos entre
computadoras personales y mainframe, de modo que el auditor informtico copia en su propia PC la
informacin ms relevante para su trabajo.

Cabe recordar, que en la actualidad casi todos los usuarios finales poseen datos e
informacin parcial generada por la organizacin informtica de la Compaa.
Efectivamente, conectados como terminales al "Host", almacenan los datos
proporcionados por este, que son tratados posteriormente en modo PC. El auditor se ve obligado
(naturalmente, dependiendo del alcance de la auditora) a recabar informacin de los mencionados
usuarios finales, lo cual puede realizar con suma facilidad con los polivalentes productos descritos.
Con todo, las opiniones ms autorizadas indican que el trabajo de campo del auditor informtico debe
realizarse principalmente con los productos del cliente.

30

Finalmente, ha de indicarse la conveniencia de que el auditor confeccione


personalmente determinadas partes del Informe. Para ello, resulta casi imprescindible una cierta
soltura en el manejo de Procesadores de Texto, paquetes de Grficos, Hojas de Clculo, etc.

III.3

AUDITORA INFORMTICA INTERNA Y EXTERNA.

La realizacin de las auditorias depender del encargado de la dependencia, y para la


realizacin de esta le corresponder decidir de qu forma se llevara a cabo, pudindose dividir la
funcin auditora en dos grandes grupos: La auditora externa y la auditora interna. La funcin de
auditora informtica puede existir en cualquiera de los dos entornos.

Figura 12. SELECCIN DE UNA AUDITORA.

III.3.1

Auditora Interna.

La auditora interna es la realizada con recursos materiales y personas que pertenecen


a la empresa auditada. Los empleados que realizan esta tarea son remunerados econmicamente. La
auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin
en cualquier momento. Cuenta con algunas ventajas adicionales muy importantes respecto de la
auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales.
La auditora interna tiene la ventaja de que puede actuar peridicamente realizando
Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen
estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las
Recomendaciones habidas benefician su trabajo.

31

Figura 13. AUDITORIA INTERNA.

III.3.2

Auditora Externa.

La auditora externa es realizada por personas afines a la empresa auditada; es


siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al
mayor distanciamiento entre auditores y auditados.

Figura 14. AUDITORIA EXTERNA.

III.3.3

Concepto de Auditoria Informtica.

Despus de analizar los conceptos de auditora y de informtica, los diferentes tipos de


auditora, as como su interrelacin con informtica, nos hacemos las preguntas: Qu es la auditora
de seguridad informtica? Y cul es su campo de accin?
La auditora de seguridad informtica consiste en la evaluacin, anlisis y generacin
de soluciones para el recurso computacional de una empresa u organizacin. Los procesos cubren
cuatro frentes especficos:

32

1. Auditora desde Internet:


Sirve para identificar las vulnerabilidades a las que se ve expuesto el recurso computacional y
el sitio Web de la organizacin desde Internet por parte de delincuentes informticos.
Claramente los ataques desde Internet crecen cada da y aunque para muchos usuarios no
es muy importante porque consideran que nadie va a estar interesado en su informacin estar
expuestos a ataques desde cualquier rincn del mundo no debera ser una opcin.
2. Auditora desde la red interna (LAN) de la organizacin:
Es para la identificacin de las vulnerabilidades generadas desde el interior de la
organizacin aprovechando los beneficios de la red de rea local. Las estadsticas
demuestran que un considerable nmero de ataques informticos a organizaciones en todas
partes del mundo incluyendo Colombia son provenientes del interior de la misma
organizacin. En muchos casos han sido por trabajadores ofendidos o por empleados
graciosos pero todos han causado grandes daos. Es por esto que no se debe subestimar la
seguridad del interior de la red.
3. Trabajo sobre los equipos:
Se va ejecutando herramientas software de identificacin de vulnerabilidades, identificacin
de tipos de archivos contenidos de software espa, virus informticos y anlisis personales del
estado fsico, lgico y locativo de cada uno de los equipos. Existe un nmero tan elevado de
software potencialmente daino alcanzable por cualquier usuario que es muy importante la
evaluacin del software de cada equipo.
4. Ejecucin de entrevistas:
Se aplica sobre el manejo de las polticas de seguridad fsica, lgica y locativa de los
miembros de la organizacin. Un proceso fundamental en la seguridad de los sistemas es la
evaluacin del manejo del equipo y este manejo se debe referir no solo al componente lgico
sino tambin al manejo fsico y locativo. En este punto es importante hace la diferencia entre
seguridad fsica y locativa. La seguridad locativa se refiere a las instalaciones y la fsica al
manejo del hardware del equipo.
En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una
Auditora propia y permanente, mientras que el resto acude a las auditoras externas. Puede ser que
algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de la
empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de Control
Interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura
Informtica ya no sera independiente. Hoy, ya existen varias organizaciones Informticas dentro de la
misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos
de Sistemas de Informacin de las Empresas.

33

Una Empresa o Institucin que posee auditora interna puede y debe en


ocasiones contratar servicios de auditora externa.
Las razones para hacerlo suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios
no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de
emisin interna de graves recomendaciones que chocan con la opinin generalizada de la
propia empresa.
Servir como mecanismo protector de posibles auditoras informticas externas decretadas por
la misma empresa.
Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la
misma empresa, por lo tanto, es necesario que se le realicen auditoras externas como para
tener una visin desde afuera de la empresa.
La auditora informtica, tanto externa como interna, debe ser una actividad exenta de
cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La
funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto
es, por encargo de la direccin o cliente.
La auditora en informtica deber comprender no slo la evaluacin de los equipos de
cmputo o de un sistema o procedimiento especfico, sino que adems habr de evaluar los sistemas
de informacin en general desde sus entradas, procedimientos, controles, archivos, seguridad y
obtencin de informacin. Ello debe incluir los equipos de cmputo como la herramienta que permite
obtener la informacin adecuada y la organizacin especfica (departamento de TIC, departamento de
informtica, gerencia de procesos electrnicos, etc.) que har posible el uso de los equipos de
computacin.

III.4

LA AUDITORA DE SEGURIDAD INFORMATICA.

Una auditora de seguridad informtica o auditora de seguridad de sistemas de


informacin es el estudio que comprende el anlisis y gestin de sistemas llevado a cabo por
profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que
pudieran presentarse en una revisin exhaustiva de las estaciones de trabajo, redes de
comunicaciones o servidores.

34

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables
quienes debern establecer medidas preventivas de refuerzo y/o correccin siguiendo siempre un
proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas
aprendiendo de los errores cometidos con anterioridad.
Las auditoras de seguridad informtica permiten conocer en el momento de su
realizacin cul es la situacin exacta de sus activos de informacin en cuanto a proteccin, control y
medidas de seguridad.

III.4.1

Fases de una Auditoria.

Los servicios de auditora constan de las siguientes fases:

Enumeracin de redes, topologas y protocolos.


Verificacin del cumplimiento de los estndares internacionales como el ISO.
Identificacin de los sistemas operativos instalados.
Anlisis de servicios y aplicaciones.
Deteccin, comprobacin y evaluacin de vulnerabilidades.
Medidas especficas de correccin.
Recomendaciones sobre implantacin de medidas preventivas.

III.4.2 Tipos de Auditoria.


Los servicios de auditora pueden ser de distinta ndole:

Auditora de seguridad interna: En este tipo de auditora se contrasta el nivel de seguridad


y privacidad de las redes locales y corporativas de carcter interno.
Auditora de seguridad perimetral: En este tipo de anlisis, el permetro de la red local o
corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas
exteriores.
Test de intrusin: El test de intrusin es un mtodo de auditora mediante el cual se intenta
acceder a los sistemas, para comprobar el nivel de resistencia a la intrusin no deseada. Es
un complemento fundamental para la auditora perimetral.
Anlisis forense: El anlisis forense es una metodologa de estudio ideal para el anlisis
posterior de incidentes, mediante el cual se trata de reconstruir cmo se ha penetrado en el
sistema, a la par que se valoran los daos ocasionados. Si los daos han provocado la
inoperabilidad del sistema, el anlisis se denomina anlisis postmortem.

35

Auditora de pginas web: Entendida como el anlisis externo de la web, comprobando


vulnerabilidades como la inyeccin de cdigo sql, Verificacin de existencia y anulacin de
posibilidades de Cross Site Scripting (XSS), etc.
Auditora de cdigo de aplicaciones: Anlisis del cdigo tanto de aplicaciones pginas Web
como de cualquier tipo de aplicacin, independientemente del lenguaje empleado.

Realizar auditoras con cierta frecuencia asegura la integridad de los controles de


seguridad aplicados a los sistemas de informacin. Acciones como el constante cambio en las
configuraciones, la instalacin de parches, actualizacin de los software y la adquisicin de nuevo
hardware hacen necesario que los sistemas estn continuamente verificados mediante auditora

III.4.3

Estndares de Auditoria Informtica y Seguridad.

Una auditora se realiza con base a un patrn o conjunto de directrices o buenas


prcticas sugeridas. Existen estndares orientados a servir como base para auditoras de informtica.
Uno de ellos es COBIT (Objetivos de Control de la Tecnologas de la Informacin), dentro de los
objetivos definidos como parmetro, se encuentra el "Garantizar la Seguridad de los Sistemas".
Adicional a este estndar podemos encontrar el estndar ISO 27002, el cual se conforma como un
cdigo internacional de buenas prcticas de seguridad de la informacin, este puede constituirse
como una directriz de auditora apoyndose de otros estndares de seguridad de la informacin que
definen los requisitos de auditora y sistemas de gestin de seguridad, como lo es el estndar ISO
27001.

Figura 15. ESTANDARES DE SEGURIDAD PARA LA AUDITORA.

36

III.4.4

Proceso de la Auditoria de Sistemas.

Se requieren varios pasos para realizar una auditora. El auditor de sistemas debe
evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de
control y procedimientos de auditoria que deben satisfacer esos objetivos.
El proceso de auditoria exige que el auditor de sistemas rena evidencia, evale
fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare
un informe de auditora que presente esos temas en forma objetiva a la gerencia. Asimismo, la
gerencia de auditoria debe garantizar una disponibilidad y asignacin adecuada de recursos para
realizar el trabajo de auditoria adems de las revisiones de seguimiento sobre las acciones
correctivas emprendidas por la gerencia.

III.4.5

Planificacin de la Auditoria.

Una planificacin adecuada es el primer paso necesario para realizar auditoras de


sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de
realizar la auditoria as como los riesgos del negocio y control asociado.
A continuacin se menciona algunas de las reas que deben ser cubiertas
durante la planificacin de la auditoria:
III.4.5.1

Comprensin del Negocio y de su Ambiente.

Al planificar una auditoria, el auditor de sistemas debe tener una comprensin de suficiente del
ambiente total que se revisa. Debe incluir una comprensin general de las diversas prcticas
comerciales y funciones relacionadas con el tema de la auditoria, as como los tipos de sistemas que
se utilizan. El auditor de sistemas tambin debe comprender el ambiente normativo en el que opera el
negocio. Por ejemplo, a un banco se le exigir requisitos de integridad de sistemas de informacin y
de control que no estn presentes en una empresa manufacturera. Los pasos que puede llevar a
cabo un auditor de sistemas para obtener una comprensin del negocio son: Recorrer las
instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa
industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas
comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisin de planes
estratgicos a largo plazo. Revisin de informes de auditoras anteriores.
III.4.5.2

Riesgo y Materialidad de Auditoria.

37

Se puede definir los riesgos de auditoria como aquellos riesgos de que la informacin
pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha
ocurrido. Los riesgos en auditoria pueden clasificarse de la siguiente manera:
Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no
existen controles compensatorios relacionados que se puedan establecer.
Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma
oportuna por el sistema de control interno.
Riesgo de deteccin: Es el riesgo de que el auditor realice pruebas exitosas a partir de un
procedimiento inadecuado.
El auditor puede llegar a la conclusin de que no existen errores materiales cuando en
realidad los hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se
refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoria.
En una auditoria de sistemas de informacin, la definicin de riesgos materiales
depende del tamao o importancia del ente auditado as como de otros factores. El auditor de
sistemas debe tener una cabal comprensin de estos riesgos de auditoria al planificar. Una auditoria
tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamao de la
muestra es lo suficientemente grande, o se utiliza procedimientos estadsticos adecuados se llega a
minimizar la probabilidad del riesgo de deteccin.
De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir
que en un sistema dado se puede detectar un error mnimo, pero ese error combinado con otros,
puede convertir en un error material para todo el sistema. La materialidad en la auditoria de sistemas
debe ser considerada en trminos del impacto potencial total para el ente en lugar de alguna medida
basado en lo monetario

III.4.5.3

Tcnicas de Evaluacin de Riesgos.

Al determinar que reas funcionales o temas de auditoria que deben auditarse, el


auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoria, el
auditor de sistemas debe evaluar esos riesgos y determinar cules de esas reas de alto riesgo debe
ser auditada.
Existen cuatro motivos por los que se utiliza la evaluacin de riesgos, estos son:
Permitir que la gerencia asigne recursos necesarios para la auditoria. Garantizar que se ha obtenido
la informacin pertinente de todos los niveles gerenciales, y garantiza que las actividades de la
funcin de auditoria se dirigen correctamente a las reas de alto riesgo y constituyen un valor
agregado para la gerencia.

38

Constituir la base para la organizacin de la auditoria a fin de administrar eficazmente


el departamento. Proveer un resumen que describa como el tema individual de auditoria se relaciona
con la organizacin global de la empresa as como los planes del negocio.

III.4.6

Objetivos de Controles y Objetivos de Auditora.

El objetivo de un control es anular un riesgo siguiendo alguna metodologa, el objetivo


de auditoria es verificar la existencia de estos controles y que estn funcionando de manera eficaz,
respetando las polticas de la empresa y los objetivos de la empresa.
La informacin de los sistemas de informacin deber estar resguardada de acceso
incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los
sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser
debidamente aprobados y probados. Los objetivos de auditoria se consiguen mediante los
procedimientos de auditoria.

III.4.6.1

Procedimientos de Auditora.

Algunos ejemplos de procedimientos de auditoria son:


Revisin de la documentacin de sistemas e identificacin de los controles existentes.
Entrevistas con los especialistas tcnicos a fin de conocer las tcnicas y controles aplicados.
Utilizacin de software de manejo de base de datos para examinar el contenido de los
archivos de datos.
Tcnicas de diagramas de flujo para documentar aplicaciones automatizadas

III.4.6.2

Desarrollo del Programa de Auditora.

Un programa de auditoria es un conjunto documentado de procedimientos diseados


para alcanzar los objetivos de auditoria planificados (Ver Anexo 1). El esquema tpico de un
programa de auditoria incluye lo siguiente:
Tema de auditoria: Donde se identifica el rea a ser auditada.

39

Objetivos de Auditoria: Donde se indica el propsito del trabajo de auditoria a realizar.

Alcances de auditoria: Aqu se identifica los sistemas especficos o unidades de


organizacin que se han de incluir en la revisin en un perodo de tiempo determinado.
Planificacin previa: Donde se identifica los recursos y destrezas que se necesitan para
realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares
fsicos o instalaciones donde se va auditar.
Procedimientos de auditoria para:
Recopilacin de datos.
Identificacin de lista de personas a entrevistar.
Identificacin y seleccin del enfoque del trabajo Identificacin y obtencin de polticas,
normas y directivas.
Desarrollo de herramientas y metodologa para probar y verificar los controles
existentes.
Procedimientos para evaluar los resultados de las pruebas y revisiones.
Procedimientos de comunicacin con la gerencia.
Procedimientos de seguimiento.
El programa de auditoria se convierte tambin en una gua para documentar los
diversos pasos de auditoria y para sealar la ubicacin del material de evidencia. Generalmente tiene
la siguiente estructura:

PROCEDIMIENTOS DE
AUDITORIA

LUGAR

PAPELES
TRABAJO
REFERENCIA

HECHO
POR FECHA:

Tabla 1. ESTRUCTURA DE PROGRAMA DE AUDITORA.

Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de


cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las polticas y
procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las

40

polticas o procedimientos son eficaces, esto se puede registrar en el avance del cumplimiento del
Programa (Ver el Anexo 2).

III.4.6.3

Asignacin de Recursos de Auditora.

La asignacin de recursos para el trabajo de auditoria debe considerar las tcnicas de


administracin de proyectos las cuales tienen los siguientes pasos bsicos:
Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y
estimar de manera realista, el tiempo teniendo en cuenta el personal disponible.
Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir
algn mecanismo que permita comparar el progreso real con lo planificado. Generalmente se
utilizan las hojas de control de tiempo.
Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo
proyectado se determina avances o retrasos, se debe reasignar tareas. El control se puede
llevar en un diagrama de Gantt

Figura 16. CARTA GANTT DE UNA AUDITORA INFORMATICA.

As mismo las hojas de control de tiempo son generalmente como sigue:

41

Figura 17. CONTROL TIEMPO - SEMANA.

Los recursos deben comprender tambin las habilidades con las que cuenta el grupo
de trabajo de auditoria y el entrenamiento y experiencia que estos tengan. Tener en cuenta la
disponibilidad del personal para la realizacin del trabajo de auditoria, como los perodos de
vacaciones que estos tengan, otros trabajos que estn realizando, etc.

III.4.7

Evaluacin de Fortalezas y Debilidades de la Auditora.

Luego de desarrollar el programa de auditoria y recopilar evidencia de auditoria, el


siguiente paso es evaluar la informacin recopilada con la finalidad de desarrollar una opinin.
Para esto generalmente se utiliza una matriz de control con la que se evaluar el nivel
de los controles identificados, esta matriz tiene sobre el eje vertical los tipos de errores que pueden
presentarse en el rea y un eje horizontal los controles conocidos para detectar o corregir los errores,
luego se establece un puntaje (puede ser de 1 a 10 0 a 20, la idea es que cuantifique calidad) para
cada correspondencia, una vez completada, la matriz muestra las reas en que los controles no
existen o son dbiles, obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo
hay si es necesario el control.
Por ejemplo: En esta parte de evaluacin de debilidades y fortalezas tambin se debe elegir o
determinar la materialidad de las observaciones o hallazgos de auditoria. El auditor de sistemas debe
juzgar cuales observaciones son materiales a diversos niveles de la gerencia y se debe informar de
acuerdo a ello.

42

Tabla 2. EVALUACION DE DEBILIDADES Y FORTALEZAS.

III.4.8

Informe de Auditora.

Los informes de auditora son el producto final del trabajo del auditor de sistemas, este
informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aqu tambin se
expone la opinin sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados
durante la auditoria, no existe un formato especfico para exponer un informe de auditora de sistemas
de informacin, pero generalmente tiene la siguiente estructura o contenido:
Introduccin al informe, donde se expresara los objetivos de la auditoria, el perodo o alcance
cubierto por la misma, y una expresin general sobre la naturaleza o extensin de los
procedimientos de auditoria realizados.
Observaciones detalladas y recomendaciones de auditoria.
Respuestas de la gerencia a las observaciones con respecto a las acciones correctivas.
Conclusin global del auditor expresando una opinin sobre los controles y procedimientos
revisados.

III.4.8.1

Seguimiento de las Observaciones de Auditora.

El trabajo de auditoria es un proceso continuo, se debe entender que no servira de


nada el trabajo de auditoria si no se comprueba que las acciones correctivas tomadas por la gerencia,
se estn realizando, para esto se debe tener un programa de seguimiento, la oportunidad de
seguimiento depender del carcter crtico de las observaciones de auditoria.

43

El nivel de revisin de seguimiento del auditor de sistemas depender de diversos


factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situacin
actual, en otros casos tendr que hacer una revisin ms tcnica del sistema.

III.4.8.2

Metodologa de una Auditora de Sistemas.

Metodologa de una auditora de Sistemas Existen algunas metodologas de Auditorias


de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como estndar
analizaremos las cuatro fases bsicas de un proceso de revisin:

Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria, efectuar


visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario
para la obtencin de informacin para evaluar preliminarmente el control interno solicitud de
plan de actividades, manuales de polticas, reglamentos, entrevistas con los principales
funcionarios.
Revisin y evaluacin de controles y seguridades: Consiste de la revisin de los diagrama
de flujo de proceso, realizacin de pruebas de cumplimiento de las seguridades, revisin de
aplicaciones de las reas crticas, Revisin de procesos histricos (backups), Revisin de
documentacin y archivos entre otras actividades.
Examen detallado de reas crticas: Con las fases anteriores el auditor descubre las reas
crticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su
grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos,
alcance recurso que usara, definir la metodologa de trabajo, la duracin de la auditoria,
Presentar el plan de trabajo y analizara detalladamente cada problema encontrado con todo
lo anteriormente analizado en este folleto.
Comunicacin de resultados: Se elaborara el borrador del informe a ser discutido con los
ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara
esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque
los problemas encontrados, los efectos y las recomendaciones de la Auditoria.
III.4.8.3

Contenido del Informe de Auditora.

El informe debe contener lo siguiente:


Motivos de la Auditoria.

Objetivos.

44

Alcance.
Estructura Orgnico-Funcional del rea
Informtica.

Configuracin del Hardware y Software


instalado.
Control Interno.
Resultados de la Auditoria.
Caso Prctico.
Controles.

El conjunto de disposiciones metdicas: Cuyo fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados,
rdenes impartidas y principios admitidos.

III.4.9

Clasificacin General de los Controles.

Controles Preventivos: Son aquellos que reducen la frecuencia con que ocurren las causas
del riesgo, permitiendo cierto margen de violaciones.
Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones o actualizar el
sistemas de claves de acceso.
Controles Detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que
los detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven
para evaluar la eficiencia de los controles preventivos.
Ejemplo: Archivos y procesos que sirvan como pistas de auditoria y los procedimientos
de validacin.
Controles Correctivos: Ayudan a la investigacin y correccin de las causas del riesgo. La
correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de
controles detectivos sobre los controles correctivos, debido a que la correccin de errores es
en s una actividad altamente propensa a errores.
III.4.9.1

Principales Controles fsicos y lgicos.

Existen Controles particulares tanto en la parte fsica como en la parte lgica. Los
cambios de las claves de acceso a los programas se deben realizar peridicamente. Normalmente los
usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. El no cambiar las
claves peridicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen
claves de usuarios del sistema de computacin.

45

Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.


No es conveniente que la clave este compuesta por cdigos de empleados, ya que una
persona no autorizada a travs de pruebas simples o de deducciones puede dar con dicha clave.

Para redefinir claves es necesario considerar los tipos de claves que existen:
Individuales: Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave
permite al momento de efectuar las transacciones registrar a los responsables de cualquier
cambio.
Confidenciales: De forma confidencial los usuarios debern ser instruidos formalmente
respecto al uso de las claves.
No significativas: Las claves no deben corresponder a nmeros secuenciales ni a nombres o
fechas.
Verificacin de datos de entrada: Incluir rutinas que verifiquen la compatibilidad de los datos
mas no su exactitud o precisin; tal es el caso de la validacin del tipo de datos que contienen
los campos o verificar si se encuentran dentro de un rango.
Conteo de registros: Consiste en crear campos de memoria para ir acumulando cada
registro que se ingresa y verificar con los totales ya registrados.
Totales de Control: Se realiza mediante la creacin de totales de lnea, columnas, cantidad
de formularios, cifras de control, etc., y automticamente verificar con un campo en el cual se
van acumulando los registros, separando solo aquellos formularios o registros con diferencias.
Verificacin de lmites: Consiste en la verificacin automtica de tablas, cdigos, lmites
mnimos y mximos o bajo determinadas condiciones dadas previamente.
Verificacin de secuencias: En ciertos procesos los registros deben observar cierta
secuencia numrica o alfabtica, ascendente o descendente, esta verificacin debe hacerse
mediante rutinas independientes del programa en si.
Dgito auto verificador: Consiste en incluir un dgito adicional a una codificacin, el mismo
que es resultado de la aplicacin de un algoritmo o formula, conocido como MODULOS, que
detecta la correccin o no del cdigo. Tal es el caso por ejemplo del digito verificador del RUT
en la cdula de identidad Chilena.

46

Utilizar software de seguridad en los microcomputadores: El software de seguridad


permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado
pueda utilizarlo. Adicionalmente, este software permite reforzar la segregacin de funciones y
la confidencialidad de la informacin mediante controles para que los usuarios puedan
acceder solo a los programas y datos para los que estn autorizados. Programas de este tipo
son: WACHDOG, LATTICE, SECRET DISK, entre otros.

III.4.10

Controles Administrativos en un Ambiente de Procesamiento de Datos.

La mxima autoridad del rea de Informtica de una empresa o institucin debe


implantar los siguientes controles que se agruparan de la siguiente forma:
1.
2.
3.
4.
5.
6.

Controles de Preinstalacin
Controles de Organizacin y Planificacin
Controles de Sistemas en Desarrollo y Produccin
Controles de Procesamiento
Controles de Operacin
Controles de uso de Microcomputadores.

III.4.10.1

Controles de Preinstalacin.

Hacen referencia a procesos y actividades previas a la adquisicin e instalacin de un


equipo de computacin y obviamente a la automatizacin de los sistemas existentes.
Objetivos:
Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de
que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra
alternativa.
Garantizar la seleccin adecuada de equipos y sistemas de computacin.
Asegurar la elaboracin de un plan de actividades previo a la instalacin.

Acciones a seguir:

47

Elaboracin de un informe tcnico en el que se justifique la adquisicin del equipo, software y


servicios de computacin, incluyendo un estudio costo-beneficio.
Formacin de un comit que coordine y se responsabilice de todo el proceso de adquisicin e
instalacin.
Elaborar un plan de instalacin de equipo y software (fechas, actividades, responsables) el
mismo que debe contar con la aprobacin de los proveedores del equipo.
Elaborar un instructivo con procedimientos a seguir para la seleccin y adquisicin de equipos,
programas y servicios computacionales. Este proceso debe enmarcarse en normas y
disposiciones legales.
Efectuar las acciones necesarias para una mayor participacin de proveedores.
Asegurar respaldo de mantenimiento y asistencia tcnica.

III.4.10.2

Controles de organizacin y Planificacin.

Se refiere a la definicin clara de funciones, lnea de autoridad y responsabilidad de las


diferentes unidades del rea PAD, en labores tales como:

Disear un sistema
Elaborar los programas
Operar el sistema
Control de calidad

Se debe evitar que una misma persona tenga el control de toda una operacin. Es
importante la utilizacin ptima de recursos mediante la preparacin de planes a ser evaluados
continuamente.

Acciones a seguir:
La unidad informtica debe estar al ms alto nivel de la pirmide administrativa de manera que
cumpla con sus objetivos, cuente con el apoyo necesario y la direccin efectiva.

48

Las funciones de operacin, programacin y diseo de sistemas deben estar claramente


delimitadas.
Deben existir mecanismos necesarios a fin de asegurar que los programadores y analistas no
tengan acceso a la operacin del computador y los operadores a su vez no conozcan la
documentacin de programas y sistemas.
Debe existir una unidad de control de calidad, tanto de datos de entrada como de los
resultados del procesamiento.
El manejo y custodia de dispositivos y archivos magnticos deben estar expresamente
definidos por escrito.
Las actividades del equipo deben obedecer a planificaciones a corto, mediano y largo plazo
sujetos a evaluacin y ajustes peridicos "Plan Maestro de Informtica".
Debe existir una participacin efectiva de directivos, usuarios y personal del rea de
Informtica en la planificacin y evaluacin del cumplimiento del plan.
Las instrucciones deben impartirse por escrito.

III.4.10.3

Controles de Sistema en Desarrollo y Produccin.

Se debe justificar que los sistemas han sido la mejor opcin para la empresa, bajo una
relacin costo-beneficio que proporcionen oportuna y efectiva informacin, que los sistemas se han
desarrollado bajo un proceso planificado y se encuentren debidamente documentados.

Acciones a seguir:
Los usuarios deben participar en el diseo e implantacin de los sistemas pues aportan
conocimiento y experiencia de su rea y esta actividad facilita el proceso de cambio
El personal de auditoria interna/control debe formar parte del grupo de diseo para sugerir y
solicitar la implantacin de rutinas de control.

49

El desarrollo, diseo y mantenimiento de sistemas obedece a planes especficos,


metodologas estndares, procedimientos y en general a normatividad escrita y aprobada.
Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas
u otros mecanismos a fin de evitar reclamos posteriores.
Los programas antes de pasar a Produccin deben ser probados con datos que agoten todas
las excepciones posibles.
Todos los sistemas deben estar
documentacin deber contener:

debidamente

documentados

actualizados.

La

Informe de factibilidad
Diagrama de bloque
Diagrama de lgica del programa
Objetivos del programa
Listado original del programa y versiones que incluyan los cambios efectuados con
antecedentes de pedido y aprobacin de modificaciones.

Formatos de salida
Resultados de pruebas realizadas
Implantar procedimientos de solicitud, aprobacin y ejecucin de cambios a programas,
formatos de los sistemas en desarrollo.
El sistema concluido ser entregado al usuario previo entrenamiento y elaboracin de los
manuales de operacin respectivos

III.4.10.4

Controles de Procesamiento.

Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la


entrada hasta la salida de la informacin, lo que conlleva al establecimiento de una serie de
seguridades para:
Asegurar que todos los datos sean procesados
Garantizar la exactitud de los datos procesados
Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoria
Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las
mejores condiciones.

50

Acciones a seguir:
Validacin de datos de entrada previo procesamiento debe ser realizada en forma automtica:
clave, dgito auto verificador, totales de lotes, etc.
Preparacin de datos de entrada debe ser responsabilidad de usuarios y consecuentemente
su correccin.
Recepcin de datos de entrada y distribucin de informacin de salida debe obedecer a un
horario elaborado en coordinacin con el usuario, realizando un debido control de calidad.
Adoptar acciones necesarias para correcciones de errores.
Analizar conveniencia costo-beneficio de estandarizacin de formularios, fuente para agilitar la
captura de datos y minimizar errores.
Los procesos interactivos deben garantizar una adecuada interrelacin entre usuario y
sistema.
Planificar el mantenimiento del hardware y software, tomando todas las seguridades para
garantizar la integridad de la informacin y el buen servicio a usuarios.

III.4.10.5

Controles de Operacin.

Abarcan todo el ambiente de la operacin del equipo central de computacin y


dispositivos de almacenamiento, la administracin de la cintoteca y la operacin de terminales y
equipos de comunicacin por parte de los usuarios de sistemas online.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Informtica
durante el desarrollo de un proceso.
Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios
Garantizar la integridad de los recursos informticos.
Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos.

51

Los Recursos Informticos


Acciones a seguir:
El acceso al centro de informtica debe contar con las seguridades necesarias para reservar
el ingreso al personal autorizado.
Implantar claves o password para garantizar operacin de consola y equipo central
(mainframe), a personal autorizado.
Formular polticas respecto a seguridad, privacidad y proteccin de las facilidades de
procesamiento ante eventos como: incendio, vandalismo, robo y uso indebido, intentos de
violacin y como responder ante esos eventos.
Mantener un registro permanente (bitcora) de todos los procesos realizados, dejando
constancia de suspensiones o cancelaciones de procesos.
Los operadores del equipo central deben estar entrenados para recuperar o restaurar
informacin en caso de destruccin de archivos.
Los backups no deben ser menores de dos (padres e hijos) y deben guardarse en lugares
seguros y adecuados, preferentemente en bvedas de bancos.

Se deben implantar calendarios de operacin a fin de establecer prioridades de proceso.


Todas las actividades del Centro de Computo deben normarse mediante manuales,
instructivos, normas, reglamentos, etc.
El proveedor de hardware y software deber proporcionar lo siguiente:

Manual de operacin de equipos.


Manual de lenguaje de programacin.
Manual de utilitarios disponibles.
Manual de Sistemas operativos.

Las instalaciones deben contar con sistema de alarma por presencia de fuego, humo, as
como extintores de incendio, conexiones elctricas seguras, entre otras.
Instalar equipos que protejan la informacin y los dispositivos en caso de variacin de voltaje
como: reguladores de voltaje, supresores pico, UPS, generadores de energa.

52

Contratar plizas de seguros para proteger la informacin, equipos, personal y todo riesgo que
se produzca por casos fortuitos o mala operacin.

III.4.10.6

Controles en el uso del Microcomputador.

Es la tarea ms difcil pues son equipos ms vulnerables, de fcil acceso, de fcil


explotacin pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad
de la informacin.
Acciones a seguir:
Adquisicin de equipos de proteccin como supresores de pico, reguladores de voltaje y de
ser posible UPS previo a la adquisicin del equipo.
Vencida la garanta de mantenimiento del proveedor se debe contratar mantenimiento
preventivo y correctivo.
Establecer procedimientos para obtencin de backups de paquetes y de archivos de datos.
Revisin peridica y sorpresiva del contenido del disco para verificar la instalacin de
aplicaciones no relacionadas a la gestin de la empresa.
Mantener programas y procedimientos de deteccin e inmunizacin de virus en copias no
autorizadas o datos procesados en otros equipos.
Propender a la estandarizacin del Sistema Operativo, software utilizado como procesadores
de palabras, hojas electrnicas, manejadores de base de datos y mantener actualizadas las
versiones y la capacitacin sobre modificaciones incluidas.
Analizados los distintos tipos de controles que se aplican en la Auditoria de Sistemas
efectuaremos a continuacin el anlisis de casos de situaciones hipotticas planteadas como
problemticas en distintas empresas, con la finalidad de efectuar el anlisis del caso e identificar las
acciones que se deberan implementar.

III.4.11

Anlisis de Casos de Controles Administrativos.

III.4.11.1

Planificacin de la Auditoria.

53

La preparacin de una auditora es de mxima importancia y se debe realizar


profesionalmente para que todo resulte satisfactoriamente y sea bien eficaz.
La preparacin de auditoras se puede dividir en cuatro elementos:

Figura 18. ELEMENTOS DE LA AUDITORIA.

III.4.11.2

Determinacin del mbito de auditora.

El auditor debe asegurarse de qu procesos o reas deber examinar primeramente.


sta es una informacin que ser proporcionada por el Programa de Auditora y/o el personal
responsable de la programacin de la auditora. Esto se puede saber por sentido comn pero es muy
importante que se comprenda claramente la magnitud de la auditora, de lo contrario la naturaleza
global del Programa de Auditora se ver comprometida.
Sin embargo, esto no slo lo deben comprender el auditor y quien programa la
auditora, porque existe una parte importante en ella que desempea un papel clave en el proceso de
auditora, es decir, el auditado. Si ellos no estn involucrados en esta etapa tan temprana de la
auditora, existe el riesgo de malentendidos y problemas durante la misma. Si se plantea este tema
por primera vez en la reunin de apertura, ser demasiado tarde. Mientras se acuerda el mbito en la
etapa de preparacin, se puede tambin concretar el itinerario de auditora (Ver el Anexo 3).
III.4.11.3

Estudio de documentacin relevante.

Una vez, establecido el mbito de auditora, se desarrollar un estudio inicial que,


consistir en una revisin general de:
El manual de calidad y los procedimientos de aplicacin (si estn disponibles), al rea
auditada.

54

Reglamentacin, especificaciones tcnicas, etc., que tpicamente se aplican al rea auditada.


Los resultados de la ltima auditora del rea, adems de los (documentos de trabajo
disponibles (ej., listas de comprobacin) relacionados con esa rea.
Informes de anlisis de accin correctora relativos al rea.
En esta etapa la revisin no se realizar en profundidad, y el auditor debe tener en
cuenta:
Que el mbito de auditora sea adecuado.
Tiempo necesario para preparar las listas de control (Compatible con el tiempo
asignado).
Tiempo necesario para realizar la auditora (Compatible con el tiempo asignado).
En dicha etapa, tambin resulta til que el auditor revise su propio procedimiento de
auditora para asegurarse de que lo ha comprendido, y teniendo en cuenta especialmente los
cambios desde que se vio involucrado en el proceso de auditora.

Figura 19. ESTUDIO CON EL EQUIPO DE AUDITORA.

Durante la preparacin de una auditora en particular, puede que no existan


procedimientos formales para el proceso que se va a auditar. En este caso, tendremos que preparar
muchas preguntas que formularemos durante la auditora y comprender los siguientes aspectos del
proceso:

55

Objetivos/ metas/ puntos de mira


Entradas
Etapas del proceso
Salidas
Controles
Mecanismos
Medidas
Resultados

III.4.11.4

Acordar un itinerario de auditora.

Establecer un dilogo entre el auditor y el responsable del rea que se va a auditar,


antes de la fecha de auditora, facilita el desarrollo de la misma. Sin embargo, el auditor deber
cumplir con su propio procedimiento y lo har de manera formal. Ej, memorndum, notificacin
formal, visita, etc.
Sin tener en cuenta la manera en que se hace esto, el auditor deber establecer lo
siguiente:
Duracin total de la auditora.
Ubicacin y hora de inicio.
mbito y reas que se van visitar.
Agenda, detallando el progreso de la auditora, siempre y cuando sea de aplicacin, ej. si hay
que visitar varios departamentos.
Planificar la reunin final para aprobar los resultados de la auditora y debatir los requisitos de
la accin correctora.
Personal responsable que deber estar relacionado con la auditora, en cada etapa de la
misma.
Tal y como se ha establecido previamente, si esto no se comprende claramente
durante la preparacin de esta etapa, aumentar el grado de incomprensin. El dilogo en esta etapa
establece el "tono" de la auditora, y puede afectar al compromiso y nivel de cooperacin que se
muestra en el rea durante sta y posteriores auditoras.

56

III.4.11.5

Preparacin de la documentacin de trabajo.

El formato y la cantidad de documentos de trabajo utilizados durante la auditora,


depende de los requisitos de procedimiento de la empresa y/o de la preferencia de los auditores en
particular. Normalmente incluirn listas de comprobacin y formatos estndar utilizados para informar
de las no conformidades u observaciones.
El formato de las listas de comprobacin vara de forma considerable de una empresa
a otra, pero un requisito fundamental es que el auditor se sienta cmodo utilizndolo. Slo se podr
utilizar como recordatorio, en cuyo caso se puede cambiar a un formato para uso personal o puede
formar parte de los informes de auditora y detallar el mbito y el desarrollo de la auditora.
Se recomienda que, a efectos de las auditoras internas se desarrollen listas de
comprobacin, aunque sean limitadas.
Se deben evitar las listas de comprobacin de tipo estndar preparados por otro
personal. Este tipo de lista de comprobacin resultar en una restriccin innecesaria y anular la
iniciativa del auditor.
Aunque los auditores siempre deben actuar dentro del mbito de la auditora, los
documentos de trabajo no debern ser definidos de manera fija, porque restringiran actividades o
investigaciones adicionales que resultan necesarias para la informacin que se obtiene de la
auditora.
Un tema de debate es si se debe utilizar una lista de comprobacin ya utilizada, o una
nueva. Aunque es preferible una lista nueva, puede que no resulte prctica en cuanto a los recursos
disponibles. Se podran utilizar listas de comprobacin disponibles, pero se deben revisar
comparndolas con la documentacin relevante, y establecer as su aplicacin contina.
III.4.11.6

Contenido de las listas de comprobacin.

Cuando se audite un Procedimiento o rea, se deben tener en cuenta ciertos aspectos


generales. Cuando se prepare una lista de comprobacin se considerar cada uno de estos puntos:
Cuestiones para comprender mejor lo siguiente:
Proceso
Etapas del proceso
Controles del proceso
Mtodos para verificar la conformidad y eficacia:
Preguntas o Registros o Informes
Actividades
Detalles de rutas de auditora

57

Se utilizan diferentes formatos para la elaboracin de listas de control:


Tabuladas con campos para:
Puntos que se deben incluir o verificar
Mtodo que se va a utilizar
Referencia del sistema
Notas del auditor
Diagramas de flujo.
Mapas Mentales.
Anotaciones del propio procedimiento.
El auditor probar formatos diferentes y utilizar el que ms le acomode y prefiera. Sea
cual fuere el formato que se utilice, el auditor se asegurar que las cuestiones y tpicos siguen una
secuencia lgica. Los auditores establecern mentalmente un esquema de la secuencia de
acontecimientos propuestos en la auditora y se reflejar en la lista de comprobacin.

III.4.12

Procesos de Auditora.

Cuando realcennos una auditora, verificaremos procesos dentro del sistema de


gestin. La estructura del Sistema de Gestin se puede representar en dos procesos diferentes:
1. Vertical: Relacionado con lo propuesto por la Poltica de Calidad, Objetivos de Calidad y
Planificacin de Calidad.
2. Horizontal: Relacionado con el proceso de realizacin del producto.

58

Figura 20. LOS FLUJOS DEL PROCESO.

Tambin es importante comprender la definicin de auditora. Como auditores,


debemos finalizar el proceso de auditora y verificar el vertical y el horizontal.
Por lo tanto, en las listas de control debemos anotar cmo vamos a hacer la verificacin:
Proceso vertical:
Objetivos relevantes: De organizacin Localizados
Proceso horizontal
Proceso / procesos especficos: Entradas
Salidas Controles Mecanismos Medidas Resultados
Sin embargo, debemos tener presente, que:
No podernos esperar a ver un procedimiento documentado para el proceso vertical.
Es mejor comenzar a comprender las implicaciones / requisitos del proceso vertical, porque
ayudar al auditado a centrarse en los temas clave del proceso y dar prioridad a lo necesario.
Los auditores no pueden esperar a ver los objetivos en cada funcin, departamento o nivel de
proceso.

59

Puede que no haya procedimientos documentados disponibles para algunos de los procesos
horizontales.
Por lo tanto, el auditor tendr que concentrarse en aspectos como:

III.4.12.1

Entradas
Salidas
Controles
Mecanismos
Resultados

Seis etapas del proceso de auditora.

El "Proceso de Seis Etapas" es como se denomina a la estructura til para llevar a


cabo una auditora.
Si este proceso es adaptado, formar un marco para la lista de comprobacin y si se
sigue, asegurar la realizacin de todas las actividades necesarias de la auditora. El propsito de
cada etapa es el siguiente:
1.

Situar la escena:
Introduccin y explicaciones informales para:
Relajar al auditado.
Informar al auditado del proceso de auditora.

2.

Confirmar aspectos bsicos:

3.

Para determinar.
Estructura de organizacin.
Asignacin de responsabilidades.
Estado del sistema documentado.
Competencia y formacin de personal.

Establecer el proceso:

Para comprender el proceso que se va a auditar.


Identificar las etapas del proceso.
Identificar lo que sucede en cada etapa del proceso.
Es vital, si la documentacin es limitada.
Para establecer cmo se controla el proceso

60

4. Buscar evidencias objetivas:


Recopilacin de evidencias que demuestren la conformidad y eficacia del sistema:
Formulando preguntas al personal.
Revisando informes.
Observando las actividades.
5.

Volver a comprobarlo:

6.

Confirmar la conformidad con los planes acordados.


Establecer rutas de auditora.
Seguimiento de rutas previamente establecidas.
Confirmando que todos los aspectos de la auditora se han cubierto.

Cierre.
Agradezca la cooperacin.
Resuma las conclusiones hasta el momento.
Informe al auditado de lo que va a ocurrir a continuacin.

Es normal que los auditores dividan el proceso en pequeas partes para facilitar el
trabajo. Esto significa que las etapas 3,4 y 5 pueden repetirse varias veces en un mismo proceso, ej.
En lugar de examinar todo un proceso de inspeccin final dentro de una empresa. Se puede dividir
en:
Ensayo del producto final
Salida del producto de reas de despacho
Producto en rea de envo
Este ciclo tambin se puede repetir a un pequeo nivel en cada paso del proceso. Este
sistema puede resultar especialmente til para las situaciones siguientes:
El auditor posee un conocimiento limitado del proceso que se va a auditar.
No existe un procedimiento documentado del proceso que se va a auditar.
Finalmente, las listas de comprobacin estructuradas y recopiladas de manera
apropiada, aseguran que la auditora est estructurada de manera que evita la evaluacin limitada y
superficial de un proceso.

61

III.4.13

Evaluacin de la Seguridad.

En primer lugar se repasan los principales estndares (ISO 27001) y las legislaciones,
que nos ayudarn a tener una visin global de los elementos que intervienen en la infraestructura de
seguridad y los controles que pueden establecerse.
A continuacin se repasan los principios bsicos y los requisitos que se han de cumplir
respecto a la seguridad.
III.4.13.1

Seguridad Lgica y Confidencial.

Imagnese que, por una u otra razn, la base de datos de un banco sea destruido o
usados inapropiadamente, cunto tiempo pasara para que esta organizacin estuviese nuevamente
en operacin? La informacin de una empresa puede ser el activo ms valioso y al mismo tiempo el
ms vulnerable.
En la situacin actual de criminologa, los delitos de "cuello blanco" han incluido la
modalidad de los delitos hechos mediante la computadora o los sistemas de informacin de los
cuales el 95% de los detectados han sido descubiertos por accidentes y la gran mayora no han sido
divulgados para evitar dar ideas a personas mal intencionadas. Es as como la computadora ha
modificado las circunstancias tradicionales del crimen; muestra de ello son los fraudes, falsificaciones
y venta de informacin hechos a las computadoras o por medio de computadoras.
Durante mucho tiempo se consider que los procedimientos de auditora y seguridad
eran responsabilidad de la persona que elabora los sistemas sin considerar que son responsabilidad
del usuario y del departamento de auditora interna.
Entre los crmenes ms conocidos (muchos de ellos no son identificados o divulgados
para evitar repercusiones) estn el del Banco Wells Fargo Co. ($21.3 millones de dlares), en el cual
se evidenci que la proteccin de los archivos es todava inadecuada, y la publicada el 17 de
septiembre de 1987 en la que dos alemanes entraron a los archivos confidenciales de la NASA. Otro
de los delitos que se han cometido en los bancos estn en insertar mensajes fraudulentos o bien
transferir dinero de una cuenta, otra, con la consecuente ganancia de los intereses.
Existe tambin el caso de un muchacho de 15 aos que entr a la computadora de la
Universidad de Berkeley en California y destruy los archivos, y el estudiante de la escuela Dalton en
Manhattan que entr a la red canadiense, identificndose como un usuario de alta prioridad y tom el
control de los sistemas de una embotelladora de Canad. Ejemplos como stos existen muchos y la
mayora de ellos no se dan a conocer para no dar ideas a personas que puedan cometer delitos o
bien para evitar problemas de publicidad negativa.

62

En chile tenemos un caso reciente en donde una joven de 19 aos fue condenada por
sabotaje informtico ya que fue investigada por la Fiscala de Chilln debido a que, tras acceder a la
plataforma digital del DEMRE, cancel la solicitud de postulacin universitaria de una estudiante.
La indagatoria dirigida por la fiscal Paulina Valdebenito, quien permiti determinar que
la imputada cancel desde su computador la postulacin universitaria de la estudiante perjudicada,
quien egres de un colegio de la capital de uble, y que aspiraba a ingresar a estudiar a una
universidad de Santiago.
Segn se inform, la vctima, tras recibir los resultados de la PSU, postul a la carrera
de Derecho de la Pontificia Universidad Catlica. Su puntaje le alcanzaba para ingresar a la carrera,
sin embargo, cuando se publicaron las listas de seleccionados ella no apareca. En la universidad le
expusieron que nunca se haba hecho la postulacin, a lo que replic exhibiendo el comprobante que
otorga la plataforma digital en la que se realiza el trmite.
Revisando el sistema, le indicaron que si bien su postulacin ingres, ms tarde fue
cancelada. Se hizo la denuncia a la Brigada del Cibercrimen de la PDI, quienes despus de una
investigacin obtuvieron la direccin IP desde donde se efecto la cancelacin.
Finalmente se logr dar con la joven responsable, instancia en la que revel que
obtuvo los datos personales de la vctima a travs de una fotografa que esta public en Instagram,
en la que se exhiba la cartola de postulacin.

FOTO 21: NOTICIA DE SABOTAJE INFORMATICO BIOBIO CHILE.

Otra amenaza que se ha visto en la actualidad, y principalmente en las computadoras


personales, el llamado "virus" de las computadoras, el cual, aunque tiene diferentes intenciones, se
encuentra principalmente para paquetes que son copiados sin autorizacin ("piratas") y borra toda la
informacin que se tiene en un disco.

63

Se trata de pequeas subrutinas escondidas en los programas que se activan cuando


se cumple alguna condicin; por ejemplo, haber obtenido una copia en forma ilegal, y puede
ejecutarse en una fecha o situacin predeterminada. El virus normalmente los ponen los diseadores
de algn tipo de programa (software) para "castigar" a quienes lo roban o copian sin autorizacin o
bien por alguna actitud de venganza en contra de la organizacin. (En la actualidad existen varios
productos para detectar los virus.)
Existen varios tipos de virus pero casi todos actan como "caballos de Troya", es decir,
se encuentran dentro de un programa y actan a determinada indicacin.
Un ejemplo es la destruccin de la informacin de la compaa USPA & IRA de Forth
Worth; cuando despidieron a un programador en 1985, ste dej una subrutina que destrua
mensualmente la informacin de las ventas. Este incidente provoc el primer juicio en Estados Unidos
contra una persona por sabotaje a la computadora.
Existe otro caso conocido como el virus de Navidad, en el cual el empleado de una
compaa multinacional elabor un programa que automticamente entraba al correo electrnico
internacional y dejaba un mensaje de felicidades. Al momento en que la persona que reciba el
mensaje entraba a su correo electrnico (para lo que deba teclear su llave de seguridad) encontraba
un mensaje de felicitacin por la Navidad. Automticamente el programa tomaba el directorio del
usuario, enviaba mensajes idnticos a todas las personas que se encontraban en el directorio. Esto,
que aparentemente tuvo buenas intenciones, gener mensajes en forma exponencial bloqueando
toda la red internacional de la compaa.
Otro virus es el conocido como Pakistan, debido a que fue elaborado por estudiantes
pakistanes de 19 a 26 aos. Este virus fue introducido en un paquete de computadoras personales y
fue copiado para todo turista que comprara el paquete en Pakistn como una forma de "escarmiento"
para los que adquiran esa copia pirata.
stos son solamente algunos ejemplos de virus que existen, los cuales tambin
pueden ser activados como si fueran "bomba de tiempo", en una fecha determinada y pueden causar
la destruccin de la informacin, el que suene la bocina de la computadora en forma constante o que
aparezca un carcter en la pantalla que se mueve por todo el video.
Al auditar los sistemas, se debe tener cuidado que no se tengan copias "piratas"
o bien que, al conectarnos en red con otras computadoras, no exista la posibilidad de
transmisin del virus.
El crecimiento de los fraudes por computadora ha hecho patente que la potencialidad
de los crmenes crece en forma ms rpida que en los sistemas de seguridad (se considera que en
los Estados Unidos se cometieron anualmente crmenes, denunciados o no, por ms de tres mil
millones de dlares).

64

Los motivos de los delitos por computadora normalmente son por:


Beneficio personal.
Beneficios para la organizacin.
Sndrome de Robn Hood (por beneficiar a otras personas).
Jugando a jugar.
Fcil desfalcar.
El departamento es deshonesto.
Odio a la organizacin (revancha).
El individuo tiene problemas financieros.
La computadora no tiene sentimientos ni delata.
Equivocacin de ego (deseo de sobresalir en alguna forma).
Mentalidad turbada.

FOTO 22: DETECCIN DE UN VIRUS DE COMPUTADORA.

Se considera que hay en cuatro factores que han permitido el incremento en los delitos
cibernticos. Estos factores son:
1. El aumento de personas que se encuentran estudiando Computacin.
2. El aumento del nmero de empleados que tienen acceso a los equipos.
3. La facilidad en el uso de los equipos de computacin.
4. El incremento en la concentracin del nmero de las aplicaciones y consecuentemente, de la
informacin.
.
En la actualidad las compaas cuentan con grandes dispositivos para seguridad fsica
de las computadoras y se tiene la idea que los sistemas no pueden ser violados si no se entra al

65

centro de cmputo, olvidndose del uso de terminales y de sistemas remotos de teleproceso. Se


piensa, como en el caso de la seguridad de incendio o robo, que "eso no me puede suceder a m o es
poco probable que suceda aqu".
Algunos gerentes creen que las computadoras y sus programas son tan complejos que
nadie fuera de su organizacin los va a entender y no les van a servir; pero en la actualidad existe un
gran nmero de personas que pueden captar y usar la informacin que contiene un sistema y
considerar hacer esto como un segundo ingreso.
En forma paralela al aumento de los fraudes hechos a los sistemas computarizados, se
han perfeccionado los sistemas de seguridad tanto fsica como lgica; pero la gran desventaja del
aumento en la seguridad lgica es que se requiere consumir un nmero mayor de recursos de
cmputo para lograr tener una adecuada seguridad, lo ideal es encontrar un sistema de acceso
adecuado al nivel de seguridad requerido por el sistema con el menor costo posible. En los desfalcos
por computadora (desde un punto de vista tcnico), hay que tener cuidado con los "caballos de troya"
que son programas a los que se les encajan rutinas que sern activadas con una seal especfica.
El tipo de seguridad puede comenzar desde la simple llave de acceso (contrasea o
password) hasta, sistemas ms complicados, pero se debe evaluar que, cuando ms complicados
sean los dispositivos de seguridad, resultan ms costosos. Por lo tanto, se debe mantener una
adecuada relacin de seguridad-costo en los sistemas de informacin.

Un mtodo eficaz para proteger sistemas de computacin es el software de control de


acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no
autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin
confidencial.
Dichos paquetes han sido populares desde hace muchos aos en el mundo de las
computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos de
estos paquetes. Sin embargo, los paquetes de control de acceso basados en contraseas pueden ser
eludidos por delincuentes sofisticados en computacin y no podra dependerse de esos paquetes por
s solos para brindar seguridad adecuada.
El sistema integral de seguridad debe comprender:
Elementos administrativos.
Definicin de una poltica de seguridad.
Organizacin y divisin de responsabilidades.
Seguridad fsica y contra catstrofes (incendio, terremoto etc.).

66

Prcticas de seguridad del personal.


Plizas de seguros.
Elementos tcnicos y procedimientos de seguridad (de equipos y de sistemas, incluyendo
todos los elementos, tanto redes como terminales).
Aplicacin de sistemas de seguridad, incluyendo datos y archivos.
El papel de los auditores, tanto internos como externos.
Planeacin de programas de desastre y su prueba.
Uno de los puntos que se debe auditar con ms detalle es el de tener las cifras de
control y el medio adecuado que nos permita conocer en el momento que se produce un cambio o un
fraude en el sistema. Otro ejemplo es en el caso de la contabilidad en forma manual. Se tienen una
serie de indicadores (volumen de operaciones, cantidades, etc.) que nos permiten auditar en forma
rpida y eficiente al sistema; este tipo de indicadores deben ser incluidos dentro del sistema
computarizado, logrando en lo posible que el mismo sistema y la computadora "acte" como su
propio auditor.

Se debe evaluar el nivel de riesgo que puede tener la informacin para poder hacer un
adecuado estudio costo/beneficio entre el costo por prdida de informacin y el costo de un sistema
de seguridad, para lo cual se debe considerar lo siguiente:
Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) identificar aquellas
aplicaciones que tengan un alto riesgo.
Cuantificar el impacto en el caso de suspensin del servicio en aquellas aplicaciones con un
alto riesgo
Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se
requiera.

Una vez que hemos definido el grado de riesgo, hay que elaborar una lista de los
sistemas con las medidas preventivas que se deben tomar, as como las correctivas en caso de
desastre sealndole a cada uno su prioridad.

67

En caso de desastre se procurar trabajar los sistemas de acuerdo con sus


prioridades, ya que no se podrn trabajar los sistemas en otra instalacin, en la misma forma que se
venan trabajando en la instalacin original.
Hay que tener mucho cuidado con la informacin que sale de la oficina, su utilizacin y
que sea borrada al momento de dejar la instalacin que est dando respaldo.
Segn una de las 8 grandes firmas estadounidenses de contadores pblicos, los
planes de seguridad deben asegurar la integridad y exactitud de los datos; permitir identificar la
informacin que sea confidencial, de uso exclusivo o delicada en alguna otra forma; proteger y
conservar los activos de desastres provocados por la mano del hombre y de actos abiertamente
hostiles; asegurar la capacidad de la organizacin para sobrevivir accidentes; proteger a los
empleados contra tentaciones o sospechas innecesarias y la administracin contra cargos por
imprudencia.

Para clasificar la instalacin en trminos de riesgo se debe:


a) Clasificar los datos, informacin y programas que contiene informacin
confidencial que
tenga un alto valor dentro del mercado de competencia, organizacin, e informacin que sea
de difcil recuperacin.
b) Identificar aquella informacin que tenga un gran costo financiero en
que pueda provocar un gran impacto en la toma de decisiones.

caso de prdida o bien

c) Determinar la informacin que tenga una prdida en la organizacin y, consecuentemente,


puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa informacin.

Un ejemplo de alto riesgo puede ser la informacin confidencial de tipo nacional o bien
la informacin sobre el mercado y la publicidad de una compaa.
Un ejemplo de riesgo medio es la nmina, la cual puede ser hecha a mano, utilizar
procedimientos alternos o bien un adecuado sistema de respaldos.
Un ejemplo de bajo riesgo pueden ser los balances, los cuales pueden ser
reestructurados con cierta facilidad, salvo el caso de los das de presentacin con fines fiscales.

68

Para cuantificar el riesgo es necesario que se efecten entrevistas con los altos niveles
administrativos que sean directamente afectados por la suspensin en el procesamiento y que
cuantifiquen el impacto que les puede causar este tipo de situaciones.

III.4.13.2

Seguridad en el Personal.

Un buen centro de cmputo depende, en gran medida, de la integridad, estabilidad y


lealtad de personal, por lo que al momento de reclutarlo es conveniente hacerle exmenes
psicolgicos, mdicos y tener muy en cuenta sus antecedentes de trabajo.

Se deben considerar los valores sociales y, en general, su estabilidad ya que


normalmente son personas que trabajan bajo presin y con mucho estrs, por lo que importan mucho
su actitud y comportamiento.
En los equipos de computacionales es normal que se trabajen horas extras, con gran
presin y que no haya una adecuada poltica de vacaciones debido a la dependencia que se tiene
con algunas personas, lo cual va haciendo que se crean "indispensables", que son muy difciles de
sustituir y que ponen en gran riesgo la organizacin. Se debe verificar que existan adecuadas
polticas de vacaciones (lo cual nos permite evaluar la dependencia con algunas personas, y evitar
esta dependencia) y de reemplazo. La adecuada poltica de reemplazo en caso de renuncia de
alguna persona permitir que, en caso necesario, se pueda cambiar a una persona sin arriesgar el
funcionamiento de la organizacin.
Tambin se deben tener polticas de rotacin de personal que disminuyan la posibilidad
de fraude, ya que un empleado puede estar haciendo otra actividad en un mes y sera muy
arriesgado cometer un fraude, sabiendo que la nueva persona que est en su lugar puede detectarlo
fcilmente. Esto se debe hacer principalmente en funciones de alto nivel de confianza, aunque
impliquen un alto costo. Este procedimiento de rotacin de personal nos permita adems, detectar los
indispensables y eliminarlos.
Se deber tambin evaluar la motivacin del personal, ya que un empleado motivado
normalmente tiene un alto grado de lealtad y disminuir la posibilidad de ataques intencionados a la
organizacin.
El programador honesto en ocasiones elabora programas que ponen en
peligro la seguridad de la empresa, ya que no se consideran procedimiento de auditora dentro de los
programas tales que excluyan las posibilidades de fraude.
III.4.13.3

Seguridad Fsica.

69

El objetivo es establecer polticas, procedimientos y prcticas para evitar las


interrupciones prolongadas del servicio de procesamiento de datos, informacin debido a
contingencias como incendio, inundacin, huelgas, disturbios, sabotaje, etc. y continuar en un medio
de emergencia hasta que sea restaurado el servicio completo.
En el pasado se acostumbraba poner los equipos de cmputo en un lugar visible, con
grandes ventanales, y constituan el orgullo de la organizacin, por lo que se consideraba necesario
que estuviese a la vista del pblico y con una gran cantidad de invitados a visitarlos. Esto ha
cambiado de modo radical, principalmente por el riesgo de terrorismo o sabotaje. Pensemos que una
persona que desea perjudicar a la organizacin querr daar su cerebro o centro de informacin, por
lo que en la actualidad se considera extremadamente peligroso tener el centro de informtico en las
reas de alto trfico de personas o bien en la calle en un alto nmero de invitados.
Otras de las precauciones referentes al material y construccin del edificio del centro
de informtica es que existen materiales que son altamente inflamables, que despiden humo
sumamente txicos o bien paredes que no queda perfectamente selladas y despiden polvos (ejemplo,
el tiro) planchado).
Tambin en lo posible se debe tomar precauciones en cuanto a la orientacin del Sala
de Informtica (por ejemplo, Sala Informtica sumamente caluroso por todo el da le est dando el
sol) y se deben evitar en lo posible las grandes ventanas, los cuales adems permite la entrada del
sol pueden ser arriesgados para la seguridad del centro de informtico.
Entre las precauciones que se deben revisar estn:
Los ductos del aire acondicionado deben estar limpios, ya que son una
de las principales
causas de polvo y se habr de contar con detectores
de humo que indiquen la posible
presencia de fuego.
En las instalaciones de alto riesgo se debe tener equipos de fuente no
en la computadora corno en la red y los equipos de teleproceso.

interrumpible, tanto

En cuanto a los extintores, se debe revisar en nmero de stos, su capacidad, fcil acceso,
peso y tipo de producto que utilizan. Es muy frecuente que se tengan los extintores, pero
puede suceder que no se
encuentren recargados o bien que sean de difcil acceso de un
peso tal que sea difcil el utilizarlos.
Estos es comn en lugares en donde se encuentran trabajando hombre y mujeres y los
extintores estn a tal altura o con un peso tan grande que una mujer no pueda utilizarlo.
Otro de los problemas es la utilizacin de extintores inadecuados que pueden provocar mayor
perjuicio a las mquinas (extintores lquidos) o que producen gases txicos.
Tambin debe ver si el personal sabe usar los equipos contra incendio y si ha habido prcticas
en cuanto a su uso.

70

Se debe verificar que existan suficientes salidas de emergencia y que estn debidamente
controladas Para evitar robos por medio de estas salidas.
Los materiales ms peligro son las cintas magnticas que, al quemarse producen gases
txicos y el papel carbn es altamente inflamable.
III.4.13.4

Seguros.

Los seguros de los equipo en algunas ocasiones se dejan en segundo trmino, aunque
son de gran importancia. Existe un gran problema en la obtencin de seguros ya que a veces el
agente de seguros es una persona que conoce mucho de seguros, riesgos comerciales, riesgos de
vida, etc. Pero muy poco sobre computadoras, y el personal de informtica conoce mucho sobre
computacin y muy poco sobre seguros.
Se tiene poco conocimiento de los riesgos que entraa la computacin, ya que muchas
veces el riesgo no es claro para los vendedores de seguros, debido a lo nuevo de la herramienta y la
poca experiencia existe sobre desastres.
Como ejemplo de lo anterior tenemos las plizas de seguro contra desastres, ya que
algunos conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual hace, que se
duplique el seguro o bien sobrevienen desastres que no son normales en cualquier otro tipo de
ambiente.
Se debe verificar las fechas de vencimiento de las plizas, puede suceder que se tenga
la pliza adecuada pero vencida, y que se encuentre actualizada con los nuevos equipos.
El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una
sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas (existe equipo que pueda
ser unidades de disco duro) por lo que tal vez convenga tener dos o ms plizas por separado, cada
una con las especificaciones necesarias.
Debemos tomar en cuenta que existen riesgos que son difciles de evaluar y de
asegurar como el caso de negligencia.
El costo de los equipos puede variar, principalmente en aquellos pases que tienen
grandes tasas de inflacin o de devaluacin, por lo que los seguros deben estar a precio de compra
(valor de adquisicin de nuevo equipo con iguales caractersticas) y no a precio al momento de
contratacin del seguro.
El seguro debe cubrir tanto daos causados por factores externos (terremoto,
inundacin, etc.) como por factores internos (daos ocasionados por negligencia de los operadores,
daos debidos al aire acondicionado, etc.). Tambin se debe asegurar la prdida de los programas
(software), de la informacin, de los equipos y el costo de recuperacin de lo anterior.

71

En el caso de los programas se tendr en cuenta en el momento de asegurarlos el


costo de elaborarlos en determinado equipo, el costo de crearlos nuevamente y su valor comercial.
En el caso del personal, se pueden tener fianzas contra robo, negligencia, daos causados por el
personal, sabotaje, acciones deshonestas, etc.
Es importante que la direccin de informtica est preparada para evitar en lo posible
el dao fsico al personal, oficinas, equipo de cmputo, as como al sistema de operacin. Adems
deber tener cuidado de que existan normas y prcticas eficaces.
III.4.13.5

Seguridad en la Utilizacin de Equipos.

En la actualidad los programas y los equipos son altamente sofisticados y slo algunas
personas dentro del centro de cmputo conocen al detalle el diseo, lo que puede provocar que
puedan producir algn deterioro a los sistemas si no se toman las siguientes medidas:
1. Se debe restringir el acceso a los programas y a los archivos.
2. Los operadores deben trabajar con poca supervisin y sin la participacin de los
programadores, y no deben modificar los programas ni los archivos.
3. Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados,
procurando no usar respaldos inadecuados.
4. No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales.
5. En los casos de informacin confidencial debe usarse, de ser posible, en forma codificada o
criptografiada.
6. Se debe realizar peridicamente una verificacin fsica del uso de terminales y de los reportes
obtenidos.
7. Se debe monitorear peridicamente el uso que se les est dando a las terminales.
8. Se deben hacer auditoras peridicas sobre el rea de operacin y la utilizacin de las
terminales.
9. El usuario debe ser responsable de los datos, por lo que debe asegurarse que los datos
recolectados sean procesados completamente. Esto slo se lograr por medio de los
controles adecuados, los cuales deben ser definidos desde el momento del diseo general
del sistema.
10. Debe existir una perfecta divisin de responsabilidades entre los capturistas de datos y los
operadores de computadora, y entre los operadores y las personas responsables de las
libreras.

72

11. Deben existir registros que reflejen la transferencia de informacin entre las diferentes
funciones de un sistema.
12. Debe controlarse la distribucin de las salidas (reportes, cintas, etc.).
13. Se deben guardar copias de los archivos y programas en lugares ajenos al centro de cmputo
y en las instalaciones de alta seguridad; por ejemplo: los bancos.
14. Se debe tener un estricto control sobre el transporte de discos y cintas de la sala de cmputo
al local de almacenaje distante.
15. Se deben identificar y controlar perfectamente los archivos.
16. Se debe tener estricto control sobre el acceso fsico a los archivos.
17. En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el
sistema, subsistema, programa y versin. Esto nos servir para identificar el nmero de veces
que se ha compilado o corrido un programa, y nos permitir costear en el momento que se
encuentre un sistema en produccin.
Tambin evitar que el programador ponga nombres que no signifiquen nada y que
sean difciles de identificar, lo que evitar que el programador utilice la computadora para trabajos
personales.
Otro de los puntos en los que hay que tener seguridad es en el manejo de informacin;
por ejemplo, existe un gran robo de informacin confidencial por medio de fotocopiado, se da el caso
de compaas en que sus competidores han conocido los planes confidenciales por medio del
desperdicio de papel o bien el caso de una compaa que elabor una serie de polticas de personal
sumamente confidenciales y en que los operadores y, consecuentemente, toda la compaa conoci
la informacin al momento de obtener los listados por medio de la computadora. Lo ms drstico en
este caso es que los listados que se obtuvieron eran planes, que servirn como alternativas de
solucin, pero que no haban sido autorizados.

Para controlar este tipo de informacin se debe:


1. Cuidar que no se obtengan fotocopias de informacin confidencial sin la debida autorizacin.
2. Slo el personal autorizado debe tener acceso a la informacin
3. Controlar los listados tanto de los procesos correctos como aquellos
terminacin incorrecta.

confidencial.
procesos con

73

4. Controlar el nmero de copias, y la destruccin de la informacin y reportes muy


confidenciales.
El factor ms importante de la eliminacin de riesgos en la programacin es que, todos
los programas y archivos estn debidamente documentados, por lo cual se debe considerar la
necesidad de tener un alto grado de seguridad desde el momento de hacer el diseo preliminar del
sistema, siguiendo uno de los pasos del diseo detallado y de la programacin.
El siguiente factor en importancia es contar con los respaldos, y duplicados de los
sistemas, programas, archivos y documentacin necesarios para que pueda funcionar el plan de
emergencia.
En los sistemas de cmputo en que se tiene sistemas en tiempo real, bases de datos y
red de computadoras se deben tomar medidas de alta seguridad en cuanto a:
Equipo, programas y archivos.
Control de aplicaciones por terminal (definir qu aplicaciones se pueden correr en una
terminal especfica).
Definir una estrategia de seguridad de la red y de respaldos.
Requerimientos fsicos.
Estndar de aplicaciones y de control.
Estndar de archivos.
Auditora interna en el momento del diseo del sistema, su implantacin y puntos de
verificacin y control.

III.4.13.6

Seguridad al Restaurar el Equipo.

En un mundo que depende cada da ms de los servicios proporcionados por las


computadoras, es vital definir procedimientos en caso de una posible falla o siniestro. Cuando ocurra
una contingencia, es esencial que se conozca al detalle el motivo que la origin y el dao causado, lo
que permitir recuperar en el menor tiempo posible el proceso perdido. Tambin se debe analizar el
impacto futuro en el funcionamiento de la organizacin y prevenir cualquier implicacin negativa.
En todas las actividades relacionadas con las ciencias de la computacin, existe un
riesgo aceptable; y es necesario analizar y entender estos factores para establecer los

74

procedimientos que permitan eliminarlos al mximo y, en caso que ocurran, poder reparar el dao y
reanudar la operacin lo ms rpidamente posible.
En una situacin ideal, se deberan elaborar planes para manejar cualquier
contingencia que se presente.
Analizando cada aplicacin se deben definir planes de recuperacin y reanudacin,
para asegurarse que los usuarios se vean afectados lo menos posible en caso de falla o siniestro.
Las acciones de recuperacin disponibles a nivel operativo pueden ser algunas
de las siguientes:
En algunos casos es conveniente no realizar ninguna accin y reanudar el proceso.
Mediante copias peridicas de los archivos se puede reanudar un proceso a partir de una
fecha determinada.
El procesamiento anterior complementado con un registro de las transacciones que afectaron
los archivos permitir retroceder en los movimientos realizados a un archivo al punto de tener
la seguridad del contenido del mismo y a partir de l reanudar el proceso.
Analizar el flujo de datos y procedimientos y cambiar el proceso normal por un proceso
alterno de emergencia.
Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones.

Cualquier procedimiento que se determine que es el adecuado para un caso de


emergencia deber ser planeado y probado previamente.
Este grupo de emergencia deber tener un conocimiento de los posibles
procedimientos que pueda utilizar, adems de un conocimiento de las caractersticas de las
aplicaciones, tanto desde el punto tcnico como de su prioridad, el nivel de servicio planeado y su
influjo en la operacin de la organizacin.
Adems de los procedimientos de recuperacin y reinicio de la informacin, se deben
contemplar los procedimientos operativos de los recursos fsicos como hardware y comunicaciones
planeando la utilizacin de equipos que permitan seguir operando en caso de falla de la corriente
elctrica, caminos alternos de comunicacin y utilizacin de instalaciones de cmputo similares. Estas
y otras medidas de recuperacin y reinicio debern ser planeadas y probadas previamente como en
el caso de la informacin.
En el momento en que se hacen cambios o correcciones a los programas y/o archivos
se deben tener las siguientes precauciones:

75

1. Las correcciones de programas deben ser debidamente autorizadas y probadas. Con esto se
busca evitar que se cambien por nueva versin que antes no ha sido perfectamente probada y
actualizada.
2. Los nuevos sistemas deben estar adecuadamente documentados y probados.
3. Los errores corregidos deben estar adecuadamente documentados y las correcciones
autorizadas y verificadas.

Los archivos de nuevos registros o correcciones ya existentes deben estar


documentados y verificados antes de obtener reportes.

Los datos de entrada deben estar debidamente probados y verificados contra la


entrada de datos durante el procesamiento. Uno de los fraudes ms comunes se comete durante el
periodo en el cual ya se obtuvieron las cifras de control pero no se han emitido los reportes
definitivos; por ejemplo, la obtencin de cheques. Esto se puede hacer si es que se permite que se
metan datos en el periodo previo a la obtencin de los reportes definitivos, y si no se tiene control
sobre estos datos introducidos posteriormente a las cifras de control.

III.4.13.7

Procedimiento de Respaldo en Caso de Desastres.

Se debe establecer en cada direccin de informtica un plan de emergencia, el cual ha


de ser aprobado por la direccin de informtica y contener tanto procedimiento como informacin
para ayudar a la recuperacin de interrupciones en la operacin del sistema de cmputo.
Algunas compaas se resisten a tener un plan para casos de desastre o emergencia,
considerando que esto es imposible. Eso puede ser cierto en los sistemas en lnea o en tiempo real,
ya que un sistema en lnea difcilmente puede ser usado en otro equipo y lo nico que queda es tener
una alta seguridad en los equipos o bien computadoras en forma de "tndem".
El sistema debe ser probado y utilizado en condiciones anormales, para que en caso
de usarse en situaciones de emergencia se tenga la seguridad que funcionar.
La prueba del plan de emergencia debe hacerse sobre la base de que la emergencia
existe y se han de utilizar respaldos (posiblemente en otras instituciones). Hay que cambiar la
configuracin y, posiblemente se tengan que usar algunos mtodos manuales, no slo simulando un
ambiente ficticio cercano a la realidad sino considerando que la emergencia existe.

76

Las revisiones al plan se deben realizar cuando se haya efectuado algn cambio en la
configuracin del equipo o bien en periodos semestrales. Una de las principales objeciones al plan de
emergencia es su costo; pero como en el caso de
un seguro contra incendio, slo podemos evaluar sus ventajas si desafortunadamente el desastre
ocurre.
El plan de emergencia, una vez aprobado, se distribuye entre personal responsable de
su operacin, por precaucin es conveniente tener una copia fuera de la direccin de informtica. En
virtud de la informacin que contiene el plan de emergencia, se considerar como confidencial o de
acceso restringido.
Para la preparacin del plan se seleccionar el personal que realice las actividades
claves del plan. El grupo de recuperacin en caso de emergencia debe estar integrado por personal
de administracin de la direccin de informtica (por ejemplo, el jefe de operacin, el jefe de anlisis y
programacin y de auditora interna). Cada uno de ellos debe tener tareas especficas como la
operacin del equipo de respaldo, la interfaz administrativa, de logstica; por ejemplo, el proporcionar
los archivos necesarios para el funcionamiento adecuado. Cada miembro del grupo debe tener
asignada su tarea con una persona de respaldo para cada uno de ellos. Se deber elaborar un
directorio que contenga los nombres, direcciones y nmeros telefnicos.
Los desastres que pueden suceder podemos clasificarlos as:
a) Completa destruccin del centro de informtica.
b) Destruccin parcial del centro de informtica.
c) Destruccin o mal funcionamiento de los equipos auxiliares del centro de cmputo
(electricidad, aire acondicionado, etc.).
d)
e)
f)
g)

Destruccin parcial o total de los equipos descentralizados.


Prdida total o parcial de informacin, manuales o documentacin.
Prdida del personal clave.
Huelga o problemas laborales.

El plan en caso de desastre debe incluir:

La documentacin de programacin y de operacin


Los equipos.
El equipo completo
El ambiente de los equipos
Datos y archivos
Papelera y equipo accesorio
Sistemas (sistemas operativos, bases de datos y programas)

El plan en caso de desastre debe considerar todos los puntos por separado y en forma
integral como sistema. La documentacin estar en todo momento tan actualizada como sea posible,

77

ya que en muchas ocasiones no se tienen actualizadas las ltimas modificaciones y eso provoca que
el plan de emergencia no pueda ser utilizado.
Cuando el plan sea requerido debido a una emergencia, el grupo deber:
Asegurar que todos los miembros sean notificados.
Informar al director de informtica.
Cuantificar el dao o prdida del equipo, archivos y documentos para definir qu parte del
plan debe ser activada.
Determinar el estado de todos los sistemas en proceso.
Notificar a los proveedores del equipo cul fue el dao.

Establecer la estrategia para llevar a cabo las operaciones de emergencia tomando en


cuenta:
La elaboracin de una lista con los mtodos disponibles para realizar la recuperacin.
Sealamiento de la posibilidad de alternar los procedimientos de operacin (por ejemplo,
cambios en los dispositivos, sustitucin de procesos en lnea por procesos en lote).
Sealamiento de las necesidades para armar y transportar al lugar de respaldo todos los
archivos, programas, etc., que se requieren.
Estimacin de las necesidades de tiempo de las computadoras para un periodo largo.

Cuando ocurra la emergencia, se deber reducir la carga de procesos, analizando alternativas


como:
Posponer las aplicaciones de prioridad ms baja.
Cambiar la frecuencia del proceso de trabajos.
Suspender las aplicaciones en desarrollo.

Por otro lado, se debe establecer una coordinacin estrecha con el personal de
seguridad a fin de proteger la informacin.

III.5.

INFORME FINAL.

78

El informe de final de auditora es el resultado de trabajo del auditor. Es un documento


elaborado por el auditor donde se expresa de forma estndar, general y sencilla, una opinin
profesional el estado actual de una empresa. Presenta una serie de caractersticas fundamentales de
carcter formal: es claro, oportuno sinttico y se encuentra bajo un esquema de exposicin
determinado por la doctrina.

Si bien el informe ha de expresar una opinin tcnica (fundado en la planificacin y el


trabajo de la auditora), el documento est dirigido a personas que no tienen por qu conocer el
lenguaje informtico, por lo que se ha de evitar cualquier elemento literario o subjetivo que pudiera
dar lugar a una confusin.

FOTO 23: IMAGEN DE UNA EMPRESA CON INFORME DE AUDITORIA.

III.5.1

Confeccin y Redaccin del Informe Final.

La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la


elaboracin final es el exponente de su calidad.
Resulta evidente la necesidad de redactar borradores e informes parciales previos al
informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden
descubrir fallos de apreciacin en el auditor.

III.5.1.1

Estructura del informe final.

79

El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del


mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas
entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente.
Definicin de objetivos y alcance de la auditora.

Enumeracin de temas considerados: antes de tratarlos con profundidad, se enumerarn lo


ms exhaustivamente posible todos los temas objeto de la auditora.
Cuerpo expositivo: Para cada tema, se seguir el siguiente orden a saber:
a. Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no
solamente una situacin sino adems su evolucin en el tiempo, se expondr la
situacin prevista y la situacin real.
b. Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias
futuras.
c. Puntos dbiles y amenazas.
d. Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos
dbiles, el verdadero objetivo de la auditora informtica.
e. Redaccin posterior de la Carta de Introduccin o Presentacin.
III.5.1.2

Modelo conceptual de la exposicin del informe final.

El informe debe incluir solamente hechos importantes. La inclusin de hechos poco relevantes
o accesorios desva la atencin del lector.
El Informe debe consolidar los hechos que se describen en el mismo. El trmino de "hechos
consolidados" adquiere un especial significado de verificacin objetiva y de estar
documentalmente probados y soportados.
La consolidacin de los hechos debe satisfacer, al menos los siguientes criterios:
1.
2.
3.
4.

El hecho debe poder ser sometido a cambios.


Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situacin.
No deben existir alternativas viables que superen al cambio propuesto.
La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y
estndares existentes en la instalacin.

80

La aparicin de un hecho en un informe de auditora necesariamente implica la existencia de una


debilidad que ha de ser corregida.

III.5.1.3

Flujo del hecho o debilidad:

1. Hecho encontrado.
Ha de ser relevante para el auditor y para el cliente.
Ha de ser exacto, y adems convincente.
No deben existir hechos repetidos.
2. Consecuencias del hecho.
Las consecuencias deben redactarse de modo que sean directamente deducibles del
hecho.
3. Repercusin del hecho.
Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos
informticos u otros mbitos de la empresa.
4. Conclusin del hecho.
No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido
muy extensa o compleja.
5. Recomendacin del auditor informtico.
Deber entenderse por s sola, por simple lectura.
Deber estar suficientemente soportada en el propio texto.
Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementacin.
La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o
personas que puedan implementarla.
Carta de introduccin o presentacin del informe final:
La carta de introduccin tiene especial importancia porque en ella ha de resumirse la
auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona
concreta que encargo o contrato la auditora.

81

As como pueden existir tantas copias del informe final como solicite el cliente, la
auditora no har copias de la citada carta de introduccin.

IV.

PRODUCTO FINAL

INSTITUTO PROFESIONAL
SANTO TOMS
ARICA
82

INFORME
FINAL
AUDITORA DE SEGURIDAD INFORMATICA
REALIZADA A LA SECCIN O.S.7 ARICA

FECHA: 15 DE SEPTIEMBRE DEL 2015

AL SEOR
JEFE DE LA SECCIN O.S.7 ARICA
TTE. CORONEL ESTEBAN F. DAZ URBINA

REMITE INFORME FINAL QUE INDICA


83

Arica, 15 de Septiembre del 2015.

Se adjunta informe final de Auditoria de Sistemas Informticos,


efectuado a esa Seccin Especializada de Carabineros de Chile.

Saluda atentamente a Usted.

JOHNNY S. MAITA ZARZURI


INGENIERO (E) INFORMATICO
ESTUDIANTE
I.P. SANTO TOMAS ARICA

INFORME FINAL SOBRE AUDITORA DE SEGURIDAD


INFORMTICA EFECTUADA EN LA SECCIN O.S.7
ARICA.
_____________________________________
Arica, 15 de Septiembre del 2015.
En cumplimiento al plan de fiscalizacin de Carabineros de Chile,
se realiz una auditoria de tecnologas de informacin en la Seccin O.S.7 Arica.
OBJETIVO.
Verificar los controles en el procesamiento de datos; en el
mantenimiento de la plataforma de software, hardware y servicios automticos y en el cumplimiento

84

de los contratos de desarrollo de sistemas, servicios informticos, arriendo y/o compra de


equipamiento y compra de insumos.
METODOLOGA.
La revisin fue practicada en conformidad con las normas y
procedimientos del Proyecto de Titulo Metodologas de la Auditora de Seguridad Informtica, por lo
tanto, incluy las pruebas de validacin y otros medios tcnicos considerados necesarios en las
circunstancias.
UNIVERSO FISCALIZADO.
La revisin abarc el perodo comprendido entre Agosto de 2015
y el Septiembre de 2015, para el cual se analiz los aspectos relativos a las tecnologas de
informacin del citado servicio.
La revisin, en trminos generales, consisti en el anlisis de los
contratos informticos, las polticas informticas, los mtodos de integridad de datos, los recursos
informticos, la validez de la informacin, las salvaguardas de activos informticos y la efectividad de
la aplicacin de controles.
MUESTRA EXAMINADA.
La revisin se efectu sobre el 100% de las actividades del
periodo sealado.
Cabe precisar que, con carcter confidencial, fueron puestas en
conocimiento del Jefe de la Seccin O.S.7 Arica, las observaciones comprobadas al trmino de la
auditora, con la finalidad que formulara los alcances y precisiones que a su juicio procedieran, lo que
se concret el da 10 de Septiembre del ao 2015.
El anlisis de las observaciones formuladas en el citado
Preinforme, en conjunto con los antecedentes aportados por ese mando superior en su respuesta,
determinaron lo siguiente:

1.- ORGANIZACIN.
1.1.-

Estructura funcional, jerrquica y personal del rea informtica.

85

Se observ, inicialmente, la ausencia de planes de capacitacin


peridica que permitieran el desarrollo del personal informtico en las nuevas tecnologas existentes y
el anlisis de soluciones que permitan mejorar la gestin.
En su respuesta, la autoridad indica que no es efectivo lo
observado, por cuanto existe capacitacin y se enmarca en lo establecido por la Subdireccin de
Recursos Humanos. Agrega, que durante el presente ao fueron capacitados cinco funcionarios de la
oficina de Tecnologa, Informtica y Comunicaciones - TIC - en un curso de Active Directory, software
para la administracin de equipos basado en polticas institucionales y que, adems, se capacit a
dos tcnicos en la administracin y mantencin del Sistema Investigativo explorador.
Agrega que, debido a los alcances de este Organismo, se
instruy que durante el presente ao se incluya en el plan de capacitaciones del Departamento de
Recursos Humanos, otras capacitaciones especficas que permitan mejorar la gestin de la oficina
TIC y por ende la calidad de sus servicios.
Al respecto, cabe precisar, que la observacin realizada se
efectu sobre el perodo auditado, para el cual se careca, adems, de un plan de capacitacin; en
todo caso, en base a los antecedentes aportados, se levanta la observacin formulada.

1.2.-

Recursos de plataforma Software y Hardware.

No se dispone de regulaciones para crear y operar


procedimientos de operacin de sistemas, bases de datos y plataforma de software general. No se
encuentran regulados planes de contingencia y continuidad, que garanticen el buen funcionamiento
de los sistemas y permitan identificar los riesgos asociados, dado que no existen reas de
especializacin que distribuyan la carga de operaciones informticas diarias.
En la respuesta se indica que se ha instruido a la Oficina TIC
para que implemente procedimientos escritos y planes de contingencia, respaldo de informacin,
manejo de base de datos y de hardware para los usuarios.
Las medidas dispuestas por esa autoridad permitirn subsanar
las observaciones formuladas, en la medida que se concreten efectivamente, lo que se verificar en
futuras fiscalizaciones.

1.3.-

Aplicaciones.

Se advirti la ausencia de respaldos de perfiles de sistemas


operativos y procedimientos formales de actualizacin de parches de sistema operativo y de
aplicaciones de oficina.

86

Asimismo, se realiz un anlisis y pruebas de validacin de


entradas y salidas de los registros del Sistema de Automatizacin Policial AUPOL, determinando que
los mdulos de aplicaciones cumplen las funcionalidades de mantencin, operacin y registro de los
datos, por lo anterior no se formul observaciones a este respecto.
Sobre los respaldos de perfiles de sistemas, en la respuesta de la
autoridad se informa que, por la cantidad de equipos no es posible fsicamente realizar el
procedimiento, sin embargo, se ha establecido un sistema de soporte que asiste en caso de que un
usuario requiera respaldar la informacin que el equipo contenga.
Agrega adems que el perfil que contiene el sistema operativo se
Traspasa automticamente al nuevo equipo y, en caso de dao fsico a los dispositivos de
almacenamiento, operan las herramientas de rescate que cuentan con una tasa de recuperablidad
de un 98%.
En cuanto a los procedimientos de parches de los sistemas
operativos y aplicaciones de oficina, se establece la restriccin en el uso de los equipos por parte de
los usuarios, que impide la instalacin de software o modificacin de configuraciones del sistema,
dejando esta ltima facultad al Administrador de los Sistemas.
Lo sealado en los prrafos precedentes no permite subsanar
completamente las observaciones advertidas, cuya regularizacin definitiva se verificar en una
prxima fiscalizacin.

2.- OFICINA DE LA UNIDAD INFORMTICA.


La citada dependencia cumple slo parcialmente con las
condiciones necesarias para el resguardo de los datos. En efecto, la configuracin de la red elctrica
y de datos, que conlleva el riesgo de afectar la integridad de la informacin existente, puesto que no
se encuentra certificada en su totalidad, dado su crecimiento inorgnico. Adems se estableci la
ausencia de un sistema de deteccin, control y extincin de incendio y de deteccin de cambios de
estado ambiental con puntos de monitoreo.
Por su parte, el sistema de aire acondicionado de precisin no
posee un microprocesador que indique los intervalos del servicio y las horas de operacin del
sistema, no encontrndose certificado para el uso en la sala de servidores. No se cuenta con alarmas
especficas y sistemas de alerta en caso de siniestro, como inundaciones y sismos, entre otros, ni
tampoco hay sealtica de seguridad en las instalaciones.

87

Asimismo, en la actualidad no se aplican en las operaciones,


medidas de mitigacin de riesgos de fallas en la plataforma de software y hardware. La disposicin
del equipamiento impide la correcta mantencin y resulta ineficiente respecto de la utilizacin del rack
de distribucin de cables de datos, de energa y de comunicaciones.
En su respuesta, la autoridad seala que actualmente el Data
Center es un recinto cerrado, con acceso controlado, iluminacin de emergencia, extintores y servicio
ininterrumpido de electricidad para los equipos y que el recinto cuenta con corriente elctrica trifsica
para mayor estabilidad contra las alzas de voltaje, lo que se traduce en proteccin para el
equipamiento. Seala tambin, que el Data Center cuenta con circuito cerrado de televisin que
graba y transforma el material a digitar, pudiendo visualizarse a travs de Internet. Finalmente, se
encuentran instalados dos equipos de aire acondicionado con autopartida ante un corte elctrico y
sensor de temperatura constante.
Agrega, que an habindose realizado mejoras en los ltimos
meses, se ha instruido a la oficina TIC disponer la elaboracin de un plan de accin y mejoramiento
calendarizado, que se presentar para una futura aprobacin.
En base a los antecedentes aportados, se levantan las
observaciones formuladas, sin perjuicio de las verificaciones futuras que se efecten.

3.- SEGURIDAD DE LA INFORMACIN.


Se advirti la inexistencia de polticas y procedimientos de
registro de personal en trnsito dentro de las instalaciones informticas, tanto interno como externo
de empresas contratistas o que prestan servicios regulados por contrato. Adems no existe personal
de seguridad o sistemas de vigilancia remota para el control de las instalaciones de la Unidad de
Informtica y no se documentan los procedimientos de cambios de datos o configuracin que se
realizan en equipos de la sala de servidores.
Tampoco existen normativas formales de administracin y
seguridad aplicadas por parte de los usuarios finales de los sistemas, en cuanto a realizar cambios de
claves en forma peridica.
Asimismo, se verific la ausencia de duplicacin de datos en
servidor externo a las instalaciones de la Seccin O.S.7 como una medida de resguardo para la
continuidad del servicio y que, no se ha contratado un soporte continuo.

88

Por otra parte, se requiere de una redefinicin de tipos y tiempos


de interrupcin en las operaciones de los sistemas, teniendo en consideracin periodo y cantidad de
minutos que se estimen aceptables. Adems, se verific la inexistencia de medidas de seguridad
fsica de los datos, no existiendo respaldos de datos en sitios secundarios o el resguardo en una caja
de seguridad con acceso a travs de llave, tarjeta magntica o duplicacin de respaldos para
conservar disponibilidad de servicios.
En la respuesta se indica que los servidores se encuentran
fsicamente en el Data Center de esa unidad y que la informacin es respaldada externamente
mediante un proceso que considera, adems, restauracin de los medios realizadas por el mismo
personas del rea. Adicionalmente, en el mes de Noviembre del ao 2014 se constituy el personal
del Departamento T.I.C. de Carabineros de Chile, para establecer mecanismos de seguridad a nivel
institucional y se instruy el establecimiento de medidas de mejoramiento para dar solucin a las
observaciones planteadas en el Preinforme de esta entidad.
En relacin con lo anterior, debe precisarse que los antecedentes
proporcionados en su oportunidad no se ajustan exactamente al periodo de ejecucin de la auditoria,
lo que gener una inexactitud en las observaciones, de modo que la revisin de estos aspectos ser
considerada en una prxima auditora sobre la materia.
4.- BASE DE DATOS.
Conforme con la informacin proporcionada durante la
inspeccin, los datos respaldados carecan de encriptacin y verificacin de integridad de informacin
primaria, lo que aumenta el riesgo en la seguridad al momento de acceder a la informacin que se
encuentra dentro de los respaldos. Adems, los archivos de registros de transacciones (Log), no se
usan para revisar la integridad del servicio ni se ha hecho una auditora de los procesos para evaluar
el rendimiento y la criticidad de las operaciones ms recurrentes, as como la deteccin de
intrusiones.
Se verific la falta de procedimientos formales para eliminar
informacin fsica de los medios de almacenamiento en los periodos de tiempo asignados. Asimismo,
no se mantenan productos de la estructura de base de datos, manuales de sistemas y procesos, sino
slo los programas ejecutables y los servicios en lnea, lo que determina que cualquier modificacin a
realizar debe ser planificada con antelacin, sin poder acceder a un conocimiento general, para
optimizar los servicios.
Se determin que no existan procedimientos de control para el
cruce de datos entre los distintos sistemas y no se utilizaban herramientas externas para la
administracin de la base de datos, quedando en evidencia la escasa cantidad de usuarios
capacitados para administrar la base de datos.

89

En la respuesta se indica que los mismos funcionarios de esa


dependencia realizan la labor de encriptar los datos mediante el software Retrospect una vez que los
datos son traspasados a cinta; no obstante a ello, en el periodo auditado no se provey de
informacin acerca de la existencia de documentacin que seale el registros y los procedimientos en
la administracin de respaldos y restauraciones.
Se informa tambin, que se utiliza el backup propietario de MY
SQL Server 7.0 para realizar el respaldo de las bases de datos y en forma parcial, el software
Bulkcopy y que por su parte, la empresa Oracle entreg manuales de procedimientos, operaciones y
DFDs de los sistemas en explotacin; sin embargo, en el periodo de fiscalizacin no se inform
acerca de su uso, como constaba en el cuadro de aplicaciones y sistemas utilizados a nivel de
empresa.
Adems, se indica en la respuesta que para efectos de
administracin de la base de datos no se requiere una herramienta externa, puesto que el mismo
software que maneja el sistema comercial la posee. Adicionalmente, el riesgo de seguridad para
acceder a la informacin se ve resguardado mediante la comparacin que realiza la oficina de anlisis
de esa unidad, que corresponde al procesamiento analtico en lnea y que tiene por ventaja realizar
consultas con una mayor velocidad de respuesta, puesto que en una base de datos relacional se
almacenan entidades en tablas discretas si han sido normalizadas.
Respecto de la deteccin de intrusiones se cuenta con un
sistema IDS que cuenta con un Firewall WatchGuard, que reporta posibles intrusiones detectadas en
el enlace principal, sin embargo, se reconoce la falta de escrituracin del procedimiento, por lo que se
incluirn las observaciones para una futura implantacin.
Finalmente, la autoridad seala que cuenta con manuales de
procedimientos, operaciones y diagramas de flujos de datos de los sistemas; sin embargo, en el
perodo en que se llev a cabo la auditora no se entreg informacin respecto de manuales de
procedimientos y operaciones de los sistemas.
En consecuencia, considerando que parte de lo observado
obedeci a la falta de entrega de antecedentes actualizados por esa entidad, la materia ser objeto
de futuras fiscalizaciones.
5.- REDES.
La normativa interna carece de instrucciones para regular las
extensiones de puntos de red, la ampliacin de seal, los layout de rack y la administracin de
anchos de banda. Se verific la omisin de procedimientos para el anlisis de las vulnerabilidades de
red interna y la ausencia de identificacin de los equipos computacionales y los respectivos usuarios
propietarios que se encuentren conectados a la red.

90

En la respuesta se indica que se cuenta con un sistema de


inventario que mantiene la identificacin completa de los equipos conectados a la red y que, sin
perjuicio de ello, se instruy la adopcin de medidas tendientes a dar solucin a las observaciones
antes mencionadas.
Cabe hacer presente, que en el periodo fiscalizado no se inform
acerca de la utilizacin del sistema de inventario que actualmente mantiene un registro de los
equipos conectados.
En el entendido que se dispondrn las medidas sealadas, se
levanta lo observado inicialmente, cuyo cumplimiento ser objeto de futuras fiscalizaciones.
6.- POLTICAS Y REGLAS.
Se comprob que al personal de esa unidad no se le ha brindado
instruccin clara respecto de la seguridad de las instalaciones y el equipamiento.
Asimismo, no se han establecido polticas especficas para la
adquisicin de licencias de software, la adopcin de medidas de seguridad fsica para el uso de las
instalaciones de la Unidad Informtica, la aplicacin de medidas de seguridad lgica y
confidencialidad de la Informacin, el uso de los servicios de la red de datos institucional y de las
cuentas de usuarios, la capacitacin de personal informtico, las normas de uso del servicio de
Internet y del correo electrnico y los planes concretos de mantenimiento preventivo y correctivo de
software de aplicaciones, hardware y telecomunicaciones.
Por otra parte, se determin la falta de registros de incidentes
que indiquen prdidas de datos y/o alteraciones en el funcionamiento de los sistemas, bases de datos
o instalaciones y de ranking con elementos crticas o pruebas de estado de plataforma seguridad para
actualizacin (aplicacin de norma ISO 27001).
Cabe sealar que no existe un plan de continuidad en los
sistemas de informacin ni planes de capacitacin en controles y seguridad de sistemas de
informacin, como tampoco existen polticas normativas de grabacin de datos de clientes. Respecto
del layout de equipamiento fsico, certificacin de arquitectura de red e interconexin de dispositivos
para administracin de plataforma de equipos, datos y comunicaciones, se verific la falta de planes
de crecimiento de puntos red y equipos para abastecer las necesidades institucionales.

91

En la respuesta de la autoridad informa que en los aos 2010 y


2011, se realizaron encuentros sobre materias informticas tales como Seguridad de la Informacin,
con funcionarios del Departamento TIC de la Ciudad de Santiago, y que, prximamente, se publicar
un Boletn de instrucciones para ser distribuido al personal de esa unidad especializada; no obstante,
los encuentros aludidos no corresponden al perodo fiscalizado.

Sobre la falta de polticas especficas, se informa que se realizar


un plan de accin calendarizado que incluir todas las observaciones que a la fecha no se hayan
subsanado y que an cuando no existan manuales de procedimientos sobre materias especficas,
cada una de ellas son desarrolladas y aplicadas por personal profesional de la oficina TIC de esa
dependencia.

En base a los antecedentes aportados, se


levanta la
observacin formulada, sin perjuicio de las verificaciones posteriores a realizar en futuras auditorias.
7.- EXAMEN DE CONTRATOS INFORMATICOS.
Revisado y analizado los antecedentes, se pudo verificar que no
existen contratos en estado de operacin y pagos realizados con alguna empresa externa.

CONCLUSIONES:
1.- En mrito de lo expuesto, la autoridad deber dar efectivo
cumplimiento a las medidas enunciadas en los numerales 1.2; 1.3 y; 5 del presente informe,
tendientes a solucionar las observaciones planteadas, cuya efectividad ser comprobada en una
futura visita que se realice a esa unidad de Carabineros de Chile.
2.- Respecto de lo sealado en los puntos 3 y 4, cabe sealar
que, considerando que en su oportunidad se dispuso de informacin que se encontraba en proceso
de cambio, segn se advierte de la respuesta al Preinforme respectivo, las observaciones
inicialmente planteadas sern evaluadas en una prxima auditora.

Saluda atentamente a usted.-

92

JOHNNY S. MAITA ZARZURI


INGENIERO (E) INFORMATICO
ESTUDIANTE
I.P. SANTO TOMAS ARICA

V.
V.1

ASPECTOS COMPLEMENTARIOS

CONCLUSIN.

Durante el desarrollo de este Proyecto de Titulo, pude darme cuenta de lo importante


que es la auditora informtica para una organizacin, y que esta se conforma obteniendo informacin
y documentacin de todo tipo. Los informes finales de los auditores dependen de sus capacidades
para analizar las situaciones de debilidad o fortaleza de los diferentes medios. El trabajo del auditor
consiste en lograr obtener toda la informacin necesaria para emitir un juicio global objetivo, siempre
amparado por las evidencias comprobatorias.
El auditor debe estar capacitado para comprender los mecanismos que se desarrollan
en un procesamiento electrnico. Tambin debe estar preparado para enfrentar sistemas
computarizados en los cuales se encuentra la informacin necesaria para auditar.
Toda empresa, pblica o privada, que posean Sistemas de Informacin medianamente
complejos, deben de someterse a un control estricto de evaluacin de eficacia y eficiencia. Hoy en
da, la mayora de las empresas tienen toda su informacin estructurada en Sistemas Informticos, de
aqu, la vital importancia que los sistemas de informacin funcionen correctamente.

93

El xito de una empresa depende de la eficiencia de sus sistemas de informacin. Una


empresa puede contar con personal altamente capacitado, pero si tiene un sistema informtico
propenso a errores, lento, frgil e inestable; la empresa nunca saldr a adelante.
La auditora de Sistemas Informticos debe hacerse por profesionales expertos, ya que
una auditoria mal hecha puede acarrear consecuencias drsticas para la empresa auditada,
principalmente en el factor econmico.
En conclusin la auditoria informtica es la indicada para evaluar de manera profunda,
una determinada organizacin a travs de su sistema de informacin automatizado, de aqu su
importancia y relevancia para toda organizacin.

V.2

BIBLIOGRAFA.

[1].

HERNANDEZ Hernndez Enrique, Auditora en informtica, Editorial CECSA, Mxico, 2


edicin ao 2002.

[2].

GOMEZ Vieites lvaro Auditoria de Seguridad Informtica, Editorial Starbook, Edicin ao


2011.

[3].

ECHEIQUE Garca Jos Antonio, Auditoria en Informtica, 2da Edicin,


Link: http://es.slideshare.net/underman/libro-auditoria-informatica-jose-antonio-echenique

[4].

BENVENUTO Vera ngelo, Los Delitos Informticos y la Funcin de Auditoria Informtica en


Chile, Universidad de Concepcin.
Link: http://www.capic.cl/capic/portada/vol2/TEMA%202%20BENVENUTO.pdf

[5].

CONGRESO Nacional de Chile, Ley 19.223, Tipifica Figuras Penales relativas a la


Informtica 07 de Junio de 1993.
Link: http://www.leychile.cl/Navegar?idNorma=30590

94

[6].

RADIO BIOBIO, Condena por Saboteo Informtico Noticia Publicada por Gerson Guzmn,
01 de Marzo de 2014.
Link: http://www.biobiochile.cl/2014/03/01/condenan-a-joven-que-saboteo-la-postulacion-a-launiversidad-de-una-estudiante-en-chillan.shtml

V.3

ANEXOS.
ANEXO 1.

95

96

ANEXO 2.

97

ANEXO 3.

98

99