AUDITORA DE SISTEMAS Se encarga de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos que se tienen establecidos en una empresa

para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a travs de los sistemas de informacin. La auditora de sistemas es una rama especializada de la auditora que promueve y aplica conceptos de auditora en el rea de sistemas de informacin.

Es la revisin y evaluacin de los controles, sistemas, procedimientos de informtica, de los equipos de computo, su utilizacin y seguridad; que permitan medir la eficiencia y eficacia con que se est operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin.

La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. Esta se encarga de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a travs de los sistemas de informacin. La auditora de sistemas es una rama especializada de la auditora que promueve y aplica conceptos de auditora en el rea de sistemas de informacin.

A continuacin se detallan algunos conceptos recogidos de algunos expertos en la materia:

Auditora de Sistemas es:

 La verificacin de controles en el procesamiento de la informacin, desarrollo de sistemas e instalacin con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.

La actividad dirigida a verificar y juzgar el tratamiento de la informacin.

El examen y evaluacin de los procesos del rea de Procesamiento Automtico de Datos (PAD) y de la utilizacin de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economa de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

Es el proceso de recoleccin y evaluacin de evidencia de un sistema automatizado para determinar: Daos Salvaguarda activos Destruccin Uso no autorizado Robo Mantiene Integridad de Informacin Precisa, Los datos Completa Oportuna Confiable Alcanza metas Contribucin de la organizacionales funcin informtica Consume recursos Utiliza los recursos adecuadamente. Eficientemente en el procesamiento de la informacin.

 Es el examen o revisin de carcter objetivo (independiente), crtico(evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de informacin computarizados, con el fin de emitir una opinin profesional (imparcial) con respecto a:

Eficiencia en el uso de los recursos informticos Validez de la informacin Efectividad de los controles establecidos

LA AUDITORIA TRADICIONAL

La palabra auditora se ha empleado incorrectamente y se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas; por eso se ha llegado a acuar la frase tiene auditora como sinnimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se est haciendo auditora. El concepto de auditora es ms amplio: no solo detecta errores, sino que es un examen crtico que se realiza con objeto de evaluar la eficacia y eficiencia de una seccin o de un organismo con miras a corregir o mejorar la forma de actuacin.

LA AUDITORIA MODERNA - EL AUDITOR DE SISTEMAS

Los profesionales responsables del auditaje en ambientes computarizados, deben poseer una slida formacin en Administracin, Control interno, Informtica y Auditora.

En Administracin deben manejar con habilidad y destreza las funciones bsicas del proceso administrativo, tales como: planeacin, organizacin,

direccin y control, con una mentalidad de hombre de negocios y dentro de las modernas teoras de la Planeacin Estratgica, y la calidad total.

En la era de la informtica, el auditor debe entender que su papel profesional debe ser el de Asesor Gerencial para asegurar el xito de la funcin y, en consecuencia, debe visualizar la empresa y su futuro en forma sistmicoestructural, articulando ordenadamente los objetivos del rea informtica con la misin y los objetivos de la organizacin, en su conjunto.

En materia de Control Interno, el auditor informtico, debe estar en capacidad de diagnosticar su validez tcnica, desde un punto de vista sistmico total. Esto quiere decir que deber entender el control interno como sistema y no como un conjunto de controles distribuidos de cualquier manera en las organizaciones.

El Auditor deber analizar y evaluar la estructura conceptual del sistema de control interno, teniendo en cuenta para ello los controles preventivos, detectivos y correctivos. Comprometerse con una opinin objetiva e independiente, en relacin con el grado de seguridad y de confiabilidad del sistema de control vigente en el rea de informtica.

En esencia, un sistema de control interno, para el rea de informtica, comprende por lo menos los siguientes elementos: Objetivos, polticas y presupuestos perfectamente definido; estructura de organizacin slida; personal competente; procedimientos operativos y de control, efectivos y documentados; sistema de informacin confiable y oportuno; sistema de seguridad de todos los recursos; sistema de auditora efectivo.

Como puede observarse, la funcin de Auditora es un elemento de control interno, solo que goza de un privilegio muy especial y es el de monitorear

permanentemente los otros controles y operaciones del ente auditado.

La temtica del concepto de control interno, exige del auditor una formacin avanzada en administracin de recursos informticos, sobre la base de que no se puede diagnosticar una determinada realidad sin estar en condiciones de conocerla y entenderla plenamente.

En informtica, el auditor debe conocer por lo menos, cmo funcionan los computadores, cules son sus reales capacidades y limitaciones. Las marcas, las potencialidades y la calidad de los componentes de hardware y de software. Los ambientes de procesamiento, los sistemas operacionales, los sistemas de seguridad, los riesgos posibles, los principales lenguajes de programacin, las tecnologas de almacenamiento y la metodologa para la generacin y mantenimiento de sistemas de informacin. En general el Auditor de Sistemas debe estar al da en los avances cientfico-tecnolgicos sobre la materia.

En el campo de la auditora, el auditor informtico, debe conocer y manejar deseablemente la teora bsica de la auditora, en trminos de conceptos, filosofa, tica, normatividad, tcnicas, procedimientos, metodologa, papeles de trabajo e informes.

De otra parte, el auditor informtico, debe ser una persona de muy buenas relaciones humanas, respetuoso de la opinin de los dems, analtico, crtico y buen oidor. Amable, objetivo, de espritu cientfico, con habilidad y capacidad para trabajar bajo presin, con un amplio sentido de responsabilidad social y por sobre todo, que goce de un comportamiento tico a toda prueba.

ENFOQUES DE LA AUDITORIA DE SISTEMAS

Auditoria Alrededor del Computador: En este enfoque de auditora, los programas y los archivos de datos no se auditan.

La auditora alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de informacin. Es el ms cmodo para los auditores de sistemas, por cuanto nicamente se verifica la efectividad del sistema de control interno en el ambiente externo de la mquina. Naturalmente que se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad.

La auditora alrededor del computador no es tan simple como aparentemente puede presentarse, pues tiene objetivos muy importantes como:

1. Verificar la existencia de una adecuada segregacin funcional.

2. Comprobar la eficiencia de los controles sobre seguridades fsicas y lgicas de los datos.

3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso estn autorizados.

4. Comprobar la existencia de controles para asegurar que todos los datos enviados sean procesados.

5. Cerciorarse que los procesos se hacen con exactitud.

6. Comprobar que los datos sean sometidos a validacin antes de ordenar su proceso.

7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior realimentacin de los datos corregidos al proceso.

8. Examinar los controles de salida de la informacin para asegurar que se eviten los riesgos entre sistemas y el usuario.

9. Verificar la satisfaccin del usuario. En materia de los informes recibidos.

10. Comprobar la existencia y efectividad de un plan de contingencias, para asegurar la continuidad de los procesos y la recuperacin de los datos en caso de desastres.

Auditoria A Travs Del Computador:

Este enfoque est orientado a examinar y evaluar los recursos del software, y surge como complemento del enfoque de auditora alrededor del computador, en el sentido de que su accin va dirigida a evaluar el sistema de controles diseados para minimizar los fraudes y los errores que normalmente tienen origen en los programas.

Este enfoque es ms exigente que el anterior, por cuanto es necesario saber con cierto rigor, lenguajes de programacin o desarrollo de sistemas en general, con el objeto de facilitar el proceso de auditaje. Objetivos de esta auditora

1. Asegurar que los programas procesan los datos, de acuerdo con las necesidades del usuario o dentro de los parmetros de precisin previstos.

2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los

programas. 3. Verificar que los programadores modifiquen los programas solamente en los aspectos autorizados.

4. Comprobar que los programas utilizados en produccin son los debidamente autorizados por el administrador.

5. Verificar la existencia de controles eficientes para evitar que los programas sean modificados con fines ilcitos o que se utilicen programas no autorizados para los procesos corrientes.

6. Cerciorarse que todos los datos son sometidos a validacin antes de ordenar su proceso correspondiente.

Informe de Auditora: deber orientarse a opinar sobre la validez de los controles, en este caso de software, para proteger los datos en su proceso de conversin en informacin.

Auditoria Con El Computador:

Este enfoque va dirigido especialmente, al examen y evaluacin de los archivos de datos en medios magnticos, con el auxilio del computador y de software de auditora generalizado y /o a la medida. Este enfoque es relativamente completo para verificar la existencia, la integridad y la exactitud de los datos, en grandes volmenes de transacciones. La auditora con el computador es relativamente fcil de desarrollar porque los programas de auditora vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicacin. Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientos de informtica. Los paquetes de auditora permiten desarrollar operaciones y

prueba, tales como:

1- reclculos y verificacin de informacin, como por ejemplo, relaciones sobre nmina, montos de depreciacin y acumulacin de intereses, entre otros.

2- Demostracin grfica de datos seleccionados.

3- Seleccin de muestras estadsticas.

4- Preparacin de anlisis de cartera por antigedad.

Informe de Auditora: Este informe deber versar sobre la confiabilidad del sistema de control interno para proteger los datos sometidos a proceso y la informacin contenida en los archivos maestros.

Los tres (3) enfoque de auditora, son complementarios, pues ninguno de los tres, es suficiente para auditar aplicaciones en funcionamiento.

JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORA DE SISTEMAS

Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos).

Desconocimiento en el nivel directivo de la situacin informtica de la empresa. Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes efectuados con el computador Falta de una planificacin informtica.

 Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano. Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados. Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin. OBJETIVO GENERAL DE LA AUDITORIA DE SISTEMAS El objetivo general de la auditoria de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa. OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS: 1. Participacin en el desarrollo de nuevos sistemas: evaluacin de controles cumplimiento de la metodologa. 2. Evaluacin de la seguridad en el rea informtica. 3. Evaluacin de suficiencia en los planes de contingencia. respaldos, preveer qu va a pasar si se presentan fallas. 4. Opinin de la utilizacin de los recursos informticos. resguardo y proteccin de activos. 5. Control de modificacin a las aplicaciones existentes. fraudes control a las modificaciones de los programas. 6. Participacin en la negociacin de contratos con los proveedores. 7. Revisin de la utilizacin del sistema operativo y los programas utilitarios. control sobre la utilizacin de los sistemas operativos programas utilitarios.

8. Auditora de la base de datos. estructura sobre la cual se desarrollan las aplicaciones... 9. Auditora de la red de teleprocesos. 10. Desarrollo de software de auditora.

Es el objetivo final de una auditora de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del rea de procesamiento de datos. FINES DE LA AUDITORIA DE SISTEMAS: 1. Fundamentar la opinin del auditor interno (externo) sobre la confiabilidad de los sistemas de informacin. 2. Expresar la opinin sobre la eficiencia de las operaciones en el rea de TI. (Tecnologa de la informacin). Similitudes y diferencias con la auditora tradicional: Similitudes: No se requieren nuevas normas de auditora, son las mismas. Los elementos bsicos de un buen sistema de control siguen siendo los mismos; por ejemplo, la adecuada segregacin de funciones. Los propsitos principales del estudio y la evaluacin del control son la obtencin de evidencia para respaldar una opinin y determinar la base, oportunidad y extensin de las pruebas futuras de auditora. Diferencias: Se establecen algunos nuevos procedimientos de auditora. Hay diferencias en las tcnicas destinadas a mantener un adecuado control. Hay alguna diferencia en la manera de estudiar y evaluar el control. a Una diferencia significativa es que en algunos procesos se usan programas. El nfasis en la evaluacin de los sistemas manuales esta en la evaluacin

de transacciones, mientras que el nfasis en los sistemas informticos, est en la evaluacin del control. ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA Y SUS PROCEDIMIENTOS. Complejidad de los sistemas. Uso de lenguajes. Metodologas, son parte de las personas y su experiencia. Centralizacin. Departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del rea de sistemas. Controles del computador.

Controles manuales, hoy automatizados (procedimientos programados). Confiabilidad electrnica. Debilidades de las mquinas y tecnologa. Transmisin y registro de la informacin en medios magnticos, ptico y otros. Almacenamiento en medios que deben acceder a travs del computador mismo. Centros externos de procesamiento de datos. Dependencia externa.

RAZONES PARA LA EXISTENCIA DE LA FUNCION DE AUDITORIA DE SISTEMAS. 1. La informacin es un recurso clave en la empresa para: Planear el futuro, controlar el presente y evaluar el pasado. 2. Las operaciones de la empresa dependen cada vez ms de la sistematizacin. 3. Los riesgos tienden a aumentar, debido a: Prdida de informacin

 Prdida de activos. Prdida de servicios/ventas. 4. La sistematizacin representa un costo significativo para la empresa en cuanto a: hardware, software y personal. 5. Los problemas se identifican slo al final. 6. El permanente avance tecnolgico.

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS

1. Entendimiento global e integral del negocio, de sus puntos claves, reas crticas, entorno econmico, social y poltico. 2. Entendimiento del efecto de los sistemas en la organizacin. 3. Entendimiento de los objetivos de la auditora. 4. Conocimiento de los recursos de computacin de la empresa. 5. Conocimiento de los proyectos de sistemas.

RIESGOS ASOCIADOS AL AREA DE T.I. (TECNOLOGA DE LA INFORMACIN): Hardware - Descuido o falta de proteccin: Condiciones inapropiadas, mal manejo, no observancia de las normas. - Destruccin. Software: - uso o acceso, - copia, - modificacin, - destruccin, - hurto, - errores u omisiones.

Archivos: - Usos o acceso, - copia, modificacin, destruccin, hurto. Organizacin: - Inadecuada: no funcional, sin divisin de funciones. - Falta de seguridad, - Falta de polticas y planes. Personal: - Deshonesto, incompetente y descontento. Usuarios: - Enmascaramiento, falta de autorizacin, falta de conocimiento de su funcin.

CONTROLES AREA DE SISTEMAS

Conjunto de disposiciones metdicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, rdenes impartidas y principios admitidos.

CLASIFICACIN GENERAL DE LOS CONTROLES - AREA DE SISTEMAS

Controles Preventivos

Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.

Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones.

Sistemas de claves de acceso.

 Controles detectivos a Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los ms importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Ejemplo: Archivos y procesos que sirvan como pistas de auditora.

Procedimientos de validacin.

Controles Correctivos a Ayudan a la investigacin y correccin de las causas del riesgo. La correccin adecuada puede resultar difcil e ineficiente, siendo necesaria la implantacin de controles detectivos sobre los controles correctivos, debido a que la correccin de errores es en si una actividad altamente propensa a errores.

CONTROLES ESPECIFICOS - AREA DE SISTEMAS

PRINCIPALES CONTROLES FSICOS Y LGICOS

Controles particulares tanto en la parte fsica como en la lgica se detallan a continuacin:

Autenticidad

Permiten verificar la identidad

Passwords Firmas digitales

Exactitud

Aseguran la coherencia de los datos

Validacin de campos Validacin de excesos

Totalidad

Evitan la omisin de registros as como garantizan la conclusin de un proceso de envi.

Conteo de registros. Cifras de control.

Redundancia

Evitan la duplicidad de datos

Cancelacin de lotes. Verificacin de secuencias.

Privacidad

Aseguran la proteccin de los datos.

Compactacin Encriptacin

Existencia

Aseguran la disponibilidad de los datos.

Bitcora de estados Mantenimiento de activos

Proteccin de Activos

Destruccin o corrupcin de informacin o del hardware. Extintores Passwords

Efectividad

Aseguran el logro de los objetivos

Encuestas de satisfaccin Medicin de niveles de servicio

Eficiencia

Aseguran el uso ptimo de los recursos

Programas monitores Anlisis costo-beneficio

CONTROLES AUTOMTICOS O LGICOS

Periodicidad de cambio de claves de acceso

Los cambios de las claves de acceso a los programas se deben realizar peridicamente. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente.

El no cambiar las claves peridicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computacin.

Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.

Combinacin de alfanumricos en claves de acceso

No es conveniente que la clave este compuesta por cdigos de empleados, ya que una persona no autorizada a travs de pruebas simples o de deducciones puede dar con dicha clave.

Para redefinir claves es necesario considerar los tipos de claves que existen:

- Individuales

Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.

- Confidenciales

De forma confidencial los usuarios debern ser instruidos formalmente respecto al uso de las claves.

- No significativas

Las claves no deben corresponder a nmeros secuenciales ni a nombres o fechas.

Verificacin de datos de entrada

Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisin; tal es el caso de la validacin del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.

- Conteo de registros

Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.

- Totales de Control

Se realiza mediante la creacin de totales de linea, columnas, cantidad de formularios, cifras de control, etc. , y automticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias.

- Verificacin de limites

Consiste en la verificacin automtica de tablas, cdigos, lmites mnimos y mximos o bajo determinadas condiciones dadas previamente.

- Verificacin de secuencias

En ciertos procesos los registros deben observar cierta secuencia numrica o alfabtica, ascendente o descendente, esta verificacin debe hacerse mediante

rutinas independientes del programa en s.

Utilizar software de seguridad en los computadores

El software de seguridad permite restringir el acceso al computador, de tal modo que solo el personal autorizado pueda utilizarlo.

Adicionalmente, este software permite reforzar la segregacin de funciones y la confidencialidad de la informacin mediante controles para que los usuarios puedan acceder solo a los programas y datos para los que estn autorizados.

Programas de este tipo son: WACHDOG, LATTICE,SECRET DISK, entre otros.

CONTROLES ADMINISTRATIVOS EN AMBIENTE DE PROCESAMIENTO DE DATOS

La mxima autoridad del rea de Informtica de una empresa o institucin debe implantar los siguientes controles que se agruparan de la siguiente forma:

1.- Controles de Preinstalacin

2.- Controles de Organizacin y Planificacin

3.- Controles de Sistemas en Desarrollo y Produccin

4.- Controles de Procesamiento

5.- Controles de Operacin

- Controles de Preinstalacin

Hacen referencia a procesos y actividades previas a la adquisicin e instalacin de un equipo de computacin y obviamente a la automatizacin de los sistemas existentes.

Objetivos:

* Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. * Garantizar la seleccin adecuada de equipos y sistemas de computacin * Asegurar la elaboracin de un plan de actividades previo a la instalacin Controles de organizacin y Planificacin

Se refiere a la definicin clara de funciones, linea de autoridad y responsabilidad de las diferentes unidades del rea PAD, en labores tales como:

Disear un sistema Elaborar los programas Operar el sistema Control de calidad

Se debe evitar que una misma persona tenga el control de toda una operacin.

Controles de Sistema en Desarrollo y Produccin

Se debe justificar que los sistemas han sido la mejor opcin para la empresa, bajo una relacin costo-beneficio que proporcionen oportuna y efectiva informacin, que los sistemas se han desarrollado bajo un proceso planificado

y se encuentren debidamente documentados.

Controles de Procesamiento

Los controles de procesamiento se refieren al ciclo que sigue la informacin desde la entrada hasta la salida de la informacin, lo que conlleva al establecimiento de una serie de seguridades para:

* Asegurar que todos los datos sean procesados * Garantizar la exactitud de los datos procesados * Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditora * Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.

Controles de Operacin

Abarcan todo el ambiente de la operacin del equipo central de computacin y dispositivos de almacenamiento, la administracin de la operacin de terminales y equipos de comunicacin por parte de los usuarios de sistemas.

Los controles tienen como fin:

* Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cmputo durante un proceso * Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD * Garantizar la integridad de los recursos informticos. * Asegurar la utilizacin adecuada de equipos acorde a planes y objetivos. DETERMINACIN RECURSOS A UTILIZAR EN LA AUDITORA DE

SISTEMAS Se debe determinar los recursos humanos y materiales que han de emplearse en la auditora. Recursos materiales: Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente. Los recursos materiales del auditor son de dos tipos: a. Recursos materiales Software b. Recursos materiales Hardware Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cul habr de convenir, tiempo de maquina, espacio de disco, impresoras ocupadas, etc. Recursos Humanos: La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado dependen de la materia auditable. Es igualmente reseable que la auditora en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria. Perfiles de los Profesionales que brindan apoyo para la realizacin de la auditoria de sistemas: |Profesin deseables |Ingeniero de Sistemas distintas. Deseable que su labor se haya | | | |Con experiencia amplia en ramas |Actividades y conocimientos

|desarrollado en Explotacin y en Desarrollo

de Proyectos. Conocedor de | | |Tcnico de Sistemas

| |Sistemas.

|Experto en Sistemas Operativos y

Software Bsico. Conocedor de los productos| | conocimientos de Explotacin. |equivalentes en el mercado. Amplios | |Con experiencia en el |

|Experto en Bases de Datos y Administracin de las mantenimiento de Bases de Datos. Conocimiento de |mismas.

|productos compatibles y equivalentes.

Buenos conocimientos de explotacin | |Experto en Software de Comunicacin de la tcnica de sistemas. Conocimientos | Subsistemas de teleproceso. | | |Alta especializacin dentro

|profundos de redes. Muy experto en

ELABORACIN DEL PLAN Y DE LOS PROGRAMAS DE TRABAJO Una vez asignados los recursos, el responsable de la auditora y sus colaboradores establecen un plan de trabajo. Decidido ste, se procede a la programacin del mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes: a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la elaboracin es ms compleja y costosa. b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no solamente el nmero de auditores necesarios, sino las especialidades necesarias del personal. En el plan no se consideran calendarios, porque se manejan recursos genricos y no especficos. En el Plan se establecen los recursos y esfuerzos globales que van a ser

necesarios. En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente. El Plan establece disponibilidad futura de los recursos durante la revisin. El Plan estructura las tareas a realizar por cada integrante del grupo. En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Una vez elaborado el Plan, se procede a la Programacin de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto.

EJEMPLO DE PROPUESTA DE SERVICIOS DE AUDITORIA EN INFORMTICA

I. ANTECEDENTES (Anotar los antecedentes especficos del proyecto de Auditoria).

II. OBJETIVOS (Anotar el objetivo de la Auditoria).

III. ALCANCES DEL PROYECTO, El alcance del proyecto comprende:

1. Evaluacin de la Direccin de Informtica en lo que corresponde a:

Capacitacin Planes de trabajo Controles Estndares

2. Evaluacin de los Sistemas:

a. Evaluacin de los diferentes sistemas en operacin (flujo de informacin, procedimientos, documentacin, redundancia, organizacin de archivos, estndares de programacin, controles, utilizacin de los sistemas)

b. Evaluacin del avance de los sistemas en desarrollo y congruencia con el diseo general

c. Evaluacin de prioridades y recursos asignados (humanos y equipos de cmputo)

d. Seguridad fsica y lgica de los sistemas, su confidencialidad y respaldos 3. Evaluacin de los equipos:

Capacidades Utilizacin Nuevos Proyectos Seguridad fsica y lgica Evaluacin fsica y lgica IV. METODOLOGIA

La metodologa de investigacin a utilizar en el proyecto se presenta a continuacin:

1. Para la evaluacin de la Direccin de Informtica se llevarn a cabo las siguientes actividades:

Solicitud de los estndares utilizados y programa de trabajo Aplicacin del cuestionario al personal Anlisis y evaluacin del a informacin Elaboracin del informe

2. Para la evaluacin de los sistemas tanto en operacin como en desarrollo se llevarn a cabo las siguientes actividades:

Solicitud del anlisis y diseo del os sistemas en desarrollo y en operacin. Solicitud de la documentacin de los sistemas en operacin (manuales tcnicos, de operacin del usuario, diseo de archivos y programas). Recopilacin y anlisis de los procedimientos administrativos de cada sistema (flujo de informacin, formatos, reportes y consultas). Anlisis de llaves, redundancia, control, seguridad, confidencial y respaldos Anlisis del avance de los proyectos en desarrollo, prioridades y personal asignado Entrevista con los usuarios de los sistemas Evaluacin directa de la informacin obtenida contra las necesidades y requerimientos del usuario Anlisis objetivo de la estructuracin y flujo de los programas Anlisis y evaluacin de la informacin recopilada Elaboracin del informe 3. Para la evaluacin de los equipos se levarn a cabo las siguientes actividades:

Solicitud de los estudios de viabilidad y caractersticas de los equipos actuales, proyectos sobre ampliacin de equipo, su actualizacin Solicitud de contratos de compra y mantenimientos de equipo y sistemas Solicitud de contratos y convenios de respaldo Solicitud de contratos de Seguros Elaboracin de un cuestionario sobre la utilizacin de equipos, memoria, archivos, unidades de entrada/salida, equipos perifricos y su seguridad Visita tcnica de comprobacin de seguridad fsica y lgica de la instalaciones de la Direccin de Informtica Evaluacin tcnica del sistema electrnico y ambiental de los equipos y del

local utilizado Evaluacin de la informacin recopilada, obtencin de grficas, porcentaje de utilizacin de los equipos y su justificacin 4. Elaboracin y presentacin del informe final ( conclusiones y recomendaciones)

V. TIEMPO Y COSTO

(Poner el tiempo en que se llevar a cabo el proyecto, de preferencia indicando el tiempo de cada una de las etapas, costo del proyecto).

|PROGRAMA DE AUDITORIA EN SISTEMAS |

|INSTITUCION________________________ HOJA No.__________________ DE_____________ |FECHA DE FORMULACION____________ | |FASE |DESCRIPCION |ACTIVIDAD |DIAS | |NUMERO DE |DIAS | |HAB |

PERSONAL | | |HOM. | |EST. | | | | |

|PERIODO ESTIMADO | |

|EST.

|INSTITUCION_______________________ NUMERO___________ HOJA No._______ DE_______ |PERIODO QUE REPORTA____________________________ |

|FASE |SITUACION DE LA AUDITORIA LA | CE | | | |EST. |DIAS REALES

|PERIODO REAL DE

|GRADO DE |DIAS HOM. |EXPLICACION DE LAS| |AUDITORIA |UTILIZADOS |AVAN

|VARIACIONES EN |

| | | | |REL

ACION CON LO | | | | | | | | |PRO

GRAMADO

|NO INICIADA |EN PROCESO |TERMINADA |INICIADA |TERMINADA | | | | | | | | | | | | | | | | |ACTIVIDADES DE LA AUDITORA DE SISTEMAS Auditora por temas generales o por reas especficas: La auditora Informtica general se realiza por reas generales o por reas especficas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y mayores recursos. Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente y con menor calidad.

FASES DE UNA AUDITORIA DE SISTEMAS Las fases de una auditoria de sistemas son: Fase I: Conocimientos del Sistema Fase II: Anlisis de transacciones y recursos Fase III: Anlisis de riesgos y amenazas Fase IV: Anlisis de controles Fase V: Evaluacin de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones

FASE I: CONOCIMIENTOS DEL SISTEMA

1.1. Aspectos Legales y Polticas Internas. Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluacin. 1.2. Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditora realizadas anteriormente

1.3. Caractersticas de la aplicacin de computadora

Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora. Seguridad de la aplicacin (claves de acceso) Procedimientos para generacin y almacenamiento de los archivos de la aplicacin.

FASE II: ANLISIS DE TRANSACCIONES Y RECURSOS 2.1. Definicin de las transacciones. Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deber ser asignada con los administradores. 2.2. Anlisis de las transacciones Establecer el flujo de los documentos. En esta etapa se hace uso de los flujogramas, ya que facilita la visualizacin del funcionamiento y recorrido de los procesos.

2.3. Anlisis de los recursos Identificar y codificar los recursos que participan en los sistemas 2.4. Relacin entre transacciones y recursos

FASE III: ANLISIS DE RIESGOS Y AMENAZAS

3.1. Identificacin de riesgos

Daos fsicos o destruccin de los recursos Prdida por fraude o desfalco Extravo de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupcin de las operaciones del negocio Prdida de integridad de los datos Ineficiencia de operaciones Errores

3.2. Identificacin de las amenazas

Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones

3.3. Relacin entre recursos/amenazas/riesgos

La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en su ambiente real de funcionamiento.

FASE IV: ANLISIS DE CONTROLES

4.1. Codificacin de controles

Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los controles debe contener una codificacin la cual identifique el grupo al cual pertenece el recurso protegido. 4.2. Relacin entre recursos/amenazas/riesgos La relacin con los controles debe establecerse para cada tema identificado. Para cada tema debe establecerse uno o ms controles. 4.3. Anlisis de cobertura de los controles requeridos Este anlisis tiene como propsito determinar si los controles que el auditor identific como necesarios proveen una proteccin adecuada de los recursos.

FASE V: EVALUACIN DE CONTROLES

5.1. Objetivos de la evaluacin

Verificar la existencia de los controles requeridos Determinar la operatividad y suficiencia de los controles existentes

5.2. Plan de pruebas de los controles

Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba.

5.3. Pruebas de controles

5.4. Anlisis de resultados de las pruebas

FASE VI: INFORME DE AUDITORIA

6.1. Informe detallado de recomendaciones 6.2. Evaluacin de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las reas. Introduccin: objetivo y contenido del informe de auditoria Objetivos de la auditora Alcance: cobertura de la evaluacin realizada Opinin: con relacin a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones

FASE VII: SEGUIMIENTO DE RECOMENDACIONES 7.1. Informes del seguimiento 7.2. Evaluacin de los controles implantados

NORMAS TICAS Y PROFESIONALES QUE DEBE TENER EN CUENTA UN AUDITOR DE SISTEMAS

El trabajo que desempea un auditor es de una gran responsabilidad ante la empresa auditada y ante la sociedad misma. El desempeo del auditor debe ser totalmente de confianza ya que se le permite conocer la informacin que se maneja en la empresa, an y cuando esta sea confidencial. Adems el auditor emite un dictamen basado en su evaluacin y dicho documento contiene su opinin la cual es de suma importancia. El auditor deber ganarse la confianza gracias a su experiencia y conocimientos adems a su pericia en el desarrollo de sus trabajos. Pero sin duda alguna lo mas importante para ganar esa confianza es su valor tico como profesional de la materia y como persona moral lo cual de da validez a su dictamen.

Las palabra tica tienen un origen griego, tico : eethikos: costumbre, carcter thicos trata de la moral y las obligaciones de los hombres La palabra moral tiene su origen en el latn moralis: reglas que deben seguirse para hacer el bien y evitar el mal Los principios ticos forman el comportamiento moral y la actitud de la conducta de las personas y de los profesionistas. Se reconoce que el comportamiento tico es bsico para el ejercicio de las actividades de un profesional en el rea de auditoria. Los principios y valores morales aseguran un comportamiento tico en las personas y en los profesionales. A continuacin se listan los principios y valores ticos que un auditor debe tener: Honestidad Integridad Cumplimiento Lealtad Imparcialidad Respeto a los dems Responsable Atento Bsqueda de la excelencia Responsabilidad Confiable Veraz El comportamiento del auditor deber tambin caracterizarse por diferentes criterios y responsabilidades que la misma empresa en donde se desempea deber regular. La experiencia y actitudes as como los conocimientos del auditor harn ms fcil el cumplimiento de estos criterios y responsabilidades. A continuacin se mencionan algunos de ellos. Regulaciones de cdigos, leyes y reglamentos del pas en donde se desempee. Regulaciones de asociaciones y colegios de profesionales de auditoria.

 Regulaciones entre la empresa auditada y la empresa auditora Normas, lineamientos y polticas de la empresa auditada. tica profesional y moral del auditor tica de profesin de auditoria. Existen criterios que tienen que ver con el aspecto profesional y personal del auditor y que en caso de incumplimiento no tendr un castigo legal, sin embargo el auditor que no los cumpla ser sealado por sus colegas y por la empresa acarreando con esto el desprestigio profesional. Independencia mental y profesional Contar con la habilidad, aptitud y experiencia Manejo adecuado en las relaciones personales con el auditado Seguimiento de una metodologa y procedimientos de evaluacin No modificar, ocultar ni destruir evidencias Manejo de discrecin con la informacin Ser imparcial y razonable Emitir dictmenes independientes, razonables y profesionales Tambin es importante listar los criterios relacionados con el aspecto laboral Elaborar evaluaciones, dictmenes e informes de acuerdo a normas y lineamientos Acatar las normas de conducta y de disciplina correspondientes Capacitar al personal subalterno Criterios relacionados con el aspecto de juicio Verificar la autenticidad de las evidencias encontradas. Seguir los lineamientos de auditora emitidos por asociaciones o por la empresa que se audite. Aplicar de manera uniforme los mtodos, tcnicas y herramientas para evaluacin. Evaluar libre de presiones e influencias. El auditor deber seguir normas de carcter profesional para conservar el

prestigio y credibilidad de la funcin de auditoria Mantener una disciplina profesional: Esta actitud profesional debe extenderse a su vida personal. Guardar el secreto profesional: Los resultados de la evaluacin y la informacin de la empresa. Opinin respaldada con evidencia comprobada. Tener independencia mental: Libre de influencias y sustentada por conocimientos y habilidades. Responsabilidad profesional, permanente capacitacin. Planea la auditoria y los programas de evaluacin. Presentacin por escrito del dictamen e informe de auditora.

MTODOS, TCNICAS Y HERRAMIENTAS DE AUDITORIA DE SISTEMAS

El auditor deber hacer la recoleccin y evaluacin de evidencia que le permita establecer si un sistema de informacin cumple de manera eficiente con los objetivos organizacionales y salvaguarda informacin y mantiene la integridad de los sistemas. Para poder cumplir con la recoleccin y evaluacin de evidencia har uso de diferentes mtodos, tcnicas, herramientas y procedimientos. La utilizacin adecuada de dichas tcnica marcara un punto importante para que el resultado de la auditoria sea satisfactorio.

A continuacin se listan las principales tcnicas, herramientas y procedimientos de auditora aplicables al rea de sistemas de informacin: Para la recoleccin de datos el auditor podr utilizar: Entrevista Encuesta Cuestionario Observacin Muestreo

 Inventarios Para la evaluacin de evidencia el auditor podr utilizar: EXAMEN: Es utilizado para analizar la correcta operacin de un sistema, el desarrollo de proyectos, as como analizar que la entrada, procesamiento y salida de datos sea correcta. Inspecciona la seguridad del sistema y del rea de informtica. Tambin examina los controles de accesos fsicos y lgicos al sistema, a los programas y a las bases de datos. El examen tambin inspecciona las actividades y funciones del personal de informtica y de los usuarios. Tambin se le conoce como prueba y podemos citar algunas de las pruebas que se aplican en el rea de sistemas Prueba de los resultados del sistema: Se revisa la entrada, procesamiento y salida de datos evaluando velocidad, comportamiento exactitud. Se pueden realizar operaciones de forma manual para comprobar los resultados. AS Pruebas de implantacin: Se hacen con anterioridad a la implantacin del sistema y principalmente se enfocan a revisar que el diseo est de acuerdo al comportamiento del sistema. Las pruebas de implantacin pueden hacerse de tres formas: Pruebas piloto: Su objetivo es identificar todos los posibles problemas que se pueden presentar antes de implementar el sistema Pruebas de aproximaciones sucesivas: Aqu los exmenes se van realizando por partes primero se dan las pruebas bsicas y as se avanza a pruebas ms complejas.

Pruebas al Sistema: Se pueden realizar por medio del sistema operativo utilizando paquetera o programas de cmputo que ayude a verificar el funcionamiento del sistema. Se revisan componentes del sistema, perifricos y equipos asociados. Pruebas al sistema operativo: estas pruebas ayudan a verificar las rutinas de verificacin que el procesador sigue en el momento del arranque de sistema

adems se verifican los componentes, funcionamiento de perifricos, conexiones. Estas utileras son diseadas por los fabricantes de hardware y software y reportan de manera automtica un mal funcionamiento e inclusive pueden llegar a repararlas. Las bitcoras que son arrojadas por algunos sistemas pueden servir para la verificacin del comportamiento del sistema operativo. AS Pruebas a los programas de aplicacin: El diseador del proyecto simula el comportamiento del sistema, anticipando de esta forma las posibles fallas. Esta prueba es conocida con el nombre de prueba de escritorio. AS Exmenes al centro de cmputo: Consiste en la revisin que se hace a las instalaciones del centro de computo para evaluar el estado de las comunicaciones, sistemas elctricos, aire acondicionado, calefaccin, conexiones entre los diversos componentes, dispositivos de seguridad contra incendios e inundaciones, revisin de mobiliario, planes de contingencia y dems sistemas de seguridad INSPECCIN: Es similar al concepto de pruebas o exmenes solo que la inspeccin da un veredicto o en otras palabras su propsito es juzgar. Algunos ejemplos de inspecciones en la auditoria de sistemas son: La inspeccin a los sistemas de seguridad y proteccin del equipo, personal con el propsito de dictaminar sobre su eficiencia y confiabilidad. Juzgar el cumplimiento de las funciones, actividades y responsabilidades del personal del rea de sistemas y usuarios del sistema, a fin de opinar sobre su actuacin. Confirmacin: El auditor deber estar plenamente seguro de que los datos y hechos que sustentan su dictamen son verdicos y confiables, por lo que deber confirmar que hayan sido obtenidos con tcnicas de auditora validas. Algunos ejemplos de confirmaciones son:

Revisar las licencias del software instalado en los sistemas de cmputo con el objetivo de confirmar que no hay software pirata Confirmar la confiabilidad de los accesos, protecciones, password y medidas de seguridad establecidas para el acceso a los sistemas y a las bases de datos con el fin de confirmar que no son vulnerables. COMPARACIN: Se utiliza para validar la confiabilidad de los sistemas y procedimientos. Consiste en procesar los mismos datos en dos sistemas similares para medir la veracidad la oportunidad y la confiabilidad de dichos sistemas. Tambin se puede realizar una comparacin de datos procesados por el sistema con datos procesados de forma manual.

Algunos ejemplos de comparacin en el rea de sistemas son: Comparar las similitudes y diferencias en la aplicacin de una metodologa para anlisis y diseo de sistemas entre diferentes proyectos de sistemas Determinar la eficiencia y efectividad de una instalacin computacional comparando las actividades desarrolladas en dos centros de cmputo similares. REVISIN DE DOCUMENTOS: Esta es una herramienta muy socorrida por las auditorias fiscales y financieras y consiste en revisar los documentos que sustenten los registros de las operaciones y actividades. En el rea de auditoria se pueden hacer revisin de documentos tales como Diagramas de Flujo, Apuntes y programas de cmputo, boletines, mapas, videos, microfilminas, discos duros, cintas magnticas CD-ROM, DVD etc. Un ejemplo de revisin de documentos seria: Revisin de documentos de pruebas, resultados de operacin seguimiento, estadsticas de aprovechamiento con el fin de evaluar la efectividad y eficiencia en la entrada, procesamiento y salida de datos. MATRIZ DE EVALUACIN: Esta consiste en colocar en la primera columna la descripcin del elemento que est siendo evaluado y en las columnas

siguientes la calificacin con que se est evaluando, siendo posible colocar nmero del 10 como Excelente y as ir bajando a Muy Bueno, Bueno, Regular, Malo. MATRIZ FODA: Sirve para evaluar las Fortalezas, Oportunidades, Debilidades y Amenazas. Se realiza una revisin de los aspectos que tienen que ver con cuestiones Internas a la empresa como La cultura organizacional, estrategias, estructura organizacional y aspectos externos tanto nacionales como internacionales todo esto aplicado al rea de sistemas. GUAS DE AUDITORIA: Como su nombre lo dice representa una ayuda para el seguimiento de una auditoria, en este documento se registra lo que se va a auditar y el mtodo, tcnica o procedimiento a seguir. Estos elementos a auditar son calificados. Adems se les puede asignar un peso a cada elemento para obtener una calificacin total. MODELOS DE SIMULACIN: Consiste en simular una situacin para observar como se comporta el sistema. Se simulan ciertas situaciones que pudieran ocurrir o situaciones que suponemos se dieron en un momento dado con el fin de estudiar el comportamiento y evaluar si el funcionamiento es correcto. La simulacin es una herramienta utilizada para evaluar el funcionamiento de las medidas de contingencia en caso de algn siniestro como un terremoto, esto ayuda a visualizar que es lo que se tiene que hacer cuando esa situacin se presente, esto ayuda a la de capacitacin del personal para que acten de manera correcta. Para completar esta lista podemos mencionar otras tcnicas de evaluacin mas especializadas como Diagramas de sistemas Programas de verificacin Seguimiento de programacin TECNICAS DE AUDITORA ASISTIDAS POR COMPUTADOR TAAC.

1- OPERACIONES EN PARALELO: Confrontacin de resultados, mediante el proceso de los mismos datos reales, entre un sistema nuevo que sustituye a uno ya auditado. Los programas y procedimientos actuales no se abandonarn hasta cuando los nuevos arrojen los resultados esperados.

2- EVALUACIN DE UN SISTEMA CON DATOS DE PRUEBA: Comnmente llamada lotes de prueba. Se ensaya la aplicacin con datos de prueba contra resultados obtenidos inicialmente en las pruebas del programa para detectar resultados no vlidos. Los datos de prueba deben representar la aplicacin que se examina con todas las posibles combinaciones de transacciones que se lleven a cabo en situaciones reales. Esta tcnica se utiliza en la fase de prueba del programa, antes de ser enviada a produccin y cuando se llevan a cabo modificaciones a un programa, por tanto, los programas utilizados para digitar los datos de prueba deben ser los mismos que se encuentran en produccin y que se utilizan para procesar los movimientos diarios. Cuando esta tcnica se mantiene en el tiempo para ser, consistente y cotidianamente, aplicada al sistema en produccin, toma el nombre de EVALUACION DEL SISTEMA DEL CASO BASE ESCB, en tal caso, la prueba es ms completa y requiere de un alto grado de cooperacin entres usuarios, auditores y personal de sistemas.

3- PRUEBAS INTEGRALES: Permite examinar el proceso de la aplicacin en su ambiente normal de produccin, pues se procesan datos de prueba en la misma aplicacin en produccin junto con los datos reales, para lo cual se crea una compaa de prueba con fines de auditora dentro de la aplicacin, lo cual permite disponer de los mismos archivos maestros. Los resultados de la prueba se comparan contra resultados precalculados o predeterminados para examinar la lgica y precisin de los procesos. Se presenta un proceso de informacin simultneo para comparar contra resultados predeterminados.

4- SIMULACIN: Se desarrolla un programa de aplicacin para determinada prueba y se compara el resultado con los arrojados por la aplicacin real.

5- REVISIONES DE ACCESO: Consiste en conservar un registro computarizado de todos los accesos a determinados archivos (informacin del usuario y terminal) Software de Auditora.

6- REGISTROS EXTENDIDOS: Agregar un campo de control a un registro Software de Auditora.

7- TOTALES ALEATORIOS DE CIERTOS PROGRAMAS: Consiste en obtener totales de datos en alguna parte del sistema, para verificar su exactitud en forma parcial - Software de Auditora.

8- SELECCIN DE DETERMINADO TIPO DE TRANSACCIONES COMO AUXILIAR EN EL ANLISIS DE UN ARCHIVO HISTORICO: Con el fin de analizar en forma parcial el archivo histrico de un sistema, el cual sera casi imposible verificar en forma total - Software de Auditora.

9- RESULTADOS DE CIERTOS CLCULOS PARA COMPARACIONES POSTERIORES: Con el fin de comparar en el futuro los totales en diferentes fechas - Software de Auditora.

La TAAC anteriormente descritas, ayudan al AUDITOR a establecer una metodologa para la revisin de los sistemas de aplicacin de una institucin, empleando como herramienta EL MISMO EQUIPO DE COMPUTO.

El COMPUTADOR le facilita al AUDITOR realizar tareas como:

a- Trasladar los datos del sistema a un ambiente de control del auditor.

b- Llevar a cabo la seleccin de datos.

c- Verificar la exactitud de los datos.

d- Hacer muestreo estadstico.

e- Visualizacin de datos.

f- Ordenamiento de la informacin.

g- Produccin de reportes e histogramas.

Lo anterior implica una metodologa que garantiza una revisin ms extensa e independiente, que podra consistir en los siguientes pasos:

1- Seleccin del sistema de informacin a revisar.

2- Obtencin de la documentacin de los archivos que incluye: Nombre del archivo y descripcin, nombre de los campos y descripcin (longitud, tipo), codificacin empleada, etc.

3- Trasladar el archivo de datos a un PC con gran capacidad de almacenamiento.

4- Llevar a cabo con un software de auditora las verificaciones que se mencionan anteriormente.

5- Participacin del Auditor en el desarrollo de sistemas.

En resumen: El Auditor debe tener la habilidad para revisar y probar la integridad de los sistemas y sus ACTIVIDADES PRINCIPALES SERN:

a- Verificar los controles y procedimientos de autorizacin de la utilizacin y captura de los datos, su proceso y salida de informacin, as como los programas que las generan. Es importante revisar los procedimientos para el mantenimiento de los programas y las modificaciones a los sistemas.

b- Revisar las transacciones realizadas para asegurarse de que los archivos reflejan la situacin actual.

c- Revisar las transacciones y los archivos para detectar posibles desviaciones de las normas establecidas.

d- Asegurarse de que las aplicaciones cumplan con los objetivos definidos en la planeacin.

e- Revisar todos los cambios hechos a los programas y sistemas para verificar la integridad de las aplicaciones. DELITOS INFORMTICOS Los delitos informticos implican actividades criminales, tales como robos o hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje, etc. Sin embargo, debe destacarse que el uso de las tcnicas informticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha propiciado a su vez la necesidad de regulacin por parte del derecho. Las personas que comenten estos delitos son autnticos genios de la informtica, entran sin permiso en ordenadores y redes ajenas, husmean, rastrean y a veces,

dejan sus peculiares tarjetas de visita. Los Hackers posmodernos corsarios de la red, son la ultima avanzada de la delincuencia informtica de este final de siglo. Las personas que cometen los "Delitos Informticos" son aquellas que poseen ciertas caractersticas que no presentan el denominador comn de los delincuentes, esto es, los sujetos activos tienen habilidades para el manejo de los sistemas informticos y generalmente por su situacin laboral se encuentran en lugares estratgicos donde se maneja informacin de carcter sensible, o bien son hbiles en el uso de los sistemas informatizados, an cuando, en muchos de los casos, no desarrollen actividades laborales que faciliten la comisin de este tipo de delitos. Con el tiempo se ha podido comprobar que los autores de los delitos informticos son muy diversos y que lo que los diferencia entre s es la naturaleza de los delitos cometidos. De esta forma, la persona que "ingresa" en un sistema informtico sin intenciones delictivas es muy diferente del empleado de una institucin financiera que desva fondos de las cuentas de sus clientes. Al respecto, segn un estudio publicado en el Manual de las Naciones Unidas en la prevencin y control de delitos informticos (Nros. 43 y 44), el 90% de los delitos realizados mediante la computadora fueron ejecutados por empleados de la propia empresa afectada. Asimismo, otro reciente estudio realizado en Amrica del Norte y Europa indic que el 73% de las intrusiones cometidas eran atribuibles a fuentes interiores y solo el 27% a la actividad delictiva externa. El nivel tpico de aptitudes del delincuente informtico es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informtica en tanto que otros aducen que los posibles delincuentes informticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnolgico, caractersticas que pudieran encontrarse en un empleado del sector de procesamiento de datos. Sin embargo, teniendo en cuenta las caractersticas ya mencionadas de las

personas que cometen los "delitos informticos", los estudiosos en la materia los han catalogado como "delitos de cuello blanco" trmino introducido por primera vez por el criminlogo norteamericano Edwin Sutherland en el ao de 1943. Efectivamente, este conocido criminlogo seala un sinnmero de conductas que considera como "delitos de cuello blanco", an cuando muchas de estas conductas no estn tipificadas en los ordenamientos jurdicos como delitos, y dentro de las cuales cabe destacar las "violaciones a las leyes de patentes y fbrica de derechos de autor, el mercado negro, el contrabando en las empresas, la evasin de impuestos, las quiebras fraudulentas, corrupcin de altos funcionarios, entre otros". Asimismo, este criminlogo estadounidense dice que tanto la definicin de los "delitos informticos" como la de los "delitos de cuello blanco" no es de acuerdo al inters protegido, como sucede en los delitos convencionales sino de acuerdo al sujeto activo que los comete. ATAQUES O ROBOS INFORMATICOS Cualquier equipo conectado a una red informtica puede ser vulnerable a un ataque. Un "ataque" consiste en aprovechar una vulnerabilidad de un sistema informtico (sistema operativo, programa de software o sistema del usuario) con propsitos desconocidos por el operador del sistema y que, por lo general, causan un dao. Los ataques siempre se producen en Internet, a razn de varios ataques por minuto en cada equipo conectado. En su mayora, se lanzan automticamente desde equipos infectados (a travs de virus, troyanos, gusanos, etc.) sin que el propietario sepa lo que est ocurriendo. En casos atpicos, son ejecutados por piratas informticos. Para bloquear estos ataques, es importante estar familiarizado con los principales tipos y tomar medidas preventivas. Los ataques pueden ejecutarse por diversos motivos: para obtener acceso al sistema;

 para robar informacin, como secretos industriales o propiedad intelectual; para recopilar informacin personal acerca de un usuario; para obtener informacin de cuentas bancarias; para obtener informacin acerca de una organizacin (la compaa del usuario, etc.); para afectar el funcionamiento normal de un servicio; para utilizar el sistema de un usuario como un "rebote" para un ataque; para usar los recursos del sistema del usuario, en particular cuando la red en la que est ubicado tiene un ancho de banda considerable. Tipos de ataques Los sistemas informticos usan una diversidad de componentes, desde electricidad para suministrar alimentacin a los equipos hasta el programa de software ejecutado mediante el sistema operativo que usa la red. Los ataques se pueden producir en cada eslabn de esta cadena, siempre y cuando exista una vulnerabilidad que pueda aprovecharse. El esquema que figura a continuacin repasa brevemente los distintos niveles que revisten un riesgo para la seguridad: [pic] Los riesgos se pueden clasificar de la siguiente manera: Acceso fsico: en este caso, el atacante tiene acceso a las instalaciones e incluso a los equipos: o Interrupcin del suministro elctrico. o Apagado manual del equipo. o Vandalismo. o Apertura de la carcasa del equipo y robo del disco duro. o Monitoreo del trfico de red. Intercepcin de comunicaciones: o Secuestro de sesin. o Falsificacin de identidad.

o Redireccionamiento o alteracin de mensajes. o Denegaciones de servicio: el objetivo de estos ataques reside en interrumpir el funcionamiento normal de un servicio. Por lo general, las denegaciones de servicio se dividen de la siguiente manera: o Explotacin de las debilidades del protocolo TCP/IP. o Explotacin de las vulnerabilidades del software del servidor. Intrusiones: o Anlisis de puertos. o Elevacin de privilegios: este tipo de ataque consiste en aprovechar una vulnerabilidad en una aplicacin al enviar una solicitud especfica (no planeada por su diseador). En ciertos casos, esto genera comportamientos atpicos que permiten acceder al sistema con derechos de aplicacin. Los ataques de desbordamiento de la memoria intermedia (bfer) usan este principio. o Ataques malintencionados (virus, gusanos, troyanos). d Ingeniera social: en la mayora de los casos, el eslabn ms dbil es el mismo usuario. Muchas veces es l quien, por ignorancia o a causa de un engao, genera una vulnerabilidad en el sistema al brindar informacin (la contrasea, por ejemplo) al pirata informtico o al abrir un archivo adjunto. Cuando ello sucede, ningn dispositivo puede proteger al usuario contra la falsificacin: slo el sentido comn, la razn y el conocimiento bsico acerca de las prcticas utilizadas pueden ayudar a evitar este tipo de errores. s Puertas trampa: son puertas traseras ocultas en un programa de software que brindan acceso a su diseador en todo momento. Es por ello que los errores de programacin de los programas son corregidos con bastante rapidez por su diseador apenas se publica la vulnerabilidad. En consecuencia, queda en manos de los administradores (o usuarios privados con un buen conocimiento) mantenerse informados acerca de las

actualizaciones de los programas que usan a fin de limitar los riesgos de ataques. Adems, existen ciertos dispositivos (firewalls, sistemas de deteccin de intrusiones, antivirus) que brindan la posibilidad de aumentar el nivel de seguridad. Esfuerzo de proteccin La seguridad del sistema de un equipo generalmente se denomina "asimtrica" porque el pirata informtico debe encontrar slo una vulnerabilidad para poner en peligro el sistema, mientras que el administrador debe, por su propio bien, corregir todas sus fallas. Ataque por rebote Cuando se ejecuta un ataque, el pirata informtico siempre sabe que puede ser descubierto, por lo que generalmente privilegia los ataques por rebote (en oposicin a los ataques directos). Los primeros consisten en atacar un equipo a travs de otro para ocultar los rastros que podran revelar la identidad del pirata (como su direccin IP) con el objetivo de utilizar los recursos del equipo atacado. Esto comprueba la importancia de proteger su red o PC, ya que podra terminar siendo "cmplice" de un ataque y, si las vctimas realizan una denuncia, la primera persona cuestionada ser el propietario del equipo que se utiliz como rebote. Con el desarrollo de las redes inalmbricas, este tipo de situacin podra ser cada vez ms comn ya que estas redes no son demasiado seguras y los piratas ubicados en sus inmediaciones podran usarlas para ejecutar un ataque. Qu es un hacker? El trmino "hacker" se usa con frecuencia para referirse a un pirata informtico. A las vctimas de piratera de redes informticas les gusta pensar que han sido atacadas por piratas con experiencia quienes han estudiado en detalle sus sistemas y desarrollaron herramientas especficas para sacar provecho de sus

vulnerabilidades. En la actualidad, con frecuencia se le usa para referirse a personas que irrumpen en sistemas informticos. Es una persona muy interesada en el funcionamiento de sistemas operativos; aquel curioso que simplemente le gusta husmear por todas partes, llegar a conocer el funcionamiento de cualquier sistema informtico mejor que quines lo inventaron. La palabra es un trmino ingles que caracteriza al delincuente silencioso o tecnolgico. Ellos son capaces de crear sus propios softwares para entrar a los sistemas. Toma su actividad como un reto intelectual, no pretende producir daos. Los diferentes tipos de piratas En realidad existen varios tipos de "atacantes" divididos en categoras de acuerdo a sus experiencias y motivaciones. "Los "hackers de sombrero blanco", hackers en el sentido noble de la palabra y cuyo objetivo es ayudar a mejorar los sistemas y las tecnologas informticas, son casi siempre los responsables de los protocolos informticos y las herramientas ms importantes usadas actualmente, por ejemplo el correo electrnico. d "Los "hackers de sombrero negro", ms comnmente llamados piratas, son personas que irrumpen en los sistemas informticos con propsitos maliciosos. d "Los "hacktivistas" (contraccin de hackers y activistas) son hackers con motivaciones principalmente ideolgicas. Por otra parte, existen diversos tipos de delito que pueden ser cometidos y que se encuentran ligados directamente a acciones efectuadas contra los propios sistemas y las Naciones Unidas los clasifican as: ARTICULO Uno de los mayores ataques informticos afect a empresas de 196 pases

Febrero 18, 2010 [pic] Una firma de seguridad informtica enfrent recientemente uno de los mayores ataques de la historia: 75.000 computadoras de 2.500 empresas en 196 pases. Una empresa especializada en la investigacin de ciberataques revel un asalto masivo que tuvo lugar hace unos meses. Se trata, segn la empresa NetWitness, de uno de los mayores ataques que ha tenido lugar hasta el momento. En total, hay afectadas empresas de 196 pases, pero principalmente de los EEUU, Arabia Saudita, Egipto, Turqua y Mxico. Segn informa NetWitness en su pgina web, los ataques comenzaron a fines de 2008 e iban dirigidos a captar la informacin de los usuarios para acceder a sus cuentas de correos, a sus cuentas bancarias, y a sus datos personales, adems de a sus cuentas en facebook, Yahoo! y Hotmail. La mayor parte de las empresas afectadas pertenecen a la industria tecnolgica y del cuidado de la salud. La informacin sobre estos ataques se producen semanas despus de saberse que piratas cibernticos haban penetrado en las redes de computadoras de Google y ms de otras 30 grandes empresas financieras, de energa, defensa, tecnologa y medios. Google indic entonces que el ataque contra sus sistemas provena de China. El ejecutivo jefe de NetWitness, Amit Yoran, dijo a la prensa estadounidense que los ataques ms recientes no parecen estar vinculados con la intrusin en los sistemas de Google. Pero, aadi: Es significativo que por su magnitud y su demostracin del avanzado conocimiento de los grupos criminales acerca de ataques cibernticos, se aproximan a los de naciones como China y Rusia. La intrusin la detect, por primera vez, el 26 de enero el ingeniero Alex Cox, de NetWitness, cuando descubri la presencia de un programa bautizado como

Kneber, operado por un grupo ubicado en Europa oriental y activo en por lo menos 20 servidores de mando y control en todo el mundo. Los intrusos atraan a empleados poco precavidos en las empresas atacadas para que descargaran programas infectados de sitios controlados por los piratas cibernticos, o les inducan a abrir correos electrnicos que contenan los anexos infectados, explic Yoran. Los bots permitieron que los atacantes tomaran control de las computadoras invadidas de donde extrajeron credenciales y contraseas de acceso -incluidos datos de bancos y redes sociales- que luego se usaron para penetrar los sistemas de otros usuarios. El nmero de sistemas penetrados creci de manera exponencial, dijo Yoran. La proteccin convencional contra malware y sistemas de deteccin de intrusos basados en la firma son, por definicin, inadecuados para enfrentarse a Kneber o la mayora de amenazas avanzadas, dijo Yoran. Una red de piratas informticos ('hackers') rumanos, que caus perjuicios por valor de 800.000 dlares a varias compaas farmacuticas en Estados Unidos, fue desmantelada por las autoridades rumanas en colaboracin con el FBI, indicaron fuentes oficiales en Bucarest. Cinco personas de entre 20 y 32 aos fueron detenidas y estn siendo investigadas por "acceso no autorizado a un sistema informtico, intercepcin de datos informticos, fraude y blanqueo de dinero", segn un comunicado de los fiscales rumanos a cargo de los casos de crimen organizado y terrorismo. Los cinco acusados entraron ilegalmente, a partir de noviembre de 2007, en varios ordenadores que pertenecan a compaas farmacuticas norteamericanas, precisa el comunicado. Los servicios de polica se incautaron de nueve ordenadores porttiles, discos duros, tarjetas de memoria, as como de dinero en efectivo (123.470 dlares y 34.640 euros) y joyas durante la investigacin llevada a cabo el 9 de abril en las ciudades de Bucarest, Constanta (sur) y Timisoara (oeste), inform la

agencia Mediafax.

CONCLUSIN

Para que no se presenten estos delitos informticos las empresa deben aplicar muy bien los diferentes controles Preventivos (estos reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones), controles detectivos (estos no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos, son los ms importantes para el auditor porque sirven para evaluar la eficiencia de los controles preventivos y los controles Correctivos ( estos que ayudan a la investigacin y correccin de las causas del riesgo).

INFORME FINAL DE LA AUDITORIA DE SISTEMAS La funcin de la auditora se materializa exclusivamente por escrito. Por lo tanto la elaboracin final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor. Estructura del informe final: El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente. Definicin de objetivos y alcance de la auditora. Enumeracin de temas considerados: Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los temas objeto de la auditora. Cuerpo expositivo:

Para cada tema, se seguir el siguiente orden a saber: a) Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la situacin real b) Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras. c) Puntos dbiles y amenazas. d) Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora informtica. e) Redaccin posterior de la Carta de Introduccin o Presentacin.

Modelo conceptual de la exposicin del informe final:

- El informe debe incluir solamente hechos importantes. La inclusin de hechos poco relevantes o accesorios desva la atencin del lector. - El Informe debe consolidar los hechos que se describen en el mismo. El trmino de "hechos consolidados" adquiere un especial significado de verificacin objetiva y de estar documentalmente probados y soportados. La consolidacin de los hechos debe satisfacer, al menos los siguientes criterios: 1. El hecho debe poder ser sometido a cambios. 2. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situacin. 3. No deben existir alternativas viables que superen al cambio propuesto. 4. La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y estndares existentes en la instalacin. La aparicin de un hecho en un informe de auditora implica necesariamente la existencia de una debilidad que ha de ser corregida. Flujo del hecho o debilidad:

1 Hecho encontrado. - Ha de ser relevante para el auditor y pera el cliente. - Ha de ser exacto, y adems convincente. - No deben existir hechos repetidos. 2 Consecuencias del hecho - Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. 3 Repercusin del hecho - Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos informticos u otros mbitos de la empresa. 4 Conclusin del hecho - No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido muy extensa o compleja. 5 Recomendacin del auditor informtico - Deber entenderse por s sola, por simple lectura. - Deber estar suficientemente soportada en el propio texto. - Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su implementacin. - La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. o Carta de introduccin o presentacin del informe final: La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora. As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har copias de la citada carta de Introduccin. La carta de introduccin poseer los siguientes atributos: Tendr como mximo 4 folios.

 Incluir fecha, naturaleza, objetivos y alcance. Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad. Presentar las debilidades en orden de importancia y gravedad. En la carta de Introduccin no se escribirn nunca recomendaciones.

ANEXOS

TERMINOLOGIA UTILIZADA EN EL AREA DE SISTEMAS INFORMTICA: Ciencia que estudia el tratamiento automtico de la informacin en computadoras, dispositivos electrnicos y sistemas informticos. La informtica se basa en mltiples ciencias como la matemtica, la fsica, la electrnica, etc. SISTEMA: (system). Un sistema es un conjunto de partes o elementos organizados y relacionados que interactan entre s para lograr un objetivo. Los sistemas reciben (entrada) datos, energa o materia del ambiente y proveen (salida) informacin, energa o materia. Un sistema puede ser fsico o concreto (una computadora) o puede ser abstracto o conceptual (un software). HARDWARE: En computacin, trmino ingls que hace referencia a cualquier componente fsico tecnolgico, que trabaja o interacta de algn modo con la computadora. No slo incluye elementos internos como el disco duro, CDROM, disquetera, teclado, sino que tambin hace referencia al cableado, circuitos, gabinete, etc. E incluso hace referencia a elementos externos como la impresora, el mouse, el teclado, el monitor y dems perifricos. El hardware no es frecuentemente cambiado. SEGURIDAD FSICA: Dentro de la seguridad informtica, la seguridad fsica hace referencia a las barreras fsicas y mecanismos de control en el entorno de un sistema informtico, para proteger el hardware de amenazas fsicas. La seguridad fsica

se complementa con la seguridad lgica. SOFTWARE: En computacin, el software -en sentido estricto- es todo programa o aplicacin programado para realizar tareas especficas. El software, que es intangible y le da lgica al hardware (adems de ejecutarse dentro de ste). En tanto el software puede ser creado, borrado y modificado sencillamente. (Excepto el firmware, que es un tipo de software que raramente es alterado). SEGURIDAD LGICA Dentro de la seguridad informtica, la seguridad lgica hace referencia a la aplicacin de mecanismos y barreras para mantener el resguardo y la integridad de la informacin dentro de un sistema informtico. La seguridad lgica se complementa seguridad fsica.

SEGURIDAD INFORMTICA La seguridad informtica es una disciplina que se relaciona a diversas tcnicas, aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la informacin de un sistema informtico y sus usuarios. Tcnicamente es imposible lograr un sistema informtico ciento por ciento seguro, pero buenas medidas de seguridad evitan daos y problemas que pueden ocasionar intrusos.

PROGRAMA: Es un conjunto de instrucciones escritas en algn lenguaje de programacin. El programa debe ser compilado o interpretado para poder ser ejecutado y as cumplir su objetivo. LENGUAJE DE PROGRAMACIN: Lenguaje artificial que puede ser usado para controlar el comportamiento de una mquina, especialmente una computadora. Estos se componen de un conjunto de reglas sintcticas y semnticas que permiten expresar instrucciones que luego sern interpretadas. Debe distinguirse de lenguaje informtico, que es una definicin ms amplia, puesto estos incluyen otros lenguajes como son el HTML o PDF que dan formato a

un texto y no es programacin en s misma. El programador es el encargado de utilizar un lenguaje de programacin para crear un conjunto de instrucciones que, al final, constituir un programa o subprograma informtico. Los lenguajes de programacin pueden clasificarse segn el paradigma que usan en: procedimentales, orientados a objetos, funcionales, lgicos, hbridos, etc.

Son ejemplos de lenguajes de programacin: php, prolog, ASP, ActionScript, ada, python, pascal, c, basic, JAVA, JavaScript, etc. PASSWORDS: Una contrasea o clave (en ingls password) es una forma de autentificacin que utiliza informacin secreta para controlar el acceso hacia algn recurso. La contrasea normalmente debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. Aquellos que desean acceder a la informacin se les solicita una clave; si conocen o no conocen la contrasea, se concede o se niega el acceso a la informacin segn sea el caso. En la lengua inglesa se tienen dos denominaciones distintivas para las contraseas: password (palabra de acceso) y pass code (cdigo de acceso). ENCRIPTACIN: (Cifrado, codificacin). La encriptacin es el proceso para volver ilegible informacin considera importante. La informacin una vez encriptada slo puede leerse aplicndole una clave. Se trata de una medida de seguridad que es usada para almacenar o transferir informacin delicada que no debera ser accesible a terceros. Pueden ser contraseas, nros. de tarjetas de crdito, conversaciones privadas, etc. Para encriptar informacin se utilizan complejas frmulas matemticas y para desencriptar, se debe usar una clave como parmetro para esas frmulas. El texto plano que est encriptado o cifrado se llama criptograma. La criptografa (del griego krypto, oculto, y graphos, escribir, literalmente escritura oculta) es el arte o ciencia de cifrar y descifrar informacin

mediante tcnicas especiales y se emplea frecuentemente para permitir un intercambio de mensajes que slo puedan ser ledos por personas a las que van dirigidos y que poseen los medios para descifrarlos.

BITCORA: El trmino es usado para nombrar un registro escrito de las acciones que se llevaron a cabo en cierto trabajo o tarea. Esta bitcora incluye todos los sucesos que tuvieron lugar durante la realizacin de dicha tarea, las fallas que se produjeron, los cambios que se introdujeron y los costos que ocasionaron.

La bitcora de trabajo es donde los trabajadores de empresas en general, entre otros, desarrollan su trabajo, anotan cualquier informacin que consideren que puede resultar til para su trabajo.

RED DE TELEPROCESOS: Es el Proceso de Comunicar Informacin en forma Binaria entre dos puntos. A la Comunicacin de Datos se le llama tambin Comunicacin entre Ordenadores, porque la mayora de las informaciones se intercambian entre los Computadores. La Comunicacin de datos es de vital Importancia hoy da en el Mundo de los Negocios, principalmente los que se dedican a la parte de manejo Financiero y Bancario, aunque es aplicable a todas las reas en general. Las redes locales tpicamente se organizan en base a un esquema de red de broadcast (difusin). O sea, mltiples computadoras se conectan a un medio comn, que permite difundir la seal (radio en el aire, etc.). El modelo es simple: un medio compartido donde todos pueden escribir y leer. Si dos o ms computadoras transmiten al mismo tiempo se produce un encuentro, que es detectable. VALIDACIN DE DATOS: En seguridad informtica, la validacin de datos es una de las reas ms importantes a tener en cuenta, especialmente en el desarrollo de

sistemas conectados a redes como internet. Validar datos hace referencia a verificar, controlar o filtrar cada una de las entradas de datos que provienen desde el exterior del sistema.

BASE DE DATOS: (database). Almacn de datos relacionados con diferentes modos de organizacin. Una base de datos representa algunos aspectos del mundo real, aquellos que le interesan al diseador. Se disea y almacena datos con un propsito especfico. Con la palabra "datos" se hace referencia a hechos conocidos que pueden registrarse, como ser nmeros telefnicos, direcciones, nombres, etc.

Las bases de datos almacenan datos, permitiendo manipularlos fcilmente y mostrarlos de diversas formas.

DELITO INFORMTICO: El delito informtico implica cualquier actividad ilegal que encuadra en figuras tradicionales ya conocidas como robo, hurto, fraude, falsificacin, perjuicio, estafa y sabotaje, pero siempre que involucre la informtica de por medio para cometer la ilegalidad.

PAD: (Packet Assembler/Disassembler). Base, ensamblador de los paquetes de datos en la operacin.

BACKUPS O COPIA DE SEGURIDAD: En informtica es un archivo digital, un conjunto de archivos o la totalidad de los datos considerados lo suficientemente importantes para ser conservados.

Las copias de seguridad son un proceso que se utiliza para salvar toda la informacin, es decir, un usuario, quiere guardar toda la informacin, o parte de la informacin, de la que dispone en el PC hasta este momento, realizar una copia de seguridad de tal manera, que lo almacenar en algn medio de almacenamiento tecnolgicamente

disponible hasta el momento como por ejemplo cinta, DVD, (proporcionados por Internet) o simplemente en otro Disco Duro, para posteriormente si pierde la informacin, poder restaurar el sistema. Normalmente las copias de seguridad se suelen hacer en cintas magnticas, si bien dependiendo de lo que se trate podran usarse disquetes, CD, DVD. CUESTIONARIOS APLICABLES EN UNA AUDITORIA DE SISTEMAS

EVALUACIN DE SISTEMAS

La elaboracin de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratgico para la elaboracin de los sistemas o si se estn elaborados sin el adecuado sealamiento de prioridades y de objetivos.

Cules servicios se implementarn? Cundo se pondrn a disposicin de los usuarios? Qu caractersticas tendrn? Cuntos recursos se requerirn? Qu aplicaciones sern desarrolladas y cuando? Qu tipo de archivos se utilizarn y cuando? Qu bases de datos se utilizarn y cuando? Qu lenguajes se utilizarn y en que software? Qu tecnologa ser utilizada y cuando se implementar? Cuantos recursos se requerirn aproximadamente? Cul es aproximadamente el monto de la inversin en hardware y software? Qu estudios van a ser realizados al respecto? Qu metodologa se utilizar para dichos estudios? Quin administrar y realizar dichos estudios? Contempla el plan estratgico las ventajas de la nueva tecnologa?

 Cul es la inversin requerida en servicios, desarrollo y consulta a los usuarios?

EVALUACIN DEL ANLISIS

En esta se evaluarn las polticas, procedimientos y normas que se tienen para llevar a cabo el anlisis.

La auditora en sistemas debe evaluar los documentos y registros usados en la elaboracin del sistema, as como todas las salidas y reportes, la descripcin de las actividades de flujo de la informacin y de procedimientos, los archivos almacenados, su uso y su relacin con otros archivos y sistemas, su frecuencia de acceso, su conservacin, su seguridad y control, la documentacin propuesta, las entradas y salidas del sistema y los documentos fuentes a usarse.

Con la informacin obtenida podemos contestar a las siguientes preguntas:

Se est ejecutando en forma correcta y eficiente el proceso de informacin? Puede ser simplificado para mejorar su aprovechamiento? Se debe tener una mayor interaccin con otros sistemas? Se tiene propuesto un adecuado control y seguridad sobre el sistema? Est en el anlisis la documentacin adecuada?

EVALUACIN DEL DISEO LGICO DEL SISTEMA

En esta se debern analizar las especificaciones del sistema.

Qu deber hacer?.

Cmo lo deber hacer?.

Secuencia y ocurrencia de los datos?

Secuencia del proceso y salida de reportes?

Lo que se debe determinar en el sistema:

En el procedimiento:

Quin hace, cuando y como? Qu formas se utilizan en el sistema? Son necesarias, se usan, estn duplicadas? El nmero de copias es el adecuado? Existen puntos de control o faltan?

En la grfica de flujo de informacin:

Es fcil de usar? Es lgica? Se encontraron lagunas? Hay faltas de control?

En el diseo:

Cmo se usar la herramienta de diseo si existe? Qu tambin se ajusta la herramienta al procedimiento?

EVALUACIN

DEL DESARROLLO DEL SISTEMA

En esta se debern auditar los programas, su diseo, el leguaje utilizado, interconexin entre los programas y caractersticas del hardware empleado (total o parcial) para el desarrollo del sistema. Las caractersticas que deben evaluarse en los sistemas son:

Dinmicos? (susceptibles de modificarse). Estructurados? (las interacciones de sus componentes o subsistemas deben actuar como un todo) Integrados? (un solo objetivo). En l habr sistemas que puedan ser interrelacionados y no programas aislados. Accesibles? (que estn disponibles). Necesarios? (que se pruebe su utilizacin). Comprensibles? (que contengan todos los atributos). Oportunos? (que est la informacin en el momento que se requiere). Funcionales? (que proporcionen la informacin adecuada a cada nivel). Estndar? (que la informacin tenga la misma interpretacin en los distintos niveles). Modulares? (facilidad para ser expandidos o reducidos). Jerrquicos? (por niveles funcionales). Seguros? (que slo las personas autorizadas tengan acceso). nicos? (que no duplique informacin).

CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL

La mayora de los Delitos por computadora son cometidos por modificaciones de datos fuente al:

Suprimir u omitir datos. Adicionar Datos.

 Alterar datos. Duplicar procesos.

Esto es de suma importancia en caso de equipos de cmputo que cuentan con sistemas en lnea, en los que los usuarios son los responsables de la captura y modificacin de la informacin al tener un adecuado control con sealamiento de responsables de los datos(uno de los usuarios debe ser el nico responsable de determinado dato), con claves de acceso de acuerdo a niveles.

NOTA: Debido a que se denomina de diferentes formas la actividad de transcribir la informacin del dato fuente a la computadora, en el presente trabajo se le denominar captura o captacin considerndola como sinnimo de digitalizar (capturista, digitalizadora).

Lo primero que se debe evaluar es la entrada de la informacin y que se tengan las cifras de control necesarias para determinar la veracidad de la informacin, para lo cual se puede utilizar el siguiente cuestionario:

1. Indique el porcentaje de datos que se reciben en el rea de captacin? 2. Indique el contenido de la orden de trabajo que se recibe en el rea de captacin de datos: Nmero de folio ( ) Nmero(s) de formato(s) ( ) Fecha y hora de Nombre, Depto. ( ) Recepcin ( ) Usuario ( ) Nombre del documento ( ) Nombre responsable ( ) Volumen aproximado Clave de cargo de registro ( ) (Nmero de cuenta) ( ) Nmero de registros ( ) Fecha y hora de entrega de Clave del capturista ( ) documentos y registros captados ( )

Fecha estimada de entrega ( )

3. Indique cul(es) control(es) interno(s) existe(n) en el rea de captacin de datos: Firmas de autorizacin ( ) Recepcin de trabajos ( ) Control de trabajos atrasados ( ) Revisin del documento ( ) Avance de trabajos ( ) fuente(legibilidad, verificacin de datos completos, etc.) ( ) Prioridades de captacin ( ) Errores por trabajo ( ) Produccin de trabajo ( ) Correccin de errores ( ) Produccin de cada operador ( ) Entrega de trabajos ( ) Verificacin de cifras Costo Mensual por trabajo ( ) de control de entrada con las de salida. ( )

4. Existe un programa de trabajo de captacin de datos? a) Se elabora ese programa para cada turno? Diariamente ( ) Semanalmente ( ) Mensualmente ( ) b) La elaboracin del programa de trabajos se hace: Internamente ( ) Se les sealan a los usuarios las prioridades ( )

c) Que accin(es) se toma(n) si el trabajo programado no se recibe a tiempo?

5. Quin controla las entradas de documentos fuente?

6. En que forma las controla?

7. Que cifras de control se obtienen?

Sistema Cifras que se Observaciones Obtienen

8. Que documento de entrada se tienen? Sistemas Documentos Depto. que periodicidad Observaciones proporciona el documento

9. Se anota que persona recibe la informacin y su volumen? SI NO

10. Se anota a que capturista se entrega la informacin, el volumen y la hora? SI NO

11. Se verifica la cantidad de la informacin recibida para su captura? SI NO

12. Se revisan las cifras de control antes de enviarlas a captura? SI NO

13. Para aquellos procesos que no traigan cifras de control se ha establecido criterios a fin de asegurar que la informacin es completa y valida? SI NO

14. Existe un procedimiento escrito que indique como tratar la informacin invlida (sin firma ilegible, no corresponden las cifras de control)?

15. En caso de resguardo de informacin de entrada en sistemas, Se custodian en un lugar seguro?

16. Si se queda en el departamento de sistemas, Por cuanto tiempo se guarda?

17. Existe un registro de anomalas en la informacin debido a mala codificacin?

18. Existe una relacin completa de distribucin de listados, en la cual se indiquen personas, secuencia y sistemas a los que pertenecen?

19. Se verifica que las cifras de las validaciones concuerden con los documentos de entrada?

20. Se hace una relacin de cuando y a quin fueron distribuidos los listados? ____________________________________________________________

______

21. Se controlan separadamente los documentos confidenciales? ____________________________________________________________

______

22. Se aprovecha adecuadamente el papel de los listados inservibles? ____________________________________________________________

______

23. Existe un registro de los documentos que entran a capturar? ____________________________________________________________

______

24. Se hace un reporte diario, semanal o mensual de captura? ____________________________________________________________

______

25. Se hace un reporte diario, semanal o mensual de anomalas en la informacin de entrada?

26. Se lleva un control de la produccin por persona?

27. Quin revisa este control?

28. Existen instrucciones escritas para capturar cada aplicacin o, en su defecto existe una relacin de programas?

CONTROL DE OPERACIN

La eficiencia y el costo de la operacin de un sistema de cmputo se ven fuertemente afectados por la calidad e integridad de la documentacin requerida para el proceso en la computadora.

El objetivo del presente ejemplo de cuestionario es sealar los procedimientos e instructivos formales de operacin, analizar su estandarizacin y evaluar el cumplimiento de los mismos.

1. Existen procedimientos formales para la operacin del sistema de computo? SI ( ) NO ( )

2. Estn actualizados los procedimientos? SI ( ) NO ( )

3. Indique la periodicidad de la actualizacin de los procedimientos:

Semestral ( ) Anual ( ) Cada vez que haya cambio de equipo ( )

4. Indique el contenido de los instructivos de operacin para cada aplicacin:

Identificacin del sistema ( ) Identificacin del programa ( ) Periodicidad y duracin de la corrida ( ) Especificacin de formas especiales ( ) Especificacin de cintas de impresoras ( ) Etiquetas de archivos de salida, nombre, ( ) archivo lgico, y fechas de creacin y expiracin Instructivo sobre materiales de entrada y salida ( ) Altos programados y la acciones requeridas ( ) Instructivos especficos a los operadores en caso de falla del equipo ( ) Instructivos de reinicio ( ) Procedimientos de recuperacin para proceso de

gran duracin o criterios ( ) Identificacin de todos los dispositivos de la mquina a ser usados ( ) Especificaciones de resultados (cifras de control, registros de salida por archivo, etc. ) ( )

5. Existen rdenes de proceso para cada corrida en la computadora (incluyendo pruebas, compilaciones y produccin)? SI ( ) NO ( )

6. Son suficientemente claras para los operadores estas rdenes? SI ( ) NO ( )

7. Existe una estandarizacin de las ordenes de proceso? SI ( ) NO ( )

8. Existe un control que asegure la justificacin de los procesos en el computador? (Que los procesos que se estn autorizados y tengan una razn de ser procesados. SI ( ) NO ( )

9. Cmo programan los operadores los trabajos dentro del departamento de cmputo? Primero que entra, primero que sale ( ) se respetan las prioridades, ( ) Otra (especifique) ( )

10. Los retrasos o incumplimiento con el programa de operacin diaria, se revisa y analiza? SI ( ) NO ( )

11. Quin revisa este reporte en su caso?

12. Analice la eficiencia con que se ejecutan los trabajos dentro del departamento de cmputo, tomando en cuenta equipo y operador, a travs de inspeccin visual, y describa sus observaciones.

13. Existen procedimientos escritos para la recuperacin del sistema en caso de falla?

14. Cmo se acta en caso de errores?

15. Existen instrucciones especificas para cada proceso, con las indicaciones pertinentes?

16. Se tienen procedimientos especficos que indiquen al operador que hacer cuando un programa interrumpe su ejecucin u otras dificultades en proceso?

17. Puede el operador modificar los datos de entrada?

18. Se prohibe a analistas y programadores la operacin del sistema que programo o analizo?

19. Se prohibe al operador modificar informacin de archivos o bibliotecas de programas?

20. El operador realiza funciones de mantenimiento diario en dispositivos que as lo requieran?

21. Las intervenciones de los operadores:

Son muy numerosas? SI ( ) NO ( ) Se limitan los mensajes esenciales? SI ( ) NO ( ) Otras (especifique)_____________________________________________________ _

22. Se tiene un control adecuado sobre los sistemas y programas que estn en operacin? SI ( ) NO ( ) 23. Cmo controlan los trabajos dentro del departamento de cmputo?

24. Se rota al personal de control de informacin con los operadores procurando un entrenamiento cruzado y evitando la manipulacin fraudulenta de datos? SI ( ) NO ( )

25. Cuentan los operadores con una bitcora para mantener registros de cualquier evento y accin tomada por ellos? Si ( ) por mquina ( ) escrita manualmente ( ) NO ( ) 26. Verificar que exista un registro de funcionamiento que muestre el tiempo de paros y mantenimiento o instalaciones de software.

27.Existen procedimientos para evitar las corridas de programas no autorizados? SI ( ) NO ( )

28. Existe

un plan definido para el cambio de turno de operaciones que evite el descontrol y discontinuidad de la operacin.

29. Verificar que sea razonable el plan para coordinar el cambio de turno.

30. Se hacen inspecciones peridicas de muestreo? SI ( ) NO ( )

31. Enuncie los procedimientos mencionados en el inciso anterior:

32. Se permite a los operadores el acceso a los diagramas de flujo, programas fuente, etc. fuera del departamento de cmputo? SI ( ) NO ( )

33. Se controla estrictamente el acceso a la documentacin de programas o de aplicaciones rutinarias? SI ( ) NO ( ) Cmo?________________________________________________________ ___

34. Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la clasificacin de seguridad de operador.

35. Existen procedimientos formales que se deban observar antes de que sean aceptados en operacin, sistemas nuevos o modificaciones a los mismos? SI ( ) NO ( )

36. Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anteriores? SI ( ) NO ( )

37. Durante cuanto tiempo?

38. Que precauciones se toman durante el periodo de implantacin?

39. Quin da la aprobacin formal cuando las corridas de prueba de un sistema modificado o nuevo estn acordes con los instructivos de operacin.

40. Se catalogan los programas liberados para produccin rutinaria? SI ( ) NO ( )

41. Mencione que instructivos se proporcionan a las personas que intervienen en la operacin rutinaria de un sistema.

42. Indique que tipo de controles tiene sobre los archivos magnticos de los archivos de datos, que aseguren la utilizacin de los datos precisos en los procesos correspondientes.

43. Existe un lugar para archivar las bitcoras del sistema del equipo de cmputo? SI ( ) NO ( )

44. Indique como est organizado este archivo de bitcora.

Por fecha ( ) por fecha y hora ( ) por turno de operacin ( ) Otros ( )

45. Cul es la utilizacin sistemtica de las bitcoras?

46. Adems de las mencionadas anteriormente, que otras funciones o reas se encuentran en el departamento de cmputo actualmente?

47. Verifique que se lleve un registro de utilizacin del equipo diario, sistemas en lnea y batch, de tal manera que se pueda medir la eficiencia del uso de equipo.

48. Se tiene inventario actualizado de los equipos y terminales con su localizacin? SI ( ) NO ( )

49. Cmo se controlan los procesos en lnea?

50. Se tienen seguros sobre todos los equipos? SI ( ) NO ( )

51. Conque compaa? Solicitar plizas de seguros y verificar tipo de seguro y montos.

52. Cmo se controlan las llaves de acceso (Password)?.

CONTROLES DE SALIDA

1. Se tienen copias de los archivos en otros locales?

2. Dnde se encuentran esos locales?

3. Que seguridad fsica se tiene en esos locales?

4. Que confidencialidad se tiene en esos locales?

5. Quin entrega los documentos de salida?

6. En que forma se entregan?

7. Que documentos?

8. Que controles se tienen?

9. Se tiene un responsable (usuario) de la informacin de cada sistema? Cmo se atienden solicitudes de informacin a otros usuarios del mismo sistema?

10. Se destruye la informacin utilizada, o bien que se hace con ella?

Destruye ( ) Vende ( ) Tira ( ) Otro ______________________________

CONTROL DE MEDIOS DE ALMACENAMIENTO MASIVO

Los dispositivos de almacenamiento representan, para cualquier centro de cmputo, archivos extremadamente importantes cuya prdida parcial o total podra tener repercusiones muy serias, no slo en la unidad de informtica, sino en la dependencia de la cual se presta servicio. Una direccin de informtica bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento, adems de mantener registros sistemticos de la utilizacin de estos archivos, de modo que servirn de base a registros sistemticos de la utilizacin de estos archivos, de modo que sirvan de base a los programas de limpieza (borrado de informacin), principalmente en el caso de las cintas.

OBJETIVOS

El objetivo de este cuestionario es evaluar la forma como se administran los dispositivos de almacenamiento bsico de la direccin.

1. Los locales asignados a la cintoteca y discoteca tienen:

Aire acondicionado ( ) Proteccin contra el fuego ( ) (sealar que tipo de proteccin )__________________________________ Cerradura especial ( ) Otra

2. Tienen la cintoteca y discoteca proteccin automtica contra el fuego? SI ( ) NO ( ) (sealar de que tipo)_______________________________________________

3. Que informacin mnima contiene el inventario de la cintoteca y la discoteca?

Nmero de serie o carrete ( ) Nmero o clave del usuario ( ) Nmero del archivo lgico ( ) Nombre del sistema que lo genera ( ) Fecha de expiracin del archivo ( ) Fecha de expiracin del archivo ( ) Nmero de volumen ( ) Otros

4. Se verifican con frecuencia la validez de los inventarios de los archivos

magnticos? SI ( ) NO ( )

5. En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican satisfactoriamente las discrepancias? SI ( ) NO ( )

6. Que tan frecuentes son estas discrepancias? ____________________________________________________________

______

7. Se tienen procedimientos que permitan la reconstruccin de un archivo en cinta a disco, el cual fue inadvertidamente destruido? SI ( ) NO ( )

8. Se tienen identificados los archivos con informacin confidencial y se cuenta con claves de acceso? SI ( ) NO ( ) Cmo?________________________________________________________ ___

9. Existe un control estricto de las copias de estos archivos? SI ( ) NO ( )

10. Que medio se utiliza para almacenarlos? Mueble con cerradura ( ) Bveda ( ) Otro(especifique)_________________________________________________

___

11. Este almacn esta situado: En el mismo edificio del departamento ( ) En otro lugar ( ) Cual?_________________________________________________________ ___

12. Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos? SI ( ) NO ( )

13. Se certifica la destruccin o baja de los archivos defectuosos? SI ( ) NO ( ) 14. Se registran como parte del inventario las nuevas cintas que recibe la biblioteca? SI ( ) NO ( )

15 Se tiene un responsable, por turno, de la cintoteca y discoteca? SI ( ) NO ( )

16. Se realizan auditoras peridicas a los medios de almacenamiento? SI ( ) NO ( )

17. Que medidas se toman en el caso de extravo de algn dispositivo de almacenamiento?

18. Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al personal autorizado? SI ( ) NO ( )

19. Se tiene relacin del personal autorizado para firmar la salida de archivos confidenciales? SI ( ) NO ( )

20. Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolvern? SI ( ) NO ( )

21. Se lleva control sobre los archivos prestados por la instalacin? SI ( ) NO ( )

22. En caso de prstamo Conque informacin se documentan? Nombre de la institucin a quin se hace el prstamo.

fecha de recepcin ( ) fecha en que se debe devolver ( ) archivos que contiene ( ) formatos ( ) cifras de control ( ) cdigo de grabacin ( ) nombre del responsable que los presto ( ) otros

23. Indique qu procedimiento se sigue en el reemplazo de las cintas que contienen los archivos maestros:

24. Se conserva la cinta maestra anterior hasta despus de la nueva cinta? SI ( ) NO ( )

25. El cintotecario controla la cinta maestra anterior previendo su uso

incorrecto o su eliminacin prematura? SI ( ) NO ( )

26. La operacin de reemplazo es controlada por el cintotecario? SI ( ) NO ( )

27. Se utiliza la poltica de conservacin de archivos hijo-padre-abuelo? SI ( ) NO ( )

28. En los procesos que manejan archivos en lnea, Existen procedimientos para recuperar los archivos? SI ( ) NO ( )

29. Estos procedimientos los conocen los operadores? SI ( ) NO ( )

30. Con que periodicidad se revisan estos procedimientos? MENSUAL ( ) ANUAL ( ) SEMESTRAL ( ) OTRA ( )

31. Existe un responsable en caso de falla? SI ( ) NO ( )

32. Explique que polticas se siguen para la obtencin de archivos de respaldo?

33. Existe un procedimiento para el manejo de la informacin de la cintoteca? SI ( ) NO ( )

34. Lo conoce y lo sigue el cintotecario? SI ( ) NO ( )

35. Se distribuyen en forma peridica entre los jefes de sistemas y programacin informes de archivos para que liberen los dispositivos de almacenamiento? SI ( ) NO ( )

Con qu frecuencia?

CONTROL DE MANTENIMIENTO

1. Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del contrato).

2. Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de computo? SI ( ) NO ( )

3. Se lleva a cabo tal programa? SI ( ) NO ( )

4. Existen tiempos de respuesta y de compostura estipulados en los contratos? SI ( ) NO ( )

5. Si los tiempos de reparacin son superiores a los estipulados en el contrato, Qu acciones correctivas se toman para ajustarlos a lo convenido? SI ( ) NO ( )

6. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor.-

SI ( ) NO ( ) Cual?

8. Cmo se notifican las fallas?

9. Cmo se les da seguimiento?

ORDEN EN EL CENTRO DE CMPUTO

Una direccin de Sistemas de Informacin bien administrada debe tener y observar reglas relativas al orden y cuidado del departamento de cmputo. Los dispositivos del sistema de cmputo, los archivos magnticos, pueden ser daados si se manejan en forma inadecuada y eso puede traducirse en prdidas irreparables de informacin o en costos muy elevados en la reconstruccin de archivos. Se deben revisar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cmputo.

1. Indique la periodicidad con que se hace la limpieza del departamento de cmputo y de la cmara de aire que se encuentra abajo del piso falso si existe y los ductos de aire:

Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( ) No hay programa ( ) Otra (especifique) ( )

2. Existe un lugar asignado a las cintas y discos magnticos? SI ( ) NO ( )

3. Se tiene asignado un lugar especifico para papelera y utensilios de trabajo? SI ( ) NO ( )

4. Son funcionales los muebles asignados para la cintoteca y discoteca? SI ( ) NO ( )

5. Se tienen disposiciones para que se acomoden en su lugar correspondiente, despus de su uso, las cintas, los discos magnticos, la papelera, etc.? SI ( ) NO ( )

6. Indique la periodicidad con que se limpian las unidades de cinta:

Al cambio de turno ( ) cada semana ( ) cada da ( ) otra (especificar) ( )

7. Existen prohibiciones para fumar, tomar alimentos y refrescos en el departamento de cmputo? SI ( ) NO ( )

8. Se cuenta con carteles en lugares visibles que recuerdan dicha prohibicin? SI ( ) NO ( )

9. Se tiene restringida la operacin del sistema de cmputo al personal especializado de la Direccin de Informtica? SI ( ) NO ( )

10. Mencione los casos en que personal ajeno al departamento de operacin opera el sistema de cmputo:

EVALUACIN DE LA CONFIGURACIN DEL SISTEMA DE CMPUTO

Los objetivos son evaluar la configuracin actual tomando en consideracin las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalacin y revisar las polticas seguidas por la unidad de informtica en la conservacin de su programoteca.

Esta seccin esta orientada a:

a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cmputo con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y lago plazo.

b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso.

c) Evaluar la utilizacin de los diferentes dispositivos perifricos.

1. De acuerdo con los tiempos de utilizacin de cada dispositivo del sistema de cmputo, existe equipo? Con poco uso? SI ( ) NO ( ) Ocioso? SI ( ) NO ( ) Con capacidad superior a la necesaria? SI ( ) NO ( )

Describa cual es ____________________________________________________

2. El equipo mencionado en el inciso anterior puede reemplazarse por otro mas lento y de menor costo? SI ( ) NO ( )

3. Si la respuesta al inciso anterior es negativa, el equipo puede ser cancelado? SI ( ) NO ( )

4. De ser negativa la respuesta al inciso anterior, explique las causas por las que no puede ser cancelado o cambiado. ____________________________________________________________

____

8. Cuantas terminales se tienen conectadas al sistema de cmputo? 9. Se ha investigado si ese tiempo de respuesta satisface a los usuarios? SI ( ) NO ( )

10. La capacidad de memoria y de almacenamiento mximo del sistema de cmputo es suficiente para atender el proceso por lotes y el proceso remoto? SI ( ) NO ( )

SEGURIDAD LGICA Y CONFIDENCIAL

La computadora es un instrumento que estructura gran cantidad de informacin, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Tambin puede ocurrir robos, fraudes o sabotajes que provoquen la destruccin total o parcial de la actividad computacional.

Un mtodo eficaz para proteger sistemas de computacin es el software de

control de acceso. Dicho simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden del usuario una contrasea antes de permitirle el acceso a informacin confidencial. Dichos paquetes han sido populares desde hace muchos aos en el mundo de las computadoras grandes, y los principales proveedores ponen a disposicin de clientes algunos de estos paquetes.

El sistema integral de seguridad debe comprender:

Elementos administrativos Definicin de una poltica de seguridad Organizacin y divisin de responsabilidades Seguridad fsica y contra catstrofes (incendio, terremotos, etc.) Prcticas de seguridad del personal Elementos tcnicos y procedimientos Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como terminales. Aplicacin de los sistemas de seguridad, incluyendo datos y archivos El papel de los auditores, tanto internos como externos Planeacin de programas de desastre y su prueba.

Se debe evaluar el nivel de riesgo que puede tener la informacin para poder hacer un adecuado estudio costo/beneficio entre el costo por prdida de informacin y el costo de un sistema de seguridad, para lo cual se debe considerar lo siguiente:

o Que sucedera si no se puede usar el sistema? oa o Si la contestacin es que no se podra seguir trabajando, esto nos sita en

un sistema de alto riego. oa o Que implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podramos estar sin utilizarlo? oa o Existe un procedimiento alterno y que problemas nos ocasionara? oa o Que se ha hecho para un caso de emergencia?

SEGURIDAD FSICA

El objetivo es establecer polticas, procedimientos y prcticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos, informacin debido a contingencias como incendio, inundaciones, huelgas, disturbios, sabotaje, etc. y continuar en medio de emergencia hasta que sea restaurado el servicio completo.

se puede elaborar el siguiente cuestionario:

1. Se han adoptado medidas de seguridad en el departamento de sistemas de informacin? SI ( ) NO ( )

2. Existen una persona responsable de la seguridad? SI ( ) NO ( )

3. Se ha dividido la responsabilidad para tener un mejor control de la seguridad? SI ( ) NO ( )

4. Existe personal de vigilancia en la institucin? SI ( ) NO ( )

5. La vigilancia se contrata? a) Directamente ( ) b) Por medio de empresas que venden ese servicio ( ) 6. Existe una clara definicin de funciones entre los puestos clave? SI ( ) NO ( )

7. Se investiga a los vigilantes cuando son contratados directamente? SI ( ) NO ( )

8. Se controla el trabajo fuera de horario? SI ( ) NO ( )

9. Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan daar los sistemas?. SI ( ) NO ( )

10. Existe vigilancia en el departamento de cmputo las 24 horas? SI ( ) NO ( )

11. Existe vigilancia a la entrada del departamento de cmputo las 24 horas? a) Vigilante ? ( ) b) Recepcionista? ( ) c) Tarjeta de control de acceso ? ( ) d) Nadie? ( )

12. Se permite el acceso a los archivos y programas a los programadores, analistas y operadores?

SI ( ) NO ( )

13. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorizacin? SI ( ) NO ( )

14. El edificio donde se encuentra la computadora esta situado a salvo de: a) Inundacin? ( ) b) Terremoto? ( ) c) Fuego? ( ) d) Sabotaje? ( )

15. El centro de cmputo tiene salida al exterior al exterior? SI ( ) NO ( )

16. Describa brevemente la construccin del centro de cmputo, de preferencia proporcionando planos y material con que construido y equipo (muebles, sillas etc.) dentro del centro.

17. Existe control en el acceso a este cuarto? a) Por identificacin personal? ( ) b) Por tarjeta magntica? ( ) c) por claves verbales? ( ) d) Otras? ( )

18. Son controladas las visitas y demostraciones en el centro de cmputo? SI ( ) NO ( )

19. Se registra el acceso al departamento de cmputo de personas ajenas a la direccin de informtica?

SI ( ) NO ( )

20. Se vigilan la moral y comportamiento del personal de la direccin de informtica con el fin de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( )

21. Existe alarma para a) Detectar fuego(calor o humo) en forma automtica? ( ) b) Avisar en forma manual la presencia del fuego? ( ) c) Detectar una fuga de agua? ( ) d) Detectar magnticos? ( ) e) No existe ( )

22. Estas alarmas estn a) En el departamento de cmputo? ( ) b) En la cintoteca y discoteca? ( )

23. Existe alarma para detectar condiciones anormales del ambiente? a) En el departamento de cmputo? ( ) b) En la cntoteca y discoteca? ( ) c) En otros lados ( ) 24. La alarma es perfectamente audible? SI ( ) NO ( )

25.Esta alarma tambin est conectada a) Al puesto de guardias? ( ) b) A la estacin de Bomberos? ( ) c) A ningn otro lado? ( ) Otro_________________________________________

26. Existen extintores de fuego a) Manuales? ( ) b) Automticos? ( ) c) No existen ( )

27. Se ha adiestrado el personal en el manejo de los extintores? SI ( ) NO ( )

28. Los extintores, manuales o automticos a base de TIPO SI NO a) Agua, ( ) ( ) b) Gas? ( ) ( ) c) Otros ( ) ( ) 29. Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI ( ) NO ( )

30. Si es que existen extintores automticos son activador por detectores automticos de fuego? SI ( ) NO ( )

31. Si los extintores automticos son a base de agua Se han tomado medidas para evitar que el agua cause mas dao que el fuego? SI ( ) NO ( )

32. Si los extintores automticos son a base de gas, Se ha tomado medidas para evitar que el gas cause mas dao que el fuego? SI ( ) NO ( )

33. Existe un lapso de tiempo suficiente, antes de que funcionen los extintores

automticos para que el personal a) Corte la accin de los extintores por tratarse de falsas alarmas? SI ( ) NO ( ) b) Pueda cortar la energa Elctrica SI ( ) NO ( ) c) Pueda abandonar el local sin peligro de intoxicacin SI ( ) NO ( ) d) Es inmediata su accin? SI ( ) NO ( )

34. Los interruptores de energa estn debidamente protegidos, etiquetados y sin obstculos para alcanzarlos? SI ( ) NO ( )

35. Saben que hacer los operadores del departamento de cmputo, en caso de que ocurra una emergencia ocasionado por fuego? SI ( ) NO ( )

36. El personal ajeno a operacin sabe que hacer en el caso de una emergencia (incendio)? SI ( ) NO ( )

37. Existe salida de emergencia? SI ( ) NO ( )

38. Esta puerta solo es posible abrirla: a) Desde el interior? ( ) b) Desde el exterior? ( ) c) Ambos Lados ( )

39. Se revisa frecuentemente que no est abierta o descompuesta la cerradura de esta puerta y de las ventanas, si es que existen? SI ( ) NO ( )

40. Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI ( ) NO ( )

41. Se ha tomado medidas para minimizar la posibilidad de fuego: a) Evitando artculos inflamables en el departamento de cmputo? ( ) b) Prohibiendo fumar a los operadores en el interior? ( ) c) Vigilando y manteniendo el sistema elctrico? ( ) d) No se ha previsto ( )

42. Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cmputo para evitar daos al equipo? SI ( ) NO ( )

43. Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( )

44. Se controla el acceso y prstamo en la a) Discoteca? ( ) b) Cintoteca? ( ) c) Programoteca? ( )

45. Explique la forma como se ha clasificado la informacin vital, esencial, no esencial etc.

46. Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI ( ) NO ( )

47. Explique la forma en que estn protegidas fsicamente estas copias (bveda, cajas de seguridad etc.) que garantice su integridad en caso de incendio, inundacin, terremotos, etc.

48. Se tienen establecidos procedimientos de actualizacin a estas copias? SI ( ) NO ( )

49. Indique el nmero de copias que se mantienen, de acuerdo con la forma en que se clasifique la informacin: 0123

50. Existe departamento de auditoria interna en la institucin? SI ( ) NO ( )

51. Este departamento de auditoria interna conoce todos los aspectos de los sistemas? SI ( ) NO ( )

52. Que tipos de controles ha propuesto?

53. Se cumplen? SI ( ) NO ( )

54. Se auditan los sistemas en operacin? SI ( ) NO ( )

55.Con que frecuencia? a) Cada seis meses ( ) b) Cada ao ( ) c) Otra (especifique) ( )

56.Cundo se efectan modificaciones a los programas, a iniciativa de quin es? a) Usuario ( ) b) Director de informtica ( ) c) Jefe de anlisis y programacin ( ) d) Programador ( ) e) Otras ( especifique) ____________________________________________________________

_____

57.La solicitud de modificaciones a los programas se hacen en forma? a) Oral? ( ) b) Escrita? ( ) En caso de ser escrita solicite formatos,

58.Una vez efectuadas las modificaciones, se presentan las pruebas a los interesados? SI ( ) NO ( )

59.Existe control estricto en las modificaciones? SI ( ) NO ( )

60.Se revisa que tengan la fecha de las modificaciones cuando se hayan

efectuado? SI ( ) NO ( )

61.Si se tienen terminales conectadas, se ha establecido procedimientos de operacin? SI ( ) NO ( )

62.Se verifica identificacin: a) De la terminal ( ) b) Del Usuario ( ) c) No se pide identificacin ( ) 63.Se ha establecido que informacin puede ser acezada y por qu persona? SI ( ) NO ( )

64.Se ha establecido un nmero mximo de violaciones en sucesin para que la computadora cierre esa terminal y se de aviso al responsable de ella? SI ( ) NO ( )

65.Se registra cada violacin a los procedimientos con el fin de llevar estadsticas y frenar las tendencias mayores? SI ( ) NO ( )

66.Existen controles y medidas de seguridad sobre las siguientes operaciones? Cuales son? ( )Recepcin de documentos___________________________________________ ( )Informacin Confidencial____________________________________________ ( )Captacin de documentos__________________________________________________

______ ( )Cmputo Electrnico_______________________________________________ ( )Programas___________________________________________________

____ ( )Discotecas y Cintotecas_____________________________________________ ( )Documentos de Salida______________________________________________ ( )Archivos Magnticos_______________________________________________ ( )Operacin del equipo de computacin__________________________________ ( )En cuanto al acceso de personal____________________________________________________

_______ ( )Identificacin del personal___________________________________________ ( )Policia_____________________________________________________

______ ( )Seguros contra robo e incendio_______________________________________ ( )Cajas de seguridad_________________________________________________ ( )Otras (especifique)_________________________________________________

ENTREVISTA A USUARIOS APLICABLES EN UNA AUDITORIA DE SISTEMAS

La entrevista se deber llevar a cabo para comprobar datos proporcionados y la situacin de la dependencia en el departamento de Sistemas de Informacin.

Su objeto es conocer la opinin que tienen los usuarios sobre los servicios proporcionados, as como la difusin de las aplicaciones de la computadora y de los sistemas en operacin.

Las entrevistas se debern hacer, en caso de ser posible, a todos los usuarios o bien en forma aleatoria a algunos de los usuarios, tanto de los ms importantes como de los de menor importancia, en cuanto al uso del equipo.

Desde el punto de vista del usuario los sistemas deben:

Cumplir con los requerimientos totales del usuario. Cubrir todos los controles necesarios. No exceder las estimaciones del presupuesto inicial. Sern fcilmente modificables.

Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y se estn proporcionando en forma adecuada, cuando menos ser preciso considerar la siguiente informacin. Descripcin de los servicios prestados. Criterios de evaluacin que utilizan los usuarios para evaluar el nivel del servicio prestado. Reporte peridico del uso y concepto del usuario sobre el servicio. Registro de los requerimientos planteados por el usuario.

1. Considera que el Departamento de Sistemas de Informacin de los resultados esperados?.Si ( ) No ( ) Por que?

2. Cmo considera usted, en general, el servicio proporcionado por el Departamento de Sistemas de Informacin? Deficiente ( ) Aceptable ( ) Satisfactorio ( ) Excelente ( ) Por que?

3. Cubre sus necesidades el sistema que utiliza el departamento de cmputo? No las cubre ( ) Parcialmente ( ) La mayor parte ( ) Todas ( ) Por que?

4. Hay disponibilidad del departamento de cmputo para sus requerimientos? Generalmente no existe ( ) Hay ocasionalmente ( ) Regularmente ( ) Siempre ( ) Por que?

5. Son entregados con puntualidad los trabajos? Nunca ( ) Rara vez ( )

Ocasionalmente ( ) Generalmente ( ) Siempre ( ) Por que?

6. Que piensa de la presentacin de los trabajadores solicitados al departamento de cmputo? Deficiente ( ) Aceptable ( ) Satisfactorio ( ) Excelente ( ) Por que?

7. Que piensa de la asesora que se imparte sobre informtica? No se proporciona ( ) Es insuficiente ( ) Satisfactoria ( ) Excelente ( ) Por que?

8. Que piensa de la seguridad en el manejo de la informacin proporcionada por el sistema que utiliza? Nula ( ) Riesgosa ( ) Satisfactoria ( ) Excelente ( ) Lo desconoce ( ) Por que?

9. Existen fallas de exactitud en los procesos de informacin? Cules?

10. Cmo utiliza los reportes que se le proporcionan?

11. Cules no Utiliza?

12. De aquellos que no utiliza por que razn los recibe?

13. Que sugerencias presenta en cuanto a la eliminacin de reportes modificacin, fusin, divisin de reporte?

14. Se cuenta con un manual de usuario por Sistema? SI ( ) NO ( )

15. Es claro y objetivo el manual del usuario? SI ( ) NO ( )

16. Que opinin tiene el manual? NOTA: Pida el manual del usuario para evaluarlo.

17. Quin interviene de su departamento en el diseo de sistemas?

18. Que sistemas deseara que se incluyeran?

19. Observaciones:

REFERENCIAS BIBLIOGRFICAS o HERNNDEZ HERNNDEZ, Enrique. Auditoria en Informtica Un enfoque metodolgico. Editorial CECSA.

o LAZCANO SERES, Juan Manuel. El Manejo de las organizaciones, su auditoria y su control. Editorial ECOE.

o PINILLA FORERO, Jos Dagoberto. Auditoria informtica Un enfoque operacional. Editorial ECOE.

o PINILLA FORERO, Jos Dagoberto. Auditoria de sistemas en funcionamiento. Editorial ECOE.

o ECHENIQUE, Jos Antonio. Auditoria en informtica. Editorial MacGraw-Hill.

o BLOOMBECKER, Buck. Grandes estafas por computador. Editorial Circulo de Lectores.

o RODRGUEZ, Luis ngel. Seguridad de la informacin en sistemas de computo. Ventura Ediciones.

o Oscar Toro, OTOROC[arroba]LYCOS.COM, Centro de Formacin Tcnica, Diego Portales

o Manual de Auditoria Informtica, AUDISIS.

o http://www.mitecnologico.com/Main/FasesAuditoriaInformatica

o Publicacion por JORGE ALBERTO RESTREPO GOMEZ en Guia del profesor.

o http://es.kioskea.net/s/ataque+pirata+informatico

o Fuente: Infobae o http://www.estereofonica.us/uno-de-los-mayores-ataques-informatico