Unidad 1 Introduccin a la auditoria informtica 1.1 Conceptos Auditoria y Auditoria Informatica 1.2 Tipos de Auditoria 1.2.

1 Auditoria Interna y Externa 1.3 CampoAuditoriaInformatica 1.4 Control Interno 1.5 Modelos Control Utilizados en Auditoria Informatica 1.6 Principio Aplicados Auditores Informaticos 1.7 Responsabilidades De Administradores Y Auditor Unidad 2 Planeacin de la auditoria Informtica 2.1 Fases Auditoria Informatica 2.1.1 Planeacion Auditoria Informatica 2.1.2 Revision Preliminar Auditoria Informatica 2.1.3 Revision Detallada Auditoria Informatica 2.1.4 Examen Evaluacion Informacion 2.1.5 Pruebas Controles de Usuario 2.1.6 Pruebas Sustantivas 2.2 Evaluacion Sistemas de Acuerdo al Riesgo 2.3 Investigacion Preliminar Auditoria Informatica 2.4 Personal Participante Auditoria Informatica Unidad 3 Auditoria de la funcin informtica

3.1 Recopilacion Informacion Organizacional 3.2 Evaluacion Recursos Humanos 3.3 Entrevistas con Personal Informatica 3.4 Situacion Presupuestal y Financiera Auditoria Informatica 3.4.1 Presupuestos Auditoria Informatica 3.4.2 Recursos Financieros y Materiales Auditoria Informatica Unidad 4 Evaluacin de la seguridad 4.1 Generalidades de Seguridad Area Fisica 4.2 Seguridad Logica y Confidencial 4.3 Seguridad Personal 4.4 Clasificacion Controles de Seguridad 4.5 Seguridad de Datos y Software de Aplicacion 4.6 Controles para Evaluar Software de Aplicacion 4.7 Controles Para Prevenir Crmenes Y Fraudes Informaticos 4.8 Plan de Contingencia Seguros procedimientos de recuperacion de desastres 4.9 Tecnicas Herramientas Relacionadas con Seguridad Fisica y del personal 4.10 Tacnicas y Herramientas Relacionadas con Seguridad de Datos y software de aplicacion Unidad 5 Auditoria de la seguridad en la teleinformtica 5.1 Generalidades Seguridad Area Teleinformatica 5.2 Objetivos Criterios de Auditoria Area Teleinformtica 5.3 Sintomas de Riesgo Teleinformatica

5.4 Tecnicas y Herramientas Auditoria Relacionadas con Seguridad Teleinformtica Unidad 6 Informe de la auditoria informtica 6.1 Generalidades de Seguridad Area Fisica 6.2 Caracteristicas del informe 6.3 Estructura del informe 6.4 Formato para el informe

1.1 Auditora La auditora es el examen crtico y sistemtico que realiza una persona o grupo de personas independientes del sistema auditado. Aunque hay muchos tipos de auditora, la expresin se utiliza generalmente para designar a la auditora externa de estados financieros que es una auditora realizada por un profesional experto en contabilidad de los libros y registros contables de una entidad para opinar sobre la razonabilidad de la informacin contenida en ellos y sobre el cumplimiento de las normas contables. El origen etimolgico de la palabra es el verbo latino Audire, que significa or. Esta denominacin proviene de su origen histrico, ya que los primeros auditores ejercan su funcin juzgando la verdad o falsedad de lo que les era sometido a su verificacin principalmente oyendo Auditoria informtica La auditora informtica es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los objetivos de la auditora Informtica son:
* El control de la funcin informtica * El anlisis de la eficiencia de los Sistemas Informticos * La verificacin del cumplimiento de la Normativa en este mbito * La revisin de la eficaz gestin de los recursos informticos.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:

- Eficiencia - Eficacia - Rentabilidad - Seguridad

Generalmente se puede desarrollar en alguna o combinacin de las siguientes areas:

- Gobierno corporativo - Administracin del Ciclo de vida de los sistemas - Servicios de Entrega y Soporte - Proteccin y Seguridad - Planes de continuidad y Recuperacin de desastres

La necesidad de contar con lineamientos y herramientas estandar para el ejercicio de la auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT, ISO, COSO e ITIL. Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las mas reconocidas y avaladas por los estandares internacionales ya que el proceso de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin.

1.2 Auditoria fiscal. Auditoria contable ( de estados financieros ) Auditoria interna. la lleva acabo un departamento dentro de la organizacion y existe una relacion laboral. Auditoria externa. no existe relacion laboral y la hacen personas externas al negocio para que los resultados que nos arroje sean imparciales como pueden ser las firmas de contadores o administradores independientes. Auditoria operaciona: es la valoracion independiente de todas las operaciones de una empresa, en forma anlitica objetiva y sistematica, para determinar si se lleva a cabo politicas y procedimientos aceptables, si se siguen las normas establecidas y si se utilizan los recursos de manera eficaz y economica. Auditoria administrativa. (william. P Leonard) es un examen completo y constructivo de la estructura organizativa de la empresa, institucion o departemento gubernamental o de cualquier otra entidad y de sus metodos de control, medios de operacin y empleo que de a sus recursos humanos y materiales. Auditoria integral. Es la evaluacion multidisciplinaria, independiente y con enfoque de sistemas del grado y forma de cumplimientos de los objetivos de una organziacin, de la relacion con su entorno, asi como de sus operaciones, con el objeto de proponer

alternativas para el logro ms adecuado de sus fines y/o el mejor aprovechamiento de sus recursos Auditoria gubernamental. Auditoria Financiera: Consiste en una revisin exploratoria y critica de los controles subyacentes y los registros de contabilidad de una empresa realizada por un contador publico, cuya conclusin es un dictamen a cerca de la correccin de los estados financieros de la empresa. Auditoria interna: Proviene de la auditoria financiera y consiste en: una actividad de evaluacin que se desarrolla en forma independiente dentro de una organizacin, a fin de revisar la contabilidad, las finanzas y otras operaciones como base de un servicio protector y constructivo para la administracin. En un instrumento de control que funciona por medio de la medicion y evaluacin de la eficiencia de otras clases de control, tales como: procedimientos; contabilidad y demas registros; informes financieros; normas de ejecucin etc. Auditoria de operaciones: Se define como una tcnica para evaluar sistemticamente de una funcion o una unidad con referencia a normas de la empresa, utilizando personal no especializado en el area de estudio, con el objeto de asegurar a la administracin, que sus objetivos se cumplan, y determinar que condiciones pueden mejorarse. A continuacin se dan algunos ejemplos de la autoridad de operaciones:

Evaluacin del cumplimiento de polticas y procedimientos. Revisin de practicas de compras. Auditoria administrativa:Es un examen detallado de la administracin de un organismo social realizado por un profesional de la administracin con el fin de evaluar la eficiencia de sus resultados, sus metas fijadas con base en la organizacin, sus recursos humanos, financieros, materiales, sus metodos y controles, y su forma de operar. Auditoria fiscal: Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista fisico ( SHCP ), direcciones o tesorerias de hacienda estatales o tesorerias municipales. Auditoria de resultados de programas: Esta auditoria la eficacia y congruencia alcanzadas en el logro de los objetivos y las metas establecidas, en relacion con el avance del ejercicio presupuestal. Auditoria de legalidad: Este tipo de auditoria tiene como finalidad revisar si la dependencia o entidad, en el desarrollo de sus actividades, ha observado el

cumplimiento de disposiciones legales que sean aplicables ( leyes, reglamentos, decretos, circulares, etc ) Auditoria integral: Es un examen que proporciona una evaluacin objetiva y constructiva acerca del grado en que los recursos humanos, financieros y materiales son manejados con debidas economias, eficacia y eficiencia. CLASIFICACION DE LAS NORMAS DE AUDITORIA. Las normas de auditoria de estados financieros se clasifican en normas personales, normas de ejecucin del trabajo y normas de informacin. NORMAS PERSONALES. Las normas personales se refieren a las cualidades que el auditor debe tener para poder asumir, dentro de las exigencias que el carcter profesional de la auditoria impone, un trabajo de este tipo. Dentro de estas normas existen cualidades que el auditor debe tener preadquiridas antes de poder asumir un trabajo profesional de auditoria y cualidades que debe mantener durante el desarrollo de toda su actividad profesional. Entrenamiento tcnico y capacidad profesional. El trabajo de auditoria, cuya finalidad es la de rendir una opinon profesional independiente, debe ser desempeado por personas que, teniendo titulo profesional legalmente expedido y reconocido, tengan entrenamiento tcnico adecuado y capacidad profesional como auditores. Cuidado y diligencia profesionales. El auditor esta obligado a ejercitar cuidado y diligencia razonables en la realizacin de su examen y en la preparacin de su dictamen o informe. Independencia. El auditor esta obligado a mantener una actitud de independencia mental en todos los asuntos relativos a su trabajo profesional. NORMAS DE EJECUCIN DEL TRABAJO. Al tratar de las normas personales, se sealo que el auditor esta obligado a ejecutar su trabajo con cuidado y diligencia. Aun cuando es difcil definir lo que en cada tarea puede representar un cuidado y diligencia adecuados, existen ciertos elementos que, por

su importancia, deben ser cumplidos. Estos elementos bsicos, fundamentales en la ejecucin de trabajo, que constituyen la especificacin particular, por lo menos al minimo indispensable, de la exigencia de cuidado y diligencia, son los que constituyen las normas denominadas de ejecucin del trabajo. Planeacion y supervisin. El trabajo de auditoria deber ser planeado adecuadamente y, si se usan ayudantes, estos deben ser supervisados en forma apropiada. Estudio y evaluacin del control interno. El auditor debe efectuar un estudio y evaluacin adecuados del control interno existente, que le sirvan de base para determinar el grado de confianza que va depositar en el; asimismo, que le permita determinar la naturaleza, extensin y oportunidad que va dar procedimientos de auditoria. Obtencin de evidencia suficiente y competente. Mediante sus procedimientos de auditoria, el auditor debe obtener evidencia comprobatoria suficiente y competente en el grado que requiera suministrar una base objetiva para su opinin. NORMAS DE INFORMACIN. El resultado final del trabajo del auditor es su dictamen o informe. Mediante el, pone en conocimiento de las personas interesadas los resultados de su trabajo y la opinin que se ha formado a traves de su examen. El dictamen o informe del auditor es en lo que va a reposar la confianza de los interesados en los estados financieros para prestarles fe a las declaraciones que en ellos aparecen sobre la situacin financiera y los resultados de operaciones de la empresa. Por ultimo es, principalmente, a traves del informe o dictamen, como el publico y el cliente se dan cuenta del trabajo del auditor y, en muchos casos, es la unica parte, de dicho trabajo, que queda a su alcance. En todos los casos en que el nombre de un contador publico quede asociado con estados o informacin financiera debera expresar de manera clara e inequvoca la naturaleza de su relacion con dicha informacin, su opinin sobre la misma y, en su caso, las limitaciones importantes que haya tenido su examen, las salvedades que se deriven de ellas o todas las razones de importancia por las cuales expresa una opinin adversa o no puede expresar una opinin profesional a pesar de haber hecho un examen.

1.3 Auditoria Externa

Aplicando el concepto general, se puede decir que la auditora Externa es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un Contador Pblico sin vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir una opinin independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinin independiente tiene trascendencia a los terceros, pues da plena validez a la informacin generada por el sistema ya que se produce bajo la figura de la Fe Pblica, que obliga a los mismos a tener plena credibilidad en la informacin examinada. La Auditora Externa examina y evala cualquiera de los sistemas de informacin de una organizacin y emite una opinin independiente sobre los mismos, pero las empresas generalmente requieren de la evaluacin de su sistema de informacin financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el trmino Auditora Externa a Auditora de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir Auditora Externa del Sistema de Informacin Tributario, Auditora Externa del Sistema de Informacin Administrativo, Auditora Externa del Sistema de Informacin Automtico etc. La Auditora Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella informacin producida por los sistemas de la organizacin. Una Auditora Externa se lleva a cabo cuando se tiene la intencin de publicar el producto del sistema de informacin examinado con el fin de acompaar al mismo una opinin independiente que le d autenticidad y permita a los usuarios de dicha informacin tomar decisiones confiando en las declaraciones del Auditor. Una auditora debe hacerla una persona o firma independiente de capacidad profesional reconocidas. Esta persona o firma debe ser capaz de ofrecer una opinin imparcial y profesionalmente experta a cerca de los resultados de auditora, basndose en el hecho de que su opinin ha de acompaar el informe presentado al trmino del examen y concediendo que pueda expresarse una opinin basada en la veracidad de los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su trabajo de investigacin. Bajo cualquier circunstancia, un Contador profesional acertado se distingue por una combinacin de un conocimiento completo de los principios y procedimientos

contables, juicio certero, estudios profesionales adecuados y una receptividad mental imparcial y razonable. Auditora Interna La auditora Interna es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulacin interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica. Las auditoras internas son hechas por personal de la empresa. Un auditor interno tiene a su cargo la evaluacin permanente del control de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los mtodos y procedimientos de control interno que redunden en una operacin ms eficiente y eficaz. Cuando la auditora est dirigida por Contadores Pblicos profesionales independientes, la opinin de un experto desinteresado e imparcial constituye una ventaja definida para la empresa y una garanta de proteccin para los intereses de los accionistas, los acreedores y el Pblico. La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno, puesto que no puede divorciarse completamente de la influencia de la alta administracin, y aunque mantenga una actitud independiente como debe ser, esta puede ser cuestionada ante los ojos de los terceros. Por esto se puede afirmar que el Auditor no solamente debe ser independiente, sino parecerlo para as obtener la confianza del Pblico. La auditora interna es un servicio que reporta al ms alto nivel de la direccin de la organizacin y tiene caractersticas de funcin asesora de control, por tanto no puede ni debe tener autoridad de lnea sobre ningn funcionario de la empresa, a excepcin de los que forman parte de la planta de la oficina de auditora interna, ni debe en modo alguno involucrarse o comprometerse con las operaciones de los sistemas de la empresa, pues su funcin es evaluar y opinar sobre los mismos, para que la alta direccin toma las medidas necesarias para su mejor funcionamiento. La auditora interna solo interviene en las operaciones y decisiones propias de su oficina, pero nunca en las operaciones y decisiones de la organizacin a la cual presta sus servicios, pues como se dijo es una funcin asesora. Diferencias entre auditoria interna y externa: Existen diferencias substanciales entre la Auditora Interna y la Auditora Externa, algunas de las cuales se pueden detallar as:

En la Auditora Interna existe un vnculo laboral entre el auditor y la empresa, mientras que en la Auditora Externa la relacin es de tipo civil. En la Auditora Interna el diagnstico del auditor, esta destinado para la empresa; en el caso de la Auditora Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa. La Auditora Interna est inhabilitada para dar Fe Pblica, debido a su vinculacin contractual laboral, mientras la Auditora Externa tiene la facultad legal de dar Fe Pblica. 1.4 REAS DE APLICACIN DE LA AUDITORIA INFORMTICA Algunos campos de aplicacin de la informtica son las siguientes: Investigacin cientfica y humanstica: Se usan la las computadoras para la resolucin de de clculos matemticos, recuentos numricos, etc. Algunas de estas operaciones: Resolucin de ecuaciones. Anlisis de datos de medidas experimentales, encuestas etc. Anlisis automticos de textos Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones: Anlisis y diseo de circuitos de computadora. Clculo de estructuras en obras de ingeniera. Minera. Cartografa. Documentacin e informacin: Es uno de los campos ms importantes para la utilizacin de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Ejemplos de este campo de aplicacin son: Documentacin cientfica y tcnica.

Archivos automatizados de bibliotecas. Bases de datos jurdicas. Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa. Existen programas que realizan las siguientes actividades: Contabilidad. Facturacin. Control de existencias. Nminas. Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo hara una persona inteligente. Aplicaciones como: Reconocimiento del lenguaje natural. Programas de juego complejos (ajedrez). Instrumentacin y control: Instrumentacin electrnica, electromedicina, robots industriales, entre otos. OTRAS APLICACIONES Otros campos de aplicacin no vistos anteriormente: video-juegos, aplicaciones en el arte, procesamiento de imgenes.

1.5 1.4 CONTROL INTERNO Definiciones El Control Interno Informtico puede definirse como el sistema integrado al proceso administrativo, en la planeacin, organizacin, direccin y control de las operaciones con el objeto de asegurar la proteccin de todos los recursos informticos y mejorar los ndices de economa, eficiencia y efectividad de los procesos operativos automatizados. (Auditora Informtica - Aplicaciones en Produccin - Jos Dagoberto Pinilla)

El Informe COSO define el Control Interno como Las normas, los procedimientos, las prcticas y las estructuras organizativas diseadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarn y que los eventos no deseados se prevern, se detectarn y se corregirn. Tambin se puede definir el Control Interno como cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (Auditora Informtica - Un Enfoque Prctico - Mario G. Plattini) Tipos En el ambiente informtico, el control interno se materializa fundamentalmente en controles de dos tipos: Controles manuales; aquellos que son ejecutados por el personal del rea usuaria o de informtica sin la utilizacin de herramientas computacionales. Controles Automticos; son generalmente los incorporados en el software, llmense estos de operacin, de comunicacin, de gestin de base de datos, programas de aplicacin, etc. Los controles segn su finalidad se clasifican en: Controles Preventivos, para tratar de evitar la produccin de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado. Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos. Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos. Objetivos principales: Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas Colaborar y apoyar el trabajo de Auditora Informtica interna/externa

 Definir, implantar y ejecutar mecanismos y controles para comprobar el grado ce cumplimiento de los servicios informticos. Realizar en los diferentes sistemas y entornos informticos el control de las diferentes actividades que se realizan. Control interno informtico (funcin) El Control Interno Informtico es una funcin del departamento de Informtica de una organizacin, cuyo objetivo es el de controlar que todas las actividades relacionadas a los sistemas de informacin automatizados se realicen cumpliendo las normas, estndares, procedimientos y disposiciones legales establecidas interna y externamente. Entre sus funciones especficas estn: Difundir y controlar el cumplimiento de las normas, estndares y procedimientos al personal de programadores, tcnicos y operadores. Disear la estructura del Sistema de Control Interno de la Direccin de Informtica en los siguientes aspectos: Desarrollo y mantenimiento del software de aplicacin. Explotacin de servidores principales Software de Base Redes de Computacin Seguridad Informtica Licencias de software Relaciones contractuales con terceros Cultura de riesgo informtico en la organizacin Control interno informtico (reas de aplicacin) controles generales organizativos

Son la base para la planificacin, control y evaluacin por la Direccin General de las actividades del Departamento de Informtica, y debe contener la siguiente planificacin: Plan Estratgico de Informacin realizado por el Comit de Informtica. Plan Informtico, realizado por el Departamento de Informtica. Plan General de Seguridad (fsica y lgica). Plan de Contingencia ante desastres. Controles de desarrollo y mantenimiento de sistemas de informacin Permiten alcanzar la eficacia del sistema, economa, eficiencia, integridad de datos, proteccin de recursos y cumplimiento con las leyes y regulaciones a travs de metodologas como la del Ciclo de Vida de Desarrollo de aplicaciones. Controles de explotacin de sistemas de informacin Tienen que ver con la gestin de los recursos tanto a nivel de planificacin, adquisicin y uso del hardware as como los procedimientos de, instalacin y ejecucin del software. Controles en aplicaciones Toda aplicacin debe llevar controles incorporados para garantizar la entrada, actualizacin, salida, validez y mantenimiento completos y exactos de los datos. Controles en sistemas de gestin de base de datos Tienen que ver con la administracin de los datos para asegurar su integridad, disponibilidad y seguridad. Controles informticos sobre redes Tienen que ver sobre el diseo, instalacin, mantenimiento, seguridad y funcionamiento de las redes instaladas en una organizacin sean estas centrales y/o distribuidos. Controles sobre computadores y redes de rea local Se relacionan a las polticas de adquisicin, instalacin y soporte tcnico, tanto del

hardware como del software de usuario, as como la seguridad de los datos que en ellos se procesan. Capitulo II

2.1 fases de la auditoria Fase I: Conocimientos del Sistema Fase II: Anlisis de transacciones y recursos Fase III: Anlisis de riesgos y amenazas Fase IV: Anlisis de controles Fase V: Evaluacin de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones Fase I: Conocimientos del Sistema 1.1. Aspectos Legales y Polticas Internas. Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluacin. 1.2.Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditora realizadas anteriormente 1.3.Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora

 Seguridad de la aplicacin (claves de acceso) Procedimientos para generacin y almacenamiento de los archivos de la aplicacin. Fase II: Anlisis de transacciones y recursos 2.1.Definicin de las transacciones. Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deber ser asignada con los administradores. 2.2.Anlisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualizacin del funcionamiento y recorrido de los procesos. 2.3.Anlisis de los recursos Identificar y codificar los recursos que participan en el sistemas 2.4.Relacin entre transacciones y recursos Fase III: Anlisis de riesgos y amenazas 3.1.Identificacin de riesgos Daos fsicos o destruccin de los recursos Prdida por fraude o desfalco Extravo de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupcin de las operaciones del negocio Prdida de integridad de los datos

 Ineficiencia de operaciones Errores 3.2.Identificacin de las amenazas Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones 3.3.Relacin entre recursos/amenazas/riesgos La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en su ambiente real de funcionamiento. Fase IV: Anlisis de controles 4.1.Codificacin de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los controles deben contener una codificacin la cual identifique el grupo al cual pertenece el recurso protegido. 4.2.Relacin entre recursos/amenazas/riesgos La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o ms controles. 4.3.Anlisis de cobertura de los controles requeridos Este anlisis tiene como propsito determinar si los controles que el auditor identific como necesarios proveen una proteccin adecuada de los recursos. Fase V: Evaluacin de Controles 5.1.Objetivos de la evaluacin Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes

5.2.Plan de pruebas de los controles Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba. 5.3.Pruebas de controles 5.4.Anlisis de resultados de las pruebas Fase VI: Informe de Auditoria 6.1. Informe detallado de recomendaciones 6.2. Evaluacin de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la reas. Introduccin: objetivo y contenido del informe de auditoria Objetivos de la auditora Alcance: cobertura de la evaluacin realizada Opinin: con relacin a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones Fase VII: Seguimiento de Recomendaciones 7.1. Informes del seguimiento 7.2. Evaluacin de los controles implantados Fin de la sesin.

Informtica II. Decanato de Administracin y Contadura Auditora Informtica Revisin Evaluacin Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Informacin Informtica II. Decanato de Administracin y Contadura Auditora Informtica Objetivos Presentar recomendaciones en funcin
de las fallas detectadas.

Determinar si la informacin que brindan

los Sistemas de Informticos es til.

Inspeccionar el Desarrollo de los Nuevos

Sistemas.

Verificar que se cumplan las normas y

polticas de los procedimientos.

Auditora Informtica Informtica II. Decanato de Administracin y Contadura Tipos Interna: Aplicada con el personal que labora en la empresa. Externa: Se contrata a una firma especiali- zada para realizar la misma. Auditora Informtica Externa

Las empresas recurren a la auditora externa cuando existen: Sntomas de Descoordinacin Sntomas de Mala Imagen Informtica II. Decanato de Administracin y Contadura Sntomas de Debilidades Econmicas Sntomas de Inseguridad Aspectos Fundamentales en la Auditora de los Sistemas de Informacin Informtica II. Decanato de Administracin y Contadura Auditora Informtica de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de las nuevas aplicaciones informticas deben ser sometidas a un minucioso control, a fin de evitar un aumento significativo de los costos, as como tambin insatisfaccin de los usuarios. Informtica II. Decanato de Administracin y Contadura Auditora de los Datos de Entrada Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas establecidas. Informtica II. Decanato de Administracin y Contadura Auditora Informtica de Sistemas Se audita: Informtica II. Decanato de Administracin y Contadura Sistema Operativo: Verificar si la versin instalada permite el total funcionamiento del software que sobre ella se instala, si no es as determinar la causa Software de Aplicacin: Determinar el uso de las aplicaciones instaladas. Comunicaciones: Verificar que el uso y el rendimiento de la red sea el ms adecuado . Tcnicas de Auditora Existen varias tcnicas de Auditora Informtica de Sistemas, entre las cuales se mencionan: Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen: Datos de Excepcin. Datos Ilgicos. Transacciones Errneas Informtica II. Decanato de Administracin y Contadura

Tcnicas de Auditora (Continuacin) Auditora para el Computador: Permite determinar

si el uso de los equipos de computacin es el idneo. Mediante esta tcnica, se detectan equipos sobre y subutilizados.

Prueba de Minicompaa: Revisiones peridicas

que se realizan a los Sistemas a fin de determinar nuevas necesidades.

Informtica II. Decanato de Administracin y Contadura Peligros Informticos Incendios: Los recursos informticos son
muy sensibles a los incendios, como por ejemplo reportes impresos, cintas, discos.

Inundaciones: Se recomienda que el Departamento

de computacin se encuentre en un nivel alto. La Planta Baja y el Stano son lugares propensos a las inundaciones.

Robos: Fuga de la informacin confidencial de la

empresa.

Fraudes: Modificaciones de los datos dependiendo

de intereses particulares.

Informtica II. Decanato de Administracin y Contadura Medidas de Contingencia Mecanismos utilizados para contrarrestar la prdida o daos de la informacin, bien sea intencionales o accidentales. La ms utilizada es la Copia de Seguridad (Backup), en la cual se respalda la informa- cin generada en la empresa . Informtica II. Decanato de Administracin y Contadura Copias de Seguridad Las copias pueden ser totales o parciales y la fre- cuencia vara dependiendo de la importancia de la informacin que se genere. Backup Se recomienda tener como mnimo dos (2) respaldos de la informacin, uno dentro de la empresa y otro fuera de sta (preferiblemente en un Banco en Caja Fuerte). Informtica II. Decanato de Administracin y Contadura Medidas de Proteccin Medidas utilizadas para garantizar la Seguridad Fsica de los Datos. Aquellos equipos en donde se genera informacin crtica, deben tener un UPS. De igual forma, el suministro de corriente elctrica para el rea informtica, debe ser independiente del resto de las reas. Informtica II. Decanato de Administracin y Contadura

Medidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad Lgica de los Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la Informacin, mediante un nombre de usuario (login) y una contrasea (password). Del mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos excepcionales. Informtica II. Decanato de Administracin y Contadura La Auditora Informtica es una parte integrante de la auditora. Se preguntar por que se estudia por separado, pues simplemente para abordar problemas ms especficos y para aprovechar los recursos del personal. Sin embargo, es bueno acotar que debe realizarse dentro de un marco de auditora general. Para clarificar an ms la lmina, diremos entonces que la Auditora Informtica es el proceso de revisin y evaluacin de los controles y medidas de seguridad que se aplican a los recursos: a). Tecnolgicos. b). Personal. c). Software d). Procedimientos. que se utilizan en los Sistemas de Informacin manejados en la empresa. En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controles apropiados y adecuados en los sistemas de informacin. La auditora Informtica va mucho ms all de la simple deteccin de errores. Si bien es cierto que la Auditora es un proceso que permite detectar fallas, es menester de la auditora, el presentar algunas sugerencias que puedan ser aplicadas para evitar de esta manera la repeticin de las mismas en un futuro. Bsicamente, el objetivo principal de la auditora informtica es garantizar la operatividad de los procesos informticos. En otras palabras, ofrecer la continuidad los procesos de generacin, distribucin, uso y respaldo de informacin dentro de las organizaciones. Ya puede ir formndose una idea entonces de la importancia que tiene la Auditora Informtica (si no es as, le parece poco el hecho de que permita mantener operativo todos los procesos relacionados con el manejo de la informacin?). Importancia de la Auditora Informtica

Tal como se mencion anteriormente su importancia radica en el hecho de garantizar la operatividad de los procesos informticos. Del mismo modo, la Auditora es compatible con la calidad, ya que mediante la auditora, se buscan implantar mejoras en busca del perfeccionamiento de los procesos, incorporando nuevas tcnicas y tecnologas. Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a ninguna duda. Sin embargo, consideramos prudente ampliar nuestra exposicin y ofrecerle algo ms que una mera definicin. Auditora Interna La auditora Interna ofrece algunas ventajas en relacin a la externa, en primer lugar es menos costosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el riesgo de que personas extraas conozcan la informacin generada dentro de la firma. Sin embargo, tiene sus limitaciones, entre las cuales se mencionan: la poca especializacin que tienen los integrantes en la materia conlleva al hecho de que se escapen algunos detalles dentro del proceso (omisin de deteccin de errores) y por otro lado se corre el riesgo de que se encubran deficiencias. Es factible que dentro del proceso de auditora, las personas no informen de alguna anomala a fin de no perjudicar al amigo. Auditora Externa Con este tipo de auditora existe menor margen de error, puesto que las personas que se encargan de realizarla son especialistas en el rea. Entonces, deben ser pocos los errores que se detecten y las sugerencias aportadas son muy valiosas. Del mismo modo existe poco margen de encubrimiento, ya que son personas ajenas a la firma. Si bien es cierto que la Auditora Interna es menos costosa, es una buena prctica para las empresas, realizar Auditoras Externas peridicamente. Sin embargo, existen algunas razones por las cuales una firma debera contratar los servicios de gente especializada. Tales razones son las mostradas en la lmina, las cuales explicaremos con ms detalle a continuacin: Sntomas de Descoordinacin: No coincide el objetivo informtico con el de la empresa. En este sentido, es recomendable revisar la gestin de la informtica a fin de que la misma est en funcin de apoyar al logro de los objetivos. Sntomas de Debilidad Econmica: Cuando existe un crecimiento indiscriminado de los costos informticos. De igual forma, se contrata un servicio externo para estudiar la factibilidad de invertir una fuerte suma de dinero en el rea. Sntomas de Mala Imagen: Existe una percepcin poco idnea de los usuarios finales de computadoras en relacin a la Gestin actual del personal de Informtica. Existen quejas de que los programas no funcionan, problemas con la red informtica, desconfiguracin de equipos, entre otros. Sntomas de Inseguridad: Cuando no existe seguridad ni fsica ni lgica de la informacin manejada en la empresa.

Hasta estos momentos se ha mencionado un poco lo que es la Auditora Informtica, cuales son sus objetivos y su importancia dentro de las organizaciones. Consideramos que ya tiene la base suficiente para adentrarnos entonces en el estudio de la Auditoria Informtica. Existen dos enfoques bsicos para la Auditoria de Sistemas de Informacin, conocidos como: Auditoria Alrededor del Computador y Auditoria a travs del Computador. Auditoria Alrededor del Computador: La cual comprende la verificacin tanto de los datos de entrada como de salida, sin evaluar el software que proces los datos. Aunque es muy sencillo, no hace el seguimiento de las transacciones ni la exactitud ni integridad del software utilizado. Es por ello, que se recomienda como un complemento de otros mtodos de auditoria. Auditoria a Travs del Computador: Comprende la verificacin de la integridad del software utilizado, as como tambin los datos de entrada y la salida generada tanto por las redes y sistemas computacionales. Sin embargo, la auditoria a travs del computador requiere de un conocimiento tanto de las redes como del desarrollo de software. Una de las actividades que ms dolores de cabeza trae a las organizaciones es el desarrollo de los nuevos sistemas informticos. Existen muchas razones para tantos inconvenientes, entre las que se destaca: una pobre determinacin de los requerimientos (tanto los analistas como los usuarios, que en muchas oportunidades asumen cosas que el otro no ha dicho), carencia de un prototipo adecuado, una deficiente prueba del sistema y la premura con la que se implanta el mismo. En este sentido, la auditora debe verificar que se cumplan a cabalidad cada una de las fases del desarrollo del sistema. Se deben chequear los instrumentos y mtodos empleados para la determinacin de los requerimientos, las herramientas que se utilizan para la construccin del sistema, evaluar el prototipo que va a ser mostrado a los usuarios y verificar que se hagan las pruebas al sistema antes de ser implantado. Recuerde: es preferible esperar un poco ms por un sistema probado y ajustado a las necesidades que querer implantar en dos das un software que no ayudar en nada a los procesos empresariales, por el contrario: entorpecer los mismos. (Cuantas veces no le han dicho en la calle como excusa tenemos problemas con el sistema?). La materia prima para la generacin de la informacin son los datos de entrada, es por ello que todo proceso de auditoria informtica debe contemplar el estudio de los mismos. Bajo esta premisa, es importante llevar un control del origen de los datos que se introducen al sistema y en la medida de lo posible, el responsable de la introduccin

de los mismos. Por ejemplo, para un banco el origen de los datos lo representan las planillas de depsito, retiro, entre otras. Si se lleva un control de dichos documentos es fcil auditar lo que tiene el sistema contra el soporte fsico (las planillas). Dicho proceso permite entonces detectar errores de trascripcin de datos al Sistema. Otro hecho importante de la Auditoria de los datos de entrada, es que puede ser utilizado como un mecanismo para determinar fraudes informticos. Cmo cree usted que se puede determinar un retiro no autorizado de una cuenta bancaria?, el cambio de calificaciones de un estudiante?. Es por ello que todas las organizaciones deben contar con mecanismos apropiados que permitan auditar los datos de entrada.de los sistemas informticos. Al igual que ocurre con los datos de entrada, se deben revisar peridicamente las herramientas informticas que se utilizan dentro de la firma, a fin de verificar que se adecuen a las necesidades del negocio. Es importante sealar que dicha revisin no debe limitarse nicamente al hardware, por el contrario, se debe incluir tambin la revisin tanto del software instalado como la red informtica existente. Toda empresa debe poseer software actualizado y con licencia de uso; el Sistema Operativo no escapa de dicha situacin. En este sentido, es conveniente que se cuente con una versin que permita la evolucin de las aplicaciones, de no ser as determinar las causas de ello. Por ejemplo en el caso especfico del Sistema Operativo Windows, es inusual que se labore con la versin 3.11 para grupos de trabajo, en tal caso, como mnimo Windows 98 o Windows NT 4.0. Del mismo modo se debe auditar la red informtica instalada, entre otras cosas para observar su rendimiento (velocidad), la seguridad que ofrece (gran parte de los fraudes obedecen a la carencia de seguridad tanto de los Sistemas como de las Redes Informticas) y verificar que se cumplan con las polticas y estndares establecidos para la red. Y la Auditora de las aplicaciones?. Pues la exposicin se detallar en las lminas subsiguientes. La prueba de un Sistema es una tarea un poco ms compleja de lo que realmente parece ser. La misma no se limita exclusivamente a introducir algunos datos al Sistema a fin de verificar que arroje el resultado esperado. Va mucho ms all. En primer lugar, la prueba del Sistema no debe ser efectuada por los programadores, ya que stos conocen

los trucos del sistema, e inconscientemente introducirn datos que no harn fallar a la aplicacin, razn por la cual se recomienda la designacin de un equipo responsable para las misma. Dicho equipo debe disear una Batera de Prueba, la cual consiste en un conjunto de datos a ser introducidos en el sistema para observar su comportamiento. Por supuesto los resultados de dichos datos se deben conocer con antelacin a fin de que puedan ser cotejados contra los que arroja el sistema. En toda batera de prueba aparte de las transacciones comunes, se debe contar con: Datos de Excepcin: Aquellos que rompen con la regla establecida. Se deben incluir dichos datos a fin de determinar si el sistema contempla las excepciones. Datos Ilgicos: Son datos que no tienen ningn sentido. Se incluyen dentro de la prueba a fin de determinar si el sistema posee los mecanismo de validacin adecuados que impidan el procesamiento de los mismos. Datos Errneos: Son aquellos que no estn acordes con la realidad. El sistema no est en capacidad de determinar si un dato esta correcto o no. Sencillamente, se introducen este tipo de datos a fin de verificar si el sistema posee los mecanismos que permitan revertir la transaccin. Auditora para el Computador Es importante determinar el uso de las computadoras. Esto a fin de verificar que no existan computadores sobre o subutilizados. Por ejemplo, suponga el caso de un computador con la configuracin ms actualizada que est siendo empleado nicamente como terminal del sistema de facturacin de la empresa, por supuesto, es fcil deducir que no se est aprovechando al mximo las bondades del equipo. Ahora suponga la contrario, es decir, que exista un equipo con mediana capacidad en donde se manejen todas las aplicaciones Office (Word, Excel y Power Point) y se ejecuten algunos Sistemas Informticos propios de la empresa. Est subutilizado?. La aplicacin de dicha tcnica no reviste de mayor complicacin, lo que se hace es anotar la configuracin del equipo y las actividades que se realizan en l, a fin de determinar si tal configuracin est acorde con lo que se realiza en l. Con esto se logran varias cosas: primero, se determinan los equipos candidatos a ser sustituidos o repotenciados y segundo, ofrece un mecanismo para una futura de reasignacin de equipos de acuerdo a las necesidades existentes. Que problema coyuntural cree usted que pueda ocurrir al aplicar dicha tcnica?. Piense un poco, de todos modos si no lo logra determinar, en dos lminas ms encontrars la respuesta. Usted pensar perfecto, estos son los peligros que existen, por lo que he ledo creo que

la Auditoria pude ayudar a evitar los robos y fraudes informtico, pero un incendio o una inundacin?, no veo como. Si esa es su manera de pensar, pues le diremos que est en lo cierto. Aqu no le vamos a decir como evitar incendios o inundaciones. Sino ms bien de que tome conciencia de las cosas que puede pasar dentro de una empresa. Pero sigo sin entender que tiene que ver todo esto, es muy simple: lo que se busca es crear conciencia, de los peligros que existen, que ninguna organizacin est exenta de ellos y que por lo tanto es necesario que existan mecanismos que contrarresten los mismos. Esto es precisamente lo prximo que se va a exponer a continuacin. Respuesta a la Pregunta Anterior: Puede ocasionar molestias a las personas en la reubicacin de equipos (una persona con un equipo muy potente pero subutilizado, no estar muy conforme que le reasignen un equipo de menor potencia). Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar la continuidad de los procesos que en ella se realizan. Dentro de la informtica tal aspecto no debe variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como realizar un proceso manualmente en caso de que falle el automatizado). En este mdulo nos compete exclusivamente la contingencia de la informacin. Al igual que otras cosas, la informacin puede tener daos, los cuales pueden obedecer a causas accidentales (tales como errores en la trascripcin de datos, ejecucin de procesos inadecuados) o intencionales (cuando se busca cometer algn fraude). No importa cual sea la causa, lo importante en este momento (claro, es importante determinar a que obedeci el problema) es disponer algn mecanismo que nos permita obtener la informacin sin errores. Las copias de seguridad nos ofrecen una alternativa para ello, ya que en caso de que se dae la informacin original, se recurre entonces al respaldo el cual contiene la informacin libre de errores. Como se mencion anteriormente, las copias de seguridad ofrecen una contingencia en caso de prdidas de informacin. La frecuencia con la cual deben hacerse dichas copias va a depender de acuerdo a la volatilidad de la misma. Por ejemplo, usted puede decir que es suficiente realizar las copias de seguridad diariamente, as en caso de ocurrir algn imprevisto, se perder tan solo un da de trabajo. Tal concepcin puede funcionar para muchas organizaciones, pero no para todas, para un banco sera catastrfico perder la informacin de todas las transacciones de un da, caso contrario ocurre en una organizacin donde la informacin no vare con tanta frecuencia, en la cual no tendra mucho sentido respaldarla diariamente. Independientemente de la frecuencia con la cual se haga, es recomendable tener como mnimo dos (2) copias de seguridad, una permanecer dentro de la empresa y la otra

fuera de ella. As en caso de que se pierda la informacin se pueda acceder a la copia que est dentro de la empresa. Y para qu la otra copia?. Recuerde los peligros informticos, los incendios, las inundaciones. En caso de que se incendie el edificio, se perdera el original y una copia, pero se tendr acceso a la que est fuera de la empresa. A lo mejor usted dir: qu gracia tiene tener otro respaldo si se quem el edificio de la empresa?. Suponga que dicho edificio sea de la Sucursal de un Banco, lo ms seguro que al da siguiente, los clientes estarn preguntando qu pasar con sus ahorros. Ahora si le encuentra sentido?. Nota la importancia de la informacin sobre otros activos?. Un edificio se recupera, la informacin de toda la empresa no. Deben existir medidas que impidan la prdida de informacin, ocasionada por averas en los equipos (Seguridad Fsica). Si bien es cierto que los computadores no estn exentos de sufrir algn desperfecto (es por ello que existen las copias de seguridad), es recomendable disear normas para disminuir tales amenazas. Una de las principales causales de prdida de informacin, son las bajas de energa. Es por ello que deben estar conectados a un UPS todos los equipos en donde se genere informacin crtica. Un UPS es un dispositivo (parecido a un regulador de voltaje) que ofrece corriente alterna por un perodo de tiempo (depende de las especificaciones del equipo, los hay de 5 minutos hasta casi dos horas). De acuerdo a lo anterior, se deduce entonces su importancia: primero, permite completar transacciones inconclusas en el momento del fallo de energa y segundo permite guardar la informacin y apagar el equipo con normalidad. De igual forma a fin de disminuir las fallas de energa, debe existir una toma independiente de corriente para el rea informtica. Recuerda los peligros que existen?. Las inundaciones?, es por ello que el Departamento de Computacin debe estar ubicados en las zonas ms altas del edificio, puesto que tanto los stanos como los primeros pisos son los ms propensos a inundarse. Uno de los mayores peligros dentro de las empresas son los Fraudes Informticos (muy comunes hoy en da), es por ello que se disean medidas que permitan garantizar la integridad de la informacin y que la misma est acorde con la realidad (Seguridad Lgica). El mayor riesgo existe en los Sistemas Multiusuarios, puesto que pueden se manejados por varias personas concurrentemente. En dichos sistemas no todas las personas pueden acceder a la misma informacin (no todos pueden manipular la nmina de la empresa). para ello se restringe el uso de los Sistemas a travs de nombres de usuarios y contraseas, as cuando una persona desea utilizar el Sistema debe identificarse (con su nombre de usuario) y podr manipular nicamente lo que tenga autorizado.

En este sentido, se debe tener un control de los usuarios que entran al sistema (existen muchos sistemas operativos que lo hacen de manera automtica), es por ello que no se debe divulgar el nombre de usuario a otras personas. Por ejemplo, suponga que Marta Gonzlez tiene asignado el nombre de usuario mgonz128a y su amigo Marcelo Alvarez le pide por favor su nombre de usuario, porque necesita hacer algunas cosas con su mdulo, (Marcelo tiene su usuario asignado, malv287s), pues resulta que ocurri un problema con dicha informacin a quin reporta el sistema como responsable?. Sencillo, al usuario que accedi al Sistema, en este caso mgonz128a que pertenece a Marta Gonzlez. De igual forma, se debe restringir el acceso al Sistema en horas no laborables, ya que el mayor nmero intento de fraudes ocurre durante dicho perodo (por lo general en horas de la madrugada). Con estas medidas estoy 100% seguro que no existirn fraudes informticos?. No, nadie est exento de sufrir un fraude informtico, con decirle que han violado la seguridad del Pentgono, NASA, Yahoo!, entre otros. En tal caso le disminuye le riesgo, por lo tanto se recomienda revisar las medidas de seguridad constantemente.
2.1.1

PLANEACIN DE LA AUDITORA EN INFORMTICA Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos: Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma
2.1.2

En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos

y personal que lo opera sin trabajar porque esto le genera perdidas sustanciosas), herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando siente que un rea tiene una falla o simplemente no trabaja productivamente como se sugiere, por esta razn habr puntos claves que se nos instruya sean revisados, hay que recordar que las auditorias parten desde un mbito administrativo y no solo desde la parte tecnolgica, porque al fin de cuentas hablamos de tiempo y costo de produccin, ejercicio de ventas, etc. Es decir, todo aquello que representa un gasto para la empresa.
2.1.3

Los objetos de la fase detallada son los de obtener la informacion nesesaria para que el auditor tenga un profundo entendimento de los controles usados dentro del area de informatica. El auditor debe de decidir se debe continuar elaborando pruevas de consentimeinto, con la esperanza de obtener mayor confianza por medio del sistema de controlinterno, o proceder directamente a a revision con los usuarios (pruevas compensatorias) o a las pruevas sustantivas
2.1.4

Es el examen crtico y sistemtico que hace un Contador Pblico para evaluar el sistema de procesamiento electrnico de datos y sus resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un trabajo ms selectivo y de mayor penetracin sobre las actividades, procedimientos que involucran un gran nmero de transacciones. El examen de los objetivos de la auditora, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluacin, nos lleva a la conclusin de que el papel del computador afecta significativamente las tcnicas a aplicar. Mediante una revisin adecuada del sistema de procesamiento electrnico de datos del cliente, y el uso de formatos bien diseados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente. Recreando programas de auditora por computador, el auditor cubre una actividad ms grande de la utilidad mercantil tanto financiera como operacional; y puede utilizar recursos para analizar y evaluar campos de problemas de evaluacin en las operaciones

del cliente. Tal mtodo incrementa su aptitud para remitir ptimos servicios a los mismos. La evaluacin de un sistema informtico, estriba primero en la revisin del mismo para obtener un conocimiento de como se dice que funciona, y ponerlo a prueba para acumular evidencias que demuestren como es el funcionamiento en la realidad. Al evaluar la informacin automtica, el auditor debe revisar varios documentos, como diagramas de flujo y documentos de programacin, para lograr un mejor entendimiento del sistema y los controles que se disearon en l. En el sistema de procesamiento electrnico de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la automatizacin del proceso, y algunos que sustituyen aquellos que en los mtodos manuales se basaron en juicios humanos y la divisin de labores. Muchos de los controles en ambientes informticos, pueden combinarse en los programas de computadoras con en el proceso manual. Para ayudar en la revisin de los sistemas de procesamiento de datos y los controles internos, en ocasiones de suma utilidad los cuestionarios para obtener informacin respecto al sistema. Una vez obtenida la informacin, el auditor debe proceder a obtener evidencias de la existencia y efectividad de los procedimientos para l. Una parte significativa del sistema de control interno est comprendida en el programa de la computadora. Existen baches en la ruta de auditora, haciendo difcil e poco prctico obtener resultados o verificar clculos. Esta situacin es posible tanto en aplicaciones sencillas, como en sistemas integrados complejos. El volumen de registros que quizs sea ms econmico y efectivo usar mtodos de datos de prueba, en vez de mtodos de prueba manual.
2.1.5

Pruebas de Comportamiento El objetivo de esta fase es comprobar que los controles internos funcionan como lo deben de hacer, es decir, que los controles que se supona que existan, existen realmente y funcionan bien. Las tcnicas utilizadas, adems de la recogida manual de evidencias ya descrita, contemplan el uso del ordenador para verificar los controles. Al final de la fase, el auditor puede decidir evaluar de nuevo el sistema de controles internos, de acuerdo con la fiabilidad que han mostrado los controles individuales. El procedimiento de evaluacin y la eleccin de nuevos procedimientos de auditoria son los mismos que los de las fases anteriores.

2.1.6 Prueba y Evaluacin de los Controles del Usuario El auditor puede decidir que no hace falta confiar en los controles internos porque existen controles del usuario que los sustituyen o compensan. Para un auditor externo, revisar estos controles del usuario puede resultar ms costoso que revisar los controles internos. Para un auditor interno, es importante hacerlo para eliminar posibles controles duplicados, bien internos o bien del usuario, para evitar la redundancia.
2.1.7

El objetivo de las pruebas sustantivas es obtner evidencia suficiente que permita al auditor emitir su juicio en las concluciones acerca de cuando pueden ocurrir perdidad materiales durante el proceso de la informacion. se peden identificar 8 diferentes pruebas sustantivas: 1 pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. 2 prueba para asegurar la calidad de los datos. 3 pruebas para identificar la inconsistencia de datos. 4 prueba para comparar con los datos o contadores fisicos. 5 confirmacion de datos con fuentes externas 6 pruebas para confirmar la adecuada comunicacion. 7 prueba para determinar falta de seguridad. 8 pruebas para determinar problemas de legalidad.
2.2

Riesgo Proximidad o posibilidad de un dao, peligro, etc. Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro.

Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro. Seguridad Cualidad o estado de seguro Garanta o conjunto de garantas que se da a alguien sobre el cumplimiento de algo. Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administracin estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilacin; se financia con aportaciones del Estado, trabajadores y empresarios. Se dice tambin de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer ms seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturn de seguridad. Consideraciones Inmediatas para la Auditora de la Seguridad A continuacin se citarn las consideraciones inmediatas que se deben tener para elaborar la evaluacin de la seguridad, pero luego se tratarn las reas especficas con mucho mayor detalle. Uso de la Computadora Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: - tiempo de mquina para uso ajeno - copia de programas de la organizacin para fines de comercializacin (copia pirata) - acceso directo o telefnico a bases de datos con fines fraudulentos Sistema de Acceso Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a: - nivel de seguridad de acceso

- empleo de las claves de acceso - evaluar la seguridad contemplando la relacin costo, ya que a mayor tecnologa de acceso mayor costo Cantidad y Tipo de Informacin El tipo y la cantidad de informacin que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podran producir que: - la informacin este en manos de algunas personas - la alta dependencia en caso de perdida de datos Control de Programacin Se debe tener conocer que el delito ms comn est presente en el momento de la programacin, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que: - los programas no contengan bombas lgicas - los programas deben contar con fuentes y sus ultimas actualizaciones - los programas deben contar con documentacin tcnica, operativa y de emergencia Personal Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que estn ligadas al sistema de informacin de forma directa y se deber contemplar principalmente: - la dependencia del sistema a nivel operativo y tcnico - evaluacin del grado de capacitacin operativa y tcnica - contemplar la cantidad de personas con acceso operativo y administrativo - conocer la capacitacin del personal en situaciones de emergencia Medios de Control

Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema. Tambin se debe observar con detalle el sistema ya que podra generar indicadores que pueden actuar como elementos de auditora inmediata, aunque esta no sea una especificacin del sistema. Rasgos del Personal Se debe ver muy cuidadosamente el carcter del personal relacionado con el sistema, ya que pueden surgir: - malos manejos de administracin - malos manejos por negligencia - malos manejos por ataques deliberados Instalaciones Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar: - la continuidad del flujo elctrico - efectos del flujo elctrico sobre el software y hardware - evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc. - verificar si existen un diseo, especificacin tcnica, manual o algn tipo de documentacin sobre las instalaciones Control de Residuos Observar como se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja. Establecer las Areas y Grados de Riesgo Es muy importante el crear una conciencia en los usuarios de la organizacin sobre el riesgo que corre la informacin y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la funcin informtica y los medios de prevencin que se deben tener, para lo cual se debe:

Establecer el Costo del Sistema de Seguridad (Anlisis Costo vs Beneficio) Este estudio se realiza considerando el costo que se presenta cuando se pierde la informacin vs el costo de un sistema de seguridad. Para realizar este estudio se debe considerar lo siguiente: - clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) - identificar las aplicaciones que tengan alto riesgo - cuantificar el impacto en el caso de suspensin del servicio aquellas aplicaciones con un alto riesgo - formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera - la justificacin del costo de implantar las medidas de seguridad Costo x perdida Costo del de informacin sistema de seguridad Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en reas de riesgo que pueden ser: Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia del sistema de informacin, para lo cual es importante considerar responder las siguientes cuatro preguntas: 1. Qu sucedera si no se puede utilizar el sistema? Si el sistema depende de la aplicacin por completo se debe definir el nivel de riesgo. Por ejemplo citemos: - Un sistema de reservacin de boletos que dependa por completo de un sistema computarizado, es un sistema de alto riesgo. - Una lista de clientes ser de menor riesgo. - Un sistema de contabilidad fuera del tiempo de balance ser de mucho menor riesgo.

2. Qu consecuencias traera si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algn modo de cmo se soluciono este problema en el pasado. 3. Existe un procedimiento alternativo y que problemas ocasionara? Se debe verificar si el sistema es nico o es que existe otro sistema tambin computarizado de apoyo menor. Ejemplo: S el sistema principal esta diseado para trabajar en red sea tipo WAN quiz haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un sistema de facturacin en red, si esta cae, quiz pudiese trabajar en forma distribuida con un mdulo menor monousuario y que tenga la capacidad de que al levantarse la red existan mtodos de actualizacin y verificacin automtica. 4. Qu se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, las consecuencias y las soluciones tomadas, considerando: - Que exista un sistema paralelo al menos manual - Si hay sistemas duplicados en las reas crticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado). - Si hay sistemas de energa ininterrumpida UPS. - Si las instalaciones elctricas, telefnicas y de red son adecuadas (se debe contar con el criterio de un experto). - Si se cuenta con un mtodo de respaldo y su manual administrativo. Conclusin Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en casi de desastre, sealando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades. Consideracin y Cuantificacin del Riesgo a Nivel Institucional (importante) Ahora que se han establecido los riesgos dentro la organizacin, se debe evaluar su impacto a nivel institucional, para lo cual se debe: - Clasificar la informacin y los programas de soporte en cuanto a su disponibilidad y recuperacin.

- Identificar la informacin que tenga un alto costo financiero en caso de perdida o pueda tener impacto a nivel ejecutivo o gerencial. - Determinar la informacin que tenga un papel de prioridad en la organizacin a tal punto que no pueda sobrevivir sin ella. Una vez determinada esta informacin se la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensin en el procesamiento y que cuantifiquen el impacto que podran causar estas situaciones. Disposiciones que Acompaan la Seguridad De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organizacin, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de accin para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar: - Obtener una especificacin de las aplicaciones, los programas y archivos de datos. - Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso. - Prioridades en cuanto a acciones de seguridad de corto y largo plazo. - Verificar el tipo de acceso que tiene las diferentes personas de la organizacin, cuidar que los programadores no cuenten con acceso a la seccin de operacin ni viceversa. - Que los operadores no sean los nicos en resolver los problemas que se presentan. Higiene Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las reas involucradas de la organizacin (centro de computo y dems dependencias), pues esto ayudar a detectar problemas de disciplina y posibles fallas en la seguridad. Tambin podemos ver que la higiene y el orden son factores que elevan la moral del recurso humano, evita la acumulacin de desperdicios y limita las posibilidades de accidentes. (ejm del rastrillo) Ademas es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal.

Cultura Personal Cuando hablamos de informacin, su riesgo y su seguridad, siempre se debe considerar al elemento humano, ya que podra definir la existencia o no de los ms altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo. Conclusin El fin de este punto es encontrar y evitar posibles situaciones de roce entre el recurso humano y la organizacin y lograr una mejor comunicacin entre ambos. Consideraciones para Elaborar un Sistema de Seguridad Integral Como hablamos de realizar la evaluacin de la seguridad es importante tambin conocer como desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa: planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa. Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad. Sistema Integral de Seguridad Un sistema integral debe contemplar: - Definir elementos administrativos - Definir polticas de seguridad - A nivel departamental - A nivel institucional - Organizar y dividir las responsabilidades - Contemplar la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.) - Definir prcticas de seguridad para el personal:

- Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extinguidores. - Nmeros telefnicos de emergencia - Definir el tipo de plizas de seguros - Definir elementos tcnicos de procedimientos - Definir las necesidades de sistemas de seguridad para: - Hardware y software - Flujo de energa - Cableados locales y externos - Aplicacin de los sistemas de seguridad incluyendo datos y archivos - Planificacin de los papeles de los auditores internos y externos - Planificacin de programas de desastre y sus pruebas (simulacin) - Planificacin de equipos de contingencia con carcter peridico - Control de desechos de los nodos importantes del sistema: - Poltica de destruccin de basura copias, fotocopias, etc. - Consideracin de las normas ISO 14000 Etapas para Implementar un Sistema de Seguridad Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos: Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad. Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales.

 Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando: Plan de Seguridad Ideal (o Normativo) Un plan de seguridad para un sistema de seguridad integral debe contemplar: - El plan de seguridad debe asegurar la integridad y exactitud de los datos - Debe permitir identificar la informacin que es confidencial - Debe contemplar reas de uso exclusivo - Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles - Debe asegurar la capacidad de la organizacin para sobrevivir accidentes - Debe proteger a los empleados contra tentaciones o sospechas innecesarias - Debe contemplar la administracin contra acusaciones por imprudencia Un punto de partida ser conocer como ser la seguridad, de acuerdo a la siguiente ecuacin.
Riesgo

SEGURIDAD = --------------------------------------------Medidas preventivas y correctivas

Donde: Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc) Medidas pre.. (polticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad de personal, etc) Consideraciones para con el Personal Es de gran importancia la elaboracin del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluacin de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos

 Cumplir promesas Innovar Para apoyar estos objetivos se debe cumplir los siguientes pasos: Motivar Se debe desarrollar mtodos de participacin reflexionando sobre lo que significa la seguridad y el riesgo, as como su impacto a nivel empresarial, de cargo y individual. Capacitacin General En un principio a los ejecutivos con el fin de que conozcan y entiendan la relacin entre seguridad, riesgo y la informacin, y su impacto en la empresa. El objetivo de este punto es que se podrn detectar las debilidades y potencialidades de la organizacin frente al riesgo. Este proceso incluye como prctica necesaria la implantacin la ejecucin de planes de contingencia y la simulacin de posibles delitos. Capacitacin de Tcnicos Se debe formar tcnicos encargados de mantener la seguridad como parte de su trabajo y que est capacitado para capacitar a otras personas en lo que es la ejecucin de medidas preventivas y correctivas. tica y Cultura Se debe establecer un mtodo de educacin estimulando el cultivo de elevados principios morales, que tengan repercusin a nivel personal e institucional. De ser posible realizar conferencias peridicas sobre: doctrina, familia, educacin sexual, relaciones humanas, etc. Etapas para Implantar un Sistema de Seguridad en Marcha Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos: 1. Introducir el tema de seguridad en la visin de la empresa.

2. Definir los procesos de flujo de informacin y sus riesgos en cuanto a todos los recursos participantes. 3. Capacitar a los gerentes y directivos, contemplando el enfoque global. 4. Designar y capacitar supervisores de rea. 5. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. 6. Mejorar las comunicaciones internas. 7. Identificar claramente las reas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel. 8. Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad fsica. Beneficios de un Sistema de Seguridad Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH.
2.2.1

INVESTIGACION PRELIMINIAR

Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos: ADMINISTRACIN Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del rea de informtica Objetivos a corto y largo plazo. Recursos materiales y tecnicos Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas. Estudios de viabilidad. Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y programados) Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin.

Polticas de uso de los equipos. SISTEMAS Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin. Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas. En el momento de hacer la planeacin de la auditora o bien su realizacin, debemos evaluar que pueden presentarse las siguientes situaciones. Se solicita la informacin y se ve que: No tiene y se necesita. No se tiene y no se necesita. Se tiene la informacin pero: No se usa. Es incompleta. No esta actualizada. No es la adecuada. Se usa, est actualizada, es la adecuada y est completa. En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se

elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la informacin pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est completa. El xito del anlisis crtico depende de las consideraciones siguientes: Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento) Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados.
2.2.2

PERSONAL PARTICIPANTE Una de las partes ms importantes en la planeacin de la auditoria en informtica es el personal que deber participar, ya que se debe contar con un equipo seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado. Aqu no se vera el nmero de persona que debern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber considerar son exactamente las caractersticas que debe cumplir cada uno del personal que habr de participar en la auditoria. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga este debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal que intervendr en la auditoria.

Primeramente, debemos pensar que hay personal asignado por la organizacin, que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. Este es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, ser casi imposible obtener informacin en el momento y con las caractersticas deseadas. Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para complementar el grupo, como colaboradores directos en la realizacin de la auditoria, se deben tener personas con las siguientes caractersticas: Conocimientos de Admn., contadura Tcnico en informtica. Experiencia en operacin Experiencia en el rea de informtica. y finanzas. Conocimientos y experiencias en psicologa industrial.y anlisis de sistemas. Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar. Conocimientos de los sistemas ms importantes. En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencias en reas especficas como base de datos, redes y comunicaciones, etctera. Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias sealadas, pero si que deben intervenir una o varias personas con las caractersticas apuntadas. Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta la carta (convenio de servicios profesionales en el caso de auditores externos -) y el plan de trabajo. La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes que se han de entregar.

Capitulo III 3.1

Para que un proceso de D.O. tenga xito debe comenzar por obtener un diagnostico con informacin verdadera y a tiempo de lo que sucede en la organizacin bajo anlisis, esta obtencin de la informacin debe ser planeada en forma estructurada para garantizar una generacin de datos que ayuden posteriormente su anlisis. Es un ciclo continuo en el cual se planea la recoleccin de datos, se analiza, se retroalimentan y se da un seguimiento. La recoleccin de datos puede darse de varias maneras: Cuestionarios Entrevistas Observacin Informacin documental (archivo) Toda la informacin tiene un valor en si misma, el mtodo de obtencin de informacin esta directamente ligado a la disponibilidad, dificultad y costo. Existen ventajas y desventajas en el uso de cada una de estas herramientas, su utilidad depender del objetivo que se busque y los medios para llevar acabo esa recoleccin de datos en tiempo y forma para su posterior anlisis.
3.2

Patrones de evaluacin y control en recursos humanos La auditoria de recursos humanos puede definirse como el anlisis de las polticas y prcticas de personal de una empresa y la evaluacin de su funcionamiento actual, seguida de sugerencias para mejorar. El propsito principal de la auditoria de recursos humanos es mostrar como est funcionado el programa, localizando prcticas y condiciones que son perjudiciales par la empresa o que no estn justificando su costo, o prcticas y condiciones que deben incrementarse. La auditoria es un sistema de revisin y control para informar a la administracin sobre la eficiencia y la eficacia del programa que lleva a cabo.

El sistema de administracin de recursos humanos necesita patrones capaces de permitir una continua evaluacin y control sistemtico de su funcionamiento. Patrn en in criterio o un modelo que se establece previamente para permitir la comparacin con los resultados o con los objetivos alcanzados. Por medio de la comparacin con el patrn pueden evaluarse los resultados obtenidos y verificar que ajustes y correcciones deben realizarse en el sistema, con el fin de que funcione mejor. Se utilizan varios patrones, esto pueden ser: 1) Patrones de cantidad: son los que se expresan en nmeros o en cantidades, como nmero de empleados, porcentaje de rotacin de empleados, numero de admisiones, ndice de accidentes, etc. 2) Patrones de calidad: son los que se relacionan con aspectos no cuantificables, como mtodos de seleccin de empleados, resultados de entrenamiento, funcionamiento de la evaluacin del desempeo. Etc., 3) Patones de tiempo: consisten en la rapidez con que se integra e personal recin admitido, la permanencia promedio del empleado en la empresa, el tiempo de procesamiento de la requisiciones de personal, etc. 4) Patones de costo: son los costos, directos e indirectos, de la rotacin de personal, de los accidentes en el trabajo, de los beneficios sociales, de las obligaciones sociales, de la relacin costo-beneficio del entrenamiento. Los patrones permiten la evaluacin y el control por medio de la comparacin con: 1) Resultados finales: cuando la comparacin entra el patrn y la variable se hace despus de realizada la operacin. La medicin se realiza en trminos de algo rpido y acabado, en el fin de la lnea, lo cual presenta el inconveniente de mostrar los aciertos y las fallas de una operacin ya terminada, una especie de partida de defuncin de algo que ya sucedi. 2) Desempeo: cuando la comparacin entre el patrn y la variable se hace simultneamente con la operacin, es decir, cuando la comparacin acompaa ala ejecucin de la operacin. La medicin es concomitante con el procesamiento de operacin. A pesar de que se realiza en forma simultanea, lo que quiere decir es que es actual, la medicin se realiza sobre una operacin en proceso y no terminada an. La comparacin es la funcin de verificar el grado de concordancia entra una variable u su patrn. La ARH se encarga de planear, organizar y controlar las actividades

relacionadas con la vida del personal en la empresa. Parte de la ejecucin de estas actividades al realizan los organismos de recursos humanos, en tantos que alguna parte de ella la realizan diversos organismos de lnea. De este modo las actividades de recursos humanos planeadas y organizadas con antelacin muestran durante su ejecucin y control algunas dificultades y distorsiones que requieren ser diagnosticadas y superadas, con el fin de evitar mayores problemas. La rapidez con que esto se haga depende de una revisin y auditoria permanentes, capaces de suministrar una adecuada retroalimentacin para que los aspectos positivos puedan mejorarse y los negativos, corregirse y ajustarse. La funcin de auditoria no es solo sealar las fallas y los problemas, sino tambin presentar sugerencias y soluciones. En este sentido, el papel de la auditoria de recursos humanos es fundamentalmente educativo.

Capitulo IV

4.1

Es muy importante ser consciente que por ms que nuestra empresa sea la ms segura desde el punto de vista de ataques externos, Hackers, virus, etc. (conceptos luego tratados); la seguridad de la misma ser nula si no se ha previsto como combatir un incendio. La seguridad fsica es uno de los aspectos ms olvidados a la hora del diseo de un sistema informtico. Si bien algunos de los aspectos tratados a continuacin se prevn, otros, como la deteccin de un atacante interno a la empresa que intenta a acceder fsicamente a una sala de operaciones de la misma, no. Esto puede derivar en que para un atacante sea ms fcil lograr tomar y copiar una cinta de la sala, que intentar acceder va lgica a la misma. As, la Seguridad Fsica consiste en la aplicacin de barreras fsicas y procedimientos de control, como medidas de prevencin y contramedidas ante amenazas a los recursos e informacin confidencial(1). Se refiere a los controles y mecanismos de seguridad dentro y alrededor del Centro de Cmputo as como los medios de acceso remoto al y desde el mismo; implementados para proteger el hardware y medios de almacenamiento de datos.

Tipos de Desastres No ser la primera vez que se mencione en este trabajo, que cada sistema es nico y por lo tanto la poltica de seguridad a implementar no ser nica. Este concepto vale, tambin, para el edificio en el que nos encontramos. Es por ello que siempre se recomendarn pautas de aplicacin general y no procedimientos especficos. Para ejemplificar esto: valdr de poco tener en cuenta aqu, en Entre Ros, tcnicas de seguridad ante terremotos; pero s ser de mxima utilidad en Los Angeles, EE.UU. Este tipo de seguridad est enfocado a cubrir las amenazas ocasionadas tanto por el hombre como por la naturaleza del medio fsico en que se encuentra ubicado el centro. Las principales amenazas que se prevn en la seguridad fsica son: Desastres naturales, incendios accidentales tormentas e inundaciones. Amenazas ocasionadas por el hombre. Disturbios, sabotajes internos y externos deliberados. No hace falta recurrir a pelculas de espionaje para sacar ideas de cmo obtener la mxima seguridad en un sistema informtico, adems de que la solucin sera extremadamente cara. A veces basta recurrir al sentido comn para darse cuenta que cerrar una puerta con llave o cortar la electricidad en ciertas reas siguen siendo tcnicas vlidas en cualquier entorno. A continuacin se analizan los peligros ms importantes que se corren en un centro de procesamiento; con el objetivo de mantener una serie de acciones a seguir en forma eficaz y oportuna para la prevencin, reduccin, recuperacin y correccin de los diferentes tipos de riesgos. Incendios Inundaciones Se las define como la invasin de agua por exceso de escurrimientos superficiales o por acumulacin en terrenos planos, ocasionada por falta de drenaje ya sea natural o artificial. Esta es una de las causas de mayores desastres en centros de cmputos.

Adems de las causas naturales de inundaciones, puede existir la posibilidad de una inundacin provocada por la necesidad de apagar un incendio en un piso superior. Para evitar este inconveniente se pueden tomar las siguientes medidas: construir un techo impermeable para evitar el paso de agua desde un nivel superior y acondicionar las puertas para contener el agua que bajase por las escaleras. Condiciones Climatolgicas Seales de Radar La influencia de las seales o rayos de radar sobre el funcionamiento de una computadora ha sido exhaustivamente estudiada desde hace varios aos. Los resultados de las investigaciones ms recientes son que las seales muy fuertes de radar pueden inferir en el procesamiento electrnico de la informacin, pero nicamente si la seal que alcanza el equipo es de 5 Volts/Metro, o mayor. Ello podra ocurrir slo si la antena respectiva fuera visible desde una ventana del centro de procesamiento respectivo y, en algn momento, estuviera apuntando directamente hacia dicha ventana. Instalaciones Elctricas Ergometra Acciones Hostiles Robo Las computadoras son posesiones valiosas de las empresas y estn expuestas, de la misma forma que lo estn las piezas de stock e incluso el dinero. Es frecuente que los operadores utilicen la computadora de la empresa para realizar trabajos privados o para otras organizaciones y, de esta manera, robar tiempo de mquina. La informacin importante o confidencial puede ser fcilmente copiada. Muchas empresas invierten millones de dlares en programas y archivos de informacin, a los que dan menor proteccin que la que otorgan a una mquina de escribir o una calculadora.

El software, es una propiedad muy fcilmente sustrable y las cintas y discos son fcilmente copiados sin dejar ningn rastro Fraude Cada ao, millones de dlares son sustrados de empresas y, en muchas ocasiones, las computadoras han sido utilizadas como instrumento para dichos fines. Sin embargo, debido a que ninguna de las partes implicadas (compaa, empleados, fabricantes, auditores, etc.), tienen algo que ganar, sino que ms bien pierden en imgen, no se da ninguna publicidad a este tipo de situaciones. Sabotaje El peligro ms temido en los centros de procesamiento de datos, es el sabotaje. Empresas que han intentado implementar programas de seguridad de alto nivel, han encontrado que la proteccin contra el saboteador es uno de los retos ms duros. Este puede ser un empleado o un sujeto ajeno a la propia empresa. Fsicamente, los imanes son las herramientas a las que se recurre, ya que con una ligera pasada la informacin desaparece, aunque las cintas estn almacenadas en el interior de su funda de proteccin. Una habitacin llena de cintas puede ser destruida en pocos minutos y los centros de procesamiento de datos pueden ser destruidos sin entrar en ellos. Adems, suciedad, partculas de metal o gasolina pueden ser introducidos por los conductos de aire acondicionado. Las lneas de comunicaciones y elctricas pueden ser cortadas, etc. Control de Accesos El control de acceso no slo requiere la capacidad de identificacin, sino tambin asociarla a la apertura o cerramiento de puertas, permitir o negar acceso basado en restricciones de tiempo, rea o sector dentro de una empresa o institucin. Utilizacin de Guardias Utilizacin de Detectores de Metales El detector de metales es un elemento sumamente prctico para la revisin de personas, ofreciendo grandes ventajas sobre el sistema de palpacin manual.

La sensibilidad del detector es regulable, permitiendo de esta manera establecer un volumen metlico mnimo, a partir del cual se activar la alarma. La utilizacin de este tipo de detectores debe hacerse conocer a todo el personal. De este modo, actuar como elemento disuasivo. Utilizacin de Sistemas Biomtricos Verificacin Automtica de Firmas (VAF) En este caso lo que se considera es lo que el usuario es capaz de hacer, aunque tambin podra encuadrarse dentro de las verificaciones biomtricas. Mientras es posible para un falsificador producir una buena copia visual o facsmil, es extremadamente difcil reproducir las dinmicas de una persona: por ejemplo la firma genuina con exactitud. La VAF, usando emisiones acsticas toma datos del proceso dinmico de firmar o de escribir. La secuencia sonora de emisin acstica generada por el proceso de escribir constituye un patrn que es nico en cada individuo. El patrn contiene informacin extensa sobre la manera en que la escritura es ejecutada. El equipamiento de coleccin de firmas es inherentemente de bajo costo y robusto. Esencialmente, consta de un bloque de metal (o algn otro material con propiedades acsticas similares) y una computadora barata. Seguridad con Animales Sirven para grandes extensiones de terreno, y adems tienen rganos sensitivos mucho ms sensibles que los de cualquier dispositivo y, generalmente, el costo de cuidado y mantenimiento se disminuye considerablemente utilizando este tipo de sistema. As mismo, este sistema posee la desventaja de que los animales pueden ser engaados para lograr el acceso deseado. Proteccin Electrnica
4.2

Seguridad lgica y confidencial

La seguridad lgica se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como de controlar el mal uso de la informacin. La seguridad lgica se encarga de controlar y salvaguardar la informacin generada por los sistemas, por el software de desarrollo y por los programas en aplicacin. Identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especifico, de las redes y terminales. La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin: Cambio de los datos antes o cuando se le da entrada a la computadora. Copias de programas y /o informacin. Cdigo oculto en un programa Entrada de virus La seguridad lgica puede evitar una afectacin de perdida de registros, y ayuda a conocer el momento en que se produce un cambio o fraude en los sistemas. Un mtodo eficaz para proteger sistemas de computacin es el software de control de acceso. Los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a informacin confidencial. Sin embargo, los paquetes de control de acceso basados en componentes pueden ser eludidos por delincuentes sofisticados en computacin, por lo que no es conveniente depender de esos paquetes por si solos para tener una seguridad adecuada. El sistema integral de seguridad debe comprender: Elementos administrativos. Definicin de una poltica de seguridad. Organizacin y divisin de responsabilidades. Seguridad lgica

Tipos de usuarios: Propietario. Es el dueo de la informacin, el responsable de sta, y puede realizar cualquier funcin. Es responsable de la seguridad lgica, en cuanto puede realizar cualquier accin y puede autorizar a otros usuarios de acuerdo con el nivel que desee darles. Administrador. Slo puede actualizar o modificar el software con la debida autorizacin, pero no puede modificar la informacin. Es responsable de la seguridad lgica y de la integridad de los datos. Usuario principal. Est autorizado por el propietario para hacer modificaciones, cambios, lectura y utilizacin de los datos, pero no puede dar autorizacin para que otros usuarios entren. Usuario de explotacin. Puede leer la informacin y utilizarla para explotacin de la misma, principalmente para hacer reportes de diferente ndole. Usuario de auditora. Puede utilizar la informacin y rastrearla dentro del sistema para fines de auditoria. Los usuarios pueden ser mltiples, y pueden ser el resultado de la combinacin de los antes sealados. Se recomienda que exista slo un usuario propietario, y que el administrador sea una persona designada por la gerencia de informtica. Para conservar la integridad, confidencialidad y disponibilidad de los sistemas de informacin se debe tomar en cuenta lo siguiente: La integridad es la responsabilidad de los individuos autorizados para modificar datos o programas o de los usuarios a los que se otorgan acceso a aplicaciones de sistema o funciones fuera de sus responsabilidades normales de trabajo. La confidencialidad es responsabilidad de los individuos autorizados para consultar o para bajar archivos importantes para microcomputadoras. La responsabilidad es responsabilidad de individuos autorizados para alterar los parmetros de control de acceso al sistema operativo, al sistema operativo, al sistema manejador de base de datos, al monitoreo de teleproceso o al software de telecomunicaciones. La seguridad lgica abarca las siguientes reas:

Rutas de acceso. Claves de acceso. Software de control de acceso. Encriptamiento. Rutas de acceso Cada uno de los sistemas de informacin tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema. Los tipos de restricciones de acceso son: Slo lectura Slo consulta Lectura y consulta Lectura escritura para crear, actualizar, borrar, ejecutar o copiar El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema. El autor debe conocer las rutas de acceso para el evaluacin de los puntos de control apropiados. Claves de acceso Un rea importante en la seguridad lgica de las claves de acceso de los usuarios. Existen diferentes mtodos de identificacin para el usuario: Un password, cdigo o llaves de acceso. Las claves de acceso pueden ser usadas para controlar al acceso a la computadora, a sus recursos, as como definir nivel de acceso o funciones especficas. Las llaves de acceso deben tener las siguientes caractersticas: - El sistema debe verificar primero que el usuario tenga una llave de acceso vlida. - La llave de acceso debe ser de una longitud adecuada para ser un secreto.

- La llave de acceso no debe ser desplegada cuando es tecleada. - Las llaves de acceso deben ser encintadas. - Las llaves de acceso deben de prohibir el uso de nombres, palabras o caracteres difciles de retener, adems el password no debe ser cambiado por un valor pasado. Se recomienda la combinacin de caracteres alfabticos y numricos. Una credencial con banda magntica. La banda magntica de las credenciales es frecuentemente usada para la entrada del sistema. Esta credencial es como una bancaria, pero se recomienda que tenga fotografa y firma. Algo especifico del usuario. Es un mtodo para identificacin del usuario, que es implantado con tecnologa biomtrica (caractersticas propias). Algunos de los dispositivos biomtricos son: - Las huellas dactilares. - La retina - La geometra de la mano. - La firma. - La voz. Software de control de acceso El software de control de acceso, tiene las siguientes funciones: Definicin de usuarios. Definicin de las funciones del usuario despus de accesar el sistema. Jobs Establecimiento de auditora a travs del uso del sistema. La mayor ventaja del software de seguridad es la capacidad para proteger los recursos de acceso no autorizados, incluyendo los siguientes: Procesos en espera de modificacin por un programa de aplicacin.

Accesos por editores en lnea. Accesos por utileras de software. Accesos a archivos de las bases de datos, a travs de un manejador de base de datos. Acceso de terminales o estaciones no autorizadas. Estos paquetes pueden restringir el acceso a los recursos, reduciendo as el riesgo de accesos no autorizados. Otra caracterstica de estos paquetes es que se pueden detectar las violaciones de seguridad, tomando las siguientes medidas: Terminaciones de procesos. Forzar a las terminales a apagarse. Desplegar mensajes de error. Escribir los riesgos para la auditora. Otros tipos de software de control de acceso Algunos tipos de software son diseados con caractersticas que pueden ser usadas para proveerles seguridad. Sin embargo, es preferible usar un software de control de acceso para asegurar el ambiente total y completar las caractersticas de seguridad con u software especifico. a) Sistemas operativos. Se trata de una serie de programas que se encuentran dentro de los sistemas operativos, los cuales manejan los recursos de las computadoras y sirven como interfase entre software de aplicaciones y el hardware. Estos programas proporcionan seguridad ya que, internamente, dentro de los sistemas operativos manejan y controlan la ejecucin de programas de aplicacin y proveen los servicios que estos programas requieren, dependiendo del usuario y del sistema que est trabajando. b) Software manejador de base de datos. Es un software cuya finalidad es la de controlar, organizar y manipular los datos. Provee mltiples caminos para accesar los datos en una base de datos. Maneja la integridad de datos entre operaciones, funciones y tareas de la organizacin.

c) Software de consolas o terminales maestras. El software de consolas o terminales maestras puede ser definido como varios programas del sistema operativo que proveen soporte y servicio para que las terminales en lnea acceden a los programas en aplicacin. d) Software de libreras. El software de libreras consta de datos y programas especficos escritos para ejecutar una funcin de la organizacin. Los programas en aplicacin pueden ser guardados en archivos en el sistema, y el acceso a estos programas puede ser controlado por medio del software usado para controlar el acceso a estos archivos. e) Software de utileras. Existen dos tipos de utileras. El primero es usado en los sistemas de desarrollo para proveer productividad. El desarrollo de programas y los editores en lnea son los ejemplos de este tipo de software. El segundo es usado para asistir en el manejo de operaciones de la computadora. Monitoreos, calendarios de trabajo, sistema manejador de disco y cinta son ejemplos de este de software.
4.3 plan de contingencia

A medida que las empresas se han vuelto cada vez ms dependientes de las computadoras y las redes para manejar sus actividades, la disponibilidad de los sistemas informticos se ha vuelto crucial. Actualmente, la mayora de las empresas necesitan un nivel alto de disponibilidad y algunas requiren incluso un nivel continuo de disponibilidad, ya que les resultara extremadamente difcil funcionar sin los recursos informticos. Los procedimientos manuales, si es que existen, slo seran prcticos por un corto periodo. En caso de un desastre, la interrupcin prolongada de los servicios de computacin puede llevar a prdidas financieras significativas, sobre todo si est implicada la responsabilidad de la gerencia de informtica. Lo ms grave es que se puede perder la credibilidad del pblico o los los clientes y, como consecuencia, la empresa puede terminar en un fracaso total. Cabe preguntarse Por se necesita un plan de contingencia para desastres si existe una pliza de seguro para esta eventualidad? La respuesta es que si bien el seguro puede cubrir los costos materiales de los activos de una organizacin en caso de una calamidad, no servir para recuperar el negocio. No ayudar a conservar a los clientes y, en la mayora de los casos, no proporcionar fondos por adelantado para mantener funcionando el negocio hasta que se haya recuperado.

En un estudio realizado por la Universidad de Minnesota, se ha demostrado que ms del 60% de las empresas que sufren un desastre y que no tienen un plan de recuperacin ya en funcionamiento, saldrn del negocio en dos o tres aos. Mientras vaya en aumento la dependencia de la disponibilidad de los recursos informticos, este porcentaje seguramente crecer. Por lo tanto, la capacidad para recuperarse xitosamente de los efectos de un desastre dentro de un periodo predeterminado debe ser un elemento crucial en un plan estratgico de seguridad para una organizacin. Imagnese una situacin que interrumpa las operaciones de las computadoras durante una semana o un mes; imagine la prdida de todos los datos de la empresa, todas las unidades de respaldo del sitio y la destruccin de equipos vitales del sistema Cmo se manejara semejante catstrofe? Si Ud. se ve en esta situacin y lo nico que puede hacer es preguntarse Y ahora qu? ya es demasiado tarde! La nica manera efectiva de afrontar un desastre es tener una solucin completa y totalmente probada para recuperarse de los efectos del mismo.
4.4 tecnicas y herramientas relacionadas a la seguridad de datos

Primera parte de: 4.10.-Auditoria de la seguridad de los datos y del software de aplicacin 1.-Controles internos sobre el anlisis, desarrollo e implementacin de sistemas 1.-Las actividades que se realizan para el anlisis, diseo, desarrollo e implementacin de sistemas de cualquier empresa son nicas y por lo tanto, no tienen parecido alguno con otras actividades. 2.-Por esta razn merecen un tratamiento ms especializado. 2.- Puntos bsicos 1.-Las consecuencias de un error (generalmente deben ser consideradas para cada campo en la informacin de entrada). 2.-Los puntos en el procesamiento de informacin en los cuales se puede introducir un error en sta. 2.-Puntos bsicos

1.-Lo adecuado de los controles introducidos para prevencin, deteccin y correccin de errores de entrada. 3.-Cmo pueden ocurrir errores en los datos de entrada? 1.-Pueden estar registrados incorrectamente en el punto de entrada. 2.-Pueden haber sido convertidos incorrectamente a forma legible por la mquina. 4.-Cmo pueden ocurrir errores en los datos de entrada? 1.-Pueden haber sido perdidos al manejarlos; 2.-Pueden haber sido incorrectamente procesados al ser ledos por el equipo del computador. 5.-El auditor debe investigar puntos tales como: 1.-Qu ocurre a la informacin de entrada en que se encuentran los errores? 2.-Qu sucede con una operacin no correspondida? 3.-Qu sucede si los totales de control no coinciden? 6.-Tipos de controles. 1.-Control de distribucin. 2.-Validacin de datos. 3.-Totales de control. 4.-Control de secuencia. 5.-Pruebas de consistencia y verosimilitud. 6.-Dgito de control. 7.-Control de distribucin

1.-La informacin de salida debe ser controlada en el sentido de que debe ser distribuida a aquellas personas que necesitan los datos y no debe ser enviada a aquellos que no estn autorizados para recibirla. 8.-Validacin de datos 1.-Es necesario tener confianza en los datos a ser procesados, por eso mismo son sometidos a una serie de pruebas para detectar los posibles errores que puedan traer. 2.-Estas pruebas actan como filtros de la informacin. 9.-Validacin de datos 1.-Los datos que logran pasar el filtro se dice que estn validados. 2.-Aquellos que contienen errores son examinados, y una vez corregidos pasan de nuevo por el filtro. 10.-Totales de control 1.-Un sistema de validacin consiste en sumar por medio de la computadora el contenido de un determinado campo de cada uno de los artculos de un archivo. 2.-El resultado se compara con el total de estos mismos obtenidos manualmente. 11.-Totales de control 1.-Si el total manual no coincide con el total de la computadora es seal de que se ha producido un error, esto es debido a que no estn escritos los datos correctamente, o se omita un registro, duplicar registros. 12.-Control de secuencia 1.-En datos como las facturas que estn foliadas, la computadora puede ejercer un control de secuencia sobre este nmero de folio, con lo cual se detectar si se omitieron o duplicaron registros. 13.-Control de secuencia 1.-Algunas veces se dan rangos de secuencia con vacos entre rango y rango, entonces la investigacin se hace dentro de los lmites de cada rango.

14.-Control de secuencia 1.-En la mayora de las veces el control de secuencia se produce sobre la clave de identificacin del artculo, pero en otras se incorpora un campo adicional al artculo en donde se inserta el nmero de orden que permita el control de secuencia. 15.-Pruebas de consistencia y verosimilitud 1.-Una prueba tpica de consistencia es ver si un campo de un registro al que hemos definido como numrico, efectivamente soporta informacin numrica. 16.-Dgito de control 1.-Dado que la clave de identificacin de los artculos de un registro, permite individualizar cada uno de los artculos. 2.-Es necesario asegurarse de que el contenido de la clave est correcto. 17.-Dgito de control 1.-Cuando se escribe un nmero es factible cometer ciertos errores ya tpicos: Error de omisin. Error de adicin. Error de transposicin. Error de repeticin. Error de transcripcin. Error aleatorio. 18.-Dgito de control 1.-Para detectar que el contenido de un campo de una clave es el correcto, lo que se hace es aadir una cifra ms, obtenida como una combinacin matemtica de las distintas cifras que integran el nmero de la clave de identificacin. 29.-Dgito de control

1.-Existen dos fases en el problema: -Asignar a cada nmero de la clave su correspondiente dgito de control de manera que desde este momento para cualquier transaccin el nmero de artculo tiene que aparecer acompaado de su dgito de control. 20.-Dgito de control .Validacin de cualquier movimiento o transaccin en que intervenga el artculo. Para ello se forma la parte que ser propiamente el nmero de clave, se calcula el dgito de control y se compara con el que aparece asociado en la clave. Segunda parte de: 4.10.- Auditora de la seguridad de los datos y del software de aplicacin 1.-PROTECCIN DE LOS REGISTROS Y DE LOS ARCHIVOS 1.1.formas en que se pueden perder los archivos: 1.1.1.Su presencia en un ambiente destructivo. 1.1.2 .Manejo indebido por parte del operador. 1.1.3 .Mal funcionamiento de la mquina. 2.-CONSIDERACIONES DE AUDITORA: 1.-El auditor debe advertir a la gerencia acerca de cualesquiera deficiencias que haya en los procedimientos para proteccin de registros y archivos y para su restitucin en caso de prdida.
An cuando no ocurra una prdida, un sistema dbil pone en peligro los archivos.

3.-PLAN DE PRESERVACIN DE LA INFORMACIN 1.-DOCUMENTOS FUENTE: Los documentos fuente en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento en que el archivo sea comprobado.

2.-ARCHIVO DE DISCOS: Una caracterstica del archivo de discos es que el registro anterior es destrudo, no produce una copia automticamente una copia en duplicado. 3.-VACIADO A OTROS MEDIOS: Esto puede ser vaciado a otros discos, o a papel de impresin.
Grado de confianza, satisfaccin y desempeo Grado de confianza, satisfaccin y desempeo

4.-OBJETIVOS DE LA AUDITORA DEL SOFTWARE DE APLICACIN 1.-VERIFICAR LA PRESENCIA DE PROCEDIMIENTOS Y CONTROLES.

Para satisfacer: La instalacin del software La operacin y seguridad del software. La administracin del software

2.-DETECTAR EL GRADO DE CONFIABILIDAD.

Grado de confianza, satisfaccin y desempeo

5.-Investigar si existen polticas con relacin al software. 1.-Detectar si existen controles de seguridad. 2.-Verificar que sea software legalizado. 3.-Actualizacin del software de aplicacin. 6.-EVALUACIN DEL SOFTWARE El auditor debe evaluar qu software se encuentra instalado en la organizacin. Este software puede ser: paquetes, lenguajes, sistemas operativos, bases de datos, etc. Tambin debe investigar las versiones de cada uno. 7.-ORGANIZACIN

El auditor debe de verificar que existan polticas para: 1.-La evaluacin del software. 2.-Adquisicin o instalacin. 3.-Soporte a usuarios. 4.-Seguridad. 8.-INSTALACIN Y LEGALIZACIN 1.-Procedimientos para la instalacin del software.
El auditor debe investigar si existen procedimientos que aseguren la oportuna instalacin del software.

2.-Actividades durante la instalacin.

Por ejemplo: revisin de contenido del paquete, fecha de instalacin, nmero de mquina, responsable de instalacin, etc.

9.-Justificacin
En algunas ocasiones se adquiere software pero su compra no estaba planeada, entonces se debe formular una justificacin del porqu de esta adquisicin.

1.-Software legal
El auditor debe de investigar las polticas cuando se encuentra software instalado en mquinas sin licencias de uso.

10.-ENTRADA Y SALIDA DEL SOFTWARE Que el software que salga de la empresa sea: 1.-Revisado (contenido, cantidad, destino). 2.-Est registrado formalmente en la empresa. 3.-Justificada plenamente su salida. 4.-Aprobado por el responsable del rea de informtica.

10.1-ENTRADA Y SALIDA DEL SOFTWARE Que el software que salga de la empresa sea: 1.-Registrado en bitcora (quin y a qu hora lo sac) 2.-Devuelto en las mismas condiciones. 3.-El personal est comprometido a no hacer mal uso del mismo. 10.1.1ENTRADA Y SALIDA DEL SOFTWARE
Que el software que ingrese a la empresa sea: Revisado (contenido, cantidad, procedencia).

1.-Aprobado por el responsable de informtica. 2.-Registrado (quin y a qu hora lo introdujo) 10.1.2ENTRADA Y SALIDA DEL SOFTWARE
Que el software que ingrese a la empresa sea:

1.-Devuelto en tiempo (comparar con fecha estipulada de devolucin). 2.-Devuelto en las mismas condiciones. 3.-El personal est comprometido a no hacer mal uso del mismo

Capitulo V

FORMATO PARA LA ELABORACIN DE INFORMES FINALES El formato para informes finales est enfocado a apoyar y facilitar el proceso de evaluacin de los resultados de los proyectos financiados por la sede Bogot, con respecto a los compromisos adquiridos en el proyecto aprobado. Adems de reportar sobre el cumplimiento de los objetivos y el impacto logrado a partir del uso y obtencin de los resultados esperados y de las actividades de investigacin cientfica. Los informes finales tcnico y financiero, deben ser entregados a la Direccin de Investigacin de la sede, al finalizar el periodo de ejecucin del proyecto. El informe debe ser aprobado previamente por el respectivo Consejo Directivo de cada Facultad, Centro o Instituto. El informe debe contener un ndice. Cada pgina del informe debe estar numerada. Cada anexo debe estar numerado haciendo referencia a lo anotado en los cuadros de resultados. El informe tcnico final deber presentarse en versin impresa y magntica (CD o disquete). I. CONTENIDO DEL INFORME TCNICO 1. Ttulo y cdigo del proyecto 2. Nombre del investigador principal y de la Facultad, Centro o Instituto al que pertenece 3. Fecha de entrega del Informe 4. Sinopsis divulgativa: Con el propsito de promover la divulgacin de las actividades investigativas que adelanta la Sede Bogot y para dar mayor difusin a los proyectos, deben incluir un resumen de una cuartilla que servir de base para la elaboracin de notas acadmicas dirigidas a los medios de comunicacin de la Universidad. 5. Resumen tcnico de los resultados obtenidos durante la realizacin del proyecto y de las principales conclusiones (mximo cinco pginas). 6. Cuadro de resultados obtenidos: De acuerdo a los objetivos y resultados esperados planteados en el proyecto aprobado, relacione los resultados obtenidos durante la

realizacin del proyecto, los cuales deben estar soportados por sus respectivos indicadores verificables: publicaciones, patentes, registros, normas, certificaciones, memorias, formacin de recurso humano, capacitacin, organizacin y/o participacin en eventos cientficos, etc., estos deben numerarse y adjuntarse como anexos del informe (ver cuadro No. 1). 7. Descripcin del impacto actual o potencial de los resultados: En trminos de generacin de nuevo conocimiento a nivel mundial, de aporte para el desarrollo del pas, de contribucin a la solucin de problemas especficos, de fortalecimiento de la capacidad cientfica, y de fortalecimiento de la investigacin y creacin en la Sede Bogot (mximo dos pginas). 8. Conclusiones CUADRO NO. 1: RESULTADOS DE GENERACIN DE CONOCIMIENTO OBJETIVO (del proyecto aprobado) RESULTADO ESPERADO (segn proyecto aprobado) RESULTADO OBTENIDO INDICADOR VERIFICABLE DEL RESULTADO No. DE ANEXO SOPORTE OBSERVACIONES 1. 2. 3. NOTA: Si como resultado de la ejecucin del proyecto se hubieren logrado resultados adicionales a los comprometidos en la propuesta original, el investigador puede relacionarlos y documentarlos en este informe en una seccin aparte, demostrando su relacin directa con el proyecto. II. PRESENTACION DE INFORME FINANCIERO Solicitar a las unidades administrativas de la Facultad, Centro o Instituto respectivo el Movimiento por proyectos por imputacin y la ejecucin acumulada por proyecto y por recurso a la fecha que corresponde el periodo de ejecucin de los recursos.

 Debe estar firmado por el jefe de la unidad y por el director del proyecto No deben enviar soportes fsicos relacionados con los gastos del proyecto, estos deben reposar en las unidades administrativas de la Facultad, Centro o Instituto respectivo, disponibles en caso de ser requeridos.