Auditoria A

ÍNDICE
INTRODUCCIÓN.................................................................................................................i
OBJETIVO GENERAL Y ESPECÍFICOS........................................................................ iii
CAPÍTULO I INTRODUCCIÓN A LA AUDITORÍA INFORMÁTICA .....................1
1.1. CONCEPTOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA............................2
1.2. TIPOS DE AUDITORÍA ......................................................................................... 10
1.3. CAMPO DE LA AUDITORÍA INFORMÁTICA....................................................... 16
1.4. CONTROL INTERNO ............................................................................................. 20
1.5. MODELOS DE CONTROL UTILIZADOS EN AUDITORÍA INFORMÁTICA....... 27
1.6. PRINCIPIOS APLICADOS A LOS AUDITORES INFORMÁTICOS ..................... 35
1.7. RESPONSABILIDADES DE LOS ADMINISTRADORES Y DEL AUDITOR ........ 38
CAPÍTULO II PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA .................... 42
2.1. FASES DE LA AUDITORÍA ................................................................................... 43
2.2. EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESGO ......................... 61
2.3. INVESTIGACIÓN PRELIMINAR ........................................................................... 63
2.4. PERSONAL PARTICIPANTE ................................................................................. 68
CAPÍTULO III AUDITORÍA DE LA FUNCIÓN INFORMÁTICA .......................... 73
3.1. RECOPILACIÓN DE LA INFORMACIÓN ORGANIZACIONAL ........................... 74
3.2. EVALUACIÓN DE LOS RECURSOS HUMANOS .................................................. 79
3.3. ENTREVISTAS CON EL PERSONAL DE INFORMÁTICA ................................... 90
3.4. SITUACIÓN PRESUPUESTAL Y FINANCIERA.................................................... 92
CAPÍTULO IV EVALUACIÓN DE LA SEGURIDAD ................................................. 97

4.1. GENERALIDADES DE LA SEGURIDAD DEL ÁREA FÍSICA ............................... 98
4.2. SEGURIDAD LÓGICA Y CONFIDENCIAL..........................................................100
4.3. SEGURIDAD PERSONAL.....................................................................................111
4.4. CLASIFICACIÓN DE LOS CONTROLES DE SEGURIDAD ...............................113
4.5. SEGURIDAD EN LOS DATOS Y SOFTWARE DE APLICACIÓN ......................120
4.6. CONTROLES PARA EVALUAR SOFTWARE DE APLICACIÓN.........................122
4.7. CONTROLES PARA PREVENIR CRÍMENES Y FRAUDES INFORMÁTICOS ...124
4.8. PLAN DE CONTINGENCIA, SEGUROS, PROCEDIMIENTOS DE
RECUPERACIÓN DE DESASTRES .............................................................................124
4.9. TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FÍSICA
Y DEL PERSONAL........................................................................................................130
4.10. TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD DE
LOS DATOS Y SOFTWARE DE APLICACIÓN ...........................................................141
CAPÍTULO V AUDITORÍA DE LA SEGURIDAD EN LA TELEINFORMÁTICA
............................................................................................................................................151
5.1. GENERALIDADES DE LA SEGURIDAD EN EL ÁREA DE LA
TELEINFORMÁTICA ....................................................................................................152
5.2. OBJETIVOS Y CRITERIOS DE LA AUDITORÍA EN EL ÁREA DE LA
TELEINFORMÁTICA ....................................................................................................154
5.3. SÍNTOMAS DE RIESGO......................................................................................156
5.4. TÉCNICAS Y HERRAMIENTAS DE AUDITORÍA RELACIONADAS CON LA
SEGURIDAD EN LA TELEINFORMÁTICA .................................................................158
3
CAPÍTULO VI INFORME DE LA AUDITORÍA INFORMÁTICA .........................163
6.1 CARACTERÍSTICAS DEL INFORME....................................................................164
6.2. ESTRUCTURA DEL INFORME ............................................................................167
6.3. FORMATO PARA EL INFORME..........................................................................169
CONCLUSIONES Y RECOMENDACIONES ................................................................iv
REFERENCIAS BIBLIOGRÁFICAS Y VIRTUALES ...................................................v
ANEXOS ...............................................................................................................................vi
4
INTRODUCCIÓN
El siguiente material será una guía la cual nos dará un panorama para la
realización de auditorías a practicar, para poder brindar algunos puntos desde
como la podemos planear para llevarla a la practica y quienes de las mismas
instituciones nos pueden proporcionar la información que necesitamos ya que los
auditores externos analizan todos los procedimientos que los empleados, usuarios,
etc., realizan con frecuencia y sobre todo están muy familiarizados teniendo en
cuenta que en muchas de las ocasiones los mismos empleados saben de las
debilidades del trabajo que realizan.
Se trata de ver desde un panorama general, de los presupuestos financieros y
materiales con los que cuenta, personal que trabaja y de que manera salvaguarda
toda la informaron que se maneja, todo esto con la finalidad de evitar, fraudes y
fugas de información, teniendo la mejor forma de elaborar controles mas seguros.
Se tocara los momentos de una auditoría, los tipos que existen, donde los
podemos aplicar y quienes son las personas responsables y las responsabilidades
que tienen, se avaluarán los sistemas de acuerdo al riesgo, como se recabará la
información y quien participará en ella. Se evaluarán los recursos con los que se
cuenta tanto humanos, presupuestal y financiera así como las entrevistas que se
realizarán al personal participante con algunos ejemplos. Se brindan algunas
recomendaciones de cómo verificar la seguridad de las áreas físicas, seguridad del
i
personal, seguridad lógica y confidencial, la mejor manera de proteger los datos
mediante el software y los crímenes o fraudes que pueden surgir. Se siguieren
planes de contingencia y seguros. Por tal motivo en la actualidad la teleinformática
esta presente en muchas áreas de la vida cotidiana y se explicará como podemos
proteger algunas instalaciones de formas más seguras. Por último se explicará
como se rendirá un informe sobre los puntos alcanzados y que se encontró, así
como la mejor manera de dar solución a los problemas expuestos.
Este material será un apoyo didáctico para la materia de auditoría informática de la
carrera de licenciatura en informática ya que se adecua al plan de estudio de dicha
especialidad, la cual se imparte en este instituto tecnológico superior de teziutlán.
ii
OBJETIVO GENERAL Y ESPECÍFICOS
Crear un material de apoyo didáctico que permita dar a conocer como se llevara a
cabo la realización de una auditoría para detectar las problemáticas existentes en
el área de informática dentro de las empresas, y que las esta ocasionando ya sean
de carácter humano o material, para tomar la medidas correctivas lo mas pronto
posible evitando todo riesgo en la institución.
ESPECÍFICOS
Dar a conocer los fundamentos teóricos sobre el desempeño de la auditoría
informática.
Contar con un material de apoyo para docentes en la impartición de la
materia de auditoría informática.
Aportar una guía de estudio al alumno que cursara la materia de auditoría
informática.
Facilitar un resumen de consulta para personas interesadas en conocer el
proceso de una auditoría sobre el área de informática, ajenas al instituto
tecnológico superior de teziutlán.
iii
CAPÍTULO I
INTRODUCCIÓN A LA AUDITORÍA
INFORMÁTICA
1
En la actualidad todas las empresas e instituciones cada día necesitan de
mejores formas de protección tanto de instalaciones como de sistemas para su
correcto funcionamiento, por tal motivo se hace necesario realizar auditorias no
para buscar culpables sino para corregir las debilidades de todo tipo que se
puedan encontrar para solucionarlas de la mejor manera posible.
1.1. CONCEPTOS DE AUDITORÍA Y AUDITORÍA

INFORMÁTICA
Auditoría: Este concepto se le ha tomado o empleado de manera muy errónea ya
que se considera como que su único fin es la evaluación, la detección de errores y
fallas. Por otro lado este concepto es mucho más amplio: no solo se detectarán
errores, se trata de un examen crítico sobre las actividades, con el objeto de
evaluar la eficiencia y eficacia de alguna o todas las parte de una institución u
organismo para poder alcanzar los objetivos propuestos.
En la actualidad existen normas y procedimientos para realizar auditorias, como lo
son las contables para instituciones, en las cuales también se deben de establecer
normas y procedimientos para realizar auditorias en informática ya como parte de
toda una profesión en nuestros días muy demandada, siempre con la visión de
evaluar lo existente, corrección de errores y proponer la mejor o las mejores
2
alternativas de solución. También se dice que puede ser la emisión profesional
sobre el objeto sometido a los análisis que presente una realidad que se encuentre
sustentada mediante procedimientos las cuales deben de tener una gran fiabilidad.
Esta es una acción posterior a las actividades que se realizan y sobre las que se
emite una opinión lo mejor fundamentada y lo mayor apegada a la realidad.
Informática: Este concepto es mas amplio a cada día que transcurre, ya que no
solo se limita al uso de una computadora sino que ya intervienen muchos
aspectos, como son desde la utilización de una sola maquina en adelante, las
bases de datos (que se refiere a manejo de información como datos personales),
entradas a sistemas, seguridad, estructura del área de trabajo (edificios)
programas, redes, telecomunicaciones, internet, etc.
La información se maneja como una serie de datos ordenados y clasificados de
manera tal que se puedan facilitar la utilización de la misma, que se basaran en
símbolos, signos, números, letras, etc. La información esta dirigida a reducir o
acortar los procesos para la utilización de esta con tal, la cual se pueda imprimir o
guardar y que se pueda utilizar en el momento más necesario para cualquier
persona o institución que lo requiera.
La información también se ha dividido en varios niveles. El primero se le conoce
como nivel técnico, éste considera aspectos de eficiencia y capacidad de los
3
canales de transmisión; el segundo se enfoca a lo semántico a la información
desde el punto de vista de su significado en el cual nos pueden dar más ideas, el
tercero se conoce como pragmático, que éste considera al receptor en un contexto
dado, y por último el cuarto nivel se encarga de analizar la información desde el
punto de vista normativo y de la parte ética que esto se enfoca más al cuando,
donde, y a quien se le destinará la información.
Recordemos que la información tradicional se vea afectada dentro de la
informática cuando se introduce el manejo de medios electrónicos. La información
también se puede manejar de forma rápida y en grandes volúmenes, lo cual
permite generar, localizar, duplicar y distribuir esta información de una manera
muy rápida, herramientas como microcomputadoras, redes de comunicación,
procesos distribuidos, bases de datos, etc. Todo esto permite que varios usuarios
puedan disponer de esta información en cualquier momento, teniendo acceso,
actualizando, he intercambiando la misma que y que la pueden utilizar en el mismo
momento.
Todos los procedimientos con informática pueden variar de acuerdo con la filosofía
y técnica de cada organización o departamentos de la auditoría. Pero sin embargo
existen técnicas y procedimientos compatibles. Algunas técnicas (tesis) se dividen
en dos: métodos manuales y métodos asistidos por computadora.
4
Utilización de las técnicas de auditoría asistidas por computadora.
Por lo generan un auditor deberá utilizar una computadora como apoyo para
realizar la auditoría, con esta se amplía el proceso de examen, reduciendo el
tiempo, costos de las pruebas y realizando procedimientos de muestreo, que de no
tener esta herramienta tan útil tendrían que efectuarse la mayoría de las pruebas
de una forma manual. Recordemos que existen paquetes (software) para realizar
auditorias en sistemas financieros y contables. La computadora puede ocuparse
principalmente por el auditor para apoyarlo en:
Transmitir información de la contabilidad de la organización a la
computadora del auditor, para que el la trabaje o también se puede
conectar con la finalidad de laborar pruebas.
Verificar cifras totales y cálculos para comprobar los reportes de salidas que
se producen mediante el departamento de informática.
Pruebas a los registros de archivos para verificar la consistencia de los
montos de las operaciones que la empresa o institución realiza.
Clasificación y análisis de los datos.
Seleccionan mediante muestreos de datos e imprimirlos para revisiones.
Todos los paquetes o programas creados en auditoría se deberán guardar bajo un
estricto control por el departamento de informática, por consiguiente toda la
5
documentación, los materiales de prueba impresos, programas fuente y objeto con
todos los cambios que se les haya elaborado serán de total responsabilidad del
auditor o auditores. Todos los programas que se hayan utilizado pueden ser
guardados utilizando contraseñas de protección. Los programas que se hallan
desarrollados con el objetivo de realizar la auditoría deberán estar cuidadosamente
documentados para definir sus propósitos, objetivos y asegurarse de una ejecución
continua.
Los programas actuales que se encuentren ocupando los auditores internos
deberán asegurar la integridad del procesamiento, mediante algunos controles
como:
Mantener un control sobre programas que se encuentran catalogados en el
sistema con protecciones apropiadas.
Observar cuidadosamente todo el proceso de auditoría.
Elaborar o desarrollar programas independientes de control que verifiquen
todos los procesos de la auditoría que se realiza.
Mantener un control sobre especificaciones de los programas, toda la
documentación necesaria y principalmente si se tienen comandos de control.
6
Podemos finalizar diciendo que la auditoría informática es la revisión y evaluación
de los controles, sistemas y procedimientos de la información; de los equipos de
cómputo, de la empresa o institución para que sea más confiable, eficiente y
segura de su propia información que principalmente servirá para una adecuada
toma de decisiones.
Algunos de los factores que pudieran intervenir o influir en la organización a través
del control y la auditoría en informática son:
El uso evolucionado de las computadoras.
El control de la computadora ya que cada día son más importantes y más
costosas.
El alto costo de un error en la organización.
La mala utilización de las computadoras.
Decisiones incorrectas.
El valor del hardware, software y el personal que las manejará.
La posibilidad de perder información o en su defecto el mal uso de esta.
La necesidad de mantener la privacidad en la organización.
La auditoría en informática debe comprender no sólo la evaluación de los equipos
de cómputo o de un sistema o procedimiento específico, sino que tiene que
evaluar todos los sistemas de información desde sus entradas, comunicación,
7
archivos, procedimientos, controles, seguridad, personal, y la obtención de todo el
información, y que todos los equipos de cómputo arrojarán información adecuada
y tendrán un organización específica.
No hay que olvidar que tienen una gran responsabilidad las personas que están a
cargo de las computadoras y de las redes de comunicación, habrá que asegurar
que la información que sea recolectada he integrada sea entregada rápidamente, y
con toda la confidencialidad que se requiera. Las bases de datos de caer en malas
manos se pueden usar para fines ajenos a su finalidad alterando los fines para los
que fueron diseñados y poner en peligro la privacidad de las personas.
Concluiremos que la auditoría Informática será la herramienta que nos permita
diagnosticar la infraestructura, la calidad y el estado que guarda actualmente la
Organización en términos de Informática, además de tener una imagen inicial y
precisa de los recursos informáticos con los que se cuenta para mejorar la
funcionalidad y agilizar la administración, obteniendo así éxito en el cumplimiento
de los objetivos a corto y largo plazo.
8
OBJETIVOS.
Protección de los Activos y Recursos: Control interno que protege los activos
de la instalación informática de cualquier posible amenaza o riesgo.
Integridad de Datos: Mecanismos que vigilen constantemente el
mantenimiento de los datos.
Efectividad del Sistema: Un sistema de información efectivo alcanza sus
objetivos y dependen de las características y necesidades de los usuarios,
así como de los procedimientos de decisión.
Eficiencia del Sistema: Mínimo de recursos necesarios para obtener las
salidas requeridas.
Control de la función informática.
Cumplimiento de Normatividad gerencial de la empresa en este ámbito.
Seguridad y confidencialidad.
Recordemos que la tecnología no es buena ni mala, el uso que nosotros le demos
dependerá en el desarrollo de cosas productivas para el beneficio de la sociedad.
Todos debemos proclamar una legalización más estricta en el uso de tecnología y
principalmente del Internet para considerar que éste sea de investigación o de
provecho para toda persona y no de daños, hay que recordar que todo invento es
para el beneficio de la humanidad en el mundo.
9
1.2. TIPOS DE AUDITORÍA
Cada clase de auditoría o tipo de esta poseen sus propios procedimientos para
alcanzar su fin aunque estos pueden coincidir en muchos puntos. En estos tipos se
pretende se considere todo lo que pueda influir para obtener los mejores
resultados desde considerar áreas físicas, operaciones y elementos que
intervengan. La auditoría informática general se realiza por áreas específicas. Si se
examina por grandes temas resulta evidente la mayor calidad y el empleo de más
tiempo y mayor cantidad de recursos. Cuando la auditoría se realiza por áreas
específicas, se abarcan de una sola vez todas las dificultades que afectan a la
misma, de forma que el resultado se obtiene más rápidamente y de menor calidad
por lo que resulta más factible realizar las auditorias por áreas específicas
obteniendo los siguientes resultados:
Todo trabajo se supervisa y planifica adecuadamente.
Se evalúa y estudia todo un sistema para el control interno.
Al final del proyecto se obtiene una mejor evidencia que será suficiente y
adecuada.
Las auditorías son de diferentes tipos dependiendo de los objetivos que se
pretendan alcanzar con cada una de ellas en las empresas y sus áreas de
aplicación así por ejemplo existen:
10
Auditoría de usuario: La cual se enfoca única y exclusivamente al personal
del área de informática y es aplicada a las máquinas de cada uno de los
empleados para conocer el estatus de la información que se ha generado de
la propia institución en un determinado tiempo.
Auditoría informática de actividades internas: Ésta se refiere al análisis de
las actividades que dentro del área de informática se han venido generando
por los usuarios en beneficio de la institución para la cual laboran, así como
se analiza el impacto que dichas actividades hasta el momento han tenido
en la organización y desarrollo de la misma, con el fin de replantear nuevas
estrategias para un mejor servicio.
Auditoría informática de dirección: Ésta va de la mano con la anterior ya
que tiene como finalidad detectar las necesidades de la institución y buscar
estrategias de solución que conlleven a una mejor dirección del apoyo que
el departamento de informática brinda a la institución.
Auditoría de seguridad: La cual se encarga de evaluar la seguridad tanto de
los equipos como de respaldar la información que en el área de informática
se genera, así como de verificar que los equipos con los que están
trabajando los usuarios, se encuentren en un estado óptimo para que se
lleve a cabo un trabajo eficaz y eficiente.
11
Se considera que estas cuatro auditorias son las más importantes a llevar a cabo
dentro de cualquier institución en su área de informática.
1.2.1. Auditoría interna y externa
La auditoría interna es la realizada con recursos materiales y personas que
pertenecen a la empresa auditada. Los empleados que realizan esta tarea son
remunerados económicamente. La auditoría interna existe por expresa decisión de
la empresa o sea, que puede optar por su disolución en cualquier momento.
Por otro lado, la auditoría externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor objetividad que en la
Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.
Es por ello que en ambos casos de aplicación de auditoría la empresa se verá
beneficiada ya que las dos tienen el objetivo de evaluar las ventajas y las
desventajas de las actividades que hasta el momento se están llevando a cabo en
la empresa, aunque cabe mencionar que la auditoría informática interna cuenta
con algunas ventajas adicionales muy importantes respecto a la externa y que en
muchas de las ocasiones no son tan perceptibles como en las auditorías
convencionales, ya que la auditoría interna tiene la ventaja de que puede llevarse
12
a cabo periódicamente haciendo revisiones generales como parte de las
actividades normales de control de la empresa las cuales generalmente se
encuentran especificadas en los proyectos anuales de la empresa y por
consiguiente el personal se encuentra tan habituado a que se lleven a cabo estas
actividades que se acostumbran a las auditorias, particularmente si los resultados
que estas generan, han beneficiado en la mayoría de las ocasiones a su calidad de
trabajo.
Sin embargo una empresa o institución que posee una auditoría interna como
parte de sus actividades permanentes de control interno debe en ocasiones
contratar los servicios de una auditoría externa por las siguientes razones:
Necesidad de auditar una materia de gran especialización para lo cual los
servicios propios con los que cuenta no se encuentran lo suficientemente
capacitados.
Por la necesidad de comparar algún informe interno con el que resulte de la
auditoría externa, ya que este ejercicio enriquecerá en gran medida el
trabajo de dicha empresa que lo lleve a cabo.
Se deben llevar a cabo como una medida más de seguridad de posibles
auditorías informáticas externas decretadas por la misma empresa.
13
Por último aunque porque las auditorías externan nos sirven para tener una
visión desde afuera de la empresa, pues las auditorias internas forman
parte de la misma empresa.
Algo que es importante mencionar es que la auditoría informática tanto interna
como externa se debe realizar en las empresas de manera periódica para una
mayor eficiencia de la misma y sobre todo deben de estar exentas de cualquier
interés social o político y de la propia estrategia y política de la empresa, éstas
deben realizarse por iniciativa de la propia empresa y siempre pensadas en
generar el mayor beneficio para las mismas. Generalmente es recomendable acudir
a las auditorias externas cuando en la empresa se observan algunos cambios
drásticos que están perjudicando la organización. Estos pueden ser:
Cuando los objetivos de la institución no coinciden con los objetivos de su
área de informática.
Cuando su nivel de productividad no es el proyectado a la media que se
viene obteniendo.
Cuando los usuarios se encuentran inconformes por que sus computadoras
no contienen la información necesaria o el software con el que trabajan se
vuelve obsoleto o no esta actualizado, esto acompañado de que el hardware
de su equipo en ves de que les agilice el trabajo hace que tarden el doble
14
de tiempo o en ocasiones casi tengan que realizar sus operaciones de forma
manual.
Dentro de la implantación de políticas y culturas de seguridad se necesita que este
compuesta por fases y tiene que estar soportada por la dirección, todas tienen un
papel importante dentro de las fases.
Dirección de Negocios o de Sistemas de Información. Definen las
políticas para los sistemas de información basadas a las necesidades y
pueden ser
internas y externas.
Dirección de Informática. Definen el funcionamiento del entorno y cada una
de sus funciones con las publicaciones y creaciones de estándares,
procedimientos, metodología y normas. Tienen que aplicarse forzosamente
a los usuarios y áreas de la empresa o negocio.
Control Interno Informático. Definen los controles periódicos que se tendrán
que realizar en cada una de las etapas de acuerdo al nivel de riesgo de cada
una de sus etapas, estos son diseñados de acuerdo a las necesidades de
cada empresa y que puedan ser aplicables legalmente.
15
1.3. CAMPO DE LA AUDITORÍA INFORMÁTICA
El campo de la auditoría informática es muy grande y día a día crece mas, se
tratara de mostrar lo mas claro y sencillo posible.
El campo de la acción del auditor en informática principalmente es:
La evaluación administrativa del área de trabajo.
Evaluar los sistemas y procedimientos, y de la eficiencia que se tiene en el
uso de la información. Una evaluación eficiente y eficaz con la que se
trabaja.
Evaluación del proceso de los datos, los sistemas y los equipos de cómputo
con todo lo que implica (software, redes, comunicaciones, hardware, bases
de datos, etc.).
Confidencialidad y la seguridad de toda la información.
Aspectos legales de todos los sistemas.
Para lograr todos estos puntos se necesitará:
A) Una evaluación administrativa del departamento informática. Que
comprende una evaluación de:
Todos los objetivos de cada departamento.
16
Las metas, los planes, políticas y procedimientos de los procesos
electrónicos.
La organización del área y toda su estructura orgánica.
Las funciones y niveles de autoridad así como responsabilidades del área de
procesos electrónicos.
La integración de recursos materiales y técnicos.
Controles y costos presupuestales.
Controles administrativos del área de procesos electrónicos.
B) Evaluación de los sistemas y procedimientos, de la eficiencia y eficacia para el
uso de la información:
Evaluación de los sistemas y sus diferentes etapas.
Evaluación del diseño lógico del sistema.
Evaluación del desarrollo físico del sistema.
La facilidad para elaborar un sistema.
Control de proyectos.
Control de sistemas y programación.
Instructivos y documentación.
Formas de implantación.
La seguridad física de lógica de los sistemas.
Confidencialidad de los sistemas.
17
Controles de mantenimiento y formas de respaldo de los sistemas.
Prevención de factores que pueden causar contingencias.
Seguros y recuperación en caso de desastre.
Productividad.
Derechos de autor y secretos industriales.
C) Evaluación del proceso de datos y de los equipos de cómputo que comprende:
Controles de datos fuente y manejo de cifras de control.
Control de operación.
Control de salida.
Control designación de trabajo.
Control de medios de almacenamiento masivos.
Control de otros elementos de cómputo.
Control de medios de comunicación.
Orden en el centro de cómputo.
D) Seguridad:
Seguridad física y lógica.
Confidencialidad.
Respaldos.
18
Seguridad del personal.
Seguros contra desastres.
Seguridad en utilización de los equipos.
Plan de contingencia y procedimientos en casos de desastre.
Restauración de equipo y de sistemas.
Los principales objetivos y necesidades de la auditoría en informática son:
Salvaguardar los activos. Esto se refiere a la protección del hardware,
software y de recursos humanos existentes en las compañías o
instituciones.
La integridad de datos. Los datos deben mantener consistencia y no
duplicarse.
Efectividad de sistemas. Los sistemas deben cumplir con los objetivos de la
organización o institución.
Eficiencia de sistemas. Que todos los objetivos se cumplan con los menores
recursos posibles (optimizar).
Seguridad y confidencialidad.
No hay que olvidar que hay que tener un adecuado control de los activos, la
integridad de todos sus datos y la eficiencia de los sistemas solamente se lograra si
19
la administración de la organización desarrolla un adecuado sistema de control
interno.
Todas las características del control dependerán de muchos factores como por
ejemplo, en un ambiente de mini computadoras, pueden estar conectadas en serie
o trabajar en forma individual, la división de responsabilidades y la delegación de
autoridad cada día es más difícil debido a que muchos usuarios comparten
recursos, lo que dificulta en gran medida un control interno con exactitud.
Por lo que en la actualidad las auditorías se deben realizar por personas con un
alto grado de conocimientos en informática y con toda la experiencia que se pueda
tener en el área, la información deberá ser confiable, verídica, oportuna y siempre
manejarse de manera segura y con la suficiente confidencialidad y por supuesto
siempre dentro de todos los parámetros legales y éticos que ellos puedan tener
para obtener resultados lo más claros y seguros posibles, recordando que malos
manejos son del propio personal.
1.4. CONTROL INTERNO
Este medio controla de manara diaria las actividades de los sistemas de
información para cumplir los procedimientos y estándares, para que a final de
cuentas los mecanismos implantados sean correctos y válidos. Los controles
20
tendrán que ser sometidos a rigurosas pruebas constantemente, además las
empresas tiene iniciativas de crear nuevos controles según sus necesidades. Los
objetivos básicos del control interno son principalmente:
Se dirigen a la protección de activos de la prensa.
La obtención de toda la información financiera veraz, confiable y oportuna.
La promoción de la eficiencia en la operación del negocio.
Lograr que en la operación se cumplan las políticas establecidas por los
administradores de las mismas empresas.
La reestructuración de procesos empresariales, junto con la gestión de la
calidad.
La descentralización.
Rendimiento de las secciones.
El control interno contable comprende el plan de organización y los
procedimientos, registros que se refieren una protección de los archivos y a la
confiabilidad de los registros financieros.
También existen tendencias que pueden influir sobre las empresas que giran a
nuestro alrededor y que lo vemos día a día.
21
La globalización.
La fusión o formación de alianzas como estrategias para la competencia.
Controles sobre la calidad y eficiencia del desarrollo así como
mantenimiento del software.
Control sobre en software de base.
Licencias y relaciones que se tengan con terceras personas o sociedades.
Asesorar sobre los riesgos informáticos.
Queda claro que ante todos los cambios que se viene presentando en nuestra vida
actual los directivos toman muy en cuanta los controles para reevaluar y
reestructurar los sistemas de controles internos, antes de que surjan problemas
tomando medidas para su seguridad y en la actualidad se hacen cada vez mas
seguros y poder soportar los ataques del fututo. Por tal motivo los auditores
informáticos contribuyen con sus conocimientos específicos ya que están mas en
contacto con la tecnología informática, por lo tanto todos estos especialistas son
de importancia a las organizaciones.
22
Control Interno y Auditoría.
Políticas de Seguridad.
Plan de Seguridad.
Normas y Procedimientos. Medidas
Tecnológicas Implantadas
Formación y Mentalización.
Objetivos de autorización.
Todas las operaciones y movimientos se realizarán con las autorizaciones
generales o en su caso específico de la administración. Estas autorizaciones
deberán estar de acuerdo a los criterios establecidos por todo el nivel apropiado de
la administración. Las transacciones deben ser válidas para conocerse y ser
sometidos oportunamente a su aceptación. Por lo general todos estos movimientos
deberán ser registrados oportunamente y estar respaldados por archivos
adecuados.
23
Objetivos del procesamiento y clasificación de transacciones.
Todas las acciones deben registrarse para permitir la preparación de todos los
estados financieros o cualquier otro criterio aplicable a estas para mantener los
archivos apropiados, los datos relativos a activos sujetos a custodia.
Objetivos de salvaguarda física.
El acceso a todos los activos se deberá permitir bajo el acuerdo con autorización
de la administración, siendo una de sus funciones la administración y gestión del
software de seguridad.
El control físico también es para que se asegure el acceso, el cual estará
restringido solo al personal autorizado, y de entrar personal no autorizado deberán
ser acompañados así como vigilados para no ser objetos de algún tipo de atentado
o fuga de información.
Los equipos contaran con claves para uso del personal autorizado e intransferible a
otras personas.
24
Tendrán instaladas medidas preventivas en caso de que ocurra un incendio o
algún otro tipo de siniestro, así como la evacuación de instalaciones de forma
parcial o total del edificio.
Objetivos de verificación y evaluación.
Todos los registros relativos a los activos sujetos a custodia deben compararse con
los activos existentes a intervalos razonables, y se deberán tomar las medidas
apropiadas respecto a las diferencias existentes. Los objetivos generales del
control interno de sistemas son aplicables a todos los ciclos. El área informática
puede interactuar de dos maneras en el control interno, la primera servirá para un
adecuado control interno, la segunda será un control del área y el departamento
de informática.
El primer caso se realiza por medio de una evaluación a la organización, y
utilizando la computadora como una herramienta auxiliar y principal en este
proceso, la cual se hará por paquetes ya conocidos para las auditorías. El segundo
como ya hemos señalado anteriormente se deben proteger los activos de la
organización por medio del control, para tener una información veraz, oportuna y
principalmente confiable para mejorar la eficiencia y operación de la organización
enfocada siempre a la informática.
25
La auditoría informática siempre tendrá presentes los objetivos de autorización,
procesamiento y clasificación de las transacciones, así como de la salvaguarda
física, verificación y evaluación de todos los equipos de la empresa o institución
donde se realicen estas actividades y que principalmente será de su información,
recordemos que la auditoría interna está y debe estar presente en todas y cada
una de las partes de la organización. La informática es una herramienta muy
valiosa con la cual se debe tener un adecuado control y será un gran auxiliar de la
auditoría interna, según estudios los objetivos generales del control interno son:
Autorización.
Procesamiento y clasificación de las transacciones.
Salvaguardia física.
Verificación y evaluación.
En el diseño general y detallado de los sistemas principalmente se sugiere incluir a
personal de la contraloría interna, pero claro estas personas deberán tener
conocimientos de informática con requerimientos mínimos aunque no sean
especialistas.
El auditor interno, en todo momento que se elaboran los sistemas deberá
participar en todas sus etapas:
26
Que los requerimientos de seguridad y de auditoría sean incorporados y él
participe en la revisión de estos puntos.
Revisar la aplicación de los sistemas y el control de usuario como en el
centro de informática.
Que las políticas de seguridad y los procedimientos estén claramente
especificados en incorporados al plan en casos de desastre.
Incorporar técnicas avanzadas de auditoría en los sistemas de cómputo.
Todos los planes en casos de desastre, se deberán elaborar desde el
momento en que se diseña el sistema la seguridad no puede llevarse a cabo
los procedimientos de controles adecuados.
1.5. MODELOS DE CONTROL UTILIZADOS EN

AUDITORÍA INFORMÁTICA
En la actualidad pueden existir varios modelos de control cuando una instalación
se encuentra operando sistemas avanzados, varios ejemplos son: cuando se
procesan datos en línea, las bases de datos, procesamientos distribuidos, etc., se
pueden evaluar los sistemas utilizando técnicas avanzadas. Recordemos que estos
métodos de control requieren un experto y si el departamento no cuenta con la
27
capacitación deberá realizarse un entrenamiento adecuado y lo más pronto
posible. Asimismo recordemos, que otra limitante en los controles puede ser un
alto costo de inversión, otro puede ser la sobrecarga del sistema y trabajo, y como
consecuencia habrá que esperar más tiempo para recibir una respuesta. Sin
embargo cuando se realizan apropiadamente todos estos componentes harán que
se supere una auditoría tradicional como las que en muchas empresas en la
actualidad obteniendo mejores resultados.
Los controles informáticos se encuentran divididos en tres puntos de los cuales
también se desarrollan en más de estas categorías.
Preventivos. Para evitar o tratar de evitar los errores antes de que ocurra, como
software para impedir los accesos no autorizados.
Detectivos. Cuando falló el preventivo entrará éste, para poder conocer que fue lo
que paso o que ocurrió, como cuando hay intentos no autorizados a un sistema o
el registro de actividades diarias para tener un control de los sucesos como un
histórico.
Correctivos. Para facilitar en su totalidad o lo más cercano a la realidad, las
acciones de prevención que se tengan de los errores, como un ejemplo pueden ser
las copias que se realizan para seguridad y poder reestablecer como se tenía, por
28
ejemplo una base de datos del día anterior que se devuelve para continuar
trabajando.
A medida que se tienen avances tecnológicos los sistemas se vuelven más
complejos y por eso se presentan más situaciones para su control.
Simulación. Éste control consistirá en realizar pruebas a la aplicación o programas
y compararlos con resultados de la simulación a la aplicación real.
Revisiones a los accesos. Se deberá realizar un registro computarizado de todas y
cada uno de las acciones que se realizaron, los archivos podrán contener por
ejemplo, información de la identificación tanto de alguna terminal como de
usuarios, fechas, horas, y movimientos realizados a toda clase de archivos
(prácticamente un historial).
Pruebas integrales. En éste caso son transacciones realizadas por el auditor
independiente de la aplicación normal, pero que se realizarán al mismo tiempo. Se
deberá tomar en cuenta y ser muy cuidadoso en las participaciones que se están
utilizando en el sistema para prueba de la contabilidad o balances, a fin de evitar
errores.
29
Operaciones en paralelo. Esta prueba consiste en verificar con exactitud toda la
información de los resultados que produce un sistema nuevo, a comparación de un
sistema pasado que también fue auditado.
Evaluación de un sistema con datos de prueba. Consistirá en aprobar los
resultados producidos en la aplicación con los datos de prueba contra los
resultados obtenidos inicialmente en las pruebas del programa.
Registros extendidos. Consistirá en agregar un campo de control a un registro
determinado, como un campo especial de un registro extra el cual puede incluir
datos de todos los programas que forman parte del procesamiento para que quede
determinada transacción con los siguientes casos.
Totales aleatorios de ciertos programas. Se consiguen totales en algunas partes
del sistema para verificar su exactitud de una forma parcial.
Los métodos anteriormente descritos ayudarán al auditor interno para establecer
una metodología en la revisión de los sistemas de aplicación de una institución, o
dependencia. Sin embargo sabemos que en la actualidad se están desarrollando
programas y sistemas de auditoría cada vez más confiables que intervienen en
actividades e información cuyo control solamente corresponden al departamento
de informática. En la actualidad el auditor puede desarrollar gran parte de sus
30
funciones con sólo intervenir en las redes de comunicación internas. El tener una
microcomputadora constituye una herramienta que facilita la realización de
actividades como:
El traslado de datos de un sistema a un ambiente para el control del
auditor.
Llevar a cabo una selección de datos.
Verificar la exactitud de cálculos mediante muestreos estadísticos.
Visualización de datos.
Ordenamiento de la información, para la producción de reportes e
histogramas.
El auditor interno tiene que participar en el diseño general y específico de los
sistemas, para que todos tengan los controles de acuerdo a las políticas internas
antes de comenzar la programación del sistema. Ahora mostraremos algunos
ejemplos de formas tradicionales de evidencia que existe en un proceso manual y
las maneras en que la computadora las puede cambiar:
Transacciones originadas por personas y accesadas a un sistema para su proceso.
Las aplicaciones pueden generarse automáticamente. Por ejemplo, el sistema
puede emitir automáticamente una orden de reposición cuando el inventario está a
un nivel por debajo del punto de orden.
31
El registro manual de la información necesaria para originar una transacción. Se
pueden producir documentos impresos cuando la información es accesada.
La revisión de transacciones por el personal, que deja constancia con sus firmas,
iniciales o sellos de los documentos para indicar la autorización del proceso. En la
mayoría de las aplicaciones computarizadas la autorización puede ser automática.
Por ejemplo, cuando se realice una venta a crédito puede ser automática mientras
no se rebase el límite de crédito previamente determinado. Otro método también
puede ser la autorización electrónica incluyendo excesos mediante claves de
seguridad.
Anteriormente se tenía firmas en donde ahora sólo se tiene una clave o llave de
acceso y que en la actualidad lleva un registro de la hora y el día en el que fue
autorizada.
El transporte de documentos de una estación de trabajo otra por personas, correos
o algún otro servicio similar de un lugar del negocio a otro sitio completamente
distinto. En aplicaciones de computadoras, los datos son enviados
electrónicamente (mediante Internet). Previamente codificada o encriptada para
ser enviada por medio electrónico y que al final se elabora un registro de cuando
se recibió la información por el receptor.
32
Procesamiento manual. En las aplicaciones computarizadas, este proceso se
efectúa electrónicamente dentro de la memoria por procesos programados y
siguiendo reglas predeterminadas.
Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabilidad de
error. Estos procesos son complejos debido a la velocidad y exactitud de los
procesadores. Por ejemplo, en una compañía se puede utilizar una computadora
para calcular posibles horarios o cédulas de producción con la finalidad de
seleccionar el más adecuado proceso, que si este proceso se elabora de forma
manual se tardaría mucho tiempo o sería casi imposible de realizarlo.
Mantenimiento de manuales de información. En las aplicaciones computarizadas
esta información se almacena como catálogo, que de forma manual sería muy
amplio y sería imposible actualizar los datos de manera inmediata.
Listado de proceso de documentos impresos. No todos los sistemas podrán emitir
resultados impresos ya que en ocasiones los fondos pueden ser transferidos de
manera electrónica. Por ejemplo, la elaboración de cheques.
Almacenamiento de documentos de entrada, proceso y salida en registro de
archivos. La información puede localizarse y rescatarse de manera manual del área
de almacenamiento físico, la mayoría de los archivos que se encuentran en medios
33
magnéticos. También se podrán utilizar programas extractivos para recobrar la
información de tales medios, los cuales en la actualidad son mas rápidos y exactos
como es el caso de las bases de datos.
Uso de documentos impresos para construir el proceso. En los procesos manuales
estos documentos contienen información fuente, firmas de autorización método de
proceso y resultados de salida. En las pistas de una auditoría pueden verse
fragmentadas, por lo regular esto ocurre en un ambiente de bases de datos, gran
parte de esta secuencia en las auditorías requieren entender las reglas del proceso
del sistema pero no siempre es obvio cuáles pasos se ejecutaron, principalmente
cuando el proceso computacional es complejo.
Uno o más manuales de procedimientos. Este manual principalmente será la guía
de usuarios cuando este desconozca que procedimiento continúa cuando manipula
un sistema mediante las ya conocidas ayudas (help).
La división de tareas entre los empleados. Esto implica no sólo la división de tareas
de los empleados sino también entre los pasos y procesos automatizados. Por
ejemplo, los programas pueden procesar diferentes partes de una transacción en
diversos lugares, pero también se requiere que tengan sistemas de seguridad de
acceso a nivel sistema, dato o programa, como es el caso de los sistemas
bancarios.
34
1.6. PRINCIPIOS APLICADOS A LOS AUDITORES
INFORMÁTICOS
Los auditores serán capases de dar un soporte tangible sobre las actividades que
se realizan dentro de una empresa, una vez teniendo contacto con los medios
sobre los cuales observaron los procedimientos siendo muchas veces los medios
físicos de la compañía como equipos de computo, manuales, reportes etc. serán
personas estrictamente objetivas, no tienen que inculpar a alguien necesariamente
sino de dar solución a todos los problemas que pudieran encontrar, para no
reincidir por parte de los mismos usuarios o personal extraño a la institución o
empresa.
Por lo regular los auditores suelen ser personal con perfiles universitarios o que
tengan una experiencia multidisciplinaria teniendo algunas de estas características:
35
Informático en General. Con experiencia en distintas ramas
como lo son de sistemas, explotación y
desarrollo de proyectos.
Experto en Proyectos. Con experiencia en análisis de
proyectos y de metodologías las cuales
las puede aplicar o reutilizar.
Expertos en Bases de Datos y gran Tiene experiencia en el manejo de las
Administrador. bases de datos y su mantenimiento,
conocen otros productos que los
pueden complementar para así
explotarlos al máximo, como pueden
ser la emisión de reportes.
Técnicos en Sistemas. Amplios conocimientos en
sistemas operativos, el conocerá
productos compatibles y de buen
rendimiento para una mejor
explotación de estos
recursos.
Experto en Software de Comunicación.
Con amplios conocimientos en
las redes y sistemas
Experto en Explotación y Gestión de Responsable de teleprocesos.
de Centro de Cálculo.
CPD´S. Amplia experiencia en Automatización
de trabajos. Experto en relaciones
humanas. Buenos conocimientos de los
sistemas.
Técnico de Organización. Experto organizador y
coordinador. Especialista en el análisis
de flujos de información.
Técnico de Evaluación de Coste. Economista con conocimiento de
Informática, Gestión de costes.
El rol del auditor informático solamente está basado en la verificación de controles,
evaluación del riesgo, de fraudes, el diseño y desarrollo de exámenes que sean
apropiados a la naturaleza de la auditoría asignada, y que deben razonablemente
detectar:
36
Irregularidades que puedan tener un impacto sobre el área auditada o sobre
toda la organización.
Debilidades en los controles internos que podrían resultar en la falta de
prevención o detección de irregularidades.
CAPACIDAD Y ENTRENAMIENTO
Conocimientos generales.
Todo tipo de conocimientos tecnológicos, de forma actualizada y
especializada respecto a las plataformas que existan en la organización.
Normas y estándares para la auditoría interna.
Políticas organizacionales sobre la información y las tecnologías de la
información.
Características de la organización respecto a la ética, estructura
organizacional, tipo de supervisión existente, compensaciones monetarias a
los empleados, extensión de la presión laboral sobre los empleados, historia
de la organización, cambios recientes en la administración, operaciones o
sistemas, la industria o ambiente competitivo en la cual se desempeña la
organización, etc.
Aspectos Legales.
Herramientas.
Herramientas de control y verificación de la seguridad.
37
Herramientas de monitoreo de actividades.
Técnicas de evaluación de riesgos.
Cálculo pos operación.
Monitoreo de actividades.
Recopilación de grandes cantidades de información.
Análisis e interpretación de la evidencia, etc.
Recordemos que las bases de toda auditoría será la información que los empleados
bajo su papel de autoridad, prestigio y ética profesional puedan proporcionar, para
tener un amplio panorama de a que nos enfrentamos.
1.7. RESPONSABILIDADES DE LOS

ADMINISTRADORES Y DEL AUDITOR
Las responsabilidades serán básicamente compartidas, el auditor dará su objetivo
punto de vista y las maneras en que las problemáticas se podrán solucionar ya sea
por medio de control de accesos, claves, manuales, actualizaciones,
mantenimiento, etc., par que en manos de los administradores puedan reajustar
todas y cada una de las fallas que se tengan ya que estas pueden ser de forma
inconsciente y otras con toda la ventaja para ser aprovechadas por mismos
usuarios o personal ajeno a las instituciones. El auditor en especial el interno no
tiene que desarrollar sus actividades como una función de policía o detective
38
informático solo esperando algún error del personal, sino crear un ambiente
pacifico y de forma agradable a las relaciones personales para ser un colaborador
más de la empresa. Por esto deberán de tener sus Normas y Procedimientos
emitidos para cada una de las figuras y que también sean conocidas por todo el
personal.
Cuando un auditor informático al detectar irregularidades que indiquen la
presencia de un delito informático, deberá realizar lo siguiente:
Determinar si se considera la situación un delito realmente.
Establecer pruebas claras y precisas.
Determinar los vacíos de la seguridad existentes y que permitieron el delito.
Informar a la autoridad correspondiente dentro de la organización.
El auditor manejara la situación con discreción total y con el mayor profesionalismo
posible; y evitando que el público o empleados tengan conocimiento. Muchas
veces de no manejarse adecuadamente este delito, puede traer efectos negativos
en la organización, como los siguientes:
Se puede generar una desconfianza de los empleados hacia el sistema.
Se pueden generar más delitos al mostrar las debilidades encontradas.
Se puede perder la confianza de los clientes, proveedores e inversionistas.
39
Se pueden perder empleados clave de la administración, aún cuando no
estén involucrados en la irregularidad debido a que la confianza en la
administración y el futuro de la organización puede estar en riesgo.
Si por medio de la auditoría informática realizada se han detectado delitos, el
auditor deberá sugerir acciones especificas a seguir para resolver el vacío de
seguridad, para que los responsables de la unidad informática puedan actuar.
Estas acciones, pueden ser:
Revisión total del proceso involucrado.
Instalación de controles adicionales.
Establecimiento de planes de contingencia efectivos.
Adquisición de herramientas de control.
Además de brindar recomendaciones, el auditor informático deberá ayudar a la
empresa en el establecimiento de estrategias contra los delitos, entre las que
pueden destacarse:
Adquisición de herramientas computacionales de alto desempeño.
Controles sofisticados.
Estándares bien establecidos y probados.
Revisiones continúas del sistema.
40
Con el paso del tiempo los auditores se vuelven expertos por que reelaboran sus
cuestionarios de acuerdo a los escenarios que inspeccionan puesto que si no lo
hicieran se estancarían y no tendrían avances en las auditorías futuras. Las
preguntas que el realice serán claras por que sabe en realidad lo que trata de
buscar, principalmente obtener los puntos que considere como débiles, pero
también los aciertos, una ves que tenga estos datos realizara un análisis y
comparativos de estos, las preguntas que elaborara no serán con términos
rebuscados sino lo mas sencillas pero muy significativas, algunas personas
sugieren que esta actividad no se realice ya que opinan que sólo es leer muchas
preguntas a los usuarios y perdida de tiempo, pero en realidad se sabe que no es
cierto. A estos cuestionarios también se les puede conocer como CHECKLIST.
41
CAPÍTULO II
PLANEACIÓN DE LA AUDITORÍA
INFORMÁTICA
42
Como todo trabajo se necesita realizar una adecuada planeación para
obtener los mejores resultados posibles, desde que información se maneja, como
se aplica, quien la realiza, las personas que intervienen en ella y cuales son los
métodos de control que en la actualidad se están manejado y todo esto será
nuestra herramienta de partida.
2.1. FASES DE LA AUDITORÍA
Para la elaboración de la auditoría se tienen que realizar muchas fases para que
esta tenga el éxito esperado tomando en cuenta que al solicitar los servicios de la
auditoría tiene que llevar un orden desde como se iniciaran las pruebas, solicitudes
de reportes, que es lo que se ocupa, para que se ocupa, quienes participan para
que al final de que se practique la auditoría pueda brindar las mejores soluciones a
las instituciones o empresas.
2.1.1. Planeación
Para elaborar una adecuada planeación para efectuar una auditoría hay que
realizar una serie de pasos, que éstos nos permitan evaluar el tamaño y
43
características del área dentro del organismo o institución a auditar, sus sistemas,
organización, equipo para así poder determinar el número y características del
personal que se requiere para la auditoría, el tiempo, herramientas, costo para al
mismo tiempo definir los alcances, y en su caso poder elaborar el contrato de los
servicios.
En este punto la planeación, es el paso más importante ya que una inadecuada
planeación provocará una serie de problemas que pueden impedir que no se
realicen en su totalidad o que no se realice con profesionalismo de cada auditor.
Todo trabajo de auditoría deberá incluir una planeación el examen y la evaluación
de la información, la comunicación de los resultados y el seguimiento.
Todo planeación deberá documentarse y tendrá que incluir:
Establecer claramente los objetivos y el alcance del trabajo.
Obtener información de apoyo sobre las actividades.
Delimitar los recursos necesarios para autorizar la auditoría.
Establecer una comunicación en el Plan se expresan todas las ayudas que el
auditor ha de recibir del auditado.
Necesaria con todo el personal que estará involucrado en auditoría.
44
Realizar una inspección física para familiarizarse con las actividades y
controles a auditar, así como de criticar las áreas en las que se pondrá más
atención y promover comentarios para una promoción de los auditados.
La preparación por escrito del programa de auditoría.
Establecer la persona o responsables de cómo, cuando y a quien se le
comunicarán los resultados de la auditoría.
Si la revisión debe realizarse por áreas generales o específicas. En el primer
caso, la elaboración es más compleja y costosa.
En el plan no se consideran calendarios, porque se manejan recursos
genéricos y no específicos.
El plan establece disponibilidad futura de los recursos durante la revisión.
El plan estructura las tareas a realizar por cada integrante del grupo.
En el plan se establecen las prioridades de materias auditables, de acuerdo
siempre con las prioridades del cliente.
Obtener la aprobación del plan de trabajo con la cual se llevará cabo la auditoría.
En el caso de la auditoría informática la planeación es fundamental, pues tiene que
hacerse desde el punto de vista de varios objetivos como:
Evaluación administrativa del área de procesos electrónicos.
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
45
Evaluación de proceso de datos, de los sistemas y de los equipos de
cómputo (software, hardware, bases de datos, comunicaciones, redes).
Seguridad y confidencialidad de la información.
Aspectos legales de todos los sistemas y de toda la información.
Primeramente requerida toda la información general sobre la organización y sobre
la función informática a evaluar. Por ello se requiere hacer una investigación
preliminar y realizar algunas entrevistas previas, para así planear el programa de
trabajo del cual tendrá que incluir costos, tiempos, personal necesario y
documentos auxiliares a desarrollar durante todo este proceso. Este proceso de
planeación también comprende:
Metas.
Programas de trabajo de auditoría.
Presupuesto financiero y planes de contratación de personal.
Informes actividades.
Para lo cual las metas se deberán establecer principalmente que se puedan lograr,
sobre los planes específicos de operación y de los presupuestos y de preferencia
hasta donde pueda ser posible deberán ser cuantificables, los cuales tendrán
criterios para medirlas y fechas límites para su logro. Todos los programas deberán
incluir, las actividades, cuando serán realizadas, el tiempo requerido, tomando en
46
consideración el alcance planeado sin olvidar la extensión del trabajo, todo esto
deberá ser lo suficiente flexible para cubrir aquéllas demandas que no fueron
previstas.
Los planes, presupuestos financieros en el que se incluyen el número de auditores,
su conocimiento, experiencia todo esto deberá contemplarse en los programas de
trabajo igualmente actividades administrativas, la escolaridad, el adiestramiento
requerido, y los esfuerzos que se desarrollen durante todo este proceso por ello es
necesario marcar tiempos para poder calendarizar adecuadamente todo el proceso
ya que durante el mismo surgirán siempre aspectos imprevistos durante la
planeación, por lo cual siempre se recomienda ser flexibles en las actividades y
marcar un poco más de tiempo por todos los contratiempos que puedan surgir.
A continuación se elabora un esquema sobre los puntos más importantes para
elaborar una planeación:
47
Tema de auditoría. Se identifica el área a ser auditada.
Objetivos de la Auditoría. Propósito del trabajo de auditoría a realizar.
Alcances de auditoría. Se identifica los sistemas específicos o secciones
de organización que se han de incluir en la
revisión en un período de tiempo determinado.
Planificación previa. Donde se identifica los recursos que se necesitan
para realizar el trabajo así como las fuentes de
información para pruebas o revisión y lugares
físicos o instalaciones que se auditaran.
Procedimientos de auditoría. Recopilación de datos.
Identificación de lista de personas a
entrevistar.
Identificación y obtención de políticas y
normas.
Desarrollo de herramientas y metodología
para probar y verificar los controles
existentes.
Procedimientos para evaluar los resultados.
tener de comunicación con la gerencia.
Procedimientos de seguimiento.
48
2.1.2. Revisión preliminar
El siguiente pasó después de la planeación es realizar una revisión preliminar de la
red informática. El principal objetivo es obtener toda la información necesaria para
que el auditor pueda tomar la decisión de cómo proceder en la auditoría. Después
de esta revisión preliminar el encargado de este proceso podrá tomar cualquiera
de estos tres puntos.
Diseño de la auditoría. En esta etapa pueden surgir problemas por la falta
de competencias técnicas para realizar éste trabajo.
Se podrá realizar una revisión detallada de los controles internos, de todos y
cada uno de los sistemas para depositar toda la confianza en ellos, y de
realizar una serie de pruebas para tratar de reducir la mayor cantidad de
consecuencias que se puedan dar en este proceso.
Se puede dar el caso de confiar en los controles internos de todo sistema. El
primero se puede ser más eficiente desde un punto de vista costo- beneficio
que será en realizar pruebas sustantivas directamente. El segundo en que
los controles del área de informática pueden duplicarse, estos controles
pueden ser los del área de usuario. Se puede decir que se obtendrá un
49
mayor costo-beneficio cuando su meta es una mayor confianza a los
controles de compensación.
La revisión preliminar significa la recolección de evidencias por medio de
entrevistas a todo personal de la instalación, la observación de las actividades en
la instalación y la revisión de toda la documentación. Ésta información se pueda
recolectar por cuestionarios iniciales, o también por entrevistas (CHECKLIST). Sin
olvidar que esta información inicial sólo nos dará un panorama general para la
elaboración del programa de trabajo la cual se tendrá que estar desarrollando y se
profundizará en toda la auditoría.
Tanto la revisión preliminar que puede realizar un auditor interno será diferente a
las realizada por un auditor externo principalmente en tres puntos. El primero, el
auditor interno requerirá menos revisiones a los trabajos principalmente en la
parte gerencial de la organización ya que como trabaja en ella tiene más
conocimiento del funcionamiento de la empresa. El segundo, el auditor externo
buscará las causas de las pérdidas y todos los medios necesarios para justificar las
decisiones que el pueda tomar; el auditor interno tendrá un amplio panorama, la
cual tomar en cuenta sobre sus consideraciones sobre eficiencia y eficacia con las
que él trabaja y se desarrolla. En tercer lugar, el auditor interno supondrá ciertas
debilidades en sus controles, y no procederá directamente con las pruebas, por lo
tanto revisará la forma detallada para elaborar recomendaciones con las cuales los
50
controles internos pueden ser más seguros y confiables para que éstos den
mejores resultados.
2.1.3. Revisión detallada
El objetivo principal de esta etapa será obtener la información posible necesaria
para que el auditor pueda tener un profundo conocimiento de todos los controles,
usados dentro del área de informática de esta empresa u organización.
El auditor tiene la capacidad de definir si desea continuar elaborando más pruebas,
con la finalidad obtener mayor confianza o en su defecto iniciar en el momento
que el así crea conveniente la revisión con los usuarios de estos sistemas. En la
mayoría de los casos el auditor decidirá, después del análisis lo que él crea
conveniente para los controles internos, se tiene la suficiente confianza y en su
defecto cuáles serán los procedimientos alternos más apropiados para esta
auditoría.
En esta etapa es de suma importancia que el auditor puede identificar la causa de
aquellas pérdidas, que existen dentro de una instalación y refórmala para reducir
las mismas y los efectos que se causan por todas ellas. Él tendrá la capacidad para
decidir y evaluar en qué momento los controles establecidos podrán reducir las
51
pérdidas, para encontrarse dentro de los niveles que se pueden aceptar. Todos los
métodos de información al momento de realizar una evaluación serán los mismos
usados en la revisión preliminar con la única diferencia, de que será más confiable
la información y al mismo tiempo mucho más evaluada.
El auditor interno considerará las causas de las pérdidas que afectan la eficiencia y
eficacia, puede evaluar que controles son los mejores para que todas las pérdidas
que se realizan regresar nuevamente a un nivel aceptable. También podrá evaluar
si los controles escogidos son lo mejor, y si los controles tendrán un nivel
satisfactorio, para también saber cuales de estos controles son los menos costosos
para la empresa o institución. El puede tomar la decisión de seguir con estos
controles o dar las recomendaciones que serán necesarias para mejorar todos los
controles de los sistemas existentes, dentro de las compañías pueden existir
pérdidas que pueden ser económicas, de información y/o materiales pero tendrán
que estar dentro de un margen mínimo que se pueda permitir. No olvidando, que
las decisiones que él tome podrán influir dentro en la empresa y son su
responsabilidad dar las mejores soluciones a todos y cada uno de los problemas
que puede encontrarse.
52
2.1.4. Examen y evaluación de la información
Los auditores internos deberán obtener, interpretar, analizar y documentar toda la
información para que en base a ella puedan sostener sus resultados de todo este
proceso (auditoría).
Recopilar toda la información para todos y cada uno de los asuntos que se
relacionaron para corregir las fallas con los objetivos y alcances de esta
auditoría.
Toda la información deberá ser lo bastante real, para que de este modo sea
lo bastante sólida para el informe de hallazgos y las recomendaciones que
ésta auditoría realice al personal.
La información será lo bastante fácil de entenderse para que toda persona
llegue a las mismas conclusiones que el auditor tenga que tomar. Esta
información significará que puede ser confiable y que se puede obtener de
la mejor manera posible, siempre y cuando las técnicas empleadas en
auditoría sean las más apropiadas. Teniendo en cuenta que todo esto es
con el fin de que la empresa, pueda desarrollar sus objetivos y cumplir sus
metas que se ha propuesto.
Todo procedimiento que se realice en esta auditoría incluyendo todas las
pruebas, se tendrán que elegir desde un inicio, o cuando considere
53
necesario implantar, y se requiera algún tipo de modificación se pueda
efectuar.
Todo este proceso de recabar información, interpretar los resultados,
analizar de la documentación esta se deberá supervisar bajo un control que
asegure la objetividad que el auditor mantuvo a lo largo de este proceso, y
que cada uno de los objetivos de esta auditoría se cumplió.
Los documentos de trabajo deberán ser supervisados y preparados por los
propios auditores y revisados por la gerencia. En estos casos se registrara la
información obtenida así como el análisis efectuado, y sobre todo se
deberán de apoyar en los hallazgos y las recomendaciones que éstos
puedan hacer.
Los auditores tienen que reportar el trabajo obtenido. El auditor deberá discutir las
conclusiones y recomendaciones para los niveles que corresponda, antes de que el
emita un informe final. Todos los informes que le entregue tienen que ser
objetivos, claros, constructivos y oportunos. Estos informes presentarán todos los
propósitos, alcances y los resultados efectuados y cuando él considere apropiado
podrá expresar su opinión de cada uno de estos procesos. Estos informes podrán
contener recomendaciones para mejorar el trabajo y de una manera satisfactoria
poder mencionar maneras correctivas. Los puntos de vista de los auditores pueden
ser incluidos en el informe que se presente. El auditor interno puede llevar un
54
seguimiento de las recomendaciones realizadas para verificar si la solución está
dando resultados.
Se elaborará un programa de trabajo para seleccionar y desarrollar los recursos
necesarios, que principalmente pueda contemplar:
Descripción de las actividades de todos los puestos y de cada nivel.
Seleccionar cuidadosamente a los individuos calificados para cada actividad.
Capacitación y entrenamiento profesional así como una continúa
capacitación para todos los auditores.
Realizar una evaluación del trabajo realizado por cada uno de los auditores,
por lo menos una vez al año.
El trabajo de una auditoría interna y externa se deberá coordinar para tener la
mejor cobertura y para disminuir todos aquellos gastos de esfuerzos que se tengan
que realizar. En el departamento de auditoría interna se tendrá un control de
calidad. Con la finalidad que este proceso proporciona una seguridad razonable
para que este trabajo de auditoría cumpla con las normas mínimas, este programa
de control tendrá que incluir los siguientes elementos:
Supervisiones periódicas.
Revisiones externas.
Revisiones internas.
55
La supervisión del trabajo realizado por los auditores, se realizará de forma
continua para así asegurar que está trabajando bajo normas, políticas y programas
de auditorías en informática. Todas las revisiones internas se supervisaran
periódicamente por el personal de esta auditoría interna, para evaluar el trabajo de
auditoría realizado.
2.1.5. Pruebas de controles de usuario
El objetivo de esta etapa es determinar si estos controles realmente están
cumpliendo su función para lo que fueron diseñados, él auditor deberá observar si
realmente éstos existen y estén trabajando. Desgraciadamente gran parte de las
auditorías realizadas por los auditores prefieren, no confiar en todo los controles
internos establecidos dentro de las instalaciones, ya que los usuarios como son
quien tienen mayor contacto están muy familiarizados y pueden tener cierta
influencia sobre estos, e incluso de cierta forma los podrían manipular si es que si
ellos lo deciden. Estas pruebas de los controles internos generalmente son
aplicadas mediante entrevistas, cuestionarios, visitas y evaluaciones hechas
directamente con los usuarios.
56
Revisión de Centros de Cómputo.
Revisión de controles en el equipo: Se hace para verificar si existen formas
adecuadas de detectar errores de procesamiento, prevenir accesos no
autorizados y mantener un registro detallado de todas las actividades del
computador que debe ser analizado periódicamente.
Revisión de programas de operación: Se verifica que el cronograma de
actividades para procesar la información, asegure la utilización efectiva del
computador.
Revisión de controles ambientales: Se hace para verificar si los equipos
tienen un cuidado adecuado, es decir si se cuenta con deshumidificadores,
aire acondicionado, fuentes de energía continua, extintores de incendios,
etc.
Revisión del plan de mantenimiento: Aquí se verifica que todos los equipos
principales tengan un adecuado mantenimiento que garantice su
funcionamiento continuo.
Revisión del sistema de administración de archivos: Se hace para verificar
que existan formas adecuadas de organizar los archivos en el computador,
que estén respaldados, así como asegurar que el uso que le dan es el
autorizado.
Revisión del plan de contingencias: Aquí se verifica si es adecuado el plan
de recuperación en caso de desastre.
57
2.1.6. PRUEBAS SUSTANTIVAS
Una vez que el auditor ha recabado la suficiente información que le permita a este
emitirá sus propias conclusiones, de el o los momentos en los que considere que
se pueda dar un dictamen, rendirá su propio informe. Este auditor interno tendrá
la libertad de expresarse de acuerdo a su opinión de cuando un proceso esté mal
diseñado o no tengan suficiente control de la información. Se enlistan algunas de
estas pruebas:
Pruebas para identificar la mayor cantidad de errores durante el proceso.
Pruebas para verificar la seguridad o confidencialidad.
Pruebas para certificar la calidad de los datos.
Pruebas para identificar la redundancia de los datos.
Pruebas para comparar los datos.
Rectificación de los datos con fuentes externas.
Pruebas para confirmar la adecuada comunicación.
Pruebas para determinar la falta de seguridad en el sistema.
Pruebas para determinar los problemas de legalidad existentes.
Deberemos de tomar en cuenta todos los beneficios que tendremos al tener un
alto grado de control, ya que nuestros sistemas estarán mejor protegidos pero sin
olvidarnos de el costo que esto poder presentar para la institución o empresa. Por
58
eso es necesario devaluar el costo que representaría una falla en el sistema y
todos los problemas que esto traería para determinar su riesgo, para sí compararlo
si es que en realidad vale la pena la inversión que se efectúe en la implantación de
estos controles.
Se sugiere el auditor participe en tres estados del sistema:
En la fase del diseño del sistema.
En la fase de operación.
En la fase posterior a la auditoría realizada.
En la actualidad se dice que tanto la alta gerencia como el gerente de informática
piensan, que el que el auditor participe en las fases del diseño disminuye su propia
independencia pero también se dice que no es así como a continuación se detalla:
Éstos aumentaran los conocimientos en informática por parte del auditor.
Reasignar diferentes auditores en la fase del diseño, durante el trabajo de
auditoría y posteriormente a la auditoría.
Crear una sección de auditoría informática que trabaje dentro del
departamento previamente creado de auditoría interna, preferentemente
especializado en informática.
59
El realizar una auditoría en informática es un trabajo demasiado complejo y hay
que saber realizarlo. Para esto los auditores necesitarán fraccionar o dividir en
subsistemas, para poder identificar todos y cada uno de las actividades que se
realicen en cada proceso para que después, una vez realizados los trabajos poder
evaluar cómo es que funciona realmente todo el sistema, ya que la suma de estos
subsistemas nos dará la mejor aproximación para demostrar de lo que es capaz de
realizar.
Los pasos que se necesitan en una auditoría informática son muy semejantes, a
los que se utilicen en una auditoría manual. Primero realizando una investigación y
documentándonos para familiarizarnos con estos, para saber sus principios y los
pasos de los procesos. En segundo lugar el auditor confiar los controles internos
de todo el sistema, del cual realizará las pruebas necesarias o investigación. El
tercer punto el auditor tras su veredicto sobre los controles que considera más
importantes. Un cuarto lugar realiza pruebas sustantivas en los procesos.
El auditor no dará a conocer su opinión. Sino hasta que realice el informe para
poder evaluar los controles internos, mientras decide las alternativas que pueda
ofrecer, las decisiones que pueda tomar serán difíciles, pero tendrán un respaldo
ya que tienen que estar soportadas y documentadas.
60
2.2. EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL
RIESGO
Una de las formas para realmente poder evaluar un sistema para el uso de una
organización, es el que no sea utilizado adecuadamente, el que pueda perder
información o que incluso sea utilizado por personal ajeno a la organización, o un
mismo personal sin previa autorización para manipularla.
Algunos sistemas por sus aplicaciones son considerados de alto riesgo debido a
que son:
Muy susceptibles a diferentes tipos de pérdida económica.
Que son más conocidos como fraudes o desfalcos y entre los más comunes
son los financieros.
El auditor podrá tener mayor atención en todos aquellos sistemas que manejen
controles financieros para un adecuado funcionamiento. Como pueden ser cajas,
inversiones cuentas por pagar, por cobrar y nómina entre otras. Estas fallas
pueden tener grandes impactos en toda la organización.
Aquí un ejemplo claro podrá ser el procesamiento para la elaboración de nóminas
y como consecuencia el personal pueda llevar a cabo una huelga.
61
Interfiere con otros sistemas y los errores pueden dañar otros subsistemas.
Pueden surgir altos riesgos en relacionaron a la competencia, algunos
sistemas están diseñados para dar un rendimiento bastante alto en cuanto
al mercado en el cual esté trabajando.
Por ejemplo algún sistema de planeación o patentes, derechos de autor los cuales
son de grandes recursos de organización, otros pueden ser que teniendo pérdidas
podrán destruir la imagen o llevar a la quiebra a una institución u organización.
Sistemas con tecnologías de punta. Cuando los sistemas utilizan alta
tecnología.
Los más conocidos con sistemas de bases de datos, distribuidos o de
comunicación, ya que como surgen cada día tecnologías más avanzadas puede
que la compañía u organización tenga muy poca experiencia como consecuencia
surjan problemas para tener mayor control.
Sistemas de alto costo. Son sistemas muy complicados y altamente costosos con
los que si no se tiene mucho cuidado puede causar demasiados problemas de
control así como un alto costo en su mantenimiento.
62
2.3. INVESTIGACIÓN PRELIMINAR
Ésta etapa de la investigación deberá incorporar fases del control gerencial y el
control de aplicaciones. Durante todas las revisiones de los controles gerenciales el
auditor tiene la obligación de entender la organización, políticas y prácticas que se
usan en cada uno de sus niveles dentro de toda la estructura en la que se
encuentren las computadoras.
Se deberá documentar toda la información posible para tener una idea general del
departamento, las cuales podrán ser mediante observaciones, entrevistas
preliminares y solicitar los documentos necesarios con el fin de verificar el objetivo
y los alcances del estudio, así como el programa detallado previamente.
Hay que tener en cuenta el estado del departamento, el papel que desempeña
dentro de la organización, si existe la información solicitada previamente o en su
defecto solicitar la última fecha de su actualización.
Toda la información es previamente analizada una vez realizada una visita
programada a la organización, sus áreas de informática y todos los equipos con los
que se este trabajando.
Administración. Se concentra la mayor cantidad información para saber
específicamente que se dedica este departamento que puede ser mediante
63
observaciones, entrevistas y documentos para tener claros objetivos alcances de
este departamento. El que tenga éxito el departamento informática sólo se logra si
lleva un fin común con la institución y que se adapte a los posibles cambios, claro
estos cambios sólo son posibles si los altos ejecutivos y los usuarios toman parte
en las decisiones en referencia a la dirección y utilización de los sistemas de
información quedando claro que él o los responsables de los sistemas esté
consultando y pidiendo asesoría así como cooperación a ejecutivos y usuarios.
También dependeremos de todas las personas involucradas, para que ellas tengan
una actitud positiva respecto a sus actividades y evaluar constantemente su
trabajo, dentro de su área que pueden ser estableciendo metas para así de alguna
forma incrementar su productividad.
Por lo general los usuarios ven esto como una herramienta para asegurarse un
mejor desempeño de su trabajo. Por lo regular todos los ejecutivos de alguna
empresa consideren al departamento de informática como una inversión
importante, y con la cual se tienen que cumplir los objetivos del organización,
esperan que todo lo invertido en este departamento informática puedan arrojar
grandes beneficios, y con la cual puedan tomar grandes decisiones. Hoy en día es
una herramienta con la cual se pueda administrar y disminuir tiempos de la
manera más eficaz y rápida posible.
64
Para poder analizarse y delimitar la estructura a auditar se tienen que solicitar por
departamentos la siguiente información:
En el nivel de organización:
Los objetivos a corto y largo plazo.
Manual de la organización.
Antecedentes de la organización.
Las políticas generales.
En el nivel del área de informática:
Los objetivos a corto y largo plazo.
Manual de la organización así como su organigrama.
Manual de políticas, reglamentos internos y todos los lineamientos
generales.
Número de personal que labora y sus puestos.
Procedimientos administrativos de área.
Puestos y costos de cada área.
En los recursos materiales y técnicos:
65
Solicitar un inventario físico de cada uno de los equipos (instalados, por
instalar y programados).
Estudios de viabilidad.
Fecha de instalación de los equipos.
Los contratos vigentes de compra, renta y servicios de mantenimiento.
Configuración de los equipos y capacidades actuales y máximas.
Configuración de los equipos redes internas y externas.
Plan de expansión.
Ubicación de los equipos.
Políticas de operación.
Políticas de uso de los equipos.
Plan de seguridad y prevención contra contingencias internas y externas.
Contratos de seguros existentes.
Los sistemas:
Descripción general de los sistemas instalados o por instalar y que
contengan mucha información.
Manual de formas.
Manual de procedimientos de los sistemas.
Manuales de entrada y salir de archivos.
Proyectos para instalar nuevos sistemas.
66
Procedimientos y políticas en casos de desastre.
Los sistemas propios, rentados y adquiridos.
En todo momento de la planeación de la auditoría, debemos tener en cuenta que
se pueden presentar muchas situaciones:
Se solicita la información como consecuencia:
No se tienen la información y se necesita.
No se tiene la información y no es necesaria.
Cuando se tienen la información pero:
No se usa.
Está incompleta.
No es actualizada.
Se usa, esta actualizada, es adecuada y finalmente completa (información
perfecta).
Recordemos que habrá información disponible y no disponible tendremos que
evaluar si la necesitamos o no por eso necesitamos evaluarla, si le necesitamos
sino la tenemos se tendrá que labora la forma en la cual la podemos ocupar,
recordemos que no solamente hay que dar una buena opinión de las cosas malas
que se pueden encontrar sino también de las buenas.
67
Nos debemos pasar por alto el éxito del producto y analizar también las
consideraciones como:
Estudiaran y verificar hechos y no opiniones necesariamente, investigar las
causas y los efectos.
Atender las razones.
No siempre confiar en la memoria sino preguntar constantemente para no
cometer errores.
Criticar de manera objetiva todos los datos recabados de cada uno de los
informes.
2.4. PERSONAL PARTICIPANTE
Otra de las partes importantes al realizar una auditoría es el personal que puede
participar en ella, no precisamente se enfocara al número de personas que podrán
participar, ya que esto depende de las organizaciones los sistemas con los que se
esté trabajando así como total de equipos; lo cual esta fase se enfoca a las
características y conocimientos que el personal necesita tener para realizar una
buena auditoría.
68
Esté personal deberá estar muy capacitado y con las mayores actualizaciones
posibles, sobre todo que tenga un gran sentido de moralidad y mucha objetividad
por las situaciones que puede encontrar en esta auditoría, ya que los auditores
tratarán de optimizar una mayor cantidad de recursos, hay que tener en cuenta
una buena gratificación por el trabajo que ellos realicen.
Con esto se debe de tener en cuenta los conocimientos que ellos tengan, la
facilidad para desarrollar su trabajo, sus conocimientos y capacitación. Claro esta
que tendrá asignado personal por parte de la organización del cual conozca muy
bien todas las actividades que se realizan y como se realizan ya que a este
personal se le podrá solicitar información la que el auditor necesita, programar
reuniones y si es que se necesita entrevistar a más personal el deberá saber quién
puede auxiliar en ésta tarea.
Este personal será de gran apoyo para el auditor, por lo tanto la organización tiene
que designar a las personas o persona adecuadas para este trabajo y sin ellas no
se podrá realizar la auditoría y si se llega a ser puede tardar mucho tiempo o no
obtener los resultados deseados.
Durante todo este proceso también se deberá contar con la participación de los
usuarios, ya que forman parte de esta empresa o compañía a al cual también se le
podrá solicitar información para sin comprobar las hipótesis que no sólo es
69
comparar el punto de vista de la dirección de informática sino que también del
usuario que esta más familiarizado con el sistema, o incluso en ocasiones los
usuarios pueden saberse algún tipo de problema que presente y que los mismo
empleados desconocen.
Para la elaboración de esta auditoría podemos tener un grupo conformado con
personal con estas características:
Técnicos en informática.
Personal con conocimientos en administración, finanzas y contaduría.
Con experiencia en el área de informática.
Con experiencia en operación y análisis de sistemas.
Con conocimientos en psicología industrial aplicada.
Conocimientos de los sistemas importantes para empresas.
Conocimientos de sistemas operativos, redes, bases de datos,
comunicaciones.
En base a este último punto se pueden tener una o más personas sobre estos
conocimientos para facilitar este trabajo, tal vez no sean expertos en todas estas
características y por eso se hace la aclaración que pueden ser varios participantes.
Por lo tanto ya que se planeó la auditoría se presentará el convenio de los servicios
70
que se prestarán (recordando cuando es el caso que sean auditores externos) con
su correspondiente plan de trabajo previamente elaborado.
El convenio es firmemente un compromiso que el auditor entrega al cliente para
que éste confirme y acepte lo que en este esté asentado. En este documento se
especificarán los objetivos y alcances de la auditoría, así como las limitaciones que
pueda tener la colaboración que necesitan por parte de la empresa o institución las
responsabilidades que adquieren así como los informes que deberán entregar en
tiempos marcados.
Ya que se realizó la planeación, se puede utilizar un formato como el que a
continuación se detalla en anexo 2.1, este formato podrá servir de base para llevar
un control del desarrollo de este trabajo, claro que las correcciones dependerán del
auditor y esta podrán aumentar u omitir información según lo considere
conveniente. Éste formato contiene el nombre del organismo, número, fecha, la
fase, descripción, actividad, número de personal, un período tanto de inicio como
de término, días y horarios establecidos.
Un control del avance lo podemos llevar con otro formato como el anexo 2.2 para
registrar control del avance en la auditoría para asegurarnos se esté llevando a
cabo con los recursos y tiempos estimados durante la planeación.
71
Se muestra también un ejemplo de auditoría, el anexo 2.3, y un ejemplo como
contrato de auditoría el anexo 2.4.
72
CAPÍTULO III
AUDITORÍA DE LA FUNCIÓN
INFORMÁTICA
73
La mayoría de las instituciones maneja información de todo tipo y para este
adecuado manejo es muy necesario algunos métodos de recolección de esta, así
como también la forma en que la institución opera y toda la clase de recursos con
los que cuenta por lo cual se da una explicación de estas etapas.
3.1. RECOPILACIÓN DE LA INFORMACIÓN

ORGANIZACIONAL
Teniendo ya elaborada la planeación de la auditoría, la cual sirve de guía y
teniendo asentados los tiempos, prioridades, costos y necesidades tendremos que
empezar con la recolección de la información por lo cual se necesita una revisión
de los elementos siguientes:
1. Como revisión de la estructura orgánica.
La jerarquía existente. Entre las cuales su función, su autoridad y su forma
de trabajo.
Estructura orgánica.
Objetivos y funciones.
2. La situación actual de los recursos humanos.
74
3. Entrevistas a personal.
Departamentos.
Programadores y operadores.
Personal para base de datos.
Comunicación incluyendo Internet y redes.
Usuarios en general.
Personal administrativo y mantenimiento.
Personal de capacitación.
En algunas empresas el personal tiene a su cargo diferentes actividades de las
mencionadas, ya sea por la falta de capacidad del personal o por que no se
cuentan con los recursos de personal o financieros, y también por que la empresa
o institución no tiene muchos equipos para estos profesionales.
4. Hay que tener conocimiento de la situación de:
Recurso financiero disponible.
Recursos materiales como mobiliario y equipos.
El presupuesto asignado (si es por año o por mes).
5. Se realizaran entrevistas al personal humano para conocer su situación de:
El numero total de empleado y donde están laborando.
Puestos actuales.
75
Personal de confianza y de base.
Capacitación si esta es continua o se programa de forma anual.
Salario como se compone y si es que tienen incrementos.
Conocimientos.
Escolaridad máxima o si están estudiando.
Antigüedad así como la experiencia si han desarrollado varios puestos.
Expediente dentro de la institución.
Movimientos de puestos.
6. Cumplimiento de trámites administrativos.
Normatividad y políticas.
Procedimientos.
Objetivos.
Planes de trabajo como programas operativos anuales.
Organización.
Después de recabar esta información estaremos en condiciones de determinar si la
organización esta definida adecuadamente para lo que fue creada, siguiendo sus
objetivos, normatividades y organización. Toda institución o empresa deberá
documentar sus actividades, funciones y responsabilidades de acuerdo a cada uno
de los puestos, el personal que los atiende están de acuerdo con las actividades
76
que estos realizan ya que pueden estar realizando sus actividades, mas las de
otras personas o departamentos.
Todas las instituciones o empresas deberán estar capacitando a sus empleados
constantemente, para tener los recursos humanos necesarios y capases de
desempeñar su labor así como su salario de acuerdo a puesto para poder evaluar
los resultados obtenidos siempre y cuando se les den las herramientas necesarias
para su actividad.
Una de las formas más seguras con las que se puede evaluar el desempeño es que
la gerencia o altos mandos realicen:
Planeación: Definir los alcances y metas (realistas y no solo por números).
Organización: Dar las herramientas necesarias, la estructura del personal así
como la asignación de actividades grupales o de manera individual.
Recursos Humanos: Teniendo el necesario y capacitándolo de acuerdo a su
actividad.
Dirección: Coordinando las actividades, motivando al personal, concertando
apoyos en beneficio de su trabajo y actividades con una forma de liderazgo.
Control: Revisando lo alcanzado contra lo planeado y de ser necesario
realizar los ajustes correspondientes.
77
Estas son algunas de las preguntas mas frecuentes que se pueden utilizar:
“QUE” “QUIEN”
¿Qué acciones se realizan? ¿Quién tiene la información?

¿Qué recursos se utilizan de manera ¿Quién interviene?
específica? ¿Quién apoya?
¿Qué consecuencias tiene hacerlo de ¿Quién es el responsable?
esa forma?
¿Qué características tiene o se
requieren?
“CUANDO Y CUANTO” “DONDE”
¿Cuándo se llevan a cabo los procesos? ¿Dónde se lleva a cabo el proceso?

¿Cuánto tiempo lleva hacerlo? ¿Dónde se encuentran los recursos?
¿Cuánto tiempo requiere?
¿Cuánto dinero se gasta?
“PORQUE” “COMO”
¿Por qué se toma esa decisión? ¿Cómo se realiza el proceso?

¿Por qué es importante el proceso? ¿Cómo se evalúa?
¿Por qué se tienen problemas? ¿Cómo esta organizado?
¿Cómo se consigue el objetivo?
¿Cómo se obtiene el recurso?
78
3.2. EVALUACIÓN DE LOS RECURSOS HUMANOS
El desarrollo del personal implica que este tenga las mismas oportunidades de
crecimiento y apoyo de jefes inmediatos. Que tengan educación y capacitación
constante no importando si son de base o de confianza, para que el personal tenga
la confianza y moral elevadas para poder ser capases de alcanzar sus metas y
objetivos. En el área de informática es muy importante tener una adecuada
capacitación, que tendrá que ser constante ya que día a día surgen cambios
significativos que pueden repercutir en el trabajo a realizar, también hay que tener
en cuanta que no todas las instituciones o empresas cuentan con el suficiente
recurso para la capacitación constante.
Hay que obtener información mediante entrevistas al personal de estas áreas de
informática para saber su desempeño y comportamiento, sus condiciones de
trabajo, la forma en que lo organizan, el desarrollo que tienen y la motivación para
saber de que forma se pueden estar capacitando por que esto es un punto
fundamental. Como pueden ser las siguientes preguntas:
DESEMPEÑO EFICIENTE.
¿Se tiene el personal suficiente para las actividades de esa área? Si No
¿No haces todas las actividades por falta de personal? Si No
¿Esta capacitado el personal para hacer sus funciones?
79
No, ¿por que? _ Si No
¿Es buena la calidad de tu trabajo?
No, ¿por que? _ _ Si No
¿Se repiten las actividades? Si No
¿El manejo de la información es de manera discreta? Si No
¿Se apegan a la normatividad y políticas creadas? Si No
¿El personal respeta a la autoridad inmediata? Si No
¿El personal coopera para realizar las actividades encomendadas? Si No
No, ¿por que?
¿Se aportan sugerencias para realizar actividades de la mejor manera posible?
Si No
¿Se toman en cuentas las sugerencias no importando quien las realice? Si No
SUPERVISIÓN.
Explica como se supervisa al personal de cada área.
_ _
_ _
_ _
80
Si no se realiza esta actividad, ¿por que no se hace?
¿De que forma se da un seguimiento a los retardos he inasistencias del personal?
Sino se lleva un seguimiento, explique por que.
¿Por qué considera que se evalúa al personal?
81
CAPACITACIÓN.
Este es uno de los puntos importantes dentro de toda estructura por que se tienen
cambios constantes, al no tener esta capacitación se puede poner en peligro por el
atraso en tecnologías de más reciente creación como es el caso de los virus
informáticos que surgen o se instalan de formas muy constantes y cada día tienen
nuevas formas de atacar sin ser detectados rápidamente.
Esta capacitación incluye al personal de:
Departamentos.
Otro (especifique)
¿Se han podido identificar necesidades sobre capacitación para el personal de las
diferentes áreas? Si No
No, ¿Por qué?
¿Se efectúan capacitaciones para el personal de esta área? Si No
82
No, ¿Por qué?
¿Ayudan los jefes inmediatos a efectuar las capacitaciones? Si No
¿En realidad se evalúan las capacitaciones para saber el aprovechamiento de las
capacitaciones? Si No
¿Los jefes están capacitados o entran a las capacitaciones o solo las toma el
personal? _
_ _
Nota: revisar si efectivamente se realizan las capacitaciones como se planearon.
(Esta sugerencia puede ayudar a replantear las actividades que no se han
realizado).
LIMITANTES.
¿Cuáles considera que son los factores que limiten el desarrollo del personal, de
manera interna?
83
¿Cuáles considera que son los factores que limiten el desarrollo del personal, de
manera externa?
Departamentos.
Otro (especifique)
¿De manera general el personal se adapta a los cambios de forma administrativa?
Si No
¿El personal suele comportarse de forma irrespetuosa o prepotente? Si No
¿Existen normas para corregir la indisciplina del personal? Si No
¿Tienen efecto esas normas? Si No
¿Existen otras personas que se quejan de estas áreas por su desempeño?
84
Si No
¿De que forma se puede otorgar un asenso de puestos o de salario?
¿Cuál es la principal causa de inasistencia laboral?
CONDICIONES DE TRABAJO.
Se ha comprobado que mientras se tenga un área digna para trabajar, las
condiciones y resultados serán los mejores ya que la autoestima de los empleados
resultara mejor, para cualquier situación de trabajo.
¿El personal conoce las reglas internas? Si No
¿Se apoyan de las reglas o contratos para dar solución a cualquier conflicto laboral
que pueda surgir? Si No
No ¿Por qué? _ _ _
85
¿Cómo son las relaciones entre el personal del área y el sindicato? Si No
¿Hay problemas frecuentemente? Si No
Si, ¿Por qué? _
¿Cuales son las medidas para que se resuelvan los problemas mas frecuentes?
_ _
REMUNERACIONES.
Por mucho tiempo y encuestas realizadas se ha demostrado que las personas
están no muy conformes con las remuneraciones que se les asignan, en ocasiones
desconocen la forma en que se les evalúa para poderles otorgar su remuneración.
¿Su personal esta satisfecho con su remuneración respecto a su:
Trabajo que realiza? Si No
Los diferentes puestos que se tienen? Si No
Los puestos semejantes a otras empresas? Si No
El trato que reciben actualmente? Si No
Si, ¿como es que esto impacta? _
86
No, ¿Cómo es que esto impacta? _
Se siguiere poder conseguir el sueldo que se tienen en otras empresas o
instituciones, más menos con las mismas características y funciones que realicen
los empleados para poder realizar un comparativo y de este modo tratar de hacer
ajustes si es que se pueden realizar de acuerdo al presupuesto que se tenga.
EL AMBIENTE DE TRABAJO.
El ambiente es un factor muy importante en esta área de informática, para poder
lograr un eficiente desarrollo.
¿El personal realmente trabaja como un grupo de trabajo? Si No
No, ¿Cuál es la razón? _
_ _
¿Hasta que punto el personal convive adecuadamente?
_ _
_ _
87
¿Cómo aprovecha el jefe inmediato esto para mejorar el ambiente laboral?
_ _
_ _
¿Son adecuadas las condiciones de trabajo referente a:
¿El espacio de trabajo? Si No
¿Equipo de oficina y mobiliario? Si No
¿Clima? Si No
¿Ventilación? Si No
¿Ruido? Si No
¿Limpieza de oficinas? Si No
¿Sanitarios limpios y suficientes? Si No
¿Instalación para comunicación de personal? Si No
De esta forma podremos conocer algunas de las necesidades que se deberán de
corregir para un mejor aprovechamiento de las instalaciones, y poder obtener un
mejor desempeño.
88
ORGANIZACIÓN DE TRABAJO.
¿El jefe participa en la selección del personal? Si No
No, ¿Por qué?
¿Quiénes realizan la contratación?
¿Por consecuencia estas actividades qué acarrean?
¿Se sabe de las necesidades de personal, las cuáles se pueden contratar?
¿De calidad? Si No
¿En cantidad? Si No
No, ¿Por qué?
Si el jefe inmediato conoce las necesidades del personal y el no puede realizar las
contrataciones tendrá que poner de conocimiento estas para que cuando se
contrate personal sepan realmente las necesidades de la empresas, ya que en
muchas ocasiones sabemos que se contrata por las ya conocidas palancas o
recomendaciones.
89
3.3. ENTREVISTAS CON EL PERSONAL DE
INFORMÁTICA
Se podrá entrevistar al personal de las áreas de informática, esta puede ser
eligiendo a un grupo de personas, claro que también pueden participar los que
deseen y se siguiere que puede algún lugar y hora que ellos elijan. Hay quienes
incluso solicitan que las reuniones sean fuera de las instalaciones ya que esto les
dará un clima de mayor confianza, también se les solicita que las opiniones que
tengan estén totalmente fundamentadas ya sea por escritas o con pruebas de
dichos acontecimientos. Estas entrevistas nos servirán para determinar:
Hasta que punto la estructura organizacional esta cumpliendo con sus
objetivos.
Cumplimiento de procedimientos y políticas.
Acuerdos y desacuerdos.
La capacitación, si se esta realizando o no.
Sugerencias generales.
A continuación se presenta una forma de guía sobre una entrevista:
ENTREVISTA.
1. Puesto que desempeña.
2. Nombre del jefe inmediato y puesto.
90
3. ¿Quiénes reportan al entrevistado?
4. Descripción de las actividades diarias.
5. ¿Qué actividades periódicas realiza?
6. ¿Recibió capacitación antes de desempeñar sus actividades?
7. ¿Cuenta con manuales para el desempeño de sus actividades?
8. Señale los defectos que usted encuentra en la organización.
9. Si menciona cargas de trabajo tendrá que anotarlas.
10. ¿Cómo es que las controla?
11. ¿Cómo se deciden las políticas implantadas?
12. Si recibe capacitación, ¿con qué frecuencia se realizan?
13. ¿Sobre que tema le gustaría que se le capacitara?
14. ¿Sobre que fue la capacitación mas reciente en el último año?
15. ¿Cree que el ambiente laboral es del todo satisfactorio para el desempeño
de sus funciones?
16. Observaciones generales.
Nota: cuando se realizan entrevista por que el personal lo solicita se podrán omitir
algunos punto que identifiquen a este personal, incluyendo el nombre del
solicitante, de este modo se podrá saber las necesidades y cuales son los defectos
que se tienen, recordando que si se tienen denuncias estas se tendrán que realizar
de manera fundamentada para así actuar.
91
3.4. SITUACIÓN PRESUPUESTAL Y FINANCIERA
3.4.1 Presupuestos
Se solicitará la información presupuestal, también el número de equipos y las
características que integran cada uno par poder realizar un análisis de la situación
para saber el costo económico. Dentro de esto se encontrará, costo de cada
departamento, el presupuesto desglosado por áreas, características de cada uno
de los equipos así como el número total y contratos.
Esta información nos servirá para tener una idea del poder adquisitivo de la
empresa y se sugieren algunas preguntas:
1. ¿Cuál es el gasto del área de informática (con gastos de mantenimiento y
actualización actual)? _
2. ¿Se tiene un inventario de control de gastos?
3. ¿Los usuarios conocen el costo de sus equipos y el mantenimiento que
representan? Si No
4. ¿Al realizar el control de gastos se sabe cuanto se gasta del presupuesto
asignado? Si No
92
5. Anote los principales insumos que necesita así como el mantenimiento que
requiere para que este departamento funcione correctamente:
Papelería (hojas, cintas, disco, toner, cartuchos).
Material de limpieza de los equipos (espumas, líquidos, franelas, etc.)
Mobiliario y equipos.
Software.
Mantenimiento y actualizaciones.
6. ¿Qué situación jurídica tiene cada equipo?
El equipo se renta. ( )
El equipo es propio. ( )
Es de renta con opción a compra. ( )
El equipo fue donado. ( )
El equipo lo adquirió la empresa. ( )
7. ¿Cuál es la situación jurídica del Software?
Se realizan programas internos de acuerdo a las necesidades. ( )
Se compra a proveedores. ( )
Se renta. ( )
93
Pertenece a la institución y son instalados desde su inicio y solo requieren
de actualizaciones. ( )
Se deberá tener claro la situación de los equipos ya que estos pueden tener un
numero de inventario y pueden ser federales o estatales o simplemente de la
empresa y por lo tanto se tendrá que llevar un inventario de cada equipo, en
cuanto al software se deberá tener cuidado ya que se deben de tener licencias
para el uso de los programas y no incurrir en delitos de autor.
3.4.2. Recursos financieros y materiales
Recordemos que el recurso financiero esta sujeto a la asignación, y que en
ocasiones este ya se encuentra establecido por jefes inmediatos o áreas
respectivas, pero que también se pueden realizar propuestas de acuerdo a las
experiencias laborales que se tengan, este recurso pude ser o no suficiente para
las actividades que se realizan y que también están sujetas a los objetivos y metas
que se pretenden alcanzar.
El recurso material esta muy ligado al financiero y también es indispensable para el
cumplimiento de las metas y objetivos de la empresa y como principales puntos
podemos encontrar:
94
La programación.
Adecuaciones durante las actividades.
Servicios o mantenimientos.
Equipos y mobiliario.
Dentro de la programación se tendrá que establecer un programa operativo para la
utilización de los recursos, seleccionar quiénes pueden participar en este proyecto.
El recurso material y financiero tendrá que ser suficiente para las actividades
recordando que tiene que estar en tiempo y forma pues aunque se tenga en
cantidad si no se tiene en tiempo esto origina atrasos en las actividades para poder
obtener los resultados deseados.
Los servicios y mantenimiento tendrán que realizarse de forma periódica para no
tener contratiempos en las actividades ya que se puede estar realizando en tiempo
y forma y de repente tener que parar por que no se hicieron los ajustes
necesarios.
El mobiliario tendrá que ser el suficiente y el adecuado, tendrá que estar
distribuido adecuadamente en las instalaciones o lugares donde se requiera, hay
que tener en cuanta que se pueden dejar de realizar actividades por falta de
mobiliario y equipo, si esto fueran la causa se tendrá que informar al jefe
95
inmediato para que se tomen las medidas necesarias. Recordar que se tiene que
dar mantenimiento de acuerdo a lo programado, teniendo en cuenta las medida de
seguridad para evitar errores, cuando un equipo quede obsoleto de su uso se
tendrá que reportar para tener actualizado el inventario y saber con que se cuenta
para poder ser renovado y para esta actividad deberá de existir un responsable de
este control de inventario.
96
CAPÍTULO IV
EVALUACIÓN DE LA SEGURIDAD
97
Siempre tendremos que evaluar todos nuestros datos para de esta forma
darles la mejor protección posible, desde la forma de procesarla hasta la forma
utilizarla, mediante seguridad de sistemas, datos, software, física, personal, etc.,
hasta llegar a los ya conocidos crímenes informáticos que por desgracia son cada
días mas frecuente y que para muchas instituciones y empresas se transforman en
perdidas do todo tipo.
4.1. GENERALIDADES DE LA SEGURIDAD DEL ÁREA

FÍSICA
Las áreas de informática deberán de estar en total orden y con reglas definidas
para el cuidado de estas. Los dispositivos con que cuentan en el centro de
cómputo y así como los archivos de respaldo pueden estar en riesgo si se tienen
accesos no autorizados, los dispositivos pueden sufrir pérdidas irreparables que
como consecuencia se transforman en trabajos extras para la reconstrucción de
archivos que pueden ya no ser útiles, por eso se tendrán que tener en cuenta
todas las medidas de seguridad posibles. Estas pueden ser algunas de las
indicaciones mas frecuentes.
La limpieza del área.
La ventilación y de tener ductos de aire deberán de tener aseo.
98
Limpieza de pisos falsos.
No existir humedad en los cuartos o lugares donde se almacenen los
respaldos y donde se tengan la papelería a utilizar.
Anuncios relacionados con salidas de emergencia.
Prohibir la entrada de alimentos.
No fumar en estas áreas.
La iluminación del área.
El aislamiento del ruido.
El aislamiento de la energía eléctrica y su señalización.
Ocultar correctamente las líneas de red.
En caso de incendios extintores señalizados.
Planes de contingencia en casos de desastres.
Su objetivo es establecer políticas, procedimientos y prácticas para evitar las
interrupciones prolongadas del servicio de procesamiento de datos, información
debido a contingencias como incendio, inundaciones, terremotos, huelgas,
disturbios, sabotaje, etc. y continuar en medio de la emergencia hasta que sea
restaurado el servicio completo.
99
4.2. SEGURIDAD LÓGICA Y CONFIDENCIAL
La seguridad lógica se encargara de tener la mayor seguridad posible para que la
información de cada computadora se encuentre lo más segura y no se realice un
mal uso. Por lo cual podemos intuir que puede tener repercusiones para la
empresa el mal uso de la información he inclusive poder ser usada en su contra,
por personal no autorizado, el crimen organizado, etc.
También se encarga de proteger el software en desarrollo o aplicación, poder
identificar a los usuarios y las actividades que estos realizan en los equipos,
restringir accesos a programas o archivos a los cuales deben tener contacto, y el
uso de las redes o terminales.
Unas de las más frecuentes infracciones que surgen en la falta de seguridad lógica
son:
Copias de información o programas no autorizadas.
Modificaciones a los datos en la entrada o actualización.
Códigos ocultos.
Entrada de virus que en la actualidad son de las más frecuentes.
La seguridad empieza desde una clave de acceso básica, hasta mayor seguridad,
pero hay que tener en cuenta que cuanta mayor seguridad tengamos también
100
subirán los costos. Para ello se tendrá que tener una proporcionada relación de
seguridad/costo.
Tendremos que tener en cuenta que un porcentaje de filtración de información la
realizan las personas que capturan o por las que pasan estos datos dentro de todo
este proceso. Se han detectado mas delitos en el momento de la programación
donde alguien puede crear archivos para realizar modificaciones a los sistemas o
borrados de información total, y mas cuando no se tienen los programas fuente
para poder detectar las modificaciones, ya que por lo regular solo son unas
cuantas personas que realizan esta actividad, no con esto queremos decir que
todos los programadores realizan delitos sino que también hay muchos
programadores honestos, todos los programas tendrán que ser debidamente
documentados para que no solo en unas cuantas manos este el funcionamiento de
una empresa.
Para poder proteger nuestros sistemas de computación podemos iniciar con
accesos con claves para cada usuario y personal que maneje un equipo, estos
métodos se han estado utilizando ya desde hace varios años. Desgraciadamente
en la actualidad hay personas (delincuentes) muy avanzados en conocimientos
sobre computación y pueden con facilidad elegir las claves y entrar a los sistemas
y se sugiere que se tengan más medidas de seguridad como pueden ser
acompañadas de:
101
Definir mejores políticas de seguridad.
División de responsabilidades.
Mejores elementos administrativos.
Bitácoras de acceso a la información.
Solo personal autorizado.
SEGURIDAD LÓGICA.
Dentro de esta seguridad dependerá del alto grado con que un usuario pueda
actuar o moverse dentro del sistema o las restricciones que este tenga, la
información puede estar en un archivo, base de datos o bien manejada por medio
de una red local o externa, por o mismo se pueden definir varios tipos de usuarios
como son:
Propietario. Este es el dueño del control total de la información y será el
mayor responsable de esta, el realiza cualquier función como consultar,
borrar, corregir y permitir accesos a otros usuarios hasta donde el lo
permita.
102
Administrador. El sólo actualiza o modifica el software mediante la
autorización del Propietario. La información no la puede modificar, se
responsabiliza de la seguridad lógica y de los datos.
Usuario principal. A éste le asigna actividades el Propietario, tales como
hacer modificaciones, cambios o utilizar datos, pero el no dará autorización
a otros usuarios para entrar a ciertas áreas.
Usuario de consulta. Solo revisará pero no puede realizar cambios de ningún
tipo, si puede realizar reportes o consultas para estadísticas para la
elaboración de reportes.
Usuario para auditoría. Puede utilizar la información y rastrearla para
realizar la auditoría con fines específicos. (cuando estas se realicen).
En toda empresa o institución pueden existir muchos usuarios, pero se recomienda
que solo exista un propietario o administrador que en muchos casos así se le
nombra para tener mayor seguridad de los datos de forma física designados bajo
la consulta de los jefes inmediatos de ser necesario. La información se debe
proteger bajo las siguientes características.
La confidencialidad. Será responsabilidad de las personas autorizadas para
consultar.
La integridad. Será responsabilidad de cada individuo autorizado para la
modificación de datos y programas y de los usuarios a los que se les
103
permita los accesos y que puedan ser fuera de las responsabilidades de
trabajo.
La disponibilidad. Es responsabilidad de individuos autorizados para alterar
parámetros de control de acceso a los sistemas operativos, a los
manejadores de bases de datos, software y los medios de comunicación
como las redes.
Para minimizar los riesgos podemos considerar los siguientes factores:
El valor de los datos.
La probabilidad de que se puedan realizar accesos no autorizados.
Las consecuencias que puedan tener si hay accesos no autorizados.
El riesgo que se producirá con la información que pueda ser mal utilizada.
Rutas de acceso.
Claves por usuarios.
Software de control.
Encriptameinto.
104
Rutas de acceso.
El principal objetivo de la seguridad de un sistema de información es que se
puedan controlar las operaciones y el ambiente para el monitoreo de accesos a la
información y a los programas, para que se puedan determinar las causas
probables de las desviaciones y un correcto seguimiento. Por lo cual es necesario
poder utilizar un software en los sistemas y contar con rutas de acceso.
Se ha señalado o que debe de ser necesario que los usuarios pasen por distintos
tipos de seguridad antes de llegar a lo que ellos necesitan como acceso a
programas y datos dentro de los tipos de restricciones son:
Para solo consulta.
Para solo lectura.
Lectura y consulta.
Actualización de datos altas, bajas, cambios o copiar archivos.
Con esto se puede identificar:
Identificar al usuario.
El tipo de usuario.
El dispositivo por el cual entro.
105
El software usado.
Los recursos a los cuales accedió.
El auditor deberá de conocer los puntos de acceso para la evaluación de los puntos
de control para poder proteger los datos de la mejor manera posible y sin
limitaciones.
CLAVES DE ACCESO.
Este es un punto importante de la seguridad lógica, y por los cuales existen
diferentes tipos de maneras de identificar a un usuario como puede ser un
password, credencial con banda magnética, un código de barras, características de
usuarios, etc. este es un proceso para saber de que usuario se trata ya que se
identificará por entrada única reconocida por el sistema.
El password también conocido como clave de acceso serán usadas para controlar
el nivel al que pueden o no acceder controlar la entrada a una computadora, que
información pueden o no ver, las funciones permitidas, etc. Entre algunas
características pueden tener:
Que el usuario este registrado.
La longitud de que los caracteres correspondan.
106
No se debe visualizar la clave al ser tecleada (como por ejemplo: #####).
Deberán ser encriptadas para mayor seguridad.
Se recomienda sean caracteres numéricos y alfanuméricos (no es
recomendable familiarizarlas con su nombre, apellidos, fechas de nacimiento
etc.).
Credencial por banda magnética. Como toda credencial se recomienda que tenga
nombre y firma como las utilizadas en los bancos, para poder acceder a los
sistemas, también se tendrá que tener confianza en los usuarios que no la
traspasen o presten a personal ajeno, por tal motivo es la foto y la firma, y al
realizarlas poner medidas de protección que sean infalsificables, en la actualidad
en ves de bandas magnéticas se colocan código de barras.
Características de usuarios. En la actualidad son de los métodos más sofisticados y
seguros, pero sin dejar de lado que son muy costosos, son de tecnología
biométrica y que pueden basarse en el reconocimiento de:
La voz.
La firma.
La retina.
Huella dactilar (de solo un dedo).
Huella completa de la mano.
107
SOFTWARE DE CONTROL DE ACCESOS.
Este software es diseñado par permitir el manejo y control de acceso a los
recursos:
Archivos de datos.
Programas de aplicación.
Utilerías.
Diccionario de datos.
Comunicación.
Archivos.
Programas.
Controla los accesos a toda la información llevando un registro de cada usuario
entre las cuales se encuentran las siguientes funciones:
Registro de funciones del usuario cuando acceso al sistema.
Define cada usuario.
Este software protegerá los recursos mediante la identificación de usuarios por sus
llaves de acceso, esto se guardara en archivos los cuales se encriptarán para
mayor seguridad, como se ha dicho todos los usuario tendrán un grado de
108
accesibilidad para poder controlar la información. Unos pueden restringir el acceso
a datos, archivos, librerías mientras otros podrán restringir el uso de una terminal,
o el uso de alguna información.
Otra de sus cualidades es que estos paquetes pueden detectar violaciones, cuando
se toma en cuenta las siguientes medidas:
Terminaciones de procesos.
Cuando se obligan a las terminales para que se apaguen.
Desplegar los mensajes de error.
Registros para la auditoría.
También se sugiere que se pueda realizar una bitácora donde se registrarán los
accesos exitosos por parte de personas no autorizadas y que actividades
realizaron, así como las no exitosas que llevan en el día, la hora, la clave con la
que entraron, por donde entraron, etc.
El software que se manejan en la actualidad son:
Sistemas Operativos. Es un programa o conjunto de programas de
computadora destinados a permitir una gestión eficaz de los recursos entre
el software y el hardware. Manejan los controladores para la ejecución de
109
programas y prevén servicios que el usuario necesita, cada servicio necesita
un calendario de trabajo, manejador de equipos periféricos, un contador de
trabajo, compilador de programas y pruebas. Tienen sistemas de control en
la salida para tener accesos importantes del sistema. Usan claves de acceso,
algunos restringen las fallas cuando se pretende entrar con claves erróneas.
Software manejador de bases de datos. Su finalidad es la de controlar,
organizar y manipular los datos, manipula la integridad de los datos entre
operaciones, funciones y tareas de la organización.
Software de consolas o terminales maestras. Se define como varios
programas del sistema operativo para proveer soporte y servicio para que
las terminales puedan acceder a programas, incluye funciones de seguridad
para restringir el acceso a los datos por programas de aplicación gran parte
de estas consolas llevan un registro de las llaves de acceso válidas y no
válidas.
Software de librerías. Está formado por datos y programas para ejecutar
una función especifica en la organización. Los programas de aplicación más
conocidos como librerías se pueden guardar en archivos del sistema y su
acceso se puede controlar por programas de software. Cuando se instala
este software se definen las librerías y los respectivos niveles de protección.
110
Software de utilerías. En la actualidad encontramos dos tipos, uno usado en
sistemas de desarrollo que provee productividad. Por ejemplo para el
desarrollo de programas y editores en línea, el segundo para asistir en
manejo de operaciones de una computadora como ejemplo de manejadores
de disco. Algunos ejemplos de utilerías de este software están:
1. Manejador de discos.
2. Utilerías de monitores.
3. Editores en línea.
4. Sistemas de virus.
5. Software de telecomunicaciones.
4.3. SEGURIDAD PERSONAL
Para que un buen centro de computo funcione es necesario de que el personal
este comprometido, estén integrados, sean estables y sean leales, para lo cual
cuando se integren a estos lugares de trabajo se examinen sus antecedentes de
trabajo.
Es importante considerar sus valores morales ya que estas personas trabajan por
lo regular bajo presión por lo que es importante su actitud de servicio y de dar lo
mejor de si mismos. Las personas de informática tendrán un alto sentido ético y de
111
lealtad claro que no todas las personas cuentan con estas características, por lo
cual el auditor tendrá que ser muy cuidadoso y examinar no solo el trabajo del
personal de informática sino también la veracidad y confiabilidad de los programas.
Por lo regular en estos puestos se trabaja demasiado y con gran presión, y muchos
de estos no se toman sus vacaciones como debe de ser, debido a la dependencia
de estas personas que ocupan los puestos, algunos de estos llegan a considerarse
que son “indispensables” en su totalidad, por lo que es conveniente trabajen y
descansen lo mejor posible, en caso de renuncia tendrá que existir otra persona
que se quede a cargo sin que esto ponga en riesgo a la empresa.
Se sugiere la rotación del personal principalmente en los altos mandos para poder
evitar toda clase de fraudes que puedan estar realizando, ya que en la rotación por
mes se puede observar si están realizando algún tipo de fraude o desvió de
información se pueden detectar por las personas que llegan a esos puestos, claro
que esta rotación puede implicar costos para la organización pero se pueden evitar
perdidas que podrían tener mayor costo tanto financiero como de reputación ante
la sociedad, también se identifica que empleados funcionan y quienes no para de
este modo poder prescindir de sus servicios.
Una forma de motivar al personal es la rotación, así como la capacitación y
actualización, y un empleado motivado dará lo mejor de si mismo y es mucho mas
112
leal de esta forma y se logran disminuir los ataques que se pudieran programar e
incluso proponiendo incentivos justos.
El empresario así como los auditor debe saber que mucho de los fraudes y fugas
de información surgen del mismo personal a cargo de estos departamentos, por tal
motivo se debe de motivar al personal, así como teniendo los controles de
seguridad adecuados los cuales serán observados principalmente por el área de
informática, de la motivación y capacitación dependerá que se disminuya en gran
porcentaje todo tipo de delito.
4.4. CLASIFICACIÓN DE LOS CONTROLES DE

SEGURIDAD
Tipos de Controles.
Controles de Preinstalación.
Controles de Organización y Planificación.
Controles de Sistemas en Desarrollo y Producción.
Controles de Procesamiento.
Controles de Operación.
Controles de uso de Microcomputadores.
113
Controles de Preinstalación.
Hacen referencia a procesos y actividades previas a la adquisición e instalación de
un equipo de cómputo y obviamente a la automatización de los sistemas
existentes.
Objetivos
Garantizar que el hardware y software se adquieran siempre y cuando
tengan la seguridad de que los sistemas computarizados proporcionaran
mayores beneficios que cualquier otra alternativa.
Garantizar una selección adecuada de equipos y sistemas de computación.
Asegurar la elaboración de un plan de actividades previo a la instalación.
Controles de Organización y Planificación.
Se refiere a la definición clara de funciones, línea de autoridad y responsabilidad
de las diferentes unidades del área.
Acciones a seguir
Las funciones de operación, programación y diseño de sistemas deben estar
claramente delimitadas.
114
Evitar interferir en las funciones.
Debe existir un control de calidad, tanto de datos de entrada como de los
resultados del proceso.
El manejo y custodia de dispositivos y archivos magnéticos deben estar
expresamente definidos por escrito.
Las actividades deben obedecer a planificaciones a corto, mediano y largo
plazo sujetos a evaluación.
Controles de Sistema en Desarrollo y Producción.
Se debe justificar que los sistemas han sido la mejor opción para la empresa, bajo
una relación costo-beneficio que proporcionen oportuna y efectiva información,
que los sistemas se han desarrollado bajo un proceso planificado y se encuentren
debidamente documentados.
Los usuarios deben participar en el diseño e implantación de los sistemas
pues aportan conocimiento y experiencia de su área y esta actividad facilite el
proceso de cambio.
115
Acciones a seguir.
El personal de auditoría interna/control debe formar parte del grupo de
diseño para sugerir y solicitar la implantación de rutinas de control.
El desarrollo, diseño y mantenimiento de sistemas obedece a planes
específicos, metodologías estándares, procedimientos y en general a
normatividad escrita y aprobada.
Cada fase concluida debe ser aprobada documentadamente por los usuarios
mediante actas u otros mecanismos a fin de evitar reclamos posteriores.
Los programas antes de pasar a Producción deben ser probados con datos
que agoten todas las excepciones posibles.
Todos los sistemas deben estar debidamente documentados y actualizados.
La documentación deberá contener:
Informe de factibilidad
Diagrama de bloque
Diagrama de lógica del programa
Objetivos del programa
Listado original del programa y versiones que incluyan los cambios
efectuados con antecedentes de pedido y aprobación de modificaciones.
Formatos de salida.
Resultados de pruebas realizadas.
Implantar procedimientos de solicitud, aprobación y ejecución de cambios a
programas, formatos de los sistemas en desarrollo.
116
El sistema concluido será entregado al usuario previo entrenamiento y
elaboración de los manuales respectivos.
Controles de Procesamiento.
Los controles de procesamiento se refieren al ciclo que sigue la información desde
la entrada hasta la salida de la información, lo que conlleva al establecimiento de
una serie de pasos para:
Asegurar que todos los datos sean procesados.
Garantizar la exactitud de los datos procesados.
Garantizar que se grabe un archivo para uso de la gerencia y con fines de
auditoría.
Asegurar que los resultados sean entregados a los usuarios en forma
oportuna y en las mejores condiciones.
Controles de Operación.
Abarcan todo el ambiente de la operación del equipo central de
computación y dispositivos de almacenamiento, la administración de discoteca y
117
cintoteca, la operación de terminales y equipos de comunicación por parte de los
usuarios de sistemas on line.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de
Cómputo durante un proceso.
Evitar o detectar el manejo de datos con fines fraudulentos por parte de
funcionarios.
Garantizar la integridad de los recursos informáticos.
Asegurar la utilización adecuada de equipos acorde a planes y objetivos.
Controles en el uso del Microcomputador.
Es la tarea más difícil pues son equipos mas vulnerables, de fácil acceso, de fácil
explotación pero los controles que se implanten ayudaran a garantizar la integridad
y confidencialidad de la información.
Acciones a seguir.
118
Adquisición de equipos de protección como supresores de pico, reguladores
de voltaje y de ser posible UPS (Uninterruptible Power Supply o Sistema de
Alimentación Ininterrumpida) previo a la adquisición del equipo.
Vencida la garantía de mantenimiento del proveedor se debe contratar
mantenimiento preventivo y correctivo.
Establecer procedimientos para obtención de backups de paquetes y de
archivos de datos.
Revisión periódica y sorpresiva del contenido del disco para verificar la
instalación de aplicaciones no relacionadas a la gestión de la empresa.
Mantener programas y procedimientos de detección e inmunización de virus
en copias no autorizadas o datos procesados en otros equipos.
Estandarización del Sistema Operativo, software utilizado como
procesadores de palabras, hojas electrónicas, manejadores de base de
datos y mantener actualizadas las versiones y la capacitación sobre
modificaciones incluidas.
119
4.5. SEGURIDAD EN LOS DATOS Y SOFTWARE DE
APLICACIÓN
Objetivo.
Se centra principalmente en proteger el elemento principal que es la información
que se compone tanto de las aplicaciones informáticas como del contenido de las
bases de datos y de los archivos. Se dice que la información esta entre los activos
mas importantes de la empresa, hablando en términos contables.
La aplicación de la seguridad de la información nos exige una previa clasificación
de ésta, debido a que no siempre tiene el mismo valor.
Los responsables de cada área deben ser los quienes manejen información y serán
clasificación por niveles.
Confidenciales: Son datos de difusión no autorizada. Su mal uso puede ocasionar
un importante daño a la organización.
Restringidos: Son datos de difusión no autorizada. La mala utilización iría contra
los intereses de la organización y/o sus clientes. (Por ejemplo, datos de producción
de la organización, programas o utilidades, software, datos personales, datos de
inventarios, etc.)
120
Uso interno y No clasificado: No tienen la necesidad de algún grado de protección
para poder circular dentro de la organización. (Organigramas, política y
estándares, listín telefónico interno, etc.)
Características de la Seguridad.
Confidencialidad: Intenta que la información sea conocida exclusivamente por los
usuarios autorizados en tiempo y forma determinados.
Integridad: Intenta que la información sea creada, modificada o borrada sólo por
los usuarios autorizados.
Disponibilidad: intenta que la información se pueda utilizar cuando y cómo lo
requieran los usuarios autorizados.
Autenticación: Acreditando que el remitente del mensaje es quién dice ser y no
otra persona para evitar sea interceptada.
No repudio: Tanto en origen como en destino, previniendo que ni el remitente ni el
destinatario puedan alegar que no han enviado o recibido algunos datos y poder
ser comprobables para aclaraciones.
Control de accesos: Solo personal autorizado puede acceder a los recursos.
121
Confiabilidad e Integridad.
Tiene como resultado el comprobar el origen de los datos, autorización,
incorporación al sistema por el cliente, por empleados de forma automática,
revisión de cómo se verifican los errores todo esto como consecuencia de tener un
mayor control del sistema.
Proceso de los datos: Controles de validación, de integridad, almacenamiento, etc.
Salida de resultados: Controles en transmisiones, en impresión, en distribución,
etc.
Para así obtener retención de la información y protección en función de su
clasificación, destrucción, etc.
4.6. CONTROLES PARA EVALUAR SOFTWARE DE

APLICACIÓN
Estos tienen como principal objetivo que se verifique que existe un sistema de
control interno que protege los activos materiales e inmateriales de la instalación
informática de cualquier posible amenaza o riesgo que se le conoce como la
protección de Activos y Recursos. Se tendrá que mantener la integridad de los
datos mediante mecanismos de control que se evalúen constantemente la calidad
122
de los datos, recordemos que todo sistema tiene que tener efectividad para
alcanzar los objetivos del sistema dependiendo de sus características y
necesidades, circulando por los canales ya asignados, hay que tener en cuenta que
un sistema eficiente es aquel que con el mínimo de recursos para dar el mejor
resultado.
Los sistemas se pueden evaluar mediante.
Un estudio de factibilidad para saber si el sistema es:
Adecuado a realizarse.
Su relación costo/benefició.
Se deberá solicitar el estudio de factibilidad de los diferentes sistemas, que se
encuentren en operación, los que estén en fase de análisis para verificar que:
Se considere la disponibilidad y características del equipo.
Los sistemas operativos y lenguajes disponibles.
Las necesidades de los usuarios y el uso que le den.
Las formas de utilización de los sistemas.
Congruencia de los diferentes sistemas.
Tendremos que tener en cuenta que en todo sistema existen problemas.
123
4.7. CONTROLES PARA PREVENIR CRÍMENES Y
FRAUDES INFORMÁTICOS
En la actualidad se define como fraude a toda acción que se define como engaño o
contraria a la verdad y rectitud, muchos estudiosos en cuanto a derecho tratan de
formular una opinión para este mal, ya que llevan una conexión entre la vida social
o cotidiana con la vida jurídica de cada pueblo a lo largo de muchos años.
Un crimen es un acto humano o acción, un crimen es antisocial y lesiona, por lo
cual pone en peligro a un interés jurídicamente protegido. Y ante la ley es un acto
o acción que se hará merecedor a un castigo.
No solo perjudica lo físico sino también la funcionalidad así como seguridad.
4.8. PLAN DE CONTINGENCIA, SEGUROS,

PROCEDIMIENTOS DE RECUPERACIÓN DE DESASTRES
Los ataques principalmente que sufren las instalaciones pueden ser por personas
que laboran dentro de la misma empresa, defraudadores, ladrones informáticos,
en algunos casos por manejos inadecuados de la información, bien sabemos que
no estamos exentos de que surjan desastres que puedan dañar nuestros sistemas
o instalaciones por lo cual siempre es importante que podamos prever tales
124
acontecimientos tomando algunas medidas de seguridad, por muy básicas que sea
es necesario contar con un plan de contingencia el cual nos ayudará a identificar y
actuar ante un acontecimiento crítico asegurando con ello la estabilidad del
personal del área de cómputo así como la información y mobiliario que se
encuentren ahí.
Para que en la medida de nuestras posibilidades se efectuara una restauración en
el menor tiempo posible, por consiguiente toda oficina de informática tendrá que
contar con un plan de contingencia; el cual debe estar previamente aprobado para
tales emergencias y deberá contener de manera básica los siguientes puntos:
Procedimientos básicos.
Información necesaria.
Con estos puntos se podrá reanudar el sistema o centro de cómputo. Algunas
compañías piensan que a ellos nunca les sucederá ningún desastre pero sin
embargo se tiene que realizar y cada plan de contingencia será especialmente
elaborado para cada compañía o institución, por las características de sus equipos
instalaciones, forma de trabajo, etc., ya que no se pueden utilizar para todos en
general, recordando que se tratara de hacer en el menor tiempo posible y en el
menor costo, tratando de afectar lo menos posible a la compañía o institución.
125
Para que un sistema sea capas de resolver los problemas que se puedan
presentar, tendrán que ponerse a prueba dentro de condiciones normales, para
que de este modo se pueda comprobar su efectividad y de no ser así se puedan
realizar las adecuaciones para tratar de que el plan sea lo mejor posible.
Varias compañías que se dedican a la auditoría sugieren algunos puntos a
considerar en la elaboración y aplicación de un plan de contingencia:
Garantizar la integridad de los datos.
Saber de forma rápida cual es la información confidencial.
Preservar los activos de desastre provocados por la mano del personal.
Asegurar la capacitación del personal sobre el plan para sobrevivir a
accidentes.
Es importante señalar que durante la prueba del plan de contingencia no se debe
perder de vista ningún detalle tal es el caso de conocer la configuración, el sistema
operativo, los discos, etc., del equipo de cómputo con que se estará trabajando en
caso de presentarse algún desastre ya que estos aspectos en una emergencia
pueden obstaculizar el proceso de respaldo de la información interfiriendo con ello
el éxito de la aplicación del plan de contingencia. Por lo tanto cuando se pone a
prueba el plan de contingencia se debe siempre tener en mente que las
126
situaciones de desastre que se están representando pueden hacerse reales en
cualquier momento. Y por ello debemos de estar preparados.
Es recomendable que las revisiones al plan de contingencia se hagan cada seis
meses para con ello evitar ser sorprendidos en caso de algún tipo de desastre
cuyas soluciones no se hayan contemplado en el plan de contingencia. Una vez
que el plan fue puesto a prueba y ha sido aprobado con las modificaciones
pertinentes es de vital importancia repartirlo al personal responsable de su
operación, que en la mayoría de los casos es al personal que se encuentra
laborando en las áreas de cómputo. Además de ser distribuido es muy importante
contar con una copia del plan de contingencia en algunos lugares que se
encuentren cercanos al centro de cómputo como una medida más en caso de que
el desastre fuera mayor y se produjera la destrucción total del centro de cómputo,
por ello cuando se elabora el plan de contingencia es de gran importancia
identificar los procesos críticos, el tiempo y los recursos para restablecer el servicio
ante una contingencia y considerar todo aquello que asegure la continuidad de la
organización, incluyendo registros manuales y documentación fuente.
Dependiendo del tipo de información que un plan de contingencia contenga será
clasificado como confidencial o de acceso restringido según sea el caso y por
consiguiente el gerente de la empresa designará a las personas que tendrán
acceso al conocimiento total o parcial del mismo.
127
Como ya se ha mencionado las empresas no están exentas de sufrir algún tipo de
desastre y desafortunadamente en algunas ocasiones los daños que éstos pueden
llegar a causar son de mayor o menor magnitud, en base a ello podemos decir que
existen diferentes tipos de desastres:
Perdida total del área de informática.
Destrucción de la información que se tenga documentada ya se parcial o
total.
Perdida parcial del área.
Cuando el área de informática sufre daños de electricidad, en su estructura
como pisos, paredes, entradas, etc.
También intervienen problemas laborales.
Se considera como grave la perdida de algún integrante de la organización.
Dependiendo de la magnitud del desastre el plan de contingencia deberá contar
con una metodología la cual nos ayudará a tener una mayor eficacia en la pronta
recuperación de la situación ante una contingencia sufrida.
Un plan de contingencia debe ser elaborado por el personal que se encuentre en
las áreas de informática particularmente deberán estar al frente el personal de
administración de dicha área como pueden ser los jefes de operación de análisis,
programación y auditoría interna ya que ellos como encargados del área poseen un
128
mayor conocimiento acerca del manejo y funcionamiento de la misma, así como
tienen acceso a la información que se genera en dicho espacio y que en la mayoría
de los casos tienen un carácter confidencial. A su vez es importante que este
personal se apoye en algunos otros trabajadores que sean de absoluta confianza
para que las tareas a llevar a cabo en la realización del plan de contingencia sean
repartidas y con ello optimizar el desarrollo del mismo.
Dentro de los objetivos que todo plan de contingencia debe tener son los
siguientes:
Disminuir los daños que el desastre realice.
Deberá contener el costo del plan de recuperación, incluyendo la
capacitación y la organización para restablecer las actividades de la empresa
en caso de que se genere una interrupción de las operaciones.
Asignar tareas para evaluar los procesos indispensables de la empresa.
Contar con una excelente metodología que permita valorar los procesos
para un menor tiempo de respuesta.
129
4.9. TÉCNICAS Y HERRAMIENTAS RELACIONADAS
CON LA SEGURIDAD FÍSICA Y DEL PERSONAL
El objetivo de la seguridad física es seguir los procedimientos, políticas y practicas
para evitar desastres y prolongar las interrupciones para poder trabajar o procesar
datos, como son:
Incendios.
Inundaciones.
Huelgas.
Sabotajes.
Terremotos.
Huracanes.
También pudiendo evaluar algunos de estos aspectos que también son áreas.
Edificios (ubicación del edificio, ubicación del área de cómputo, elementos
de construcción, control de accesos).
Instalaciones (potencia eléctrica, sistemas contra incendio).
Equipamiento y telecomunicaciones. (Potencia eléctrica, seguridad de los
equipos y medios de comunicación).
Datos (duplicación y respaldo de datos, integridad de la información,
seguridad de los datos).
130
Personas (seguridad física de las personas, selección de personal).
Para poder reanudar los servios en el menor tiempo posible, y las perdidas de
información menores posibles. Unas de las técnicas que se pueden considerar para
la seguridad son:
1. Ubicación y construcción del área de informática.
2. Pisos elevados.
3. Aire acondicionado.
4. Instalación eléctrica.
5. Seguridad contra desastres provocados por agua.
6. Equipos de seguridad.
UBICACIÓN Y CONSTRUCCIÓN DEL ÁREA DE INFORMÁTICA.
En tiempos pasados estos espacios eran construidos en lugares muy visibles, o
ventanas muy grandes ya que era un orgullo tener sistemas de computo los cuales
se podían ver desde fueras de las propias instalaciones o a gran distancia, estos
espacios eran de tráfico pesado para que pudieran ver todo el equipo que se tenia,
en la actualidad ya estos lugares se encuentra mas escondidos, no visibles al
publico, prácticamente están aislados de todo tráfico de personas que no tienen
nada de que enterarse de cuanto quipo se tiene resguardado por ser objeto de
131
riesgo para sabotajes y robos de equipos y de información, y todos prácticamente
con accesos limitados a cierto personal.
Los materiales con que se construyen estas áreas han cambiado y ya no son
altamente inflamables, o que puedan ocasionar mucho polvo el cual dañará
notablemente los equipos y su rendimiento o ciclo de vida, se han sustituido por
materiales de mejor calidad. Se prefieren lugares donde no de directamente el sol
al interior del inmueble y ventanas pequeñas para no poner en riesgo al personal y
el equipo. Hay que tener mucho en cuenta el espacio que se tiene para el número
de equipos que se tengan que instalar en un área, ya que de no tomarse en
cuenta puede generar demasiado calor o saturación de personal lo cual generaría
perdidas, en la actualidad se consideran paredes falsas para poder ser movibles y
así tener mejores espacios aunque bien sabemos que los quipos cada vez son mas
pequeños y ocupan menos espacios pero puede incrementar el numero de estos.
Se deberá contemplar dentro de estos espacios lugar para:
Almacenamiento de respaldos y software de instalación.
Formatearía a utilizar.
Mobiliario como mesas de trabajo y escritorios.
Un área y herramienta para mantenimiento.
Equipo de telecomunicaciones y servidores.
132
Área de energía eléctrica.
Área de recepción de señal cuando se cuenta con servicio de Internet.
Recordemos que estas medidas deberán proteger íntegramente al personal para
evitar el mayor porcentaje posible de accidentes dentro de esta área.
PISO ELEVADO.
En tiempos pasados era necesario de un piso totalmente falso, para el acomodo de
cables he incluso de conductos de aire, pero en la actualidad por las condiciones
de las computadoras ya no es necesario este piso, ya se instalan conductos para el
tendido de cables principalmente de redes para comunicación y que también ya se
sustituyen por redes inalámbricas.
De tener un piso falso este deberá ser capaz de soportar cargas elevadas y
uniformes, así como cargas por equipos extras que se tengan que utilizar en esta
área según se haga mas grande la adquisición de equipo, se sugiere que los
acabados sean con plásticos antiestáticos, este piso debe de tener las
características de ser movido fácilmente para la instalación de cables y la limpieza
se pueda hacer con un trapo hasta con equipo nuevo como una aspiradora.
133
AIRE ACONDICIONADO.
Este dispositivo dependerá en gran medida del tipo de computadoras que se
utilicen depende del lugar en que se encuentren y de verificar las temperaturas
máximas y mínimas que se tengan, los conductos por los que llegara a pasar el
aire tendrán que estar en constante servicio de limpieza para evitar el polvo
principalmente, estos conductos son frecuentemente causas de incendios, y muy
vulnerables a ataques físicos por lo cual se tendrán que proteger con mayas en
interiores y exteriores, se siguiere instalar detectores de humo para prevenir toda
clase de incendio recordando que los usuarios o trabajadores estén lo mejor
protegidos.
INSTALACIÓN ELÉCTRICA.
Este es uno de los puntos en donde se debe de tener mucho cuidado ser evaluado
y controlado, ya que no solamente puede ser objeto de interrupciones de energía y
pérdidas de información ya que también es una de las causas de incendios. Todo
auditor tendrá que apoyarse de una persona especialista en electricidad par poder
evaluar las condiciones en las cuales se encuentran trabajando estas áreas.
Todo el sistema eléctrico tiene que estar perfectamente identificado como
tradicionalmente se hace por medio de colores. Para todo el sistema de cómputo
134
las conexiones deben de ser independientes, además de contar con tierra física la
cual las protege en casos de descargas eléctricas. Se deberán tener los planos de
la instalación y si han sufrido modificaciones tendrán que estar actualizados. Es
común que cuando estos contactos no se especifican para equipos de cómputo
pueden instalar otros equipos como copiadoras o aires acondicionados los cuales
pueden producir picos de corrientes eléctricas.
Los niveles de variación de la energía pueden ser causados por máquinas eléctricas
como motores, ascensores los cuales pueden producir daños a los equipos por lo
cual se recomienda se cuente con tierra física la cual tiene que estar debidamente
instalada de acuerdo con especificaciones de los proveedores, así como también es
importante contar con reguladores de energía conocidos como no-break, es
esencial tomar en cuenta las características de los reguladores los cuales pueden
funcionar para varios equipos o solo pueden limitarse a un número reducido
dependiendo de las cargas específicas del regulador a utilizar esto nos ayudará a
evitar sobrecargas en ellos. Otras de las medidas de seguridad es contar en la
medida de las posibilidades con reguladores eléctricos de energía las cuales
puedan almacenar energía para que en cierto periodo ya sea por horas o minutos
para que se realice el apagado de los equipos lo mas rápido posible así como los
respaldos correspondientes para guardar la información que fuera mas importante
en ese momento.
135
Es importante recordar también que existe fauna nociva que puede dañar el
sistema eléctrico y de comunicaciones, como son los roedores que
tradicionalmente se comen los plásticos de los cables por lo cual hay que
combatirla de forma inmediata, una de las opciones serían con trampas o venenos,
aunque de utilizar esta última medida se debe tener mucho cuidado en su
aplicación para evitar con ello algún problema al personal.
Cuando se tienen sistemas de alto riesgo o seguridad los cuales no deben de tener
fallos de energía eléctrica un claro ejemplo son los sistemas bancarios que no solo
tendrán que contar con reguladores y con interruptores sino con plantas de luz de
emergencia para cuando se pierda la energía por un período prolongado.
Los incendios a causa de energía eléctrica son un riesgo latente, para reducir en
gran medida este problema los cables podrán ser puestos en paneles o canales
resistentes al fuego, en la actualidad estos canales se encuentran en los pisos de
los centros de cómputo. Se debe cuidar que no solo estén aislados sino que no se
encuentren distribuidos por toda la oficina ó áreas de cómputo.
Los circuitos de iluminación y sistemas de aire no deberán conectarse a los
tableros utilizados por los sistemas. Cada proveedor deberá distribuir un tablero
que contenga un interruptor general, voltímetro, amperímetro e interruptor
136
individual para cada unidad que configure. Éste tablero deberá estar en un lugar
visible y accesible así como rotulado para su fácil localización.
SEGURIDAD CONTRA DESASTRES PROVOCADOS POR AGUA.
Éstas áreas nunca deben de estar en sótanos o plantas bajas, se recomienda
instalarlas en plantas altas o lugares elevados para con ello evitar que al existir
alguna inundación o desastre por el agua los equipos puedan ser dañados y con
ello se pierda algún tipo de información, recordando que en zonas sísmicas no
provoquen problemas por exceso de peso y puedan surgir problemas. Siempre se
tendrá que optar por la mejor opción para tener la mejor seguridad posible cuando
en las zonas existan problemas de inundaciones o sísmicas. En algunas zonas la
ruptura de cañerías o el bloqueo de los drenajes pueden originar problemas para
la instalación de los centros de cómputo. Si es necesario se podrán instalar
bombas de emergencia para que se resuelvan las inundaciones inesperadas.
Otro de los cuidados para evitar daños es poseer aspersores contra incendios
especiales que no utilicen agua.
137
AUTORIZACIÓN DE ACCESOS.
Es importante que los accesos sean estrictos todo el tiempo incluyendo al personal
de la propia organización, y poner un especial cuidado durante los descansos y
cambios de turnos. Preferentemente se deberán identificar antes de entrar a estas
instalaciones, para lo cual será de gran utilidad que porten un gafete que los
identifique como personal de esa área. El personal autorizado podrá acceder por
medio de llaves que les han sido proporcionadas por la gerencia de la empresa. A
continuación se dan algunas sugerencias para restringir estos accesos:
Puerta con cerradura: Con la tradicional llave de metal tratando de que ésta
sea muy difícil de duplicar.
Puerta de combinación: Este sistema contendrá una combinación de
números para poder accesar; de preferencia esta clave se debe cambiar con
regularidad, y más aún cuando un usuario sea transferido o termine la
función dentro de esa área.
Puerta Electrónica: Éste sistema utiliza una tarjeta de plástico magnética o
una llave de entrada la cual contiene un código especial que es leído por un
sensor.
Registros de Entrada: Todo visitante deberá registrarse indicando su
nombre, su procedencia, la razón de la visita, y persona o departamento al
138
que visita. Es recomendable solicitar una identificación con foto para
asegurar que la persona no de datos falsos.
Videocámaras: Se colocarán en puntos clave para poder tener un mayor
control sobre las actividades que se realizan en esta área. Las cintas
deberán ser guardadas para posibles análisis en caso de presentarse algún
problema.
Guía de visitantes: Todo visitante deberá ser acompañado por un empleado.
A un visitante se le considera desde un amigo, proveedor asistente de
mantenimiento, auditor y en general a cualquier persona ajena a esta área.
Puertas dobles: Se trata de dos puertas donde no se controla el tiempo de
apertura y una abre después de la otra. Un claro ejemplo son las que se
utilizan en los bancos.
Alarmas: Estas alarmas se instalarán de la manera más discreta posible para
no llamar la atención. Ésta medida puede ocuparse en las áreas cercanas al
centro de cómputo y dentro de éste.
EQUIPOS DE SEGURIDAD.
Es recomendable que existan detectores de humo por ionización, estos sistemas
deberán sonar una alarma para indicar la situación; esto permitirá interrumpir la
energía eléctrica al equipo de cómputo. Se deberán colocar en lugares estratégicos
139
para prevenir cualquier clase de incendio. A si mismo se tiene que contar con
extintores portátiles los cuales deben revisarse periódicamente para saber cuántos
existen, su capacidad, el peso, el tipo de producto que se utiliza, la forma en que
se pueden transportar, fijarse que sus componentes no deben de provocar mayor
prejuicio a las máquinas (que pueden ser líquidos), que produzcan gases tóxicos,
que sean factibles para ser manejados por una mujer y que estén colocados en
una altura adecuada.
Cabe señalar que en caso de incendio los productos como cintas magnéticas al
quemarse producen gases tóxicos y todo papel al quemarse es altamente
inflamable, por lo cual se sugiere que todo este tipo de material se encuentre en
cuartos aislados o fabricados para resistir el calor por lo menos dos horas. Por lo
cual se sugiere la elaboración de planes de evacuación que estén documentados y
aprobados para garantizar la seguridad del todo el personal que labora en estas
áreas.
140
4.10. TÉCNICAS Y HERRAMIENTAS RELACIONADAS
CON LA SEGURIDAD DE LOS DATOS Y SOFTWARE DE
APLICACIÓN
Seguridad estándar.
En la mayor parte de las ocasiones, los equipos se utilizan para almacenar datos
valiosos y confidenciales de las empresas o instituciones. Estos datos pueden ser
de tipos muy diversos, pasando por información financiera hasta archivos del
personal o correspondencia privada.
También deberá protegerse de cambios accidentales o voluntarios en la
configuración del equipo. Sin embargo, los usuarios de los equipos necesitan
realizar su trabajo sin obstáculos que dificulten excesivamente el acceso a los
recursos que precisan.
Por lo cual se sugiere la aplicación de un Test de seguridad de antivirus en equipos
que contienen archivos confidenciales
141
Cuentas de usuarios y grupos.
Con una configuración de seguridad estándar, se debería necesitar una cuenta de
usuario (que es un nombre de usuario) y una contraseña para poder utilizar el
equipo (como ya se ha definido formado de números y letras de preferencia y
cambiados constantemente). Puede establecer, eliminar o deshabilitar cuentas de
usuario con el Administrador de usuarios, que se encuentra en el grupo de
programas de Herramientas administrativas. El Administrador de usuarios también
permite establecer directivas de contraseñas y organizar las cuentas de usuario en
grupos.
142
Contraseñas.
Cualquier persona que conozca un nombre de usuario y la contraseña
asociada puede iniciar una sesión como si fuera ese usuario. Los usuarios
deben procurar mantener sus contraseñas en secreto. A continuación, se
ofrecen algunas sugerencias:
Cambie de contraseña con frecuencia y evite volverla a utilizar.
No utilice palabras que se puedan adivinar fácilmente ni que aparezcan en
el diccionario. Una frase o una combinación de letras y números podrá ser
lo mejor.
No anote la contraseña, procure elegir una que le resulte fácil de recordar.
Test de Auditoría de contraseñas.
143
Proteger archivos y directorios.
El sistema de archivos NTFS (New Technology File System o Nueva
Tecnología de Sistema de Archivos) proporciona más características de
seguridad que el sistema FAT (File Allocation Table o “tabla de ubicación de
archivos”) y debe utilizarse siempre que la seguridad sea importante.
Con NTFS, puede asignar distintas protecciones de archivos y directorios,
especificando qué grupos o cuentas individuales pueden tener acceso a
estos recursos y de qué modo.
1. Evaluación de los Sistemas.
Para investigar el costo de un sistema se debe considerar:
Costo de los programas.
Uso de los equipos.
Tiempo, personal y operación.
Costos directos e indirectos de operación.
Como beneficios podemos citar:
Ahorro en los costos de operación.
Reducción en tiempo de proceso.
144
Mayor exactitud.
Mejor servicio.
Mejor control.
Mayor confiabilidad y seguridad.
Entre los problemas más comunes en un sistema podemos citar:
Falta de estándares en el desarrollo, análisis, y programación.
Falta de participación de los usuarios.
Deficiente análisis costo beneficio.
Nueva tecnología no usada o usada incorrectamente.
Inexperiencia por parte del personal de análisis y programación.
Diseño deficiente que tiene como consecuencia inadecuados procedimientos
de seguridad, de recuperación y de archivos.
Falta de integración de Sistemas.
Documentación inadecuada o inexistente.
Problemas en la implementación y conversión.
Procedimientos incorrectos o no autorizados.
2. Evaluación del Análisis.
En esta etapa se evaluaran las políticas, procedimientos y normas, que se tienen
para llevar a cabo el análisis de sistemas.
145
Evaluación de la planeación de las aplicaciones en lo referente a:
Una planeación estratégica (Aplicaciones agrupadas, relacionadas entre si, y
no como trabajando aisladamente).
Requerimientos de usuarios.
Inventario de sistemas en proceso (Información de cambios solicitados).
Planeada para desarrollo.
En desarrollo.
En proceso, pero con modificaciones en desarrollo.
En proceso con problemas detectados.
En proceso sin problemas.
En proceso esporádicamente.
Revisar Documentos y Registros usados en la elaboración del sistema:
Salidas y reportes.
Flujo de la información y procedimientos.
Archivos almacenados.
Relación con otros archivos y sistemas.
Frecuencia de acceso.
Seguridad y control.
146
3. Evaluación del Diseño Lógico.
En esta etapa se deberán analizar las especificaciones del sistema:
¿Cómo lo deberá hacer? Será de las preguntas mas frecuentes, ¿Qué deberá
hacer? También como pregunta principal, la secuencia y ocurrencia de datos que
se estarán trabajando y por ultimo el proceso que se realizará con toda la
información y que esto llevará a una emisión de reportes los cuales nos arrojarán
la información lo mayor clara y precisa posible. Para así obtener:
Estudiar la participación que tuvo el usuario en la identificación del nuevo
sistema.
La participación de la auditoría interna en el diseño de controles y la
determinación de los procedimientos de operación y decisión.
Al tener el análisis del diseño lógico debemos compararlo con lo que
realmente se esta obteniendo que principalmente nos arrojara:
Entradas y salidas.
Procesos específicos.
Especificaciones de datos y manipulación de estos.
Métodos de acceso
Operaciones
Proceso lógico necesario para producir informes.
Identificación de archivos, tamaño de los campos y registros.
147
Proceso en línea o lote y su identificación.
Frecuencia y volúmenes de operación.
Sistemas de seguridad.
Sistemas de control
Responsables
Numero de usuarios
Dentro del estudio de los sistemas en uso se deberá solicitar:
Manual de usuario.
Descripción de flujo de información.
Descripción y distribución de información
Manual de reportes.
Listas de archivos y especificación.
Teniendo estos procesos lo que se debe determinar en toda clase de sistemas y
que nos puede ayudar en un mejor control será:
PROCEDIMIENTO.
¿Quién hace, cuándo y cómo?
¿El número de copias es el adecuado?
148
¿Existen puntos de control o faltan?
GRÁFICA DE FLUJO DE INFORMACIÓN.
¿Es fácil de usar?
¿Es lógica?
¿Se encontraron lagunas?
¿Hay faltas de control?
FORMAS DE DISEÑO
¿Cómo esta la forma en el sistema?
¿Qué tan bien se ajusta la forma al procedimiento?
¿Cuál es el propósito, porqué se usa?
¿Se usa y es necesaria?
¿Quién lo usa?
ANÁLISIS DE INFORMES
Una vez que se ha estudiado los formatos de entrada, debemos de analizar los
informes para posteriormente evaluarlos con la información proporcionada por la
encuesta a los usuarios.
149
4. Evaluación del Desarrollo del Sistema.
En esta etapa del sistema se deberán auditar:
Los programas.
Su diseño.
El lenguaje utilizado.
Interconexión entre los programas.
Características del Hardware empleado.
Es recomendable realizar una evaluación cuando el sistema ya se implemento y se
encuentra trabajando correctamente, para asegurarnos que tenga las fallas menos
posibles.
Las características a evaluarse en los sistemas son:
Dinámicos Estructurados Integrados
Accesibles Necesarios Comprensibles
Oportunos Funcionales Estándar
Modulares Jerárquicos Seguros
Únicos
150
CAPÍTULO V
AUDITORÍA DE LA SEGURIDAD
EN LA TELEINFORMÁTICA
151
Toda clase de medio de comunicación puede tener puntos vulnerables por
tal razón hay que tener muy en cuanta toda la seguridad posible que se pueda
tener recordando que las telecomunicaciones las utilizamos todos los días, desde
accesos telefónicos hasta el ya conocido Internet y por tal razón se debe de tener
un adecuado control para la recepción y salidas de los datos.
5.1. GENERALIDADES DE LA SEGURIDAD EN EL ÁREA

DE LA TELEINFORMÁTICA
En la actualidad cada uno de nosotros empleamos en nuestra vida diaria las
Telecomunicaciones como por ejemplo el teléfono para tener una platica con
alguna persona en cualquier parte de nuestro país o el mundo, las computadoras
personales ya las ocupamos en casi cualquier tipo de trabajo donde se necesite
entablar una comunicación y desempeñan un papel muy importante para el
desarrollo de cualquier institución. Los estudiantes por su parte realizan
investigaciones en el ya tan conocido INTERNET o también para el envió de
correos electrónicos o Chat.
La telefonía por medio de celulares es día a día más conocida y se expande
rápidamente a más lugares del mundo sin tener que poseer una línea de teléfono,
y ya en países desarrollados se pone en practica el ya trabajar desde sus hogares
152
sin asistir a la oficina con el envió y recepción de información por medio del
INTERNET pudiendo recibir información que tengan almacenada y trabajar desde
lugares lejanos, la información solicitada viajara por la red que puede ser publica o
privada para lo cual se necesitará una preparación de cómo realizarlo, que
seremos como usuarios o diseñadores de esta red.
Todo esto surge por la necesidad de estar comunicados lo mejor posible acortando
los tiempos y distancias, esto trae como consecuencia un proceso que es la
codificación que representaran el proceso de transmisión de datos, esto para
privacidad de la información, ya que algunos terceros tratarán de interceptarla y
descifrarla, la información es una parte imprescindible, la cantidad de
conocimientos que desde hace mucho tiempo pueden ser almacenados, que no se
podrían guardar de forma física y por tanto se puede transmitir.
Entre las principales áreas de la teleinformática que requieren de protección son:
Aplicaciones teleinformáticas de las redes telefónicas.
Equipos de radio.
Equipos de terminales de línea.
Elementos integrantes de las redes teleinformáticas.
Equipos de circuitos de datos.
Equipos de terminal de datos.
153
Las redes telefónicas.
5.2. OBJETIVOS Y CRITERIOS DE LA AUDITORÍA EN EL

ÁREA DE LA TELEINFORMÁTICA
Se debe comprobar que existan normas en comunicaciones al menos para las
siguientes áreas:
Tipos de equipamiento, como adaptadores LAN (Local Area Network o Red de Área
Local), que puedan ser instalados en la red. Procedimientos de autorización para
conectar nuevo equipamiento en la red para que no tenga problemas a la hora de
transmitir. Para los planes y procedimientos de autorización para la introducción de
líneas y equipos fuera de las horas normales de operación. También se necesitaran
los procedimientos para el uso de cualquier conexión digital con el exterior, como
línea de red telefónica conmutada o Internet, estos debidamente instalados.
Para los procedimientos de autorización para el uso de exploradores físicos y
lógicos tendrán que existir planes de comunicaciones de largo plazo, incluyendo
estrategia de comunicaciones de voz y datos.
Los planes de comunicaciones a alta velocidad, como fibra óptica (en caso de ser
necesario) tienen que estar bien instalados para evitar algún tipo de falla. Se tiene
154
que realizar una buena planificación de redes de cableado integral para cualquier
edificio y dependencia que vaya utilizar la empresa la cual pude ser dentro del área
de cómputo hasta oficinas adjuntas en donde se necesite estar comunicado como
lo son oficinas de los ejecutivos.
El plan de recuperación de desastres considera el respaldo y recuperación de los
sistemas de comunicaciones.
Las listas de inventarios incluyen todo el equipo de comunicaciones de datos, como
modems, controladores, terminales, líneas y equipos relacionados entre mejor se
tenga un control mejor será el resultado. Se mantienen los diagramas de red que
documentan las conexiones físicas y lógicas entre las comunicaciones y otros
equipos de proceso de datos lo cual ayudara en caso de realizar correcciones o
ampliaciones que se realicen de acuerdo a las necesidades que se tienen.
Se refleja correctamente en el registro de inventario y en los diagramas de red,
una muestra seleccionada de equipos de comunicaciones, dentro y fuera de sala
de computadores. Los procedimientos de cambio de equipos, así como para añadir
nuevas terminales o cambios en direcciones, son adecuados y consistentes con
otros procedimientos de cambio de las operaciones de proceso de datos.
155
Existe un procedimiento formal de prueba que cubre la introducción de cualquier
nuevo equipo o cambios en la red de comunicaciones. Existen procedimientos
adecuados de identificación, documentación y toma de acciones correctivas ante
cualquier fallo de comunicaciones.
Existe un sistema comprensible de contabilidad y cargo en costes en
comunicaciones, incluyendo líneas, equipos y terminales.
5.3. SÍNTOMAS DE RIESGO
Los problemas mas frecuentes que hoy en día que se pueden encontrar y se
plantean para la puesta en funcionamiento de lo que en la actualidad
denominamos como sistema teleinformático son muchos y complejos, como
principales se tienen los siguientes:
La transformación de la información digital que circula por la computadora
es una clase de señal, analógica o digital, adecuada a los circuitos que se
utilizan para la transmisión.
La utilización óptima de la línea de telecomunicación, transmitiendo múltiple
información paralelamente, y de acuerdo a la capacidad que pueda
soportar.
156
La eliminación o el nivel mas bajo de los errores que puedan producirse por
ruidos e interferencias, así como la protección contra la pérdida o
atenuación de la señal que se produce al ser enviada principalmente cuando
viaja a grandes distancias.
El intercambio de circuitos y de mensajes necesaria en una red para
establecer diferentes orígenes y destinos.
La compatibilidad entre los equipos y medios de comunicación, tanto a nivel
físico como lógico.
Por este medio se enviara información de tipo analógica o digital, claro
dependiendo del tipo de medio utilizado, así como la tecnología. La tecnología mas
utilizada actualmente es la digital, recordemos que para la salida y recepción de
señal se tendrá que ocupar un módem o adaptador de la señal dependiendo de la
clase de adaptación que se tenga que realizar.
Por otra parte recordemos que se trata de estar lo mejor protegidos posibles de
cualquier clase de ataque a las líneas de comunicación.
157
5.4. TÉCNICAS Y HERRAMIENTAS DE AUDITORÍA
RELACIONADAS CON LA SEGURIDAD EN LA
TELEINFORMÁTICA
Auditando la red física.
Comprobar que los accesos físicos provenientes del exterior han sido
debidamente registrados.
Comprobar que desde el interior del edificio no se intercepta físicamente el
cableado.
Como objetivos de control, se debe marcar la existencia de:
Áreas controladas para los equipos de comunicaciones, previendo así
accesos inadecuados.
Protección y control adecuado de cables y líneas de comunicaciones,
para evitar accesos físicos.
Controles de equipos de comunicaciones, usados para monitorizar la red
y su trafico, que impidan su utilización inadecuada.
Hay que tener una atención especial a la recuperación de los sistemas de
comunicación de datos, en el plan de recuperación de desastres. Los controles
específicos en caso de que se utilicen líneas telefónicas normales con acceso a la
158
red de datos para prevenir accesos no autorizados al sistema o a la red y se debe
de comprobar que:
El equipo de comunicaciones se mantiene en habitaciones cerradas con
acceso limitado a personas no autorizadas.
Solo personal autorizado pueda entrar permanentemente en las salas de
equipos de comunicaciones.
Existen procedimientos para la protección de cables y bocas de conexión
que dificulten el que sean interceptados o conectados por personas no
autorizadas.
Se tiene que realizar una revisión periódicamente a la red de comunicaciones,
buscando intercepciones activas o pasivas. Las líneas telefónicas usadas para
datos, cuyos números no deben ser públicos, tienen dispositivos/procedimientos de
seguridad y recordando que entre mayor seguridad mejor seguridad de los datos.
Auditando la red lógica.
Como objetivos de control, se debe marcar la existencia de:
Contraseñas y otros procedimientos para limitar y detectar cualquier intento
de acceso no autorizado a la red de comunicaciones.
159
Facilidades de control de errores para detectar errores de transmisión y
establecer las retransmisiones apropiadas.
Registro de la actividad de la red, para ayudar a reconstruir incidencias y
detectar accesos no autorizados.
Deben existir técnicas de cifrado de datos donde haya riesgos de accesos
impropios a transmisiones sensibles.
Controles adecuados que cubran la importancia o exportación de datos a
través de puertas, en cualquier punto de la red, a otros sistemas
informáticos.
Se debe comprobar que:
El software de comunicaciones, tiene que ser hasta cierto punto el que exige
acceso, y pida código de usuario y contraseña, para que se revisen el
procedimiento de conexión de usuario y comprobar:
El no acceso hasta cumplir con una identificación correcta.
Inhabilitar usuario que no introduzca contraseña después de algunos
intentos.
Cualquier procedimiento del fabricante, mediante hardware o software, que
permita el libre acceso y que haya sido utilizado en la instalación original, ha
de haber sido inhabilitado o cambiado.
160
Existen controles para que los datos sensibles solo puedan ser impresos en
las impresoras designadas y vistos desde terminales autorizadas.
Existe análisis de riesgos para aplicaciones de procesos de datos a fin de
identificar aquellas en las que el cifrado resulte apropiado.
Si se utiliza cifrado:
Existen procedimientos de control sobre generación e intercambio de
claves.
Las claves de cifrado son cambiadas regularmente.
El transporte de las claves de cifrado desde donde se generan a los
equipos que las utilizan siguen un procedimiento adecuado.
Si se utiliza la transmisión de datos sensibles a través de redes abiertas
como internet, comprobar que estos datos viajan cifrados.
Como conclusión podemos resumir que la auditoría de la red permite la búsqueda
de la información que pueda garantizar:
La integridad de la información transmitida a lo largo de toda la red.
La capacidad y velocidad de la información transmitida de acuerdo a los
requerimientos exigidos actuales y futuros.
La protección de la vida y salud de los usuarios de la red.
La protección de los equipos conectados a la red.
161
La protección de las oficinas y edificios en donde está instalada la red.
El cumplimiento de la aplicación de los estándares internacionales en la
instalación de la red.
El cumplimiento de la aplicación de las características mecánicas, eléctricas,
térmicas y ópticas de los medios de transmisión, de acuerdo a estándares
internacionales.
162
CAPÍTULO VI
INFORME DE LA AUDITORÍA
INFORMÁTICA
163
Cuando la labor del auditor termino tendrá que entregar su informe final
para de este modo poder evaluar como se encuentra la institución, y cuales fueron
los puntos más débiles que se encontraron de la manera mas objetiva posible, no
con le objetivo de exhibir a las personas o las causas sino para dar la mejor de las
soluciones posibles.
6.1 CARACTERÍSTICAS DEL INFORME
Cuando se ha terminado la auditoría se realizará el informe final para la
presentación de los resultados a los directivos de la institución, y personal de la
misma tendrá como consecuencia el reporte de la evaluación final. Éste informe se
presenta por escrito previa conclusión de los borradores que se elaboraron a lo
largo de este proceso en donde se plasmaran todos los acontecimientos que los
auditores encontraron pudiendo ser fallos provocados intencionalmente o por
desconocimiento de los empleados que pondrán en riesgo la integridad de la
información, personal humano, equipo con el que cuentan para la realización de su
trabajo ya incluidos, equipos de computo, mobiliario, manuales, respaldos, área de
computo u oficinas, etc.
164
El Informe Final podrá contener algunas de estas características:
Fecha de inicio de la auditoría.
Fecha de elaboración del informe.
Nombre del personal que participo en la auditoría.
Nombre de las personas entrevistadas (se incluye puesto, área de trabajo).
Objetivos y alcances de la auditoría.
Alcance y objetivos de la auditoría.
Enumeración de temas considerados.
Para cada tema, se podrá ocupar este orden:
Situación actual. Cuando sea una revisión periódica, en la que se
analiza no solamente una situación sino además su evolución, se expondrá
la situación encontrada y la situación actual.
Tendencias. Se tratarán de hallar parámetros que permitan establecer
tendencias futuras.
Puntos débiles y amenazas.
Recomendaciones y planes de acción. Constituyen junto con la exposición
de puntos débiles, el verdadero objetivo de la auditoría informática.
Redacción posterior de la Carta de Introducción o Presentación.
La carta de introducción es muy importante porque en ella ha de resumirse la
auditoría realizada. Solo se le entregará a quien es el responsable máximo de la
165
empresa o institución, o la persona específica quien encargo o contrato la
auditoría.
Se podrán imprimir las copias de la auditoría en los tantos que la soliciten y al
personal que los jefes quieran dar a conocer los resultados, (los que solicite el
cliente) pero bajo ninguna circunstancia se elaborará más copias de la carta de
introducción solo en su caso que el propio contratante o gerente lo solicite.
Estas son las características que más se manejan en esta carta de introducción:
Tendrá como máximo 4 folios.
Incluirá fecha, naturaleza, objetivos y alcance.
Cuantificará la importancia de las áreas analizadas.
Proporcionará una conclusión general, concretando las áreas de gran
debilidad encontradas.
Presentará las debilidades en orden de importancia y gravedad (punto muy
importante y tendrá que ser lo mas específico posible).
En la carta de introducción no se escribirán nunca recomendaciones (ya que
solo es de carácter informativo y que este enterado de la situación real).
166
6.2. ESTRUCTURA DEL INFORME
Dentro de la estructura del informe:
Situación actual de la empresa. Donde se expondrán las circunstancias en
las que se encontró y que cambios o situaciones se dieron en este tiempo
de la auditoría.
Tendencias. Se realizaran comparativos que nos permitan dar una idea del
comportamiento a futuro.
Las amenazas y puntos vulnerables. Los acontecimientos que puedan
ocasionar problemas internos y externos, así como puntos débiles
identificables para que realicen ataques que pueden ser por personal de las
misma institución o ajenos a ésta.
Medidas de solución y plan de acción. Se mencionaran las mejores
estrategias para la solución de los problemas dando los mejores puntos de
vista mencionando como y por que se tienen que hacer antes de que
puedan surgir problemas mayores, y no solo una vaga idea. Este punto y el
anterior se consideran como la parte más esencial de toda auditoría
practicada.
Anexos. Se añadirán los borradores, apuntes, entrevistas, y documentación
en la que se baso esta auditoría como soporte de las conclusiones a las que
se llego.
167
El informe contendrá los hechos más importantes, estos tendrán un amplio
significado de verificar objetivamente los acontecimientos, se tendrá que
acompañar de la documentación que soporte este hecho y que puede contener
estos criterios.
Por ser un hecho encontrado como debilidad podrá ser objeto de cambios.
El cambio propuesto tendrá que ser lo mejor planteado para resolver la
situación.
Las recomendaciones del auditor sobre algún hecho siempre serán lo mejor
posible que las actuales ya que por tal razón se efectuó una revisión, para
puedan ser las más viables.
La recomendación del auditor será lo más clara y concreta posible así como
estar lo bastante soportada, se plantearan las o la medida de solución y en
que tiempo se pueden implementar, y también al personal que se puede
hacer cargo de este proceso.
168
6.3. FORMATO PARA EL INFORME.
Sugerencia de formato para conclusiones de la auditoría practicada.
169
DIRECCIÓN: HOJA NUM. DE
SE AUDITO A FECHA EN QUE SE TERMINO LA AUDITORÍA
NUM. PROBLEMAS CAUSAS DEBILIDADES MEDIDAS OBSERVACIONES FECHA PARA RESPONSABLE

DE APLICACIÓN DE LA RECO-
SOLUCIÓN MENDACIÓN.
170
Sugerencia para la recomendación de la auditoría practicada.
Periodo reportado _ _
DIRECCIÓN: _ _ HOJA NUM. DE _

SE AUDITO A _ _ FECHA EN QUE SE TERMINO LA AUDITORÍA _
FECHA FECHA MOTIVO POR ESTRATEGIA FECHA RESPONS.

NUM. RECOMENDACIÓN. ESTIMADA REAL DE EL CUAL PARA LA OBSERVACIÓN PROBAB. DE LAS
OBS. DE RESOL. RESOL. NO SE HA SOLUCIÓN. IMPLAN. RECOMEN.
RESUELTO
170
PROBLEMAS RESUELTOS
Mediante este análisis, así como las opciones que se han mostrado se tratará de
asegurar los sistemas de todo tipo, los problemas no se han resuelto, hasta que no
se practiquen las auditorias para de este modo saber que es lo que esta fallando
en la institución, por que aunque a los ojos de los directivos no esta pasando nada
y que crean que todo marcha lo mejor posible pueden estar sucediendo problemas
en los niveles mas abajo sin que ellos estén enterados, por lo cual se necesitan
realizarse estas auditorías para que la institución este lo más segura posible para
poder competir y brindar los servicios lo mejor posible, sobre todo fin fugas de
información o riesgos que pueden causar perdidas y en ocasiones hasta el cierre
total.
Se tendrán que poner en practica mucho de estos puntos por el bien de la
institución, de ante mano se sabe que los problemas surgen en la practica y
necesitamos medidas de control para ir cerrando todos esos espacios que pueden
estar abiertos de cualquier modo. Los problemas se resuelven en la practica de
estas acciones no hay que creer que todo lo que se tiene es seguro e invulnerable,
la tecnología avanza todos los días para mejoras, pero también hay personas que
se dedican a buscar los medios para hacer daño a lo que consideramos más
seguro.
171
CONCLUSIONES Y RECOMENDACIONES
Como ya hemos visto al parecer “nada esta seguro” por lo cual se recomienda
realizar evaluaciones periódicas de toda clase, aunque estas parezcan repetitivas,
por que no se sabe en que momento el sistema puede estar en riesgo, ya sea por
factores físicos, lógicos, mantenimiento, etc., por lo tanto hay que practicar
auditorías, y como ya se menciono anteriormente son para encontrar las
debilidades de la institución para cerrar esos espacios o accesos no deseados con
la finalidad de que la institución este lo más protegida posible para cualquier tipo
de desastre o ataque por lo cual se sugieren:
Revisiones periódicas.
Adecuado mantenimiento.
Personal capacitado.
Un ambiente de trabajo limpio.
Trato respetuoso.
La mejor planeación posible.
Todo con la finalidad de que la institución sea segura, claro siempre contando con
que los directivos pongan atención a los resultados, sugerencias y tomen las
mejores decisiones, ya que algunos de estos problemas podrán surgir por falta de
atención de los directivos por querer ahorrar o pagar favores poniendo en riesgo
su propio trabajo.
iv
REFERENCIAS BIBLIOGRÁFICAS Y VIRTUALES
Piattini Velthuis, Mario G. y Del Peso Navarro, Emilio. Auditoría Informática Un
enfoque práctico. 2ª edición ampliada y revisada, Editorial Alfaomega, México,
2001
Echenique, José Antonio. Auditoría Informática. Editorial Mc-Graw Hill, México,
1190
Hernández Hernández Enrique. Auditoría en Informática. Editorial CECSA, México,
1999
Derrien, Yann. Técnicas de la Auditoría Informática. Editorial Alfaomega, México,
1999
www.eumed.net/cursecon/libreria/rgl-genaud/1x.htm
www.auditi.com/audinfo1.htm
www.solocursosgratis.com
www.monografías.com/computacion
v
ANEXOS
ANEXO 2.1 FORMATO PARA PROGRAMA DE AUDITORÍA.
ORGANISMO O DEPENDENCIA: _ _
FECHA DE ELABORACIÓN : _ _
RESPONSABLE:
NUM. DE HOJA: _ DE _
DÍAS HOMBRE
DÍAS HABILES
ETAPA
ESTIMADOS
No DE PERSO-
ESTIMADOS
DESCRIPCIÓN ACTIVIDADES INICIO OBSERVACIONES
TERMINO
FIRMA DEL RESPONSABLE: _ Vo. Bo.
vi
ANEXO 2.2 FORMATO PARA AVANCE Y CUMPLIMIENTO DEL PROGRAMA DE
AUDITORÍA.
PROGRAMA DE AUDITORÍA.
ORGANISMO O DEPENDENCIA: _ _
FECHA DE ELABORACIÓN : _ _
RESPONSABLE:
NUM. DE HOJA: _ DE _ PERIODO A REPORTAR: _ _
DÍAS REALES
GRADO DE AVAN-CE.
SITUACION DE LA PERIODO REAL DE LA
UTILIZADOS
DÍAS HOMBRES
AUDITORÍA AUDITORÍA EXPLICACIÓN DE LAS
VARIACIONES EN RELACIÓN
EN PROCESO
NO INICIADA
TERMINADA
FASE CON LO PROGRAMADO.

INICIADA
TERMINADA
FIRMA DEL RESPONSABLE: _ Vo. Bo. _
vii
ANEXO 2.3 SE DESCRIBE UNA SUGERENCIA DE SERVICIO DE AUDITORÍA
INFORMÁTICA.
I.- ANTECEDENTES.
(Anotar los antecedentes específicos del proyecto a auditar.)
II.- OBJETIVO DE ESTA AUDITORÍA.
(Anotar el objetivo especifico de esta Auditoría, las causas por las que se realiza.)
III.- ALCANCES DEL PROYECTO.
1.- EL ALCANCE DEL PROYECTO PUEDE COMPRENDER LOS SIGUIENTES PUNTOS:
Su organización.
Objetivos.
Funciones
Normas y políticas de la empresa.
Planes de trabajo.
Estructura organizacional.
Recursos humanos disponibles.
Capacitación.
Estándares.
Condiciones de trabajo.
Situación presupuestal y financiera.
viii
2.- EVALUACIÓN DE LOS SISTEMAS:
Evaluación del sistema con el que actualmente opera la empresa
(documentación, procedimientos, organización de los archivos, organización
del o los sistemas, la forma en que esta programado, opinión de los
usuarios en cuanto a su utilización.)
Evaluación de los sistemas que se encuentran en desarrollo y que estén en
acuerdo con los objetivos de la empresa.
Seguridad lógica del o los sistemas, confidencialidad y respaldos.
Derechos de autor, secretos de la organización y de sus propios sistemas.
Evaluación de las bases de los datos.
3.- EVALUACIÓN DE LOS EQUIPOS.
Adquisición.
Estandarización.
Controles
Nuevos proyectos de adquisición.
Almacenamiento.
Comunicación.
Redes.
Equipos adicionales.
ix
4.- EVALUACIÓN DE LA SEGURIDAD:
Seguridad lógica y confidencial.
Seguridad física.
Seguridad contra los virus (vacunas).
Seguridad para la utilización de los equipos por el personal.
Seguridad para restaurar equipos y sistemas en caso de fallos.
Planes de contingencia y procedimientos en caso de desastres.
IV.- METODOLOGÍA.
Se hará una presentación de la metodología a utilizar:
1.- SE ENLISTAN ACTIVIDADES A TOMAR EN CUENTA PARA LA EVALUACIÓN DE
LA DIRECCIÓN:
Se solicitan los manuales sobre las reglas de operación, normatividad,
objetivos, funciones del personal y departamentos, políticas y programas de
trabajo.
Solicitar costos y presupuestos para el departamento de informática.
Elaborar un cuestionario para la evaluación de este departamento.
Se aplicaran cuestionarios y entrevistas al personal de la organización.
Análisis y evaluación de la información.
x
Elaboración y presentación del informe.
2.- PARA UNA ELABORACIÓN DE LOS SISTEMAS QUE SE ENCUENTRAN
OPERANDO Y QUE SE PIENSAN INSTALAR SE PUEDEN REALIZAR LAS SIGUIENTES
ACTIVIDADES:
Estudio de viabilidad y costo/beneficio.
Análisis sobre los sistemas en operación y desarrollo.
Solicitar documentación de los sistemas en operación (manuales técnico, de
usuarios, de servicios, etc.)
Solicitar planes de trabajo.
Solicitar contratos sobre la adquisición de software para que se pueda
utilizar.
Permisos y licencias vigentes.
Planes de contingencia y recuperación de los datos en caso de desastre.
Análisis de bases de datos.
Analizar la seguridad lógica y confidencial.
Evaluación de la participacion de la auditoría interna que exista.
Evaluación de controles.
Entrevistas con usuarios de los sistemas.
Evaluación de la información contra las necesidades de los usuarios así
como la forma en la que se obtiene.
Análisis y evaluación de la información compilada.
Elaboración de un informe el cual se presentara a la dirección general.
xi
3.- PARA EVALUAR LAS ACTIVIDADES SE PUEDEN LLEVAR A CABO LAS
SIGUIENTES ACTIVIDADES:
Solicitar los estudios de viabilidad, costo/beneficio y características de los
equipos de trabajo con los que cuenta actualmente la empresa o compañía,
alguna nueva adquisición que se tenga planeada o las actualizaciones que
requieran para los equipos en trabajo.
Solicitar información sobre la compra o renta de equipos.
Solicitar información si se han actualizado equipos de cómputo.
Solicitar información sobre contratos y convenios de respaldos.
Solicitar información para asegurarse si se tienen contratos de seguros
previamente establecidos.
Revisar bitácoras de los equipos de computo (que esta información muchas
de las ocasiones las empresas no cuentan con ellas.)
Elaborar un cuestionario sobre las utilización de los equipos de cómputo
para la elaboración de reportes, el manejo de los archivos y su respaldo, las
unidades de entrada/salida quien o quienes las manejan, equipos
periféricos, y todo lo que pueden tener como seguridad.
Visita o inspección de el o los lugares donde guardan los archivos de forma
magnética (condiciones).
Verificar la seguridad física y lógica del lugar de trabajo del área de
informática.
xii
Revisión del sistema eléctrico y de ambiente para los equipos y del local así
como toda la instalación para saber si son adecuadas.
Revisión del acceso a los sistemas como medio de seguridad.
Una evaluación de toda la información recopilada, elaborando porcentajes,
gráficas, la utilidad de los equipos, justificación, etc.
Por último la elaboración de un informe como resultado y presentación de
éste.
4.- ELABORACIÓN DEL INFORME FINAL, PRESENTACION, Y DISCUSIÓN DE ÉSTE,
ASÍ COMO PRESENTAR LAS CONCLUSIONES Y RECOMENDACIONES ELABORADAS
POR LOS AUDITORES.
V.- TIEMPO Y COSTO.
En este punto se describirá el tiempo que tardará la auditoría a realizar, se siguiere
indicar todos los tiempos para cada una de las etapas; incluir el personal
participante, el costo del proceso y la forma en que se realizará el pago.
ANEXO 2.4 SUGERENCIA DE CONTRATO DE AUDITORÍA INFORMÁTICA.
Contrato a celebrarse por al prestación de un servicio de auditoría informática por
una parte _ _ ,
representado por , en su
carácter de _ , y que el lo sucesivo se
denominara “cliente” , por otra parte _ ,
representada por , a quien se
xiii
denominara “ el auditor” , de conformidad con las declaraciones y cláusulas
siguientes:
DECLARACIONES.
I.- El cliente declara:
a) Que es una
b) Que esta representado para este acto por_
y que tiene como su domicilio
c) Que requiere tener servicios auditoría informática, por lo que ha decidido
contratar los servicios de un auditor experto.
II.- Declara el auditor:
a) Ser una sociedad anónima, constituida y que existe de acuerdo a lo
restablecido con las leyes vigentes y que dentro de sus principales objetivos esta el
de prestar auditoría informática
_ _.
b) Que se encuentra constituida legalmente según la escritura número
_de fecha _ ante el notario público número
_ del _ Lic.
_ .
xiv
c) Que señala como su domicilio
particular _
_ .
III.- Declaran ambas partes:
Que habiendo llegado a un acuerdo sobre lo antes mencionado, lo formalizan
otorgando el presente contrato que se contiene en las siguientes:
Cláusulas.
Primero. Objeto
El auditor se obliga a prestar al cliente los servicios de auditoría informática para
llevar a cabo una evaluación de este departamento del cliente, que se desarrollará
en la propuesta de servicios que se anexan, firmada por ambas partes la cual
forma parte del presente contrato.
Segundo. Alcance del trabajo.
El alcance de las actividades que se realizara por el auditor interno dentro de este
contrato son:
a) Evaluaciones de la dirección de informática en lo que corresponde a:
La organización.
Funciones.
Estructura.
Recursos humanos.
Normas y políticas.
Capacitación.
xv
Planes de trabajo.
Controles.
Condiciones de trabajo.
Situación presupuestal y financieras.
b) Evaluación de los sistemas:
Evaluación de él o los sistemas en uso como procedimientos,
documentación, organización de archivos, estándares de programación,
utilización de sistemas, etc.
Evaluación de avances de los sistemas en pleno desarrollo y congruencia
con su diseño, así como el control de estos.
Evaluación de los recursos ya asignados (humanos y de cómputo).
Evaluación de prioridades.
Seguridad de lógica, confidencialidad y respaldos.
Derechos de autor, de sus propios sistemas utilizados por la organización.
Supervisión de bases de datos.
c) Evaluación de los equipos:
Adquisición, estudios de viabilidad y del costo/beneficio.
Capacidades.
Utilización.
Controles.
xvi
Nuevos proyectos a implementar.
Almacenamiento.
Comunicación.
Redes.
Respaldo de los equipos.
Mantenimientos.
d) Evaluación de la seguridad.
Seguridad lógica y confidencial.
Seguridad física.
Seguridad contra los virus.
Seguros.
Seguridad para utilizar equipos.
Seguridad para restaurar equipos y sistemas.
Plan de contingencia en caso de desastres.
d) Elaboración de informes por cada uno de los incisos a, b, c, d, de estas
cláusulas con sus conclusiones y recomendaciones.
Tercero. Programa de trabajo.
xvii
El cliente y el auditor desarrollaran de manera conjunta un programa de trabajo,
en el cual se establecerán las actividades a realizar por cada una de las partes, los
responsables de realizarlas así como las fechas en que éstas se estarán realizando.
Cuarto. Supervisión
El cliente o en su defecto a la persona que éste designe responsable, podrá
supervisar el trabajo que esté realizando el auditor dentro de este contrato y podrá
dar a conocer sus opiniones por escrito que él crea conveniente para el desarrollo
de la misma.
Quinto. Coordinación de los trabajos.
El cliente podrá designar a un responsable para este trabajo, que también será el
responsable de recolectar la información que el auditor necesite y la entrega para
su análisis, el también se encargara de que las reuniones y entrevistas
previamente programadas se realicen en las fechas ya establecidas.
Sexto. Horario de trabajo
El personal de los auditores establecerán tiempo para cumplir con los trabajos
previamente establecidos en este contrato, el auditor y su personal tendrá total
libertad de tiempo destinado a cumplir estas actividades por lo tanto no están
sujetos a horarios y jornadas determinadas, siempre y cuando lo cumplan.
Séptimo. Personal asignado
El auditor tendrá la facultad de designar para los trabajos de este contrato a
integrantes del propio despacho, en número y capacidades de cuantos disponga
así como personal técnico capacitado.
xviii
Octava. Relación Laboral.
Todo personal del auditor no tendrá ningún tipo de relación laboral con el cliente y
queda expresamente estipulado que este contrato se subscribe en atención a que
el auditor por ningún motivo se considere intermediario del cliente respecto al
personal que ocupe para dar cumplimiento de las obligaciones que se deriven de
las relaciones entre el y su personal, y que exime al cliente de cualquier
responsabilidad que a este respecto existiere.
Novena. Plazo de trabajo.
El auditor se obliga a terminas los trabajos de este contrato estipulados la segunda
cláusula en días hábiles después de la fecha en que se firme el
contrato sea cobrado el anticipo correspondiente. El tiempo estimado para la
terminación de los trabajos a realizar será a la rapidez de que el cliente entregue la
documentación necesaria y que requiera el auditor y para el cumplimiento de las
fechas marcadas en el programa de trabajo acordado por las partes, por lo que
cualquier retrazo por parte de personal del cliente y usuarios del sistema tendrán
repercusión en los tiempos dando como resultado la prolongación de fechas para
los trabajos y sin repercusión para el auditor.
Décima. Honorarios.
El cliente se ve obligado a pagar al auditor por los trabajos del presente contrato,
que serán los honorarios por la cantidad de _ _ más el
impuesto al valor agregado correspondiente. La forma de pago será la siguiente:
_ % a la firma del contrato.
xix
_ % a los días hábiles después de iniciados los trabajos.
_ % a la terminación de los trabajos y presentación del informe
final.
Undécima. Alcance de los honorarios.
El importe puesto de la cláusula décima compensara al auditor por sueldos,
honorarios y organización de los servicios de la auditoría, prestaciones sociales y
laborales de su personal.
Duodécima. Incremento de honorarios.
En caso de tener un atraso debido a la falta de entrega de información, demora o
cancelación de reuniones u otra causa imputable al cliente, el presente contrato se
incrementara en forma proporcional al retraso y se señalara el incremento de
común acuerdo.
Decimotercera. Trabajos adicionales
De ser necesaria una extensión de alcances o trabajos al presente contrato, las
partes celebraran por separado un convenio que también formara parte de este y
en forma conjunta se acordara el nuevo costo.
Decimocuarta. Viáticos y pasajes.
El importe de viáticos y pasajes que tenga el auditor para el traslado, hospedaje y
alimentación que requiera durante su permanencia en la cuidad de
_ , como consecuencia de los trabajos
a realizar por el presente contrato serán por cuenta del cliente.
Decimoquinta. Gastos generales.
xx
Los gastos de fotocopiado, dibujo, etc. que se generen con motivo de este trabajo
serán pagador por parte del cliente.
Decimosexta. Causas de rescisión.
Será motivo de rescisión del presente contrato la violación o incumplimiento de
cualquier cláusula de este contrato.
Decimoséptima. Jurisdicción.
Todo lo no previsto en este contrato se regirá por las disposiciones relativas,
contenidas en el Código Civil del y, en caso de controversia para
su interpretación y cumplimiento, las parte se someten a la jurisdicción de los
tribunales federales, renunciando al fuero que les pueda corresponder en razón de
su domicilio presente y futuro. Enteradas las partes del contenido y alcance legal
de este contrato, lo rubrican y firman de conformidad, en original y tres copias, en
la ciudad de , el día _ .
EL CLIENTE EL AUDITOR
xxi

Auditoria A

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Auditoria A

Uploaded by

Copyright:

Available Formats

ÍNDICE

OBJETIVO GENERAL Y ESPECÍFICOS........................................................................ iii

CAPÍTULO I INTRODUCCIÓN A LA AUDITORÍA INFORMÁTICA .....................1

1.1. CONCEPTOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA............................2

1.2. TIPOS DE AUDITORÍA ......................................................................................... 10

1.3. CAMPO DE LA AUDITORÍA INFORMÁTICA....................................................... 16

1.4. CONTROL INTERNO ............................................................................................. 20

1.5. MODELOS DE CONTROL UTILIZADOS EN AUDITORÍA INFORMÁTICA....... 27

1.6. PRINCIPIOS APLICADOS A LOS AUDITORES INFORMÁTICOS ..................... 35

1.7. RESPONSABILIDADES DE LOS ADMINISTRADORES Y DEL AUDITOR ........ 38

CAPÍTULO II PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA .................... 42

2.1. FASES DE LA AUDITORÍA ................................................................................... 43

2.2. EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESGO ......................... 61

2.3. INVESTIGACIÓN PRELIMINAR ........................................................................... 63

2.4. PERSONAL PARTICIPANTE ................................................................................. 68

CAPÍTULO III AUDITORÍA DE LA FUNCIÓN INFORMÁTICA .......................... 73

3.1. RECOPILACIÓN DE LA INFORMACIÓN ORGANIZACIONAL ........................... 74

3.2. EVALUACIÓN DE LOS RECURSOS HUMANOS .................................................. 79

3.3. ENTREVISTAS CON EL PERSONAL DE INFORMÁTICA ................................... 90

3.4. SITUACIÓN PRESUPUESTAL Y FINANCIERA.................................................... 92

CAPÍTULO IV EVALUACIÓN DE LA SEGURIDAD ................................................. 97

4.2. SEGURIDAD LÓGICA Y CONFIDENCIAL..........................................................100

4.3. SEGURIDAD PERSONAL.....................................................................................111

4.4. CLASIFICACIÓN DE LOS CONTROLES DE SEGURIDAD ...............................113

4.5. SEGURIDAD EN LOS DATOS Y SOFTWARE DE APLICACIÓN ......................120

4.6. CONTROLES PARA EVALUAR SOFTWARE DE APLICACIÓN.........................122

4.7. CONTROLES PARA PREVENIR CRÍMENES Y FRAUDES INFORMÁTICOS ...124

4.8. PLAN DE CONTINGENCIA, SEGUROS, PROCEDIMIENTOS DE

RECUPERACIÓN DE DESASTRES .............................................................................124

4.9. TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FÍSICA

4.10. TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD DE

LOS DATOS Y SOFTWARE DE APLICACIÓN ...........................................................141

CAPÍTULO V AUDITORÍA DE LA SEGURIDAD EN LA TELEINFORMÁTICA

5.1. GENERALIDADES DE LA SEGURIDAD EN EL ÁREA DE LA

5.2. OBJETIVOS Y CRITERIOS DE LA AUDITORÍA EN EL ÁREA DE LA

5.3. SÍNTOMAS DE RIESGO......................................................................................156

5.4. TÉCNICAS Y HERRAMIENTAS DE AUDITORÍA RELACIONADAS CON LA

SEGURIDAD EN LA TELEINFORMÁTICA .................................................................158

6.1 CARACTERÍSTICAS DEL INFORME....................................................................164

6.2. ESTRUCTURA DEL INFORME ............................................................................167

6.3. FORMATO PARA EL INFORME..........................................................................169

CONCLUSIONES Y RECOMENDACIONES ................................................................iv

REFERENCIAS BIBLIOGRÁFICAS Y VIRTUALES ...................................................v

realización de auditorías a practicar, para poder brindar algunos puntos desde

como la podemos planear para llevarla a la practica y quienes de las mismas

instituciones nos pueden proporcionar la información que necesitamos ya que los

debilidades del trabajo que realizan.

Se trata de ver desde un panorama general, de los presupuestos financieros y

fugas de información, teniendo la mejor forma de elaborar controles mas seguros.

podemos aplicar y quienes son las personas responsables y las responsabilidades

que tienen, se avaluarán los sistemas de acuerdo al riesgo, como se recabará la

realizarán al personal participante con algunos ejemplos. Se brindan algunas

recomendaciones de cómo verificar la seguridad de las áreas físicas, seguridad del

mediante el software y los crímenes o fraudes que pueden surgir. Se siguieren

planes de contingencia y seguros. Por tal motivo en la actualidad la teleinformática

esta presente en muchas áreas de la vida cotidiana y se explicará como podemos

proteger algunas instalaciones de formas más seguras. Por último se explicará

como la mejor manera de dar solución a los problemas expuestos.

Este material será un apoyo didáctico para la materia de auditoría informática de la

carrera de licenciatura en informática ya que se adecua al plan de estudio de dicha

especialidad, la cual se imparte en este instituto tecnológico superior de teziutlán.

cabo la realización de una auditoría para detectar las problemáticas existentes en

de carácter humano o material, para tomar la medidas correctivas lo mas pronto

posible evitando todo riesgo en la institución.