Fase I: Conocimientos del Sistema Fase II: Anlisis de transacciones y recursos Fase III: Anlisis de riesgos y amenazas Fase

IV: Anlisis de controles Fase V: Evaluacin de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones Fase I: Conocimientos del Sistema 1.1. Aspectos Legales y Polticas Internas. Sobre estos elementos est construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluacin. 1.2.Caractersticas del Sistema Operativo. Organigrama del rea que participa en el sistema Manual de funciones de las personas que participan en los procesos del sistema Informes de auditora realizadas anteriormente 1.3.Caractersticas de la aplicacin de computadora Manual tcnico de la aplicacin del sistema Funcionarios (usuarios) autorizados para administrar la aplicacin Equipos utilizados en la aplicacin de computadora Seguridad de la aplicacin (claves de acceso)

 Procedimientos para generacin y almacenamiento de los archivos de la aplicacin. Fase II: Anlisis de transacciones y recursos 2.1.Definicin de las transacciones. Dependiendo del tamao del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deber ser asignada con los administradores. 2.2.Anlisis de las transacciones Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualizacin del funcionamiento y recorrido de los procesos. 2.3.Anlisis de los recursos Identificar y codificar los recursos que participan en el sistemas 2.4.Relacin entre transacciones y recursos Fase III: Anlisis de riesgos y amenazas 3.1.Identificacin de riesgos Daos fsicos o destruccin de los recursos Prdida por fraude o desfalco Extravo de documentos fuente, archivos o informes Robo de dispositivos o medios de almacenamiento Interrupcin de las operaciones del negocio Prdida de integridad de los datos

 Ineficiencia de operaciones Errores 3.2.Identificacin de las amenazas Amenazas sobre los equipos: Amenazas sobre documentos fuente Amenazas sobre programas de aplicaciones 3.3.Relacin entre recursos/amenazas/riesgos La relacin entre estos elementos deber establecerse a partir de la observacin de los recursos en su ambiente real de funcionamiento. Fase IV: Anlisis de controles 4.1.Codificacin de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificacin de los controles deben contener una codificacin la cual identifique el grupo al cual pertenece el recurso protegido. 4.2.Relacin entre recursos/amenazas/riesgos La relacin con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o ms controles. 4.3.Anlisis de cobertura de los controles requeridos Este anlisis tiene como propsito determinar si los controles que el auditor identific como necesarios proveen una proteccin adecuada de los recursos. Fase V: Evaluacin de Controles 5.1.Objetivos de la evaluacin Verificar la existencia de los controles requeridos

 Determinar la operatividad y suficiencia de los controles existentes 5.2.Plan de pruebas de los controles Incluye la seleccin del tipo de prueba a realizar. Debe solicitarse al rea respectiva, todos los elementos necesarios de prueba. 5.3.Pruebas de controles 5.4.Anlisis de resultados de las pruebas Fase VI: Informe de Auditoria 6.1. Informe detallado de recomendaciones 6.2. Evaluacin de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la reas. Introduccin: objetivo y contenido del informe de auditoria Objetivos de la auditora Alcance: cobertura de la evaluacin realizada Opinin: con relacin a la suficiencia del control interno del sistema evaluado Hallazgos Recomendaciones Fase VII: Seguimiento de Recomendaciones 7.1. Informes del seguimiento

7.2. Evaluacin de los controles implantados Fin de la sesin. Informtica II. Decanato de Administracin y Contadura Auditora Informtica Revisin Evaluacin Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Informacin Informtica II. Decanato de Administracin y Contadura Auditora Informtica Objetivos Presentar recomendaciones en funcin
de las fallas detectadas.

Determinar si la informacin que brindan

los Sistemas de Informticos es til.

Inspeccionar el Desarrollo de los Nuevos

Sistemas.

Verificar que se cumplan las normas y

polticas de los procedimientos.

Auditora Informtica Informtica II. Decanato de Administracin y Contadura Tipos

Interna: Aplicada con el personal que labora en la empresa. Externa: Se contrata a una firma especiali- zada para realizar la misma. Auditora Informtica Externa Las empresas recurren a la auditora externa cuando existen: Sntomas de Descoordinacin Sntomas de Mala Imagen Informtica II. Decanato de Administracin y Contadura Sntomas de Debilidades Econmicas Sntomas de Inseguridad Aspectos Fundamentales en la Auditora de los Sistemas de Informacin Informtica II. Decanato de Administracin y Contadura Auditora Informtica de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de las nuevas aplicaciones informticas deben ser sometidas a un minucioso control, a fin de evitar un aumento significativo de los costos, as como tambin insatisfaccin de los usuarios. Informtica II. Decanato de Administracin y Contadura Auditora de los Datos de Entrada Se analizar la captura de la informacin en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisin de datos entre entornos diferentes. Se verificar que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas establecidas. Informtica II. Decanato de Administracin y Contadura Auditora Informtica de Sistemas Se audita: Informtica II. Decanato de Administracin y Contadura Sistema Operativo: Verificar si la versin instalada permite el total funcionamiento del software que sobre ella se instala, si no es as determinar la causa Software de Aplicacin: Determinar el uso de las aplicaciones instaladas. Comunicaciones: Verificar que el uso y el rendimiento de la red sea el ms adecuado .

Tcnicas de Auditora Existen varias tcnicas de Auditora Informtica de Sistemas, entre las cuales se mencionan: Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen: Datos de Excepcin. Datos Ilgicos. Transacciones Errneas Informtica II. Decanato de Administracin y Contadura Tcnicas de Auditora (Continuacin) Auditora para el Computador: Permite determinar
si el uso de los equipos de computacin es el idneo. Mediante esta tcnica, se detectan equipos sobre y subutilizados.

Prueba de Minicompaa: Revisiones peridicas

que se realizan a los Sistemas a fin de determinar nuevas necesidades.

Informtica II. Decanato de Administracin y Contadura Peligros Informticos Incendios: Los recursos informticos son
muy sensibles a los incendios, como por ejemplo reportes impresos, cintas, discos.

Inundaciones: Se recomienda que el Departamento

de computacin se encuentre en un nivel alto. La Planta Baja y el Stano son lugares propensos a las inundaciones.

Robos: Fuga de la informacin confidencial de la

empresa.

Fraudes: Modificaciones de los datos dependiendo

de intereses particulares.

Informtica II. Decanato de Administracin y Contadura Medidas de Contingencia Mecanismos utilizados para contrarrestar la prdida o daos de la informacin, bien sea intencionales o accidentales. La ms utilizada es la Copia de Seguridad (Backup), en la cual se respalda la informa- cin generada en la empresa . Informtica II. Decanato de Administracin y Contadura Copias de Seguridad Las copias pueden ser totales o parciales y la fre- cuencia vara dependiendo de la importancia de la informacin que se genere. Backup Se recomienda tener como mnimo dos (2) respaldos de la informacin, uno dentro de la empresa y otro

fuera de sta (preferiblemente en un Banco en Caja Fuerte). Informtica II. Decanato de Administracin y Contadura Medidas de Proteccin Medidas utilizadas para garantizar la Seguridad Fsica de los Datos. Aquellos equipos en donde se genera informacin crtica, deben tener un UPS. De igual forma, el suministro de corriente elctrica para el rea informtica, debe ser independiente del resto de las reas. Informtica II. Decanato de Administracin y Contadura Medidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad Lgica de los Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la Informacin, mediante un nombre de usuario (login) y una contrasea (password). Del mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos excepcionales. Informtica II. Decanato de Administracin y Contadura La Auditora Informtica es una parte integrante de la auditora. Se preguntar por que se estudia por separado, pues simplemente para abordar problemas ms especficos y para aprovechar los recursos del personal. Sin embargo, es bueno acotar que debe realizarse dentro de un marco de auditora general. Para clarificar an ms la lmina, diremos entonces que la Auditora Informtica es el proceso de revisin y evaluacin de los controles y medidas de seguridad que se aplican a los recursos: a). Tecnolgicos. b). Personal. c). Software d). Procedimientos. que se utilizan en los Sistemas de Informacin manejados en la empresa. En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controles apropiados y adecuados en los sistemas de informacin. La auditora Informtica va mucho ms all de la simple deteccin de errores. Si bien es cierto que la Auditora es un proceso que permite detectar fallas, es menester de la auditora, el presentar algunas sugerencias que puedan ser aplicadas para evitar de esta manera la repeticin de las mismas en un futuro.

Bsicamente, el objetivo principal de la auditora informtica es garantizar la operatividad de los procesos informticos. En otras palabras, ofrecer la continuidad los procesos de generacin, distribucin, uso y respaldo de informacin dentro de las organizaciones. Ya puede ir formndose una idea entonces de la importancia que tiene la Auditora Informtica (si no es as, le parece poco el hecho de que permita mantener operativo todos los procesos relacionados con el manejo de la informacin?). Importancia de la Auditora Informtica Tal como se mencion anteriormente su importancia radica en el hecho de garantizar la operatividad de los procesos informticos. Del mismo modo, la Auditora es compatible con la calidad, ya que mediante la auditora, se buscan implantar mejoras en busca del perfeccionamiento de los procesos, incorporando nuevas tcnicas y tecnologas. Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a ninguna duda. Sin embargo, consideramos prudente ampliar nuestra exposicin y ofrecerle algo ms que una mera definicin. Auditora Interna La auditora Interna ofrece algunas ventajas en relacin a la externa, en primer lugar es menos costosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el riesgo de que personas extraas conozcan la informacin generada dentro de la firma. Sin embargo, tiene sus limitaciones, entre las cuales se mencionan: la poca especializacin que tienen los integrantes en la materia conlleva al hecho de que se escapen algunos detalles dentro del proceso (omisin de deteccin de errores) y por otro lado se corre el riesgo de que se encubran deficiencias. Es factible que dentro del proceso de auditora, las personas no informen de alguna anomala a fin de no perjudicar al amigo. Auditora Externa Con este tipo de auditora existe menor margen de error, puesto que las personas que se encargan de realizarla son especialistas en el rea. Entonces, deben ser pocos los errores que se detecten y las sugerencias aportadas son muy valiosas. Del mismo modo existe poco margen de encubrimiento, ya que son personas ajenas a la firma. Si bien es cierto que la Auditora Interna es menos costosa, es una buena prctica para las empresas, realizar Auditoras Externas peridicamente. Sin embargo, existen algunas razones por las cuales una firma debera contratar los servicios de gente especializada. Tales razones son las mostradas en la lmina, las cuales explicaremos con ms detalle a continuacin: Sntomas de Descoordinacin: No coincide el objetivo informtico con el de la empresa. En este sentido, es recomendable revisar la gestin de la informtica a fin de que la misma est en funcin de apoyar al logro de los objetivos. Sntomas de Debilidad

Econmica: Cuando existe un crecimiento indiscriminado de los costos informticos. De igual forma, se contrata un servicio externo para estudiar la factibilidad de invertir una fuerte suma de dinero en el rea. Sntomas de Mala Imagen: Existe una percepcin poco idnea de los usuarios finales de computadoras en relacin a la Gestin actual del personal de Informtica. Existen quejas de que los programas no funcionan, problemas con la red informtica, desconfiguracin de equipos, entre otros. Sntomas de Inseguridad: Cuando no existe seguridad ni fsica ni lgica de la informacin manejada en la empresa. Hasta estos momentos se ha mencionado un poco lo que es la Auditora Informtica, cuales son sus objetivos y su importancia dentro de las organizaciones. Consideramos que ya tiene la base suficiente para adentrarnos entonces en el estudio de la Auditoria Informtica. Existen dos enfoques bsicos para la Auditoria de Sistemas de Informacin, conocidos como: Auditoria Alrededor del Computador y Auditoria a travs del Computador. Auditoria Alrededor del Computador: La cual comprende la verificacin tanto de los datos de entrada como de salida, sin evaluar el software que proces los datos. Aunque es muy sencillo, no hace el seguimiento de las transacciones ni la exactitud ni integridad del software utilizado. Es por ello, que se recomienda como un complemento de otros mtodos de auditoria. Auditoria a Travs del Computador: Comprende la verificacin de la integridad del software utilizado, as como tambin los datos de entrada y la salida generada tanto por las redes y sistemas computacionales. Sin embargo, la auditoria a travs del computador requiere de un conocimiento tanto de las redes como del desarrollo de software. Una de las actividades que ms dolores de cabeza trae a las organizaciones es el desarrollo de los nuevos sistemas informticos. Existen muchas razones para tantos inconvenientes, entre las que se destaca: una pobre determinacin de los requerimientos (tanto los analistas como los usuarios, que en muchas oportunidades asumen cosas que el otro no ha dicho), carencia de un prototipo adecuado, una deficiente prueba del sistema y la premura con la que se implanta el mismo. En este sentido, la auditora debe verificar que se cumplan a cabalidad cada una de las fases del desarrollo del sistema. Se deben chequear los instrumentos y mtodos empleados para la determinacin de los requerimientos, las herramientas que se utilizan para la construccin del sistema, evaluar el prototipo que va a ser mostrado a los usuarios y verificar que se hagan las pruebas al sistema antes de ser implantado. Recuerde: es preferible esperar un poco ms por un sistema probado y ajustado a las necesidades que

querer implantar en dos das un software que no ayudar en nada a los procesos empresariales, por el contrario: entorpecer los mismos. (Cuantas veces no le han dicho en la calle como excusa tenemos problemas con el sistema?). La materia prima para la generacin de la informacin son los datos de entrada, es por ello que todo proceso de auditoria informtica debe contemplar el estudio de los mismos. Bajo esta premisa, es importante llevar un control del origen de los datos que se introducen al sistema y en la medida de lo posible, el responsable de la introduccin de los mismos. Por ejemplo, para un banco el origen de los datos lo representan las planillas de depsito, retiro, entre otras. Si se lleva un control de dichos documentos es fcil auditar lo que tiene el sistema contra el soporte fsico (las planillas). Dicho proceso permite entonces detectar errores de trascripcin de datos al Sistema. Otro hecho importante de la Auditoria de los datos de entrada, es que puede ser utilizado como un mecanismo para determinar fraudes informticos. Cmo cree usted que se puede determinar un retiro no autorizado de una cuenta bancaria?, el cambio de calificaciones de un estudiante?. Es por ello que todas las organizaciones deben contar con mecanismos apropiados que permitan auditar los datos de entrada.de los sistemas informticos. Al igual que ocurre con los datos de entrada, se deben revisar peridicamente las herramientas informticas que se utilizan dentro de la firma, a fin de verificar que se adecuen a las necesidades del negocio. Es importante sealar que dicha revisin no debe limitarse nicamente al hardware, por el contrario, se debe incluir tambin la revisin tanto del software instalado como la red informtica existente. Toda empresa debe poseer software actualizado y con licencia de uso; el Sistema Operativo no escapa de dicha situacin. En este sentido, es conveniente que se cuente con una versin que permita la evolucin de las aplicaciones, de no ser as determinar las causas de ello. Por ejemplo en el caso especfico del Sistema Operativo Windows, es inusual que se labore con la versin 3.11 para grupos de trabajo, en tal caso, como mnimo Windows 98 o Windows NT 4.0. Del mismo modo se debe auditar la red informtica instalada, entre otras cosas para observar su rendimiento (velocidad), la seguridad que ofrece (gran parte de los fraudes obedecen a la carencia de seguridad tanto de los Sistemas como de las Redes Informticas) y verificar que se cumplan con las polticas y estndares establecidos para la red.

Y la Auditora de las aplicaciones?. Pues la exposicin se detallar en las lminas subsiguientes. La prueba de un Sistema es una tarea un poco ms compleja de lo que realmente parece ser. La misma no se limita exclusivamente a introducir algunos datos al Sistema a fin de verificar que arroje el resultado esperado. Va mucho ms all. En primer lugar, la prueba del Sistema no debe ser efectuada por los programadores, ya que stos conocen los trucos del sistema, e inconscientemente introducirn datos que no harn fallar a la aplicacin, razn por la cual se recomienda la designacin de un equipo responsable para las misma. Dicho equipo debe disear una Batera de Prueba, la cual consiste en un conjunto de datos a ser introducidos en el sistema para observar su comportamiento. Por supuesto los resultados de dichos datos se deben conocer con antelacin a fin de que puedan ser cotejados contra los que arroja el sistema. En toda batera de prueba aparte de las transacciones comunes, se debe contar con: Datos de Excepcin: Aquellos que rompen con la regla establecida. Se deben incluir dichos datos a fin de determinar si el sistema contempla las excepciones. Datos Ilgicos: Son datos que no tienen ningn sentido. Se incluyen dentro de la prueba a fin de determinar si el sistema posee los mecanismo de validacin adecuados que impidan el procesamiento de los mismos. Datos Errneos: Son aquellos que no estn acordes con la realidad. El sistema no est en capacidad de determinar si un dato esta correcto o no. Sencillamente, se introducen este tipo de datos a fin de verificar si el sistema posee los mecanismos que permitan revertir la transaccin. Auditora para el Computador Es importante determinar el uso de las computadoras. Esto a fin de verificar que no existan computadores sobre o subutilizados. Por ejemplo, suponga el caso de un computador con la configuracin ms actualizada que est siendo empleado nicamente como terminal del sistema de facturacin de la empresa, por supuesto, es fcil deducir que no se est aprovechando al mximo las bondades del equipo. Ahora suponga la contrario, es decir, que exista un equipo con mediana capacidad en donde se manejen todas las aplicaciones Office (Word, Excel y Power Point) y se ejecuten algunos Sistemas Informticos propios de la empresa. Est subutilizado?.

La aplicacin de dicha tcnica no reviste de mayor complicacin, lo que se hace es anotar la configuracin del equipo y las actividades que se realizan en l, a fin de determinar si tal configuracin est acorde con lo que se realiza en l. Con esto se logran varias cosas: primero, se determinan los equipos candidatos a ser sustituidos o repotenciados y segundo, ofrece un mecanismo para una futura de reasignacin de equipos de acuerdo a las necesidades existentes. Que problema coyuntural cree usted que pueda ocurrir al aplicar dicha tcnica?. Piense un poco, de todos modos si no lo logra determinar, en dos lminas ms encontrars la respuesta. Usted pensar perfecto, estos son los peligros que existen, por lo que he ledo creo que la Auditoria pude ayudar a evitar los robos y fraudes informtico, pero un incendio o una inundacin?, no veo como. Si esa es su manera de pensar, pues le diremos que est en lo cierto. Aqu no le vamos a decir como evitar incendios o inundaciones. Sino ms bien de que tome conciencia de las cosas que puede pasar dentro de una empresa. Pero sigo sin entender que tiene que ver todo esto, es muy simple: lo que se busca es crear conciencia, de los peligros que existen, que ninguna organizacin est exenta de ellos y que por lo tanto es necesario que existan mecanismos que contrarresten los mismos. Esto es precisamente lo prximo que se va a exponer a continuacin. Respuesta a la Pregunta Anterior: Puede ocasionar molestias a las personas en la reubicacin de equipos (una persona con un equipo muy potente pero subutilizado, no estar muy conforme que le reasignen un equipo de menor potencia). Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar la continuidad de los procesos que en ella se realizan. Dentro de la informtica tal aspecto no debe variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como realizar un proceso manualmente en caso de que falle el automatizado). En este mdulo nos compete exclusivamente la contingencia de la informacin. Al igual que otras cosas, la informacin puede tener daos, los cuales pueden obedecer a causas accidentales (tales como errores en la trascripcin de datos, ejecucin de procesos inadecuados) o intencionales (cuando se busca cometer algn fraude). No importa cual sea la causa, lo importante en este momento (claro, es importante determinar a que obedeci el problema) es disponer algn mecanismo que nos permita obtener la informacin sin errores. Las copias de seguridad nos ofrecen una alternativa para ello, ya que en caso de que se dae la informacin original, se recurre entonces al respaldo el cual contiene la informacin libre de errores.

Como se mencion anteriormente, las copias de seguridad ofrecen una contingencia en caso de prdidas de informacin. La frecuencia con la cual deben hacerse dichas copias va a depender de acuerdo a la volatilidad de la misma. Por ejemplo, usted puede decir que es suficiente realizar las copias de seguridad diariamente, as en caso de ocurrir algn imprevisto, se perder tan solo un da de trabajo. Tal concepcin puede funcionar para muchas organizaciones, pero no para todas, para un banco sera catastrfico perder la informacin de todas las transacciones de un da, caso contrario ocurre en una organizacin donde la informacin no vare con tanta frecuencia, en la cual no tendra mucho sentido respaldarla diariamente. Independientemente de la frecuencia con la cual se haga, es recomendable tener como mnimo dos (2) copias de seguridad, una permanecer dentro de la empresa y la otra fuera de ella. As en caso de que se pierda la informacin se pueda acceder a la copia que est dentro de la empresa. Y para qu la otra copia?. Recuerde los peligros informticos, los incendios, las inundaciones. En caso de que se incendie el edificio, se perdera el original y una copia, pero se tendr acceso a la que est fuera de la empresa. A lo mejor usted dir: qu gracia tiene tener otro respaldo si se quem el edificio de la empresa?. Suponga que dicho edificio sea de la Sucursal de un Banco, lo ms seguro que al da siguiente, los clientes estarn preguntando qu pasar con sus ahorros. Ahora si le encuentra sentido?. Nota la importancia de la informacin sobre otros activos?. Un edificio se recupera, la informacin de toda la empresa no. Deben existir medidas que impidan la prdida de informacin, ocasionada por averas en los equipos (Seguridad Fsica). Si bien es cierto que los computadores no estn exentos de sufrir algn desperfecto (es por ello que existen las copias de seguridad), es recomendable disear normas para disminuir tales amenazas. Una de las principales causales de prdida de informacin, son las bajas de energa. Es por ello que deben estar conectados a un UPS todos los equipos en donde se genere informacin crtica. Un UPS es un dispositivo (parecido a un regulador de voltaje) que ofrece corriente alterna por un perodo de tiempo (depende de las especificaciones del equipo, los hay de 5 minutos hasta casi dos horas). De acuerdo a lo anterior, se deduce entonces su importancia: primero, permite completar transacciones inconclusas en el momento del fallo de energa y segundo permite guardar la informacin y apagar el equipo con normalidad. De igual forma a fin de disminuir las fallas de energa, debe existir una toma independiente de corriente para el rea informtica.

Recuerda los peligros que existen?. Las inundaciones?, es por ello que el Departamento de Computacin debe estar ubicados en las zonas ms altas del edificio, puesto que tanto los stanos como los primeros pisos son los ms propensos a inundarse. Uno de los mayores peligros dentro de las empresas son los Fraudes Informticos (muy comunes hoy en da), es por ello que se disean medidas que permitan garantizar la integridad de la informacin y que la misma est acorde con la realidad (Seguridad Lgica). El mayor riesgo existe en los Sistemas Multiusuarios, puesto que pueden se manejados por varias personas concurrentemente. En dichos sistemas no todas las personas pueden acceder a la misma informacin (no todos pueden manipular la nmina de la empresa). para ello se restringe el uso de los Sistemas a travs de nombres de usuarios y contraseas, as cuando una persona desea utilizar el Sistema debe identificarse (con su nombre de usuario) y podr manipular nicamente lo que tenga autorizado. En este sentido, se debe tener un control de los usuarios que entran al sistema (existen muchos sistemas operativos que lo hacen de manera automtica), es por ello que no se debe divulgar el nombre de usuario a otras personas. Por ejemplo, suponga que Marta Gonzlez tiene asignado el nombre de usuario mgonz128a y su amigo Marcelo Alvarez le pide por favor su nombre de usuario, porque necesita hacer algunas cosas con su mdulo, (Marcelo tiene su usuario asignado, malv287s), pues resulta que ocurri un problema con dicha informacin a quin reporta el sistema como responsable?. Sencillo, al usuario que accedi al Sistema, en este caso mgonz128a que pertenece a Marta Gonzlez. De igual forma, se debe restringir el acceso al Sistema en horas no laborables, ya que el mayor nmero intento de fraudes ocurre durante dicho perodo (por lo general en horas de la madrugada). Con estas medidas estoy 100% seguro que no existirn fraudes informticos?. No, nadie est exento de sufrir un fraude informtico, con decirle que han violado la seguridad del Pentgono, NASA, Yahoo!, entre otros. En tal caso le disminuye le riesgo, por lo tanto se recomienda revisar las medidas de seguridad constantemente. PLANEACIN DE LA AUDITORA EN INFORMTICA Para hacer una adecuada planeacin de la auditora en informtica, hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas de rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los dos objetivos:

 Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Para hacer una planeacin eficaz, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deber incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.
REVISIN PRELIMINAR DE LA AUDITORIA INFORMATICA

En esta fase el auditor debe de armarse de un conocimiento amplio del rea que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera prdidas sustanciosas), herramientas y conocimientos previos, as como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando siente que un rea tiene una falla o simplemente no trabaja productivamente como se sugiere, por esta razn habr puntos claves que se nos instruya sean revisados, hay que recordar que las auditorias parten desde un mbito administrativo y no solo desde la parte tecnolgica, porque al fin de cuentas hablamos de tiempo y costo de produccin, ejercicio de ventas, etc. Es decir, todo aquello que representa un gasto para la empresa. Los objetos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a revisin con los usuarios (pruebas compensatorias) o a las pruebas sustantivas. EXAMEN DE EVALUACION INFORMATICA Es el examen crtico y sistemtico que hace un Contador Pblico para evaluar el sistema de procesamiento electrnico de datos y sus resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un trabajo ms selectivo y de mayor penetracin sobre las actividades, procedimientos que involucran un gran nmero de transacciones.

El examen de los objetivos de la auditora, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluacin, nos lleva a la conclusin de que el papel del computador afecta significativamente las tcnicas a aplicar. Mediante una revisin adecuada del sistema de procesamiento electrnico de datos del cliente, y el uso de formatos bien diseados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente. Recreando programas de auditora por computador, el auditor cubre una actividad ms grande de la utilidad mercantil tanto financiera como operacional; y puede utilizar recursos para analizar y evaluar campos de problemas de evaluacin en las operaciones del cliente. Tal mtodo incrementa su aptitud para remitir ptimos servicios a los mismos. La evaluacin de un sistema informtico, estriba primero en la revisin del mismo para obtener un conocimiento de como se dice que funciona, y ponerlo a prueba para acumular evidencias que demuestren como es el funcionamiento en la realidad. Al evaluar la informacin automtica, el auditor debe revisar varios documentos, como diagramas de flujo y documentos de programacin, para lograr un mejor entendimiento del sistema y los controles que se disearon en l. En el sistema de procesamiento electrnico de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la automatizacin del proceso, y algunos que sustituyen aquellos que en los mtodos manuales se basaron en juicios humanos y la divisin de labores. Muchos de los controles en ambientes informticos, pueden combinarse en los programas de computadoras con en el proceso manual. Para ayudar en la revisin de los sistemas de procesamiento de datos y los controles internos, en ocasiones de suma utilidad los cuestionarios para obtener informacin respecto al sistema. Una vez obtenida la informacin, el auditor debe proceder a obtener evidencias de la existencia y efectividad de los procedimientos para l. Una parte significativa del sistema de control interno est comprendida en el programa de la computadora. Existen baches en la ruta de auditora, haciendo difcil e poco prctico obtener resultados o verificar clculos. Esta situacin es posible tanto en aplicaciones sencillas, como en sistemas integrados complejos. El volumen de registros que quizs sea ms econmico y efectivo usar mtodos de datos de prueba, en vez de mtodos de prueba manual.

Pruebas de Comportamiento El objetivo de esta fase es comprobar que los controles internos funcionan como lo deben de hacer, es decir, que los controles que se supona que existan, existen realmente y funcionan bien. Las tcnicas utilizadas, adems de la recogida manual de evidencias ya descrita, contemplan el uso del ordenador para verificar los controles. Al final de la fase, el auditor puede decidir evaluar de nuevo el sistema de controles internos, de acuerdo con la fiabilidad que han mostrado los controles individuales. El procedimiento de evaluacin y la eleccin de nuevos procedimientos de auditoria son los mismos que los de las fases anteriores. Prueba y Evaluacin de los Controles del Usuario El auditor puede decidir que no hace falta confiar en los controles internos porque existen controles del usuario que los sustituyen o compensan. Para un auditor externo, revisar estos controles del usuario puede resultar ms costoso que revisar los controles internos. Para un auditor interno, es importante hacerlo para eliminar posibles controles duplicados, bien internos o bien del usuario, para evitar la redundancia. PRUEBA SUSTANTIVAS El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden ocurrir perdidas materiales durante el proceso de la informacin. Se pueden identificar 8 diferentes pruebas sustantivas: 1 pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. 2 prueba para asegurar la calidad de los datos. 3 pruebas para identificar la inconsistencia de datos. 4 prueba para comparar con los datos o contadores fisicos. 5 confirmacion de datos con fuentes externas

6 pruebas para confirmar la adecuada comunicacion. 7 prueba para determinar falta de seguridad. 8 pruebas para determinar problemas de legalidad.

Riesgo Proximidad o posibilidad de un dao, peligro, etc. Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro. Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro. Seguridad Cualidad o estado de seguro Garanta o conjunto de garantas que se da a alguien sobre el cumplimiento de algo. Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administracin estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilacin; se financia con aportaciones del Estado, trabajadores y empresarios. Se dice tambin de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer ms seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturn de seguridad. Consideraciones Inmediatas para la Auditora de la Seguridad A continuacin se citarn las consideraciones inmediatas que se deben tener para elaborar la evaluacin de la seguridad, pero luego se tratarn las reas especficas con mucho mayor detalle. Uso de la Computadora

Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: - tiempo de mquina para uso ajeno - copia de programas de la organizacin para fines de comercializacin (copia pirata) - acceso directo o telefnico a bases de datos con fines fraudulentos Sistema de Acceso Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a: - nivel de seguridad de acceso - empleo de las claves de acceso - evaluar la seguridad contemplando la relacin costo, ya que a mayor tecnologa de acceso mayor costo Cantidad y Tipo de Informacin El tipo y la cantidad de informacin que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podran producir que: - la informacin este en manos de algunas personas - la alta dependencia en caso de perdida de datos Control de Programacin Se debe tener conocer que el delito ms comn est presente en el momento de la programacin, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que: - los programas no contengan bombas lgicas - los programas deben contar con fuentes y sus ultimas actualizaciones

- los programas deben contar con documentacin tcnica, operativa y de emergencia Personal Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que estn ligadas al sistema de informacin de forma directa y se deber contemplar principalmente: - la dependencia del sistema a nivel operativo y tcnico - evaluacin del grado de capacitacin operativa y tcnica - contemplar la cantidad de personas con acceso operativo y administrativo - conocer la capacitacin del personal en situaciones de emergencia Medios de Control Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema. Tambin se debe observar con detalle el sistema ya que podra generar indicadores que pueden actuar como elementos de auditora inmediata, aunque esta no sea una especificacin del sistema. Rasgos del Personal Se debe ver muy cuidadosamente el carcter del personal relacionado con el sistema, ya que pueden surgir: - malos manejos de administracin - malos manejos por negligencia - malos manejos por ataques deliberados Instalaciones Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar: - la continuidad del flujo elctrico

- efectos del flujo elctrico sobre el software y hardware - evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc. - verificar si existen un diseo, especificacin tcnica, manual o algn tipo de documentacin sobre las instalaciones Control de Residuos Observar como se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja. Establecer las Areas y Grados de Riesgo Es muy importante el crear una conciencia en los usuarios de la organizacin sobre el riesgo que corre la informacin y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la funcin informtica y los medios de prevencin que se deben tener, para lo cual se debe: Establecer el Costo del Sistema de Seguridad (Anlisis Costo vs Beneficio) Este estudio se realiza considerando el costo que se presenta cuando se pierde la informacin vs el costo de un sistema de seguridad. Para realizar este estudio se debe considerar lo siguiente: - clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) - identificar las aplicaciones que tengan alto riesgo - cuantificar el impacto en el caso de suspensin del servicio aquellas aplicaciones con un alto riesgo - formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera - la justificacin del costo de implantar las medidas de seguridad Costo x perdida Costo del

de informacin sistema de seguridad Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en reas de riesgo que pueden ser: Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia del sistema de informacin, para lo cual es importante considerar responder las siguientes cuatro preguntas: 1. Qu sucedera si no se puede utilizar el sistema? Si el sistema depende de la aplicacin por completo se debe definir el nivel de riesgo. Por ejemplo citemos: - Un sistema de reservacin de boletos que dependa por completo de un sistema computarizado, es un sistema de alto riesgo. - Una lista de clientes ser de menor riesgo. - Un sistema de contabilidad fuera del tiempo de balance ser de mucho menor riesgo. 2. Qu consecuencias traera si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algn modo de cmo se soluciono este problema en el pasado. 3. Existe un procedimiento alternativo y que problemas ocasionara? Se debe verificar si el sistema es nico o es que existe otro sistema tambin computarizado de apoyo menor. Ejemplo: S el sistema principal esta diseado para trabajar en red sea tipo WAN quiz haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un sistema de facturacin en red, si esta cae, quiz pudiese trabajar en forma distribuida con un mdulo menor monousuario y que tenga la capacidad de que al levantarse la red existan mtodos de actualizacin y verificacin automtica. 4. Qu se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, las consecuencias y las soluciones tomadas, considerando: - Que exista un sistema paralelo al menos manual

- Si hay sistemas duplicados en las reas crticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado). - Si hay sistemas de energa ininterrumpida UPS. - Si las instalaciones elctricas, telefnicas y de red son adecuadas (se debe contar con el criterio de un experto). - Si se cuenta con un mtodo de respaldo y su manual administrativo. Conclusin Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en casi de desastre, sealando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades. Consideracin y Cuantificacin del Riesgo a Nivel Institucional (importante) Ahora que se han establecido los riesgos dentro la organizacin, se debe evaluar su impacto a nivel institucional, para lo cual se debe: - Clasificar la informacin y los programas de soporte en cuanto a su disponibilidad y recuperacin. - Identificar la informacin que tenga un alto costo financiero en caso de perdida o pueda tener impacto a nivel ejecutivo o gerencial. - Determinar la informacin que tenga un papel de prioridad en la organizacin a tal punto que no pueda sobrevivir sin ella. Una vez determinada esta informacin se la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensin en el procesamiento y que cuantifiquen el impacto que podran causar estas situaciones. Disposiciones que Acompaan la Seguridad De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organizacin, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de accin

para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar: - Obtener una especificacin de las aplicaciones, los programas y archivos de datos. - Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios para cada caso. - Prioridades en cuanto a acciones de seguridad de corto y largo plazo. - Verificar el tipo de acceso que tiene las diferentes personas de la organizacin, cuidar que los programadores no cuenten con acceso a la seccin de operacin ni viceversa. - Que los operadores no sean los nicos en resolver los problemas que se presentan. Higiene Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las reas involucradas de la organizacin (centro de computo y dems dependencias), pues esto ayudar a detectar problemas de disciplina y posibles fallas en la seguridad. Tambin podemos ver que la higiene y el orden son factores que elevan la moral del recurso humano, evita la acumulacin de desperdicios y limita las posibilidades de accidentes. (ejm del rastrillo) Ademas es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal. Cultura Personal Cuando hablamos de informacin, su riesgo y su seguridad, siempre se debe considerar al elemento humano, ya que podra definir la existencia o no de los ms altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo. Conclusin El fin de este punto es encontrar y evitar posibles situaciones de roce entre el recurso humano y la organizacin y lograr una mejor comunicacin entre ambos.

Consideraciones para Elaborar un Sistema de Seguridad Integral Como hablamos de realizar la evaluacin de la seguridad es importante tambin conocer como desarrollar y ejecutar el implantar un sistema de seguridad.

EVALUACION DE SISTEMAS DE ACUERDO AL RIESGO

Riesgo Proximidad o posibilidad de un dao, peligro, etc. Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro. Sinnimos: amenaza, contingencia, emergencia, urgencia, apuro. Seguridad Cualidad o estado de seguro Garanta o conjunto de garantas que se da a alguien sobre el cumplimiento de algo. Ejemplo: Seguridad Social Conjunto de organismos, medios, medidas, etc., de la administracin estatal para prevenir o remediar los posibles riesgos, problemas y necesidades de los trabajadores, como enfermedad, accidentes laborales, incapacidad, maternidad o jubilacin; se financia con aportaciones del Estado, trabajadores y empresarios. Se dice tambin de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a hacer ms seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturn de seguridad. Consideraciones Inmediatas para la Auditora de la Seguridad A continuacin se citarn las consideraciones inmediatas que se deben tener para elaborar la evaluacin de la seguridad, pero luego se tratarn las reas especficas con mucho mayor detalle.

Uso de la Computadora Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: - tiempo de mquina para uso ajeno - copia de programas de la organizacin para fines de comercializacin (copia pirata) - acceso directo o telefnico a bases de datos con fines fraudulentos Sistema de Acceso Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a: - nivel de seguridad de acceso - empleo de las claves de acceso - evaluar la seguridad contemplando la relacin costo, ya que a mayor tecnologa de acceso mayor costo Cantidad y Tipo de Informacin El tipo y la cantidad de informacin que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podran producir que: - la informacin este en manos de algunas personas - la alta dependencia en caso de perdida de datos Control de Programacin Se debe tener conocer que el delito ms comn est presente en el momento de la programacin, ya que puede ser cometido intencionalmente o no, para lo cual se debe controlar que: - los programas no contengan bombas lgicas

- los programas deben contar con fuentes y sus ultimas actualizaciones - los programas deben contar con documentacin tcnica, operativa y de emergencia Personal Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que estn ligadas al sistema de informacin de forma directa y se deber contemplar principalmente: - la dependencia del sistema a nivel operativo y tcnico - evaluacin del grado de capacitacin operativa y tcnica - contemplar la cantidad de personas con acceso operativo y administrativo - conocer la capacitacin del personal en situaciones de emergencia Medios de Control Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema. Tambin se debe observar con detalle el sistema ya que podra generar indicadores que pueden actuar como elementos de auditora inmediata, aunque esta no sea una especificacin del sistema. Rasgos del Personal Se debe ver muy cuidadosamente el carcter del personal relacionado con el sistema, ya que pueden surgir: - malos manejos de administracin - malos manejos por negligencia - malos manejos por ataques deliberados Instalaciones Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar:

- la continuidad del flujo elctrico - efectos del flujo elctrico sobre el software y hardware - evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc. - verificar si existen un diseo, especificacin tcnica, manual o algn tipo de documentacin sobre las instalaciones Control de Residuos Observar como se maneja la basura de los departamentos de mayor importancia, donde se almacena y quien la maneja. Establecer las Areas y Grados de Riesgo Es muy importante el crear una conciencia en los usuarios de la organizacin sobre el riesgo que corre la informacin y hacerles comprender que la seguridad es parte de su trabajo. Para esto se deben conocer los principales riesgos que acechan a la funcin informtica y los medios de prevencin que se deben tener, para lo cual se debe: Establecer el Costo del Sistema de Seguridad (Anlisis Costo vs Beneficio) Este estudio se realiza considerando el costo que se presenta cuando se pierde la informacin vs el costo de un sistema de seguridad. Para realizar este estudio se debe considerar lo siguiente: - clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) - identificar las aplicaciones que tengan alto riesgo - cuantificar el impacto en el caso de suspensin del servicio aquellas aplicaciones con un alto riesgo - formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera - la justificacin del costo de implantar las medidas de seguridad

Costo x perdida Costo del de informacin sistema de seguridad Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos elementos en reas de riesgo que pueden ser: Riesgo Computacional Se debe evaluar las aplicaciones y la dependencia del sistema de informacin, para lo cual es importante considerar responder las siguientes cuatro preguntas: 1. Qu sucedera si no se puede utilizar el sistema? Si el sistema depende de la aplicacin por completo se debe definir el nivel de riesgo. Por ejemplo citemos: - Un sistema de reservacin de boletos que dependa por completo de un sistema computarizado, es un sistema de alto riesgo. - Una lista de clientes ser de menor riesgo. - Un sistema de contabilidad fuera del tiempo de balance ser de mucho menor riesgo. 2. Qu consecuencias traera si es que no se pudiera acceder al sistema? Al considerar esta pregunta se debe cuidar la presencia de manuales de respaldo para emergencias o algn modo de cmo se soluciono este problema en el pasado. 3. Existe un procedimiento alternativo y que problemas ocasionara? Se debe verificar si el sistema es nico o es que existe otro sistema tambin computarizado de apoyo menor. Ejemplo: S el sistema principal esta diseado para trabajar en red sea tipo WAN quiz haya un soporte de apoyo menor como una red LAN o monousuario. En el caso de un sistema de facturacin en red, si esta cae, quiz pudiese trabajar en forma distribuida con un mdulo menor monousuario y que tenga la capacidad de que al levantarse la red existan mtodos de actualizacin y verificacin automtica. 4. Qu se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se debe considerar al menos las siguientes situaciones, donde se debe rescatar los acontecimientos, las consecuencias y las soluciones tomadas, considerando: - Que exista un sistema paralelo al menos manual

- Si hay sistemas duplicados en las reas crticas (tarjetas de red, teclados, monitores, servidores, unidades de disco, aire acondicionado). - Si hay sistemas de energa ininterrumpida UPS. - Si las instalaciones elctricas, telefnicas y de red son adecuadas (se debe contar con el criterio de un experto). - Si se cuenta con un mtodo de respaldo y su manual administrativo. Conclusin Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las medidas preventivas que se deben tomar y las correctivas en casi de desastre, sealando la prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de acuerdo a sus prioridades. Consideracin y Cuantificacin del Riesgo a Nivel Institucional (importante) Ahora que se han establecido los riesgos dentro la organizacin, se debe evaluar su impacto a nivel institucional, para lo cual se debe: - Clasificar la informacin y los programas de soporte en cuanto a su disponibilidad y recuperacin. - Identificar la informacin que tenga un alto costo financiero en caso de perdida o pueda tener impacto a nivel ejecutivo o gerencial. - Determinar la informacin que tenga un papel de prioridad en la organizacin a tal punto que no pueda sobrevivir sin ella. Una vez determinada esta informacin se la debe CUANTIFICAR, para lo cual se debe efectuar entrevistas con los altos niveles administrativos que sean afectados por la suspensin en el procesamiento y que cuantifiquen el impacto que podran causar estas situaciones. Disposiciones que Acompaan la Seguridad De acuerdo a experiencias pasadas, y a la mejor conveniencia de la organizacin, desde el punto de vista de seguridad, contar con un conjunto de disposiciones o cursos de accin

para llevarse a cabo en caso de presentarse situaciones de riesgo. Para lo cual se debe considerar: - Obtener una especificacin de las aplicaciones, los programas y archivos de datos. - Medidas en caso de desastre como prdida total de datos, abuso y los planes necesarios para cada caso. - Prioridades en cuanto a acciones de seguridad de corto y largo plazo. - Verificar el tipo de acceso que tiene las diferentes personas de la organizacin, cuidar que los programadores no cuenten con acceso a la seccin de operacin ni viceversa. - Que los operadores no sean los nicos en resolver los problemas que se presentan. Higiene Otro aspecto que parece de menor importancia es el de orden e higiene, que debe observarse con mucho cuidado en las reas involucradas de la organizacin (centro de computo y dems dependencias), pues esto ayudar a detectar problemas de disciplina y posibles fallas en la seguridad. Tambin podemos ver que la higiene y el orden son factores que elevan la moral del recurso humano, evita la acumulacin de desperdicios y limita las posibilidades de accidentes. (ej. del rastrillo) Adems es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal como informal. Cultura Personal Cuando hablamos de informacin, su riesgo y su seguridad, siempre se debe considerar al elemento humano, ya que podra definir la existencia o no de los ms altos grados de riesgo. Por lo cual es muy importante considerar la idiosincrasia del personal, al menos de los cargos de mayor dependencia o riesgo. Conclusin El fin de este punto es encontrar y evitar posibles situaciones de roce entre el recurso humano y la organizacin y lograr una mejor comunicacin entre ambos.

Consideraciones para Elaborar un Sistema de Seguridad Integral Como hablamos de realizar la evaluacin de la seguridad es importante tambin conocer cmo desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa: planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa. Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad. Sistema Integral de Seguridad Un sistema integral debe contemplar: - Definir elementos administrativos - Definir polticas de seguridad - A nivel departamental - A nivel institucional - Organizar y dividir las responsabilidades - Contemplar la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.) - Definir prcticas de seguridad para el personal: - Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extinguidores. - Nmeros telefnicos de emergencia - Definir el tipo de plizas de seguros - Definir elementos tcnicos de procedimientos

- Definir las necesidades de sistemas de seguridad para: - Hardware y software - Flujo de energa - Cableados locales y externos - Aplicacin de los sistemas de seguridad incluyendo datos y archivos - Planificacin de los papeles de los auditores internos y externos - Planificacin de programas de desastre y sus pruebas (simulacin) - Planificacin de equipos de contingencia con carcter peridico - Control de desechos de los nodos importantes del sistema: - Poltica de destruccin de basura copias, fotocopias, etc. - Consideracin de las normas ISO 14000 Etapas para Implementar un Sistema de Seguridad Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos: Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad. Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales. Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando: Plan de Seguridad Ideal (o Normativo) Un plan de seguridad para un sistema de seguridad integral debe contemplar: - El plan de seguridad debe asegurar la integridad y exactitud de los datos

- Debe permitir identificar la informacin que es confidencial - Debe contemplar reas de uso exclusivo - Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles - Debe asegurar la capacidad de la organizacin para sobrevivir accidentes - Debe proteger a los empleados contra tentaciones o sospechas innecesarias - Debe contemplar la administracin contra acusaciones por imprudencia Un punto de partida ser conocer como ser la seguridad, de acuerdo a la siguiente ecuacin.
Riesgo

SEGURIDAD = --------------------------------------------Medidas preventivas y correctivas

Donde: Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc) Medidas pre.. (polticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad de personal, etc) Consideraciones para con el Personal Es de gran importancia la elaboracin del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluacin de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos Cumplir promesas Innovar Para apoyar estos objetivos se debe cumplir los siguientes pasos:

Motivar Se debe desarrollar mtodos de participacin reflexionando sobre lo que significa la seguridad y el riesgo, as como su impacto a nivel empresarial, de cargo y individual. Capacitacin General En un principio a los ejecutivos con el fin de que conozcan y entiendan la relacin entre seguridad, riesgo y la informacin, y su impacto en la empresa. El objetivo de este punto es que se podrn detectar las debilidades y potencialidades de la organizacin frente al riesgo. Este proceso incluye como prctica necesaria la implantacin la ejecucin de planes de contingencia y la simulacin de posibles delitos. Capacitacin de Tcnicos Se debe formar tcnicos encargados de mantener la seguridad como parte de su trabajo y que est capacitado para capacitar a otras personas en lo que es la ejecucin de medidas preventivas y correctivas. tica y Cultura Se debe establecer un mtodo de educacin estimulando el cultivo de elevados principios morales, que tengan repercusin a nivel personal e institucional. De ser posible realizar conferencias peridicas sobre: doctrina, familia, educacin sexual, relaciones humanas, etc. Etapas para Implantar un Sistema de Seguridad en Marcha Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos: 1. Introducir el tema de seguridad en la visin de la empresa. 2. Definir los procesos de flujo de informacin y sus riesgos en cuanto a todos los recursos participantes. 3. Capacitar a los gerentes y directivos, contemplando el enfoque global.

4. Designar y capacitar supervisores de rea. 5. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. 6. Mejorar las comunicaciones internas. 7. Identificar claramente las reas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel. 8. Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad fsica. Beneficios de un Sistema de Seguridad Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH.

Desarrollar un sistema de seguridad significa: planear, organizar coordinar dirigir y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa. Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad.

Sistema Integral de Seguridad Un sistema integral debe contemplar: - Definir elementos administrativos - Definir polticas de seguridad - A nivel departamental - A nivel institucional - Organizar y dividir las responsabilidades - Contemplar la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.) - Definir prcticas de seguridad para el personal: - Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extinguidores. - Nmeros telefnicos de emergencia - Definir el tipo de plizas de seguros - Definir elementos tcnicos de procedimientos - Definir las necesidades de sistemas de seguridad para: - Hardware y software - Flujo de energa - Cableados locales y externos - Aplicacin de los sistemas de seguridad incluyendo datos y archivos - Planificacin de los papeles de los auditores internos y externos

- Planificacin de programas de desastre y sus pruebas (simulacin) - Planificacin de equipos de contingencia con carcter peridico - Control de desechos de los nodos importantes del sistema: - Poltica de destruccin de basura copias, fotocopias, etc. - Consideracin de las normas ISO 14000 Etapas para Implementar un Sistema de Seguridad Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos: Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad. Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales. Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando: Plan de Seguridad Ideal (o Normativo) Un plan de seguridad para un sistema de seguridad integral debe contemplar: - El plan de seguridad debe asegurar la integridad y exactitud de los datos - Debe permitir identificar la informacin que es confidencial - Debe contemplar reas de uso exclusivo - Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles - Debe asegurar la capacidad de la organizacin para sobrevivir accidentes - Debe proteger a los empleados contra tentaciones o sospechas innecesarias

- Debe contemplar la administracin contra acusaciones por imprudencia Un punto de partida ser conocer como ser la seguridad, de acuerdo a la siguiente ecuacin.
Riesgo

SEGURIDAD = --------------------------------------------Medidas preventivas y correctivas

Donde: Riesgo (roles, fraudes, accidentes, terremotos, incendios, etc) Medidas pre.. (polticas, sistemas de seguridad, planes de emergencia, plan de resguardo, seguridad de personal, etc) Consideraciones para con el Personal Es de gran importancia la elaboracin del plan considerando el personal, pues se debe llevar a una conciencia para obtener una autoevaluacin de su comportamiento con respecto al sistema, que lleve a la persona a: Asumir riesgos Cumplir promesas Innovar Para apoyar estos objetivos se debe cumplir los siguientes pasos: Motivar Se debe desarrollar mtodos de participacin reflexionando sobre lo que significa la seguridad y el riesgo, as como su impacto a nivel empresarial, de cargo y individual. Capacitacin General En un principio a los ejecutivos con el fin de que conozcan y entiendan la relacin entre seguridad, riesgo y la informacin, y su impacto en la empresa. El objetivo de este punto es que se podrn detectar las debilidades y potencialidades de la organizacin frente al riesgo.

Este proceso incluye como prctica necesaria la implantacin la ejecucin de planes de contingencia y la simulacin de posibles delitos. Capacitacin de Tcnicos Se debe formar tcnicos encargados de mantener la seguridad como parte de su trabajo y que est capacitado para capacitar a otras personas en lo que es la ejecucin de medidas preventivas y correctivas. tica y Cultura Se debe establecer un mtodo de educacin estimulando el cultivo de elevados principios morales, que tengan repercusin a nivel personal e institucional. De ser posible realizar conferencias peridicas sobre: doctrina, familia, educacin sexual, relaciones humanas, etc. Etapas para Implantar un Sistema de Seguridad en Marcha Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se deben seguir los siguiente 8 pasos: 1. Introducir el tema de seguridad en la visin de la empresa. 2. Definir los procesos de flujo de informacin y sus riesgos en cuanto a todos los recursos participantes. 3. Capacitar a los gerentes y directivos, contemplando el enfoque global. 4. Designar y capacitar supervisores de rea. 5. Definir y trabajar sobre todo las reas donde se pueden lograr mejoras relativamente rpidas. 6. Mejorar las comunicaciones internas. 7. Identificar claramente las reas de mayor riesgo corporativo y trabajar con ellas planteando soluciones de alto nivel.

8. Capacitar a todos los trabajadores en los elementos bsicos de seguridad y riesgo para el manejo del software, hardware y con respecto a la seguridad fsica. Beneficios de un Sistema de Seguridad Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH.

INVESTIGACION PRELIMINIAR Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos: ADMINISTRACIN Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del rea de informtica

Objetivos a corto y largo plazo. Recursos materiales y tecnicos Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas. Estudios de viabilidad. Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y programados) Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin. Polticas de uso de los equipos. SISTEMAS Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin. Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salida.

Salidas. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas. En el momento de hacer la planeacin de la auditora o bien su realizacin, debemos evaluar que pueden presentarse las siguientes situaciones. Se solicita la informacin y se ve que: No tiene y se necesita. No se tiene y no se necesita. Se tiene la informacin pero: No se usa. Es incompleta. No esta actualizada. No es la adecuada. Se usa, est actualizada, es la adecuada y est completa. En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la informacin pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est completa. El xito del anlisis crtico depende de las consideraciones siguientes: Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento)

Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados. PERSONAL PARTICIPANTE Una de las partes ms importantes en la planeacin de la auditoria en informtica es el personal que deber participar, ya que se debe contar con un equipo seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado. Aqu no se vera el nmero de persona que debern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber considerar son exactamente las caractersticas que debe cumplir cada uno del personal que habr de participar en la auditoria. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga este debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal que intervendr en la auditoria. Primeramente, debemos pensar que hay personal asignado por la organizacin, que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. Este es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, ser casi imposible obtener informacin en el momento y con las caractersticas deseadas. Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de

hiptesis, nos proporcionen aquello que se est solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para complementar el grupo, como colaboradores directos en la realizacin de la auditoria, se deben tener personas con las siguientes caractersticas: -Conocimientos de Admn., contadura -Tcnico en informtica. -Experiencia en operacin -Experiencia en el rea de informtica y finanzas. - Conocimientos y experiencias en psicologa industrial y anlisis de sistemas. - Conocimientos de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar. Conocimientos de los sistemas ms importantes. En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencias en reas especficas como base de datos, redes y comunicaciones, etctera. Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias sealadas, pero si que deben intervenir una o varias personas con las caractersticas apuntadas. Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presentar la carta (convenio de servicios profesionales en el caso de auditores externos -) y el plan de trabajo. La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes que se han de entregar.