Professional Documents
Culture Documents
INTRODUCCIÓN.................................................................................................................i
Y DEL PERSONAL........................................................................................................130
............................................................................................................................................151
TELEINFORMÁTICA ....................................................................................................152
TELEINFORMÁTICA ....................................................................................................154
3
CAPÍTULO VI INFORME DE LA AUDITORÍA INFORMÁTICA .........................163
ANEXOS ...............................................................................................................................vi
4
INTRODUCCIÓN
El siguiente material será una guía la cual nos dará un panorama para la
auditores externos analizan todos los procedimientos que los empleados, usuarios,
etc., realizan con frecuencia y sobre todo están muy familiarizados teniendo en
cuenta que en muchas de las ocasiones los mismos empleados saben de las
materiales con los que cuenta, personal que trabaja y de que manera salvaguarda
toda la informaron que se maneja, todo esto con la finalidad de evitar, fraudes y
Se tocara los momentos de una auditoría, los tipos que existen, donde los
información y quien participará en ella. Se evaluarán los recursos con los que se
cuenta tanto humanos, presupuestal y financiera así como las entrevistas que se
i
personal, seguridad lógica y confidencial, la mejor manera de proteger los datos
como se rendirá un informe sobre los puntos alcanzados y que se encontró, así
ii
OBJETIVO GENERAL Y ESPECÍFICOS
Crear un material de apoyo didáctico que permita dar a conocer como se llevara a
el área de informática dentro de las empresas, y que las esta ocasionando ya sean
ESPECÍFICOS
informática.
informática.
iii
CAPÍTULO I
INTRODUCCIÓN A LA AUDITORÍA
INFORMÁTICA
1
En la actualidad todas las empresas e instituciones cada día necesitan de
para buscar culpables sino para corregir las debilidades de todo tipo que se
fallas. Por otro lado este concepto es mucho más amplio: no solo se detectarán
son las contables para instituciones, en las cuales también se deben de establecer
toda una profesión en nuestros días muy demandada, siempre con la visión de
2
alternativas de solución. También se dice que puede ser la emisión profesional
sobre el objeto sometido a los análisis que presente una realidad que se encuentre
sustentada mediante procedimientos las cuales deben de tener una gran fiabilidad.
Esta es una acción posterior a las actividades que se realizan y sobre las que se
Informática: Este concepto es mas amplio a cada día que transcurre, ya que no
aspectos, como son desde la utilización de una sola maquina en adelante, las
acortar los procesos para la utilización de esta con tal, la cual se pueda imprimir o
3
canales de transmisión; el segundo se enfoca a lo semántico a la información
desde el punto de vista de su significado en el cual nos pueden dar más ideas, el
punto de vista normativo y de la parte ética que esto se enfoca más al cuando,
procesos distribuidos, bases de datos, etc. Todo esto permite que varios usuarios
momento.
Todos los procedimientos con informática pueden variar de acuerdo con la filosofía
4
Utilización de las técnicas de auditoría asistidas por computadora.
Por lo generan un auditor deberá utilizar una computadora como apoyo para
tener esta herramienta tan útil tendrían que efectuarse la mayoría de las pruebas
de una forma manual. Recordemos que existen paquetes (software) para realizar
Verificar cifras totales y cálculos para comprobar los reportes de salidas que
5
documentación, los materiales de prueba impresos, programas fuente y objeto con
todos los cambios que se les haya elaborado serán de total responsabilidad del
auditor o auditores. Todos los programas que se hayan utilizado pueden ser
continua.
como:
6
Podemos finalizar diciendo que la auditoría informática es la revisión y evaluación
toma de decisiones.
costosas.
Decisiones incorrectas.
7
archivos, procedimientos, controles, seguridad, personal, y la obtención de todo el
No hay que olvidar que tienen una gran responsabilidad las personas que están a
con toda la confidencialidad que se requiera. Las bases de datos de caer en malas
manos se pueden usar para fines ajenos a su finalidad alterando los fines para los
precisa de los recursos informáticos con los que se cuenta para mejorar la
8
OBJETIVOS.
Protección de los Activos y Recursos: Control interno que protege los activos
salidas requeridas.
Seguridad y confidencialidad.
provecho para toda persona y no de daños, hay que recordar que todo invento es
9
1.2. TIPOS DE AUDITORÍA
Cada clase de auditoría o tipo de esta poseen sus propios procedimientos para
alcanzar su fin aunque estos pueden coincidir en muchos puntos. En estos tipos se
pretende se considere todo lo que pueda influir para obtener los mejores
examina por grandes temas resulta evidente la mayor calidad y el empleo de más
específicas, se abarcan de una sola vez todas las dificultades que afectan a la
por lo que resulta más factible realizar las auditorias por áreas específicas
Al final del proyecto se obtiene una mejor evidencia que será suficiente y
adecuada.
pretendan alcanzar con cada una de ellas en las empresas y sus áreas de
10
Auditoría de usuario: La cual se enfoca única y exclusivamente al personal
las actividades que dentro del área de informática se han venido generando
por los usuarios en beneficio de la institución para la cual laboran, así como
estrategias de solución que conlleven a una mejor dirección del apoyo que
se genera, así como de verificar que los equipos con los que están
11
Se considera que estas cuatro auditorias son las más importantes a llevar a cabo
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
Por otro lado, la auditoría externa es realizada por personas afines a la empresa
beneficiada ya que las dos tienen el objetivo de evaluar las ventajas y las
12
a cabo periódicamente haciendo revisiones generales como parte de las
trabajo.
Sin embargo una empresa o institución que posee una auditoría interna como
contratar los servicios de una auditoría externa por las siguientes razones:
capacitados.
13
Por último aunque porque las auditorías externan nos sirven para tener una
como externa se debe realizar en las empresas de manera periódica para una
área de informática.
viene obteniendo.
de su equipo en ves de que les agilice el trabajo hace que tarden el doble
14
de tiempo o en ocasiones casi tengan que realizar sus operaciones de forma
manual.
compuesta por fases y tiene que estar soportada por la dirección, todas tienen un
pueden ser
internas y externas.
que realizar en cada una de las etapas de acuerdo al nivel de riesgo de cada
15
1.3. CAMPO DE LA AUDITORÍA INFORMÁTICA
trabaja.
Evaluación del proceso de los datos, los sistemas y los equipos de cómputo
de datos, etc.).
16
Las metas, los planes, políticas y procedimientos de los procesos
electrónicos.
procesos electrónicos.
uso de la información:
Control de proyectos.
Instructivos y documentación.
Formas de implantación.
17
Controles de mantenimiento y formas de respaldo de los sistemas.
Productividad.
Control de operación.
Control de salida.
D) Seguridad:
Confidencialidad.
Respaldos.
18
Seguridad del personal.
instituciones.
duplicarse.
organización o institución.
Eficiencia de sistemas. Que todos los objetivos se cumplan con los menores
Seguridad y confidencialidad.
No hay que olvidar que hay que tener un adecuado control de los activos, la
19
la administración de la organización desarrolla un adecuado sistema de control
interno.
Todas las características del control dependerán de muchos factores como por
autoridad cada día es más difícil debido a que muchos usuarios comparten
Por lo que en la actualidad las auditorías se deben realizar por personas con un
siempre dentro de todos los parámetros legales y éticos que ellos puedan tener
para obtener resultados lo más claros y seguros posibles, recordando que malos
20
tendrán que ser sometidos a rigurosas pruebas constantemente, además las
empresas tiene iniciativas de crear nuevos controles según sus necesidades. Los
calidad.
La descentralización.
También existen tendencias que pueden influir sobre las empresas que giran a
21
La globalización.
Queda claro que ante todos los cambios que se viene presentando en nuestra vida
actual los directivos toman muy en cuanta los controles para reevaluar y
seguros y poder soportar los ataques del fututo. Por tal motivo los auditores
contacto con la tecnología informática, por lo tanto todos estos especialistas son
22
Control Interno y Auditoría.
Políticas de Seguridad.
Plan de Seguridad.
Tecnológicas Implantadas
Formación y Mentalización.
Objetivos de autorización.
deberán estar de acuerdo a los criterios establecidos por todo el nivel apropiado de
adecuados.
23
Objetivos del procesamiento y clasificación de transacciones.
Todas las acciones deben registrarse para permitir la preparación de todos los
estados financieros o cualquier otro criterio aplicable a estas para mantener los
El acceso a todos los activos se deberá permitir bajo el acuerdo con autorización
software de seguridad.
ser acompañados así como vigilados para no ser objetos de algún tipo de atentado
o fuga de información.
Los equipos contaran con claves para uso del personal autorizado e intransferible a
otras personas.
24
Tendrán instaladas medidas preventivas en caso de que ocurra un incendio o
Todos los registros relativos a los activos sujetos a custodia deben compararse con
control interno de sistemas son aplicables a todos los ciclos. El área informática
de informática.
proceso, la cual se hará por paquetes ya conocidos para las auditorías. El segundo
organización por medio del control, para tener una información veraz, oportuna y
25
La auditoría informática siempre tendrá presentes los objetivos de autorización,
recordemos que la auditoría interna está y debe estar presente en todas y cada
valiosa con la cual se debe tener un adecuado control y será un gran auxiliar de la
auditoría interna, según estudios los objetivos generales del control interno son:
Autorización.
Salvaguardia física.
Verificación y evaluación.
especialistas.
26
Que los requerimientos de seguridad y de auditoría sean incorporados y él
centro de informática.
pueden evaluar los sistemas utilizando técnicas avanzadas. Recordemos que estos
27
capacitación deberá realizarse un entrenamiento adecuado y lo más pronto
posible. Asimismo recordemos, que otra limitante en los controles puede ser un
alto costo de inversión, otro puede ser la sobrecarga del sistema y trabajo, y como
consecuencia habrá que esperar más tiempo para recibir una respuesta. Sin
Preventivos. Para evitar o tratar de evitar los errores antes de que ocurra, como
Detectivos. Cuando falló el preventivo entrará éste, para poder conocer que fue lo
que paso o que ocurrió, como cuando hay intentos no autorizados a un sistema o
histórico.
acciones de prevención que se tengan de los errores, como un ejemplo pueden ser
las copias que se realizan para seguridad y poder reestablecer como se tenía, por
28
ejemplo una base de datos del día anterior que se devuelve para continuar
trabajando.
cada uno de las acciones que se realizaron, los archivos podrán contener por
(prácticamente un historial).
deberá tomar en cuenta y ser muy cuidadoso en las participaciones que se están
errores.
29
Operaciones en paralelo. Esta prueba consiste en verificar con exactitud toda la
datos de todos los programas que forman parte del procesamiento para que quede
30
funciones con sólo intervenir en las redes de comunicación internas. El tener una
actividades como:
auditor.
Visualización de datos.
histogramas.
sistemas, para que todos tengan los controles de acuerdo a las políticas internas
31
El registro manual de la información necesaria para originar una transacción. Se
La revisión de transacciones por el personal, que deja constancia con sus firmas,
Por ejemplo, cuando se realice una venta a crédito puede ser automática mientras
seguridad.
Anteriormente se tenía firmas en donde ahora sólo se tiene una clave o llave de
autorizada.
o algún otro servicio similar de un lugar del negocio a otro sitio completamente
ser enviada por medio electrónico y que al final se elabora un registro de cuando
32
Procesamiento manual. En las aplicaciones computarizadas, este proceso se
Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabilidad de
esta información se almacena como catálogo, que de forma manual sería muy
33
magnéticos. También se podrán utilizar programas extractivos para recobrar la
información de tales medios, los cuales en la actualidad son mas rápidos y exactos
parte de esta secuencia en las auditorías requieren entender las reglas del proceso
La división de tareas entre los empleados. Esto implica no sólo la división de tareas
de los empleados sino también entre los pasos y procesos automatizados. Por
bancarios.
34
1.6. PRINCIPIOS APLICADOS A LOS AUDITORES
INFORMÁTICOS
Los auditores serán capases de dar un soporte tangible sobre las actividades que
se realizan dentro de una empresa, una vez teniendo contacto con los medios
sobre los cuales observaron los procedimientos siendo muchas veces los medios
sino de dar solución a todos los problemas que pudieran encontrar, para no
empresa.
Por lo regular los auditores suelen ser personal con perfiles universitarios o que
35
Informático en General. Con experiencia en distintas ramas
como lo son de sistemas, explotación y
desarrollo de proyectos.
Experto en Proyectos. Con experiencia en análisis de
proyectos y de metodologías las cuales
las puede aplicar o reutilizar.
Expertos en Bases de Datos y gran Tiene experiencia en el manejo de las
Administrador. bases de datos y su mantenimiento,
conocen otros productos que los
pueden complementar para así
explotarlos al máximo, como pueden
ser la emisión de reportes.
Técnicos en Sistemas. Amplios conocimientos en
sistemas operativos, el conocerá
productos compatibles y de buen
rendimiento para una mejor
explotación de estos
recursos.
Experto en Software de Comunicación.
Con amplios conocimientos en
las redes y sistemas
Experto en Explotación y Gestión de Responsable de teleprocesos.
de Centro de Cálculo.
CPD´S. Amplia experiencia en Automatización
de trabajos. Experto en relaciones
humanas. Buenos conocimientos de los
sistemas.
Técnico de Organización. Experto organizador y
coordinador. Especialista en el análisis
de flujos de información.
Técnico de Evaluación de Coste. Economista con conocimiento de
Informática, Gestión de costes.
detectar:
36
Irregularidades que puedan tener un impacto sobre el área auditada o sobre
toda la organización.
CAPACIDAD Y ENTRENAMIENTO
Conocimientos generales.
información.
organización, etc.
Aspectos Legales.
Herramientas.
37
Herramientas de monitoreo de actividades.
Monitoreo de actividades.
Recordemos que las bases de toda auditoría será la información que los empleados
punto de vista y las maneras en que las problemáticas se podrán solucionar ya sea
todas y cada una de las fallas que se tengan ya que estas pueden ser de forma
inconsciente y otras con toda la ventaja para ser aprovechadas por mismos
tiene que desarrollar sus actividades como una función de policía o detective
38
informático solo esperando algún error del personal, sino crear un ambiente
emitidos para cada una de las figuras y que también sean conocidas por todo el
personal.
39
Se pueden perder empleados clave de la administración, aún cuando no
pueden destacarse:
Controles sofisticados.
40
Con el paso del tiempo los auditores se vuelven expertos por que reelaboran sus
preguntas que el realice serán claras por que sabe en realidad lo que trata de
buscar, principalmente obtener los puntos que considere como débiles, pero
también los aciertos, una ves que tenga estos datos realizara un análisis y
sugieren que esta actividad no se realice ya que opinan que sólo es leer muchas
41
CAPÍTULO II
PLANEACIÓN DE LA AUDITORÍA
INFORMÁTICA
42
Como todo trabajo se necesita realizar una adecuada planeación para
obtener los mejores resultados posibles, desde que información se maneja, como
se aplica, quien la realiza, las personas que intervienen en ella y cuales son los
Para la elaboración de la auditoría se tienen que realizar muchas fases para que
esta tenga el éxito esperado tomando en cuenta que al solicitar los servicios de la
auditoría tiene que llevar un orden desde como se iniciaran las pruebas, solicitudes
de reportes, que es lo que se ocupa, para que se ocupa, quienes participan para
que al final de que se practique la auditoría pueda brindar las mejores soluciones a
2.1.1. Planeación
Para elaborar una adecuada planeación para efectuar una auditoría hay que
realizar una serie de pasos, que éstos nos permitan evaluar el tamaño y
43
características del área dentro del organismo o institución a auditar, sus sistemas,
mismo tiempo definir los alcances, y en su caso poder elaborar el contrato de los
servicios.
44
Realizar una inspección física para familiarizarse con las actividades y
controles a auditar, así como de criticar las áreas en las que se pondrá más
genéricos y no específicos.
El plan estructura las tareas a realizar por cada integrante del grupo.
Obtener la aprobación del plan de trabajo con la cual se llevará cabo la auditoría.
45
Evaluación de proceso de datos, de los sistemas y de los equipos de
trabajo del cual tendrá que incluir costos, tiempos, personal necesario y
Metas.
Informes actividades.
Para lo cual las metas se deberán establecer principalmente que se puedan lograr,
hasta donde pueda ser posible deberán ser cuantificables, los cuales tendrán
criterios para medirlas y fechas límites para su logro. Todos los programas deberán
46
consideración el alcance planeado sin olvidar la extensión del trabajo, todo esto
deberá ser lo suficiente flexible para cubrir aquéllas demandas que no fueron
previstas.
requerido, y los esfuerzos que se desarrollen durante todo este proceso por ello es
marcar un poco más de tiempo por todos los contratiempos que puedan surgir.
47
Tema de auditoría. Se identifica el área a ser auditada.
entrevistar.
normas.
existentes.
Procedimientos de seguimiento.
48
2.1.2. Revisión preliminar
primero se puede ser más eficiente desde un punto de vista costo- beneficio
pueden ser los del área de usuario. Se puede decir que se obtendrá un
49
mayor costo-beneficio cuando su meta es una mayor confianza a los
controles de compensación.
olvidar que esta información inicial sólo nos dará un panorama general para la
Tanto la revisión preliminar que puede realizar un auditor interno será diferente a
buscará las causas de las pérdidas y todos los medios necesarios para justificar las
cual tomar en cuenta sobre sus consideraciones sobre eficiencia y eficacia con las
tanto revisará la forma detallada para elaborar recomendaciones con las cuales los
50
controles internos pueden ser más seguros y confiables para que éstos den
mejores resultados.
para que el auditor pueda tener un profundo conocimiento de todos los controles,
que el así crea conveniente la revisión con los usuarios de estos sistemas. En la
mayoría de los casos el auditor decidirá, después del análisis lo que él crea
defecto cuáles serán los procedimientos alternos más apropiados para esta
auditoría.
aquellas pérdidas, que existen dentro de una instalación y refórmala para reducir
las mismas y los efectos que se causan por todas ellas. Él tendrá la capacidad para
decidir y evaluar en qué momento los controles establecidos podrán reducir las
51
pérdidas, para encontrarse dentro de los niveles que se pueden aceptar. Todos los
usados en la revisión preliminar con la única diferencia, de que será más confiable
El auditor interno considerará las causas de las pérdidas que afectan la eficiencia y
eficacia, puede evaluar que controles son los mejores para que todas las pérdidas
satisfactorio, para también saber cuales de estos controles son los menos costosos
controles o dar las recomendaciones que serán necesarias para mejorar todos los
pérdidas que pueden ser económicas, de información y/o materiales pero tendrán
que estar dentro de un margen mínimo que se pueda permitir. No olvidando, que
responsabilidad dar las mejores soluciones a todos y cada uno de los problemas
52
2.1.4. Examen y evaluación de la información
información para que en base a ella puedan sostener sus resultados de todo este
proceso (auditoría).
Recopilar toda la información para todos y cada uno de los asuntos que se
relacionaron para corregir las fallas con los objetivos y alcances de esta
auditoría.
Toda la información deberá ser lo bastante real, para que de este modo sea
llegue a las mismas conclusiones que el auditor tenga que tomar. Esta
auditoría sean las más apropiadas. Teniendo en cuenta que todo esto es
con el fin de que la empresa, pueda desarrollar sus objetivos y cumplir sus
53
necesario implantar, y se requiera algún tipo de modificación se pueda
efectuar.
puedan hacer.
Los auditores tienen que reportar el trabajo obtenido. El auditor deberá discutir las
emita un informe final. Todos los informes que le entregue tienen que ser
podrá expresar su opinión de cada uno de estos procesos. Estos informes podrán
poder mencionar maneras correctivas. Los puntos de vista de los auditores pueden
54
seguimiento de las recomendaciones realizadas para verificar si la solución está
dando resultados.
Realizar una evaluación del trabajo realizado por cada uno de los auditores,
mejor cobertura y para disminuir todos aquellos gastos de esfuerzos que se tengan
calidad. Con la finalidad que este proceso proporciona una seguridad razonable
para que este trabajo de auditoría cumpla con las normas mínimas, este programa
Supervisiones periódicas.
Revisiones externas.
Revisiones internas.
55
La supervisión del trabajo realizado por los auditores, se realizará de forma
continua para así asegurar que está trabajando bajo normas, políticas y programas
auditoría realizado.
auditorías realizadas por los auditores prefieren, no confiar en todo los controles
internos establecidos dentro de las instalaciones, ya que los usuarios como son
quien tienen mayor contacto están muy familiarizados y pueden tener cierta
influencia sobre estos, e incluso de cierta forma los podrían manipular si es que si
56
Revisión de Centros de Cómputo.
computador.
etc.
Revisión del plan de mantenimiento: Aquí se verifica que todos los equipos
funcionamiento continuo.
que estén respaldados, así como asegurar que el uso que le dan es el
autorizado.
57
2.1.6. PRUEBAS SUSTANTIVAS
Una vez que el auditor ha recabado la suficiente información que le permita a este
emitirá sus propias conclusiones, de el o los momentos en los que considere que
se pueda dar un dictamen, rendirá su propio informe. Este auditor interno tendrá
estas pruebas:
alto grado de control, ya que nuestros sistemas estarán mejor protegidos pero sin
olvidarnos de el costo que esto poder presentar para la institución o empresa. Por
58
eso es necesario devaluar el costo que representaría una falla en el sistema y
todos los problemas que esto traería para determinar su riesgo, para sí compararlo
estos controles.
En la fase de operación.
piensan, que el que el auditor participe en las fases del diseño disminuye su propia
especializado en informática.
59
El realizar una auditoría en informática es un trabajo demasiado complejo y hay
que saber realizarlo. Para esto los auditores necesitarán fraccionar o dividir en
subsistemas, para poder identificar todos y cada uno de las actividades que se
realicen en cada proceso para que después, una vez realizados los trabajos poder
evaluar cómo es que funciona realmente todo el sistema, ya que la suma de estos
realizar.
Los pasos que se necesitan en una auditoría informática son muy semejantes, a
los que se utilicen en una auditoría manual. Primero realizando una investigación y
documentándonos para familiarizarnos con estos, para saber sus principios y los
pasos de los procesos. En segundo lugar el auditor confiar los controles internos
tercer punto el auditor tras su veredicto sobre los controles que considera más
El auditor no dará a conocer su opinión. Sino hasta que realice el informe para
poder evaluar los controles internos, mientras decide las alternativas que pueda
ofrecer, las decisiones que pueda tomar serán difíciles, pero tendrán un respaldo
60
2.2. EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL
RIESGO
Una de las formas para realmente poder evaluar un sistema para el uso de una
Algunos sistemas por sus aplicaciones son considerados de alto riesgo debido a
que son:
Que son más conocidos como fraudes o desfalcos y entre los más comunes
El auditor podrá tener mayor atención en todos aquellos sistemas que manejen
inversiones cuentas por pagar, por cobrar y nómina entre otras. Estas fallas
61
Interfiere con otros sistemas y los errores pueden dañar otros subsistemas.
Por ejemplo algún sistema de planeación o patentes, derechos de autor los cuales
son de grandes recursos de organización, otros pueden ser que teniendo pérdidas
tecnología.
comunicación, ya que como surgen cada día tecnologías más avanzadas puede
Sistemas de alto costo. Son sistemas muy complicados y altamente costosos con
62
2.3. INVESTIGACIÓN PRELIMINAR
Se deberá documentar toda la información posible para tener una idea general del
Hay que tener en cuenta el estado del departamento, el papel que desempeña
programada a la organización, sus áreas de informática y todos los equipos con los
63
observaciones, entrevistas y documentos para tener claros objetivos alcances de
lleva un fin común con la institución y que se adapte a los posibles cambios, claro
estos cambios sólo son posibles si los altos ejecutivos y los usuarios toman parte
También dependeremos de todas las personas involucradas, para que ellas tengan
trabajo, dentro de su área que pueden ser estableciendo metas para así de alguna
Por lo general los usuarios ven esto como una herramienta para asegurarse un
importante, y con la cual se tienen que cumplir los objetivos del organización,
grandes beneficios, y con la cual puedan tomar grandes decisiones. Hoy en día es
64
Para poder analizarse y delimitar la estructura a auditar se tienen que solicitar por
En el nivel de organización:
Manual de la organización.
Antecedentes de la organización.
generales.
65
Solicitar un inventario físico de cada uno de los equipos (instalados, por
instalar y programados).
Estudios de viabilidad.
Plan de expansión.
Políticas de operación.
Los sistemas:
Manual de formas.
66
Procedimientos y políticas en casos de desastre.
No se usa.
Está incompleta.
No es actualizada.
perfecta).
recordemos que no solamente hay que dar una buena opinión de las cosas malas
67
Nos debemos pasar por alto el éxito del producto y analizar también las
consideraciones como:
cometer errores.
Criticar de manera objetiva todos los datos recabados de cada uno de los
informes.
Otra de las partes importantes al realizar una auditoría es el personal que puede
participar, ya que esto depende de las organizaciones los sistemas con los que se
esté trabajando así como total de equipos; lo cual esta fase se enfoca a las
buena auditoría.
68
Esté personal deberá estar muy capacitado y con las mayores actualizaciones
posibles, sobre todo que tenga un gran sentido de moralidad y mucha objetividad
por las situaciones que puede encontrar en esta auditoría, ya que los auditores
tratarán de optimizar una mayor cantidad de recursos, hay que tener en cuenta
Con esto se debe de tener en cuenta los conocimientos que ellos tengan, la
que tendrá asignado personal por parte de la organización del cual conozca muy
bien todas las actividades que se realizan y como se realizan ya que a este
Este personal será de gran apoyo para el auditor, por lo tanto la organización tiene
que designar a las personas o persona adecuadas para este trabajo y sin ellas no
Durante todo este proceso también se deberá contar con la participación de los
podrá solicitar información para sin comprobar las hipótesis que no sólo es
69
comparar el punto de vista de la dirección de informática sino que también del
usuario que esta más familiarizado con el sistema, o incluso en ocasiones los
usuarios pueden saberse algún tipo de problema que presente y que los mismo
empleados desconocen.
Técnicos en informática.
comunicaciones.
En base a este último punto se pueden tener una o más personas sobre estos
conocimientos para facilitar este trabajo, tal vez no sean expertos en todas estas
características y por eso se hace la aclaración que pueden ser varios participantes.
70
que se prestarán (recordando cuando es el caso que sean auditores externos) con
que éste confirme y acepte lo que en este esté asentado. En este documento se
especificarán los objetivos y alcances de la auditoría, así como las limitaciones que
pueda tener la colaboración que necesitan por parte de la empresa o institución las
responsabilidades que adquieren así como los informes que deberán entregar en
tiempos marcados.
continuación se detalla en anexo 2.1, este formato podrá servir de base para llevar
un control del desarrollo de este trabajo, claro que las correcciones dependerán del
Un control del avance lo podemos llevar con otro formato como el anexo 2.2 para
71
Se muestra también un ejemplo de auditoría, el anexo 2.3, y un ejemplo como
72
CAPÍTULO III
AUDITORÍA DE LA FUNCIÓN
INFORMÁTICA
73
La mayoría de las instituciones maneja información de todo tipo y para este
como también la forma en que la institución opera y toda la clase de recursos con
de trabajo.
Estructura orgánica.
Objetivos y funciones.
74
3. Entrevistas a personal.
Departamentos.
Programadores y operadores.
Usuarios en general.
Personal de capacitación.
cuentan con los recursos de personal o financieros, y también por que la empresa
Puestos actuales.
75
Personal de confianza y de base.
Conocimientos.
Movimientos de puestos.
Normatividad y políticas.
Procedimientos.
Objetivos.
Organización.
organización esta definida adecuadamente para lo que fue creada, siguiendo sus
de los puestos, el personal que los atiende están de acuerdo con las actividades
76
que estos realizan ya que pueden estar realizando sus actividades, mas las de
desempeñar su labor así como su salario de acuerdo a puesto para poder evaluar
los resultados obtenidos siempre y cuando se les den las herramientas necesarias
para su actividad.
Una de las formas más seguras con las que se puede evaluar el desempeño es que
actividad.
77
Estas son algunas de las preguntas mas frecuentes que se pueden utilizar:
“QUE” “QUIEN”
78
3.2. EVALUACIÓN DE LOS RECURSOS HUMANOS
El desarrollo del personal implica que este tenga las mismas oportunidades de
la confianza y moral elevadas para poder ser capases de alcanzar sus metas y
capacitación, que tendrá que ser constante ya que día a día surgen cambios
significativos que pueden repercutir en el trabajo a realizar, también hay que tener
saber de que forma se pueden estar capacitando por que esto es un punto
DESEMPEÑO EFICIENTE.
79
No, ¿por que? _ Si No
Si No
SUPERVISIÓN.
_ _
_ _
_ _
80
Si no se realiza esta actividad, ¿por que no se hace?
81
CAPACITACIÓN.
Este es uno de los puntos importantes dentro de toda estructura por que se tienen
informáticos que surgen o se instalan de formas muy constantes y cada día tienen
Departamentos.
Programadores y operadores.
Usuarios en general.
Otro (especifique)
¿Se han podido identificar necesidades sobre capacitación para el personal de las
diferentes áreas? Si No
82
No, ¿Por qué?
capacitaciones? Si No
¿Los jefes están capacitados o entran a las capacitaciones o solo las toma el
personal? _
_ _
realizado).
LIMITANTES.
¿Cuáles considera que son los factores que limiten el desarrollo del personal, de
manera interna?
83
¿Cuáles considera que son los factores que limiten el desarrollo del personal, de
manera externa?
Departamentos.
Programadores y operadores.
Usuarios en general.
Otro (especifique)
Si No
84
Si No
CONDICIONES DE TRABAJO.
¿Se apoyan de las reglas o contratos para dar solución a cualquier conflicto laboral
No ¿Por qué? _ _ _
85
¿Cómo son las relaciones entre el personal del área y el sindicato? Si No
¿Cuales son las medidas para que se resuelvan los problemas mas frecuentes?
_ _
REMUNERACIONES.
están no muy conformes con las remuneraciones que se les asignan, en ocasiones
86
No, ¿Cómo es que esto impacta? _
instituciones, más menos con las mismas características y funciones que realicen
los empleados para poder realizar un comparativo y de este modo tratar de hacer
EL AMBIENTE DE TRABAJO.
_ _
_ _
_ _
87
¿Cómo aprovecha el jefe inmediato esto para mejorar el ambiente laboral?
_ _
_ _
¿Clima? Si No
¿Ventilación? Si No
¿Ruido? Si No
¿Limpieza de oficinas? Si No
mejor desempeño.
88
ORGANIZACIÓN DE TRABAJO.
¿De calidad? Si No
¿En cantidad? Si No
Si el jefe inmediato conoce las necesidades del personal y el no puede realizar las
recomendaciones.
89
3.3. ENTREVISTAS CON EL PERSONAL DE
INFORMÁTICA
eligiendo a un grupo de personas, claro que también pueden participar los que
deseen y se siguiere que puede algún lugar y hora que ellos elijan. Hay quienes
incluso solicitan que las reuniones sean fuera de las instalaciones ya que esto les
dará un clima de mayor confianza, también se les solicita que las opiniones que
objetivos.
Acuerdos y desacuerdos.
Sugerencias generales.
ENTREVISTA.
90
3. ¿Quiénes reportan al entrevistado?
15. ¿Cree que el ambiente laboral es del todo satisfactorio para el desempeño
de sus funciones?
Nota: cuando se realizan entrevista por que el personal lo solicita se podrán omitir
solicitante, de este modo se podrá saber las necesidades y cuales son los defectos
que se tienen, recordando que si se tienen denuncias estas se tendrán que realizar
91
3.4. SITUACIÓN PRESUPUESTAL Y FINANCIERA
3.4.1 Presupuestos
características que integran cada uno par poder realizar un análisis de la situación
Esta información nos servirá para tener una idea del poder adquisitivo de la
actualización actual)? _
representan? Si No
asignado? Si No
92
5. Anote los principales insumos que necesita así como el mantenimiento que
Mobiliario y equipos.
Software.
Mantenimiento y actualizaciones.
El equipo se renta. ( )
El equipo es propio. ( )
Se compra a proveedores. ( )
Se renta. ( )
93
Pertenece a la institución y son instalados desde su inicio y solo requieren
de actualizaciones. ( )
Se deberá tener claro la situación de los equipos ya que estos pueden tener un
experiencias laborales que se tengan, este recurso pude ser o no suficiente para
las actividades que se realizan y que también están sujetas a los objetivos y metas
podemos encontrar:
94
La programación.
Servicios o mantenimientos.
Equipos y mobiliario.
El recurso material y financiero tendrá que ser suficiente para las actividades
recordando que tiene que estar en tiempo y forma pues aunque se tenga en
cantidad si no se tiene en tiempo esto origina atrasos en las actividades para poder
y forma y de repente tener que parar por que no se hicieron los ajustes
necesarios.
que tener en cuanta que se pueden dejar de realizar actividades por falta de
95
inmediato para que se tomen las medidas necesarias. Recordar que se tiene que
tendrá que reportar para tener actualizado el inventario y saber con que se cuenta
para poder ser renovado y para esta actividad deberá de existir un responsable de
96
CAPÍTULO IV
EVALUACIÓN DE LA SEGURIDAD
97
Siempre tendremos que evaluar todos nuestros datos para de esta forma
hasta llegar a los ya conocidos crímenes informáticos que por desgracia son cada
Las áreas de informática deberán de estar en total orden y con reglas definidas
cómputo y así como los archivos de respaldo pueden estar en riesgo si se tienen
archivos que pueden ya no ser útiles, por eso se tendrán que tener en cuenta
todas las medidas de seguridad posibles. Estas pueden ser algunas de las
98
Limpieza de pisos falsos.
99
4.2. SEGURIDAD LÓGICA Y CONFIDENCIAL
mal uso. Por lo cual podemos intuir que puede tener repercusiones para la
identificar a los usuarios y las actividades que estos realizan en los equipos,
Unas de las más frecuentes infracciones que surgen en la falta de seguridad lógica
son:
Códigos ocultos.
La seguridad empieza desde una clave de acceso básica, hasta mayor seguridad,
pero hay que tener en cuenta que cuanta mayor seguridad tengamos también
100
subirán los costos. Para ello se tendrá que tener una proporcionada relación de
seguridad/costo.
realizan las personas que capturan o por las que pasan estos datos dentro de todo
donde alguien puede crear archivos para realizar modificaciones a los sistemas o
para poder detectar las modificaciones, ya que por lo regular solo son unas
cuantas personas que realizan esta actividad, no con esto queremos decir que
todos los programadores realizan delitos sino que también hay muchos
una empresa.
accesos con claves para cada usuario y personal que maneje un equipo, estos
sobre computación y pueden con facilidad elegir las claves y entrar a los sistemas
acompañadas de:
101
Definir mejores políticas de seguridad.
División de responsabilidades.
SEGURIDAD LÓGICA.
Dentro de esta seguridad dependerá del alto grado con que un usuario pueda
actuar o moverse dentro del sistema o las restricciones que este tenga, la
información puede estar en un archivo, base de datos o bien manejada por medio
de una red local o externa, por o mismo se pueden definir varios tipos de usuarios
como son:
permita.
102
Administrador. El sólo actualiza o modifica el software mediante la
elaboración de reportes.
nombra para tener mayor seguridad de los datos de forma física designados bajo
consultar.
103
permita los accesos y que puedan ser fuera de las responsabilidades de
trabajo.
El riesgo que se producirá con la información que pueda ser mal utilizada.
Rutas de acceso.
Software de control.
Encriptameinto.
104
Rutas de acceso.
Se ha señalado o que debe de ser necesario que los usuarios pasen por distintos
Lectura y consulta.
Identificar al usuario.
El tipo de usuario.
105
El software usado.
El auditor deberá de conocer los puntos de acceso para la evaluación de los puntos
de control para poder proteger los datos de la mejor manera posible y sin
limitaciones.
CLAVES DE ACCESO.
usuarios, etc. este es un proceso para saber de que usuario se trata ya que se
El password también conocido como clave de acceso serán usadas para controlar
106
No se debe visualizar la clave al ser tecleada (como por ejemplo: #####).
etc.).
Credencial por banda magnética. Como toda credencial se recomienda que tenga
nombre y firma como las utilizadas en los bancos, para poder acceder a los
seguros, pero sin dejar de lado que son muy costosos, son de tecnología
La voz.
La firma.
La retina.
107
SOFTWARE DE CONTROL DE ACCESOS.
recursos:
Archivos de datos.
Programas de aplicación.
Utilerías.
Diccionario de datos.
Comunicación.
Archivos.
Programas.
Este software protegerá los recursos mediante la identificación de usuarios por sus
108
accesibilidad para poder controlar la información. Unos pueden restringir el acceso
a datos, archivos, librerías mientras otros podrán restringir el uso de una terminal,
Otra de sus cualidades es que estos paquetes pueden detectar violaciones, cuando
Terminaciones de procesos.
También se sugiere que se pueda realizar una bitácora donde se registrarán los
realizaron, así como las no exitosas que llevan en el día, la hora, la clave con la
109
programas y prevén servicios que el usuario necesita, cada servicio necesita
la salida para tener accesos importantes del sistema. Usan claves de acceso,
algunos restringen las fallas cuando se pretende entrar con claves erróneas.
programas del sistema operativo para proveer soporte y servicio para que
para restringir el acceso a los datos por programas de aplicación gran parte
válidas.
110
Software de utilerías. En la actualidad encontramos dos tipos, uno usado en
1. Manejador de discos.
2. Utilerías de monitores.
3. Editores en línea.
4. Sistemas de virus.
5. Software de telecomunicaciones.
este comprometido, estén integrados, sean estables y sean leales, para lo cual
trabajo.
Es importante considerar sus valores morales ya que estas personas trabajan por
111
lealtad claro que no todas las personas cuentan con estas características, por lo
cual el auditor tendrá que ser muy cuidadoso y examinar no solo el trabajo del
Por lo regular en estos puestos se trabaja demasiado y con gran presión, y muchos
de estas personas que ocupan los puestos, algunos de estos llegan a considerarse
descansen lo mejor posible, en caso de renuncia tendrá que existir otra persona
Se sugiere la rotación del personal principalmente en los altos mandos para poder
evitar toda clase de fraudes que puedan estar realizando, ya que en la rotación por
información se pueden detectar por las personas que llegan a esos puestos, claro
que esta rotación puede implicar costos para la organización pero se pueden evitar
perdidas que podrían tener mayor costo tanto financiero como de reputación ante
112
leal de esta forma y se logran disminuir los ataques que se pudieran programar e
El empresario así como los auditor debe saber que mucho de los fraudes y fugas
de información surgen del mismo personal a cargo de estos departamentos, por tal
Tipos de Controles.
Controles de Preinstalación.
Controles de Procesamiento.
Controles de Operación.
113
Controles de Preinstalación.
existentes.
Objetivos
Acciones a seguir
claramente delimitadas.
114
Evitar interferir en las funciones.
Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo
debidamente documentados.
proceso de cambio.
115
Acciones a seguir.
Cada fase concluida debe ser aprobada documentadamente por los usuarios
Los programas antes de pasar a Producción deben ser probados con datos
Informe de factibilidad
Diagrama de bloque
Formatos de salida.
116
El sistema concluido será entregado al usuario previo entrenamiento y
Controles de Procesamiento.
auditoría.
Controles de Operación.
117
cintoteca, la operación de terminales y equipos de comunicación por parte de los
funcionarios.
Es la tarea más difícil pues son equipos mas vulnerables, de fácil acceso, de fácil
y confidencialidad de la información.
Acciones a seguir.
118
Adquisición de equipos de protección como supresores de pico, reguladores
archivos de datos.
modificaciones incluidas.
119
4.5. SEGURIDAD EN LOS DATOS Y SOFTWARE DE
APLICACIÓN
Objetivo.
que se compone tanto de las aplicaciones informáticas como del contenido de las
bases de datos y de los archivos. Se dice que la información esta entre los activos
Los responsables de cada área deben ser los quienes manejen información y serán
los intereses de la organización y/o sus clientes. (Por ejemplo, datos de producción
inventarios, etc.)
120
Uso interno y No clasificado: No tienen la necesidad de algún grado de protección
Características de la Seguridad.
Integridad: Intenta que la información sea creada, modificada o borrada sólo por
destinatario puedan alegar que no han enviado o recibido algunos datos y poder
121
Confiabilidad e Integridad.
revisión de cómo se verifican los errores todo esto como consecuencia de tener un
etc.
Estos tienen como principal objetivo que se verifique que existe un sistema de
122
de los datos, recordemos que todo sistema tiene que tener efectividad para
necesidades, circulando por los canales ya asignados, hay que tener en cuenta que
un sistema eficiente es aquel que con el mínimo de recursos para dar el mejor
resultado.
Adecuado a realizarse.
Su relación costo/benefició.
encuentren en operación, los que estén en fase de análisis para verificar que:
123
4.7. CONTROLES PARA PREVENIR CRÍMENES Y
FRAUDES INFORMÁTICOS
En la actualidad se define como fraude a toda acción que se define como engaño o
formular una opinión para este mal, ya que llevan una conexión entre la vida social
Los ataques principalmente que sufren las instalaciones pueden ser por personas
no estamos exentos de que surjan desastres que puedan dañar nuestros sistemas
124
acontecimientos tomando algunas medidas de seguridad, por muy básicas que sea
encuentren ahí.
el menor tiempo posible, por consiguiente toda oficina de informática tendrá que
contar con un plan de contingencia; el cual debe estar previamente aprobado para
Procedimientos básicos.
Información necesaria.
compañías piensan que a ellos nunca les sucederá ningún desastre pero sin
elaborado para cada compañía o institución, por las características de sus equipos
125
Para que un sistema sea capas de resolver los problemas que se puedan
realizar las adecuaciones para tratar de que el plan sea lo mejor posible.
accidentes.
operativo, los discos, etc., del equipo de cómputo con que se estará trabajando en
126
situaciones de desastre que se están representando pueden hacerse reales en
meses para con ello evitar ser sorprendidos en caso de algún tipo de desastre
que el plan fue puesto a prueba y ha sido aprobado con las modificaciones
contar con una copia del plan de contingencia en algunos lugares que se
encuentren cercanos al centro de cómputo como una medida más en caso de que
identificar los procesos críticos, el tiempo y los recursos para restablecer el servicio
127
Como ya se ha mencionado las empresas no están exentas de sufrir algún tipo de
llegar a causar son de mayor o menor magnitud, en base a ello podemos decir que
total.
con una metodología la cual nos ayudará a tener una mayor eficacia en la pronta
administración de dicha área como pueden ser los jefes de operación de análisis,
programación y auditoría interna ya que ellos como encargados del área poseen un
128
mayor conocimiento acerca del manejo y funcionamiento de la misma, así como
para que las tareas a llevar a cabo en la realización del plan de contingencia sean
Dentro de los objetivos que todo plan de contingencia debe tener son los
siguientes:
Contar con una excelente metodología que permita valorar los procesos
129
4.9. TÉCNICAS Y HERRAMIENTAS RELACIONADAS
CON LA SEGURIDAD FÍSICA Y DEL PERSONAL
para evitar desastres y prolongar las interrupciones para poder trabajar o procesar
Incendios.
Inundaciones.
Huelgas.
Sabotajes.
Terremotos.
Huracanes.
También pudiendo evaluar algunos de estos aspectos que también son áreas.
130
Personas (seguridad física de las personas, selección de personal).
Para poder reanudar los servios en el menor tiempo posible, y las perdidas de
información menores posibles. Unas de las técnicas que se pueden considerar para
la seguridad son:
2. Pisos elevados.
3. Aire acondicionado.
4. Instalación eléctrica.
6. Equipos de seguridad.
ventanas muy grandes ya que era un orgullo tener sistemas de computo los cuales
se podían ver desde fueras de las propias instalaciones o a gran distancia, estos
espacios eran de tráfico pesado para que pudieran ver todo el equipo que se tenia,
nada de que enterarse de cuanto quipo se tiene resguardado por ser objeto de
131
riesgo para sabotajes y robos de equipos y de información, y todos prácticamente
Los materiales con que se construyen estas áreas han cambiado y ya no son
el equipo. Hay que tener mucho en cuenta el espacio que se tiene para el número
así tener mejores espacios aunque bien sabemos que los quipos cada vez son mas
Formatearía a utilizar.
132
Área de energía eléctrica.
PISO ELEVADO.
De tener un piso falso este deberá ser capaz de soportar cargas elevadas y
uniformes, así como cargas por equipos extras que se tengan que utilizar en esta
área según se haga mas grande la adquisición de equipo, se sugiere que los
acabados sean con plásticos antiestáticos, este piso debe de tener las
se pueda hacer con un trapo hasta con equipo nuevo como una aspiradora.
133
AIRE ACONDICIONADO.
máximas y mínimas que se tengan, los conductos por los que llegara a pasar el
aire tendrán que estar en constante servicio de limpieza para evitar el polvo
vulnerables a ataques físicos por lo cual se tendrán que proteger con mayas en
protegidos.
INSTALACIÓN ELÉCTRICA.
Este es uno de los puntos en donde se debe de tener mucho cuidado ser evaluado
auditor tendrá que apoyarse de una persona especialista en electricidad par poder
134
las conexiones deben de ser independientes, además de contar con tierra física la
cual las protege en casos de descargas eléctricas. Se deberán tener los planos de
pueden instalar otros equipos como copiadoras o aires acondicionados los cuales
Los niveles de variación de la energía pueden ser causados por máquinas eléctricas
como motores, ascensores los cuales pueden producir daños a los equipos por lo
cual se recomienda se cuente con tierra física la cual tiene que estar debidamente
esencial tomar en cuenta las características de los reguladores los cuales pueden
dependiendo de las cargas específicas del regulador a utilizar esto nos ayudará a
puedan almacenar energía para que en cierto periodo ya sea por horas o minutos
para que se realice el apagado de los equipos lo mas rápido posible así como los
en ese momento.
135
Es importante recordar también que existe fauna nociva que puede dañar el
tradicionalmente se comen los plásticos de los cables por lo cual hay que
combatirla de forma inmediata, una de las opciones serían con trampas o venenos,
Cuando se tienen sistemas de alto riesgo o seguridad los cuales no deben de tener
fallos de energía eléctrica un claro ejemplo son los sistemas bancarios que no solo
tendrán que contar con reguladores y con interruptores sino con plantas de luz de
Los incendios a causa de energía eléctrica son un riesgo latente, para reducir en
gran medida este problema los cables podrán ser puestos en paneles o canales
los centros de cómputo. Se debe cuidar que no solo estén aislados sino que no se
tableros utilizados por los sistemas. Cada proveedor deberá distribuir un tablero
136
individual para cada unidad que configure. Éste tablero deberá estar en un lugar
instalarlas en plantas altas o lugares elevados para con ello evitar que al existir
alguna inundación o desastre por el agua los equipos puedan ser dañados y con
tendrá que optar por la mejor opción para tener la mejor seguridad posible cuando
Otro de los cuidados para evitar daños es poseer aspersores contra incendios
137
AUTORIZACIÓN DE ACCESOS.
Es importante que los accesos sean estrictos todo el tiempo incluyendo al personal
instalaciones, para lo cual será de gran utilidad que porten un gafete que los
identifique como personal de esa área. El personal autorizado podrá acceder por
medio de llaves que les han sido proporcionadas por la gerencia de la empresa. A
Puerta con cerradura: Con la tradicional llave de metal tratando de que ésta
números para poder accesar; de preferencia esta clave se debe cambiar con
una llave de entrada la cual contiene un código especial que es leído por un
sensor.
138
que visita. Es recomendable solicitar una identificación con foto para
control sobre las actividades que se realizan en esta área. Las cintas
problema.
apertura y una abre después de la otra. Un claro ejemplo son las que se
EQUIPOS DE SEGURIDAD.
deberán sonar una alarma para indicar la situación; esto permitirá interrumpir la
139
para prevenir cualquier clase de incendio. A si mismo se tiene que contar con
extintores portátiles los cuales deben revisarse periódicamente para saber cuántos
prejuicio a las máquinas (que pueden ser líquidos), que produzcan gases tóxicos,
que sean factibles para ser manejados por una mujer y que estén colocados en
Cabe señalar que en caso de incendio los productos como cintas magnéticas al
inflamable, por lo cual se sugiere que todo este tipo de material se encuentre en
cuartos aislados o fabricados para resistir el calor por lo menos dos horas. Por lo
aprobados para garantizar la seguridad del todo el personal que labora en estas
áreas.
140
4.10. TÉCNICAS Y HERRAMIENTAS RELACIONADAS
CON LA SEGURIDAD DE LOS DATOS Y SOFTWARE DE
APLICACIÓN
Seguridad estándar.
En la mayor parte de las ocasiones, los equipos se utilizan para almacenar datos
de tipos muy diversos, pasando por información financiera hasta archivos del
configuración del equipo. Sin embargo, los usuarios de los equipos necesitan
141
Cuentas de usuarios y grupos.
grupos.
142
Contraseñas.
asociada puede iniciar una sesión como si fuera ese usuario. Los usuarios
lo mejor.
143
Proteger archivos y directorios.
144
Mayor exactitud.
Mejor servicio.
Mejor control.
145
Evaluación de la planeación de las aplicaciones en lo referente a:
Requerimientos de usuarios.
En desarrollo.
En proceso esporádicamente.
Salidas y reportes.
Archivos almacenados.
Frecuencia de acceso.
Seguridad y control.
146
3. Evaluación del Diseño Lógico.
¿Cómo lo deberá hacer? Será de las preguntas mas frecuentes, ¿Qué deberá
información y que esto llevará a una emisión de reportes los cuales nos arrojarán
sistema.
Entradas y salidas.
Procesos específicos.
Métodos de acceso
Operaciones
147
Proceso en línea o lote y su identificación.
Sistemas de seguridad.
Sistemas de control
Responsables
Numero de usuarios
Manual de usuario.
Manual de reportes.
PROCEDIMIENTO.
148
¿Existen puntos de control o faltan?
¿Es lógica?
FORMAS DE DISEÑO
¿Quién lo usa?
ANÁLISIS DE INFORMES
Una vez que se ha estudiado los formatos de entrada, debemos de analizar los
149
4. Evaluación del Desarrollo del Sistema.
Los programas.
Su diseño.
El lenguaje utilizado.
encuentra trabajando correctamente, para asegurarnos que tenga las fallas menos
posibles.
Únicos
150
CAPÍTULO V
AUDITORÍA DE LA SEGURIDAD
EN LA TELEINFORMÁTICA
151
Toda clase de medio de comunicación puede tener puntos vulnerables por
tal razón hay que tener muy en cuanta toda la seguridad posible que se pueda
tener recordando que las telecomunicaciones las utilizamos todos los días, desde
accesos telefónicos hasta el ya conocido Internet y por tal razón se debe de tener
Telecomunicaciones como por ejemplo el teléfono para tener una platica con
rápidamente a más lugares del mundo sin tener que poseer una línea de teléfono,
152
sin asistir a la oficina con el envió y recepción de información por medio del
lugares lejanos, la información solicitada viajara por la red que puede ser publica o
Todo esto surge por la necesidad de estar comunicados lo mejor posible acortando
conocimientos que desde hace mucho tiempo pueden ser almacenados, que no se
Equipos de radio.
153
Las redes telefónicas.
siguientes áreas:
Tipos de equipamiento, como adaptadores LAN (Local Area Network o Red de Área
los procedimientos para el uso de cualquier conexión digital con el exterior, como
Los planes de comunicaciones a alta velocidad, como fibra óptica (en caso de ser
necesario) tienen que estar bien instalados para evitar algún tipo de falla. Se tiene
154
que realizar una buena planificación de redes de cableado integral para cualquier
edificio y dependencia que vaya utilizar la empresa la cual pude ser dentro del área
sistemas de comunicaciones.
tenga un control mejor será el resultado. Se mantienen los diagramas de red que
155
Existe un procedimiento formal de prueba que cubre la introducción de cualquier
Los problemas mas frecuentes que hoy en día que se pueden encontrar y se
soportar.
156
La eliminación o el nivel mas bajo de los errores que puedan producirse por
dependiendo del tipo de medio utilizado, así como la tecnología. La tecnología mas
Por otra parte recordemos que se trata de estar lo mejor protegidos posibles de
157
5.4. TÉCNICAS Y HERRAMIENTAS DE AUDITORÍA
RELACIONADAS CON LA SEGURIDAD EN LA
TELEINFORMÁTICA
Comprobar que los accesos físicos provenientes del exterior han sido
debidamente registrados.
cableado.
accesos inadecuados.
158
red de datos para prevenir accesos no autorizados al sistema o a la red y se debe
de comprobar que:
equipos de comunicaciones.
autorizadas.
seguridad y recordando que entre mayor seguridad mejor seguridad de los datos.
159
Facilidades de control de errores para detectar errores de transmisión y
informáticos.
El software de comunicaciones, tiene que ser hasta cierto punto el que exige
intentos.
160
Existen controles para que los datos sensibles solo puedan ser impresos en
Si se utiliza cifrado:
claves.
161
La protección de las oficinas y edificios en donde está instalada la red.
instalación de la red.
internacionales.
162
CAPÍTULO VI
INFORME DE LA AUDITORÍA
INFORMÁTICA
163
Cuando la labor del auditor termino tendrá que entregar su informe final
para de este modo poder evaluar como se encuentra la institución, y cuales fueron
los puntos más débiles que se encontraron de la manera mas objetiva posible, no
con le objetivo de exhibir a las personas o las causas sino para dar la mejor de las
soluciones posibles.
largo de este proceso en donde se plasmaran todos los acontecimientos que los
164
El Informe Final podrá contener algunas de estas características:
tendencias futuras.
165
empresa o institución, o la persona específica quien encargo o contrato la
auditoría.
personal que los jefes quieran dar a conocer los resultados, (los que solicite el
Estas son las características que más se manejan en esta carta de introducción:
debilidad encontradas.
166
6.2. ESTRUCTURA DEL INFORME
de la auditoría.
Tendencias. Se realizaran comparativos que nos permitan dar una idea del
comportamiento a futuro.
identificables para que realicen ataques que pueden ser por personal de las
vista mencionando como y por que se tienen que hacer antes de que
puedan surgir problemas mayores, y no solo una vaga idea. Este punto y el
practicada.
en la que se baso esta auditoría como soporte de las conclusiones a las que
se llego.
167
El informe contendrá los hechos más importantes, estos tendrán un amplio
estos criterios.
Por ser un hecho encontrado como debilidad podrá ser objeto de cambios.
situación.
Las recomendaciones del auditor sobre algún hecho siempre serán lo mejor
posible que las actuales ya que por tal razón se efectuó una revisión, para
La recomendación del auditor será lo más clara y concreta posible así como
168
6.3. FORMATO PARA EL INFORME.
169
DIRECCIÓN: HOJA NUM. DE
SE AUDITO A FECHA EN QUE SE TERMINO LA AUDITORÍA
170
Sugerencia para la recomendación de la auditoría practicada.
Periodo reportado _ _
170
PROBLEMAS RESUELTOS
Mediante este análisis, así como las opciones que se han mostrado se tratará de
asegurar los sistemas de todo tipo, los problemas no se han resuelto, hasta que no
se practiquen las auditorias para de este modo saber que es lo que esta fallando
en la institución, por que aunque a los ojos de los directivos no esta pasando nada
y que crean que todo marcha lo mejor posible pueden estar sucediendo problemas
en los niveles mas abajo sin que ellos estén enterados, por lo cual se necesitan
realizarse estas auditorías para que la institución este lo más segura posible para
poder competir y brindar los servicios lo mejor posible, sobre todo fin fugas de
total.
necesitamos medidas de control para ir cerrando todos esos espacios que pueden
estas acciones no hay que creer que todo lo que se tiene es seguro e invulnerable,
la tecnología avanza todos los días para mejoras, pero también hay personas que
se dedican a buscar los medios para hacer daño a lo que consideramos más
seguro.
171
CONCLUSIONES Y RECOMENDACIONES
Como ya hemos visto al parecer “nada esta seguro” por lo cual se recomienda
por que no se sabe en que momento el sistema puede estar en riesgo, ya sea por
factores físicos, lógicos, mantenimiento, etc., por lo tanto hay que practicar
la finalidad de que la institución este lo más protegida posible para cualquier tipo
Revisiones periódicas.
Adecuado mantenimiento.
Personal capacitado.
Trato respetuoso.
Todo con la finalidad de que la institución sea segura, claro siempre contando con
que los directivos pongan atención a los resultados, sugerencias y tomen las
mejores decisiones, ya que algunos de estos problemas podrán surgir por falta de
atención de los directivos por querer ahorrar o pagar favores poniendo en riesgo
su propio trabajo.
iv
REFERENCIAS BIBLIOGRÁFICAS Y VIRTUALES
2001
1190
1999
1999
www.eumed.net/cursecon/libreria/rgl-genaud/1x.htm
www.auditi.com/audinfo1.htm
www.solocursosgratis.com
www.monografías.com/computacion
v
ANEXOS
ORGANISMO O DEPENDENCIA: _ _
FECHA DE ELABORACIÓN : _ _
RESPONSABLE:
NUM. DE HOJA: _ DE _
DÍAS HOMBRE
DÍAS HABILES
ETAPA
ESTIMADOS
No DE PERSO-
ESTIMADOS
DESCRIPCIÓN ACTIVIDADES INICIO OBSERVACIONES
TERMINO
vi
ANEXO 2.2 FORMATO PARA AVANCE Y CUMPLIMIENTO DEL PROGRAMA DE
AUDITORÍA.
PROGRAMA DE AUDITORÍA.
ORGANISMO O DEPENDENCIA: _ _
FECHA DE ELABORACIÓN : _ _
RESPONSABLE:
NUM. DE HOJA: _ DE _ PERIODO A REPORTAR: _ _
DÍAS REALES
GRADO DE AVAN-CE.
SITUACION DE LA PERIODO REAL DE LA
UTILIZADOS
DÍAS HOMBRES
AUDITORÍA AUDITORÍA EXPLICACIÓN DE LAS
VARIACIONES EN RELACIÓN
EN PROCESO
NO INICIADA
TERMINADA
TERMINADA
vii
ANEXO 2.3 SE DESCRIBE UNA SUGERENCIA DE SERVICIO DE AUDITORÍA
INFORMÁTICA.
I.- ANTECEDENTES.
(Anotar el objetivo especifico de esta Auditoría, las causas por las que se realiza.)
Su organización.
Objetivos.
Funciones
Planes de trabajo.
Estructura organizacional.
Capacitación.
Estándares.
Condiciones de trabajo.
viii
2.- EVALUACIÓN DE LOS SISTEMAS:
Adquisición.
Estandarización.
Controles
Almacenamiento.
Comunicación.
Redes.
Equipos adicionales.
ix
4.- EVALUACIÓN DE LA SEGURIDAD:
Seguridad física.
IV.- METODOLOGÍA.
LA DIRECCIÓN:
trabajo.
x
Elaboración y presentación del informe.
ACTIVIDADES:
utilizar.
Evaluación de controles.
xi
3.- PARA EVALUAR LAS ACTIVIDADES SE PUEDEN LLEVAR A CABO LAS
SIGUIENTES ACTIVIDADES:
previamente establecidos.
magnética (condiciones).
informática.
xii
Revisión del sistema eléctrico y de ambiente para los equipos y del local así
éste.
indicar todos los tiempos para cada una de las etapas; incluir el personal
una parte _ _ ,
representado por , en su
xiii
denominara “ el auditor” , de conformidad con las declaraciones y cláusulas
siguientes:
DECLARACIONES.
a) Que es una
restablecido con las leyes vigentes y que dentro de sus principales objetivos esta el
_ _.
_ del _ Lic.
_ .
xiv
c) Que señala como su domicilio
particular _
_ .
Cláusulas.
Primero. Objeto
llevar a cabo una evaluación de este departamento del cliente, que se desarrollará
El alcance de las actividades que se realizara por el auditor interno dentro de este
contrato son:
La organización.
Funciones.
Estructura.
Recursos humanos.
Normas y políticas.
Capacitación.
xv
Planes de trabajo.
Controles.
Condiciones de trabajo.
Evaluación de prioridades.
Capacidades.
Utilización.
Controles.
xvi
Nuevos proyectos a implementar.
Almacenamiento.
Comunicación.
Redes.
Mantenimientos.
d) Evaluación de la seguridad.
Seguridad física.
Seguros.
xvii
El cliente y el auditor desarrollaran de manera conjunta un programa de trabajo,
en el cual se establecerán las actividades a realizar por cada una de las partes, los
responsables de realizarlas así como las fechas en que éstas se estarán realizando.
Cuarto. Supervisión
supervisar el trabajo que esté realizando el auditor dentro de este contrato y podrá
dar a conocer sus opiniones por escrito que él crea conveniente para el desarrollo
de la misma.
El cliente podrá designar a un responsable para este trabajo, que también será el
El personal de los auditores establecerán tiempo para cumplir con los trabajos
xviii
Octava. Relación Laboral.
Todo personal del auditor no tendrá ningún tipo de relación laboral con el cliente y
personal que ocupe para dar cumplimiento de las obligaciones que se deriven de
fechas marcadas en el programa de trabajo acordado por las partes, por lo que
cualquier retrazo por parte de personal del cliente y usuarios del sistema tendrán
Décima. Honorarios.
El cliente se ve obligado a pagar al auditor por los trabajos del presente contrato,
xix
_ % a los días hábiles después de iniciados los trabajos.
final.
laborales de su personal.
común acuerdo.
partes celebraran por separado un convenio que también formara parte de este y
xx
Los gastos de fotocopiado, dibujo, etc. que se generen con motivo de este trabajo
Decimoséptima. Jurisdicción.
su domicilio presente y futuro. Enteradas las partes del contenido y alcance legal
la ciudad de , el día _ .
EL CLIENTE EL AUDITOR
xxi