Contenido del Curso: Administración de la función informática

UNIDAD I

Introducción a la auditoria informática.

Conceptos de auditoría y auditoria Informática.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un

Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a

cabo eficazmente los fines de la organización y utiliza eficientemente los recursos.

Auditar consiste

principalmente en estudiar

los mecanismos de control

que están implantados en

una empresa u

organización, determinando

si los mismos son

adecuados y cumplen unos

determinados objetivos o

estrategias, estableciendo

los cambios que se

deberían realizar para la

consecución de los mismos.

Los objetivos de la auditoría Informática son:

* El control de la función

informática

* El análisis de la

eficiencia de los Sistemas

Informáticos

* La verificación del

cumplimiento de la

Normativa en este ámbito

* La revisión de la eficaz

gestión de los recursos

informáticos.

La auditoría informática

sirve para mejorar ciertas

características en la

empresa como:

- Eficiencia

- Eficacia

- Rentabilidad

- Seguridad

Generalmente se puede

desarrollar en alguna o

combinación de las

siguientes áreas:

- Gobierno corporativo

- Administración del

Ciclo de vida de los

sistemas

- Servicios de Entrega

y Soporte

- Protección y

Seguridad

- Planes de continuidad

y Recuperación de

desastres

1.2 Tipos de auditoría.

Auditoría contable (de

estados financieros) – no es

interés del curso.

Auditoría interna. La lleva a

cabo un departamento

dentro de la organización y

existe una relación laboral.

Auditoría externa. No existe

relación laboral y la hacen

personas externas al

negocio para que los

resultados que nos arroje

sean imparciales como

pueden ser las firmas de

contadores o

administradores

independientes.

Auditoria administrativa.

(William. P Leonard) es un

examen completo y

constructivo de la

estructura organizativa de la

empresa, institución o

departamento

gubernamental o de

cualquier otra entidad y de

sus métodos de control,

medios de operación y

empleo que dé a sus

recursos humanos y

materiales.

Auditoria gubernamental.

Auditoría Financiera:

Consiste en una revisión

exploratoria y critica de los

controles subyacentes y los

registros de contabilidad de

una empresa realizada por

un contador público.

Auditoria de operaciones:

Se define como una técnica

para evaluar

sistemáticamente de una

función o una unidad con

referencia a normas de la

empresa, utilizando

personal no especializado

en el área de estudio.

Auditoría fiscal: Consiste

en verificar el correcto y

oportuno pago de los

diferentes impuestos y

obligaciones fiscales de los

contribuyentes desde el

punto de vista físico

2

(SHCP), direcciones o

tesorerías de hacienda

estatales o tesorerías

municipales.

Auditoria de resultados de

programas: Esta auditoría la

eficacia y congruencia

alcanzadas en el logro de

los objetivos y las metas

establecidas.

Auditoria de legalidad: Este

tipo de auditoría tiene como

finalidad revisar si la

dependencia o entidad, en

el desarrollo de sus

actividades.

Auditoría integral: Es un

examen que proporciona

una evaluación objetiva y

constructiva acerca del

grado en que los recursos

humanos, financieros y

materiales.

1.2.1 Auditoría interna y

externa.

La Auditoría Externa

examina y evalúa

cualquiera de los sistemas

de información de una

organización y emite una

opinión independiente sobre

los mismos, pero las

empresas generalmente

requieren de la evaluación

de su sistema de

información financiero en

forma independiente para

otorgarle validez ante los

usuarios del producto de

este, por lo cual

tradicionalmente se ha

asociado el término

Auditoría Externa a

Auditoría de Estados

Financieros, lo cual como

se observa no es totalmente

equivalente, pues puede

existir. Auditoría Externa

del Sistema de Información

Tributario, Auditoría

Externa del Sistema de

Información

Administrativo, Auditoría

Externa del Sistema de

Información Automático

etc.

La auditoría Interna es el

examen crítico, sistemático

y detallado de un sistema de

información de una unidad

económica, realizado por un

profesional con vínculos

laborales con la misma,

utilizando técnicas

determinadas y con el

objeto de emitir informes y

formular sugerencias para

el mejoramiento de la

misma. Estos informes son

de circulación interna y no

tienen trascendencia a los

terceros pues no se

producen bajo la figura de

la Fe Pública.

1.3 Campo de la auditoria

informática.

Algunos campos de

aplicación de la informática

son las siguientes:

Investigación científica y

humanística: Se usan la las

computadoras para la

resolución de cálculos

matemáticos, recuentos

numéricos, etc.

Aplicaciones técnicas: Usa

la computadora para

facilitar diseños de

ingeniería y de productos

comerciales, trazado de

planos, etc.

Documentación e

información: Es uno de los

campos más importantes

para la utilización de

computadoras. Estas se

usan para el

almacenamiento de grandes

cantidades de datos y la

recuperación controlada de

los mismos en bases de

datos.

Gestión administrativa:

Automatiza las funciones de

gestión típicas de una

empresa.

Inteligencia artificial: Las

computadoras se programan

de forma que emulen el

comportamiento de la

mente humana. Los

programas responden como

previsiblemente lo haría una

persona inteligente.

Instrumentación y control:

Instrumentación

electrónica, electro

medicina, robots

industriales, entre otros.

1.4 Control interno.

El Control Interno

Informático puede definirse

como el sistema integrado

al proceso administrativo,

en la planeación,

organización, dirección y

control de las operaciones

con el objeto de asegurar la

protección de todos los

recursos informáticos y

mejorar los índices de

economía, eficiencia y

efectividad de los procesos

operativos automatizados.

También se puede definir

el Control Interno como

cualquier actividad o acción

realizada manual y/o

automáticamente para

prevenir, corregir errores o

irregularidades que puedan

afectar al funcionamiento

de un sistema para

conseguir sus objetivos.

1.5 Modelos de control

utilizados en auditoria

informática.

El COBIT es precisamente

un modelo para auditar la

gestión y control de los

sistemas de información y

tecnología, orientado a

todos los sectores de una

organización, es decir,

administradores IT,

usuarios y por supuesto, los

3

auditores involucrados en el

proceso.

Las siglas COBIT

significan Objetivos de

Control para Tecnología de

Información y Tecnologías

relacionadas (Control

Objetives for Information

Systems and related

Technology). El modelo es

el resultado de una

investigación con expertos

de varios países,

desarrollado por ISACA

(Information Systems Audit

and Control Association).

La estructura del modelo

COBIT propone un marco

de acción donde se evalúan

los criterios de información,

como por ejemplo la

seguridad y calidad, se

auditan los recursos que

comprenden la tecnología

de información, como por

ejemplo el recurso humano,

instalaciones, sistemas,

entre otros, y finalmente se

realiza una evaluación sobre

los procesos involucrados

en la organización.

El COBIT es un modelo de

evaluación y monitoreo que

enfatiza en el control de

negocios y la seguridad IT y

que abarca controles

específicos de IT desde una

perspectiva de negocios.

“La adecuada

implementación de un

modelo COBIT en una

organización, provee una

herramienta automatizada,

para evaluar de manera ágil

y consistente el

cumplimiento de los

objetivos de control y

controles detallados, que

aseguran que los procesos y

recursos de información y

tecnología contribuyen al

logro de los objetivos del

negocio en un mercado

cada vez más exigente,

complejo y diversificado”,

señaló un informe de

ETEK.

COBIT, lanzado en 1996,

es una herramienta de

gobierno de TI que ha

cambiado la forma en que

trabajan los profesionales

de tecnología. Vinculando

tecnología informática y

prácticas de control, el

modelo COBIT consolida y

armoniza estándares de

fuentes globales

prominentes en un recurso

crítico para la gerencia, los

profesionales de control y

los auditores.

COBIT se aplica a los

sistemas de información de

toda la empresa, incluyendo

los computadores

personales y las redes. Está

basado en la filosofía de

que los recursos TI

necesitan ser administrados

por un conjunto de procesos

naturalmente agrupados

para proveer la información

pertinente y confiable que

requiere una organización

para lograr sus objetivos.

El conjunto de lineamientos

y estándares internacionales

conocidos como COBIT,

define un marco de

referencia que clasifica los

procesos de las unidades de

tecnología de información

de las organizaciones en

cuatro “dominios”

principales, a saber:

-Planificación y

organización

-Adquisición e

implantación

-Soporte y Servicios

- Monitoreo

Estos dominios agrupan

objetivos de control de alto

nivel, que cubren tanto los

aspectos de información,

como de la tecnología que

la respalda. Estos dominios

y objetivos de control

facilitan que la generación y

procesamiento de la

información cumplan con

las características de

efectividad, eficiencia,

confidencialidad,

integridad, disponibilidad,

cumplimiento y

confiabilidad.

Asimismo, se deben tomar

en cuenta los recursos que

proporciona la tecnología

de información, tales como:

datos, aplicaciones,

plataformas tecnológicas,

instalaciones y recurso

humano.

“Cualquier tipo de empresa

puede adoptar una

metodología COBIT, como

parte de un proceso de

reingeniería en aras de

reducir los índices de

incertidumbre sobre

vulnerabilidades y riesgos

de los recursos IT y

consecuentemente, sobre la

posibilidad de evaluar el

logro de los objetivos del

negocio apalancado en

procesos tecnológicos”,

finalizó el informe de

ETEK.

1.6 Principios aplicados a

los auditores informáticos.

El auditor deberá ver cómo

se puede conseguir la

máxima eficacia y

rentabilidad de los medios

informáticos de la empresa

auditada, estando obligado

a presentar

recomendaciones acerca del

reforzamiento del sistema y

el estudio de las soluciones

más idóneas según los

problemas detectados en el

sistema informático de esta

4

última. En ningún caso está

justificado que realice su

trabajo el prisma del propio

beneficio. Cualquiera

actitud que se anteponga

intereses personales del

auditor a los del auditado

deberá considerarse como

no ética. Para garantizar el

beneficio del auditado como

la necesaria independencia

del auditor, este último

deberá evitar estar ligado en

cualquier forma, a intereses

de determinadas marcas,

productos o equipos

compatibles con los de su

cliente. La adaptación del

auditor al sistema del

auditado debe implicar una

cierta simbiosis con el

mismo, a fin de adquirir un

conocimiento

pormenorizado de sus

características intrínsecas.

Únicamente en los casos en

el que el auditor dedujese la

imposibilidad de que el

sistema pudiera acomodarse

a las exigencias propias de

su cometido, este podrá

proponer un cambio

cualitativamente

significativo de

determinados elementos o

del propio sistema

informático globalmente

contemplado. Una vez

estudiado el sistema

informático a auditar, el

auditor deberá establecer

los requisitos mínimos,

aconsejables y óptimos para

su adecuación a la finalidad

para la que ha sido

diseñado. El auditor deberá

lógicamente abstenerse de

recomendar actuaciones

innecesariamente onerosas,

dañinas o que generen

riesgos injustificados para

el auditado. Una de las

cuestiones más

controvertidas, respecto de

la aplicación de este

principio, es la referente a

facilitar el derecho de las

organizaciones auditadas a

la libre elección del auditor.

Si el auditado decidiera

encomendar posteriores

auditorías a otros

profesionales, éstos

deberías poder tener acceso

a los informes de los

trabajos profesionales, éstos

deberían poder tener acceso

a los informes de los

trabajos anteriormente

realizados sobre el sistema

del auditado.

del grado de cobertura que

dan las aplicaciones a las

necesidades estratégicas y

operativas de información

de la empresa.

UNIDAD II Planeación de

la auditoria Informática.

2.1 Fases de la auditoria.

Fase I: Conocimientos del

Sistema

Fase II: Análisis de

transacciones y recursos

Fase III: Análisis de riesgos

y amenazas

Fase IV: Análisis de

controles

Fase V: Evaluación de

Controles

Fase VI: El Informe de

auditoria

Fase VII: Seguimiento de

las Recomendaciones

2.1.1 Planeación.

Para hacer una adecuada

planeación de la auditoría

en informática, hay que

seguir una serie de pasos

previos que permitirán

dimensionar el tamaño y

características de área

dentro del organismo a

auditar, sus sistemas,

organización y equipo. En

el caso de la auditoría en

informática, la planeación

es fundamental, pues habrá

que hacerla desde el punto

de vista de los dos

objetivos:

• Evaluación de los sistemas

y procedimientos.

• Evaluación de los equipos

de cómputo.

2.1.2 Revisión preliminar.

En esta fase el auditor debe

de armarse de un

conocimiento amplio del

área que va a auditar, los

objetivos que debe cumplir,

tiempos (una empresa no

pude dejar sus equipos y

personal que lo opera sin

trabajar porque esto le

genera pérdidas

sustanciosas), herramientas

y conocimientos previos,

así como de crear su equipo

de auditores expertos en la

materia con el fin de evitar

tiempos muertos a la hora

de iniciar la auditoria.

Es de tomarse en cuenta que

el propietario de dicha

empresa, ordena una

auditoria cuando siente que

un área tiene una falla o

simplemente no trabaja

productivamente como se

sugiere, por esta razón

habrá puntos claves que se

nos instruya sean revisados,

hay que recordar que las

5

auditorias parten desde un

ámbito administrativo y no

solo desde la parte

tecnológica, porque al fin

de cuentas hablamos de

tiempo y costo de

producción, ejercicio de

ventas, etc. Es decir, todo

aquello que representa un

gasto para la empresa.

2.1.3 Revisión detallada.

Los objetos de la fase

detallada son los de obtener

la información necesaria

para que el auditor tenga un

profundo entendimiento de

los controles usados dentro

del área de informática.

El auditor debe de decidir

se debe continuar

elaborando pruebas de

consentimiento, con la

esperanza de obtener mayor

confianza por medio del

sistema de control interno, o

proceder directamente a

revisión con los usuarios

(pruebas compensatorias) o

a las pruebas sustantivas.

2.1.4 Examen y evaluación

de la información.

Periodo en el que se

desarrollan las pruebas y su

extensión

Los auditores

independientes podrán

realizar las pruebas de

cumplimiento durante el

periodo preliminar.

Cuando éste sea el caso, la

aplicación de tales pruebas

a todo el periodo restante

puede no ser necesaria,

dependiendo

fundamentalmente del

resultado de estas pruebas

en el periodo preliminar así

como de la evidencia del

cumplimiento, dentro del

periodo restante, que puede

obtenerse de las pruebas

sustantivas realizadas por el

auditor independiente.

La determinación de la

extensión de las pruebas de

cumplimento se realizará

sobre bases estadísticas o

sobre bases subjetivas. El

muestreo estadístico es, en

principio, el medio idóneo

para expresar en términos

cuantitativos el juicio del

auditor respecto a la

razonabilidad,

determinando la extensión

de las pruebas y evaluando

su resultado.

Cuando se utilicen bases

subjetivas se deberá dejar

constancia en los papeles de

trabajo de las razones que

han conducido a tal

elección, justificando los

criterios y bases de

selección.

Evaluación del control

interno

Realizados los cuestionarios

y representado gráficamente

el sistema de acuerdo con

los procedimientos vistos,

hemos de conjugar ambos a

fin de realizar un análisis e

identificar los puntos

fuertes y débiles del

sistema.

En esa labor de

identificación, influye

primordialmente la

habilidad para entender el

sistema y comprender los

puntos fuertes y débiles de

su control interno.

La conjugación de ambas

nos dará el nivel de

confianza de los controles

que operan en la empresa, y

será preciso determinar si

los errores tienen una

repercusión directa en los

estados financieros, o si los

puntos fuertes del control

eliminarían el error.

2.1.5 Pruebas de controles

de usuario.

En una auditoria existen los

siguientes módulos para

ayudarle a planificar y

ejecutar pruebas:

Aéreas de Auditoria

Registro de Riesgos y

Controles

Plan de Pruebas

Realizar pruebas

Permite especificar la

estructura bajo la cual se

agruparan las pruebas.

Permite planificar y ejecutar

pruebas relacionadas con

los riesgos y controles

definidos para esta

auditoría.

Permite agregar, editar y

borrar pruebas con

independencia del Registro

de Riesgos y Controles.

Permite registrar el

resultado y el status de cada

prueba (completadas,

revisadas o aprobadas).

Una Librería de Áreas y una

Librería de Pruebas pueden

también ser mantenida para

proveer Áreas y Pruebas

Standard para su selección

en cada auditoria.

Las Áreas de Auditoria

estructuran sus pruebas en

programas de trabajo

lógicos y pueden usarse

para capturar información

relacionada con los

objetivos de cada programa

de trabajo.

2.1.6 Pruebas sustantivas.

El objetivo de las pruebas

sustantivas es obtener

evidencia suficiente que

6

permita al auditor emitir su

juicio en las conclusiones

acerca de cuándo pueden

ocurrir pérdidas materiales

durante el proceso de la

información.

Se pueden identificar 8

diferentes pruebas

sustantivas:

1 pruebas para identificar

errores en el procesamiento

o de falta de seguridad o

confidencialidad.

2 prueba para asegurar la

calidad de los datos.

3 pruebas para identificar la

inconsistencia de datos.

4 prueba para comparar con

los datos o contadores

físicos.

5 confirmaciones de datos

con fuentes externas

6 pruebas para confirmar la

adecuada comunicación.

7 prueba para determinar

falta de seguridad.

8 pruebas para determinar

problemas de legalidad.

2.2 Evaluación de los

sistemas de acuerdo al

riesgo.

Riesgo

Proximidad o posibilidad de

un daño, peligro, etc.

Cada uno de los

imprevistos, hechos

desafortunados, etc., que

puede cubrir un seguro.

Sinónimos: amenaza,

contingencia, emergencia,

urgencia, apuro.

Seguridad

Cualidad o estado de seguro

Garantía o conjunto de

garantías que se da a

alguien sobre el

cumplimiento de algo.

Ejemplo: Seguridad Social

Conjunto de organismos,

medios, medidas, etc., de la

administración estatal para

prevenir o remediar los

posibles riesgos, problemas

y necesidades de los

trabajadores, como

enfermedad, accidentes

laborales, incapacidad,

maternidad o jubilación; se

financia con aportaciones

del Estado, trabajadores y

empresarios.

Se dice también de todos

aquellos objetos,

dispositivos, medidas, etc.,

que contribuyen a hacer

más seguro el

funcionamiento o el uso de

una cosa: cierre de

seguridad, cinturón de

seguridad.

2.4 Personal participante.

Una de las partes más

importantes en la

planeación de la auditoría

en informática es el

personal que deberá

participar, ya que se debe

contar con un equipo

seleccionado y con ciertas

características que puedan

ayudar a llevar la auditoria

de manera correcta y en el

tiempo estimado.

Aquí no se verá el número

de persona que deberán

participar, ya que esto

depende de las dimensiones

de la organización, de los

sistemas y de los equipos,

lo que se deberá considerar

son exactamente las

características que debe

cumplir cada uno del

personal que habrá de

participar en la auditoria.

Uno de los esquemas

generalmente aceptados

para tener un adecuado

control es que el personal

que intervenga esté

debidamente capacitado,

que tenga un alto sentido de

moralidad, al cual se le

exija la optimización de

recursos (eficiencia) y se le

retribuya o compense

justamente por su trabajo.

Con estas bases debemos

considerar los

conocimientos, la práctica

profesional y la

capacitación que debe tener

el personal que intervendrá

en la auditoria.

También se deben contar

con personas asignadas por

los usuarios para que en el

momento que se solicite

información, o bien se

efectúe alguna entrevista de

comprobación de hipótesis,

nos proporcionen aquello

que se está solicitando, y

complementen el grupo

multidisciplinario, ya que

debemos analizar no sólo el

punto de vista de la

dirección de informática,

sino también el del usuario

del sistema.

UNIDAD III Auditoria de

la función informática.

3.1 Recopilación de la

información organizacional.

7

Para que un proceso de

D.O. tenga éxito debe

comenzar por obtener un

diagnostico con

información verdadera y a

tiempo de lo que sucede en

la organización bajo

análisis, esta obtención de

la información debe ser

planeada en forma

estructurada para garantizar

una generación de datos que

ayuden posteriormente su

análisis. Es un ciclo

continuo en el cual se

planea la recolección de

datos, se analiza, se

retroalimentan y se da un

seguimiento.

La recolección de datos

puede darse de varias

maneras:

• Cuestionarios

• Entrevistas

• Observación

• Información documental

(archivo)

Toda la información tiene

un valor en sí misma, el

método de obtención de

información está

directamente ligado a la

disponibilidad, dificultad y

costo. Existen ventajas y

desventajas en el uso de

cada una de estas

herramientas, su utilidad

dependerá del objetivo que

se busque y los medios para

llevar a cabo esa

recolección de datos en

tiempo y forma para su

posterior análisis.

3.2 Evaluación de los

recursos humanos

La auditoría de recursos

humanos puede definirse

como el análisis de las

políticas y prácticas de

personal de una empresa y

la evaluación de su

funcionamiento actual,

seguida de sugerencias para

mejorar. El propósito

principal de la auditoria de

recursos humanos es

mostrar cómo está

funcionado el programa,

localizando prácticas y

condiciones que son

perjudiciales para la

empresa o que no están

justificando su costo, o

prácticas y condiciones que

deben incrementarse.

La auditoría es un sistema

de revisión y control para

informar a la administración

sobre la eficiencia y la

eficacia del programa que

lleva a cabo.

El sistema de

administración de recursos

humanos necesita patrones

capaces de permitir una

continua evaluación y

control sistemático de su

funcionamiento.

Patrón en in criterio o un

modelo que se establece

previamente para permitir la

comparación con los

resultados o con los

objetivos alcanzados. Por

medio de la comparación

con el patrón pueden

evaluarse los resultados

obtenidos y verificar que

ajustes y correcciones

deben realizarse en el

sistema, con el fin de que

funcione mejor.

3.3 Entrevistas con el

personal de informática.

La entrevista es uno de los

eslabones finales para

conseguir la posición

deseada. Desde el otro lado

del mostrador y habiendo

entrevistado a 5.000

profesionales en sistemas

entre nuestro equipo de

selectores, te dejamos

valiosos consejos en esta

nota.

Es un diálogo directo entre

el entrevistador y

entrevistado. El

entrevistador dirige la

conversación e intenta

obtener la máxima

información posible del

candidato.

Te preguntará por tu

currículum, experiencias,

habilidades, aficiones e

intentará ponerte en

situaciones reales para

estudiar tus reacciones. En

ocasiones puede haber más

de un entrevistador, con el

fin de tener más de un

punto de vista a la hora de

elegir el candidato final.

Modalidades de la

Entrevista Personal

Estructurada (dirigida)

El entrevistador dirige la

conversación y hace las

preguntas al candidato

siguiendo un cuestionario o

guión. El entrevistador

formulará las mismas

preguntas a todos los

candidatos.

Se recomienda contestar a

las preguntas aportando

aquella información que se

pide, con claridad y

brevedad.

No estructurada (libre)

El entrevistador te dará la

iniciativa a ti, y deberás

desenvolverte por tu cuenta.

El entrevistador podría

empezar con la pregunta:

“Háblame de ti”, y luego

seguir con preguntas

generales, que surgen en

8

función del desarrollo de la

conversación.

Lo más aconsejable es

empezar siguiendo el guión

de tu historial profesional.

También puedes preguntar

si está interesado en

conocer algo en particular.

Aprovecha para llevar la

conversación a los puntos

fuertes que deseas destacar

en relación con el puesto

ofertado.

Semi-estructurada (mixta)

Es una combinación de las

dos anteriores. El

entrevistador utilizará

preguntas directas para

conseguir informaciones

precisas sobre ti, y

preguntas indirectas para

sondearte respecto a tus

motivaciones. Intenta seguir

un orden discursivo, sé

conciso e intenta relacionar

tus respuestas y

comentarios con las

exigencias del puesto al que

optas.

3.4 Situación presupuestal

y financiera.

El estudio y evaluación del

control interno deberá

efectuarse conforme a lo

dispuesto en el boletín 3050

“Estudio y Evaluación del

Control Interno”, emitido

por la Comisión de Normas

y Procedimientos de

Auditoría del Instituto

Mexicano de Contadores

Públicos, A.C., éste servirá

de base para determinar el

grado de confianza que se

depositará en él y le permita

determinar la naturaleza,

alcance y oportunidad, que

va a dar a los

procedimientos de

auditoría, por lo que el

auditor para el

cumplimiento de los

objetivos deberá considerar

lo siguiente:

- Existencia de factores que

aseguren un ambiente de

control

- Existencia de riesgo en la

información financiera

Existencia de un sistema

presupuestal que permita

identificar, reunir, analizar,

clasificar, registrar y

producir información

cuantitativa de las

operaciones basadas en

flujos de efectivo y partidas

devengadas

- Existencia de

procedimientos relativos a

autorización, procesamiento

y clasificación de

transacciones, salvaguarda

física de documentación

soporte y de verificación y

evaluación, incluyendo los

aplicables a la actualización

de cifras y a los controles

relativos al procesamiento

electrónico de datos. -

Vigilancia sobre el

establecimiento y

mantenimiento de controles

internos con objeto de

identificar si están operando

efectivamente y si deben ser

modificados cuando existan

cambios importantes.

Para efectos de estudio y

evaluación del control

interno en una revisión en

una revisión de estados

presupuestarios, el auditor

deberá considerar los

siguientes aspectos:

a. Existencia de un

presupuesto anual

autorizado

b. Existencia e políticas,

bases y lineamientos

presupuestarios

c. Existencia de un sistema

de registro presupuestario

d. Existencia de un

procedimiento de

autorizaciones

e. Procedimientos de

registro, control y reporte

presupuestario

Obtener el estado analítico

de recursos presupuestarios

y el ejercicio presupuestario

del gasto, tal como lo

establecen los Términos de

Referencia para auditorías a

Órganos

Desconcentrados y

Entidades Paraestatales de

la SFP, así como el flujo de

efectivo que detalle el

origen y el destino de los

egresos (Art.103 de la Ley

Federal de Presupuesto y

Responsabilidad

Hacendaria)

UNIDAD IV Evaluación de

la seguridad.

Generalidades de la

seguridad del área física.

Es muy importante ser

consciente que por más que

nuestra empresa sea la más

segura desde el punto de

vista de ataques externos,

Hackers, virus, etc.

(conceptos luego tratados);

la seguridad de la misma

será nula si no se ha

previsto como combatir un

incendio.

La seguridad física es uno

de los aspectos más

olvidados a la hora del

diseño de un sistema

Informático. Si bien

algunos de los aspectos

tratados a continuación se

prevén, otros, como la

detección de un atacante

interno a la empresa que

9

intenta a acceder

físicamente a una sala de

operaciones de la misma,

no.

Esto puede derivar en que

para un atacante sea más

fácil lograr tomar y copiar

una cinta de la sala, que

intentar acceder vía lógica a

la misma.

Así, la Seguridad Física

consiste en la “aplicación

de barreras físicas y

procedimientos de control,

como medidas de

prevención y contramedidas

ante amenazas a los

recursos e información

confidencial” (1). Se refiere

a los controles y

mecanismos de seguridad

dentro y alrededor del

Centro de Cómputo así

como los medios de acceso

remoto al y desde el mismo;

implementados para

proteger el hardware y

medios de almacenamiento

de datos.

4.2 Seguridad lógica y

confidencial.

La seguridad lógica se

encarga de los controles de

acceso que están diseñados

para salvaguardar la

integridad de la información

almacenada de una

computadora, así como de

controlar el mal uso de la

información.

La seguridad lógica se

encarga de controlar y

salvaguardar la información

generada por los sistemas,

por el software de

desarrollo y por los

programas en aplicación.

Identifica individualmente a

cada usuario y sus

actividades en el sistema, y

restringe el acceso a datos,

a los programas de uso

general, de uso específico,

de las redes y terminales.

La falta de seguridad lógica

o su violación puede traer

las siguientes consecuencias

a la organización:

Cambio de los datos antes o

cuando se le da entrada a la

computadora.

Copias de programas y /o

información.

Código oculto en un

programa

Entrada de virus

Un método eficaz para

proteger sistemas de

computación es el software

de control de acceso. Los

paquetes de control de

acceso protegen contra el

acceso no autorizado, pues

piden al usuario una

contraseña antes de

permitirle el acceso a

información confidencial.

Sin embargo, los paquetes

de control de acceso

basados en componentes

pueden ser eludidos por

delincuentes sofisticados en

computación, por lo que no

es conveniente depender de

esos paquetes por si solos

para tener una seguridad

adecuada.

4.3 Seguridad personal.

A finales del siglo XX, los

Sistemas Informáticos se

han constituido en las

herramientas más poderosas

para materializar uno de los

conceptos más vitales y

necesarios para cualquier

organización empresarial,

los Sistemas de Información

de la empresa.

La Informática hoy, está

subsumida en la gestión

integral de la empresa, y

por eso las normas y

estándares propiamente

informáticos deben estar,

por lo tanto, sometidos a los

generales de la misma. En

consecuencia, las

organizaciones informáticas

forman parte de lo que se ha

denominado el

"management" o gestión de

la empresa. Cabe aclarar

que la Informática no

gestiona propiamente la

empresa, ayuda a la toma de

decisiones, pero no decide

por sí misma. Por ende,

debido a su importancia en

el funcionamiento de una

empresa, existe la Auditoría

Informática.

El término de Auditoría se

ha empleado

incorrectamente con

frecuencia ya que se ha

considerado como una

evaluación cuyo único fin

es detectar errores y señalar

fallas. A causa de esto, se

ha tomado la frase "Tiene

Auditoría" como sinónimo

de que, en dicha entidad,

antes de realizarse la

auditoría, ya se habían

detectado fallas.

El concepto de auditoría es

mucho más que esto. Es un

examen crítico que se

realiza con el fin de evaluar

la eficacia y eficiencia de

una sección, un organismo,

una entidad, etc.

4.4 Clasificación de los

controles de seguridad.

Clasificación general de los

controles

Controles Preventivos

Son aquellos que reducen la

frecuencia con que ocurren

las causas del riesgo,

10

permitiendo cierto margen

de violaciones.

Ejemplos: Letrero "No

fumar" para salvaguardar

las instalaciones

Sistemas de claves de

acceso

Controles detectives

Son aquellos que no evitan

que ocurran las causas del

riesgo sino que los detecta

luego de ocurridos. Son los

más importantes para el

auditor. En cierta forma

sirven para evaluar la

eficiencia de los controles

preventivos.

Ejemplo: Archivos y

procesos que sirvan como

pistas de auditoría

Procedimientos de

validación

Controles Correctivos

Ayudan a la investigación y

corrección de las causas del

riesgo. La corrección

adecuada puede resultar

difícil e ineficiente, siendo

necesaria la implantación de

controles defectivos sobre

los controles correctivos,

debido a que la corrección

de errores es en sí una

actividad altamente

propensa a errores.

4.5 Seguridad en los datos

y software de aplicación.

Este apartado aborda los

aspectos asociados al

componente lógico del

sistema: programas y datos.

Para ello, se distingue entre

las medidas para restringir y

controlar el acceso a dichos

recursos, los

procedimientos para

asegurar la fiabilidad del

software (tanto operativo

como de gestión) y los

criterios a considerar para

garantizar la integridad de

la información.

Control de acceso.

Sistemas de identificación,

asignación y cambio de

derechos de acceso, control

de accesos, restricción de

terminales, desconexión de

la sesión, limitación de

reintento.

Software de base.

Control de cambios y

versiones, control de uso de

programas de utilidad,

control de uso de recursos y

medición de 'performance'.

Software de aplicación.

En este apartado se trata

todo lo concerniente al

software de aplicación, es

decir, todo lo relativo a las

aplicaciones de gestión,

sean producto de desarrollo

interno de la empresa o bien

sean paquetes estándar

adquiridos en el mercado.

Desarrollo de software.

. Metodología: existe, se

aplica, es satisfactoria.

Documentación: existe, esta

actualizada, es accesible.

. Estándares: se aplican,

como y quien lo controla.

Involucración del usuario.

. Participación de personal

externo.

. Control de calidad.

. Entornos real y de prueba.

. Control de cambios.

Adquisición de software

estándar.

Metodología,

pruebas, condiciones,

garantías, contratos,

capacitación, licencias,

derechos, soporte técnico.

Datos.

Los datos es decir, la

información que se procesa

y se obtiene son la parte

más importante de todo el

sistema informático y su

razón de ser. Un sistema

informático existe como tal

desde el momento en que

es capaz de tratar y

suministrar información.

Sin ésta, se reduciría a un

conjunto de elementos

lógicos sin ninguna utilidad.

En la actualidad la inmensa

mayoría de sistemas tienen

la información organizada

en sendas Bases de Datos.

Los criterios que se citan a

continuación hacen

referencia a la seguridad de

los Sistemas de Gestión de

Bases de Datos (SGBD)

que cumplan normas ANSI,

si bien muchos de ellos

pueden ser aplicables a los

archivos de datos

convencionales.

Diseño de bases de datos.

Es importante la utilización

de metodologías de diseño

de datos. El equipo de

analistas y diseñadores

deben hacer uso de una

misma metodología de

diseño, la cual debe estar en

concordancia con la

11

arquitectura de la Base de

Datos elegida jerárquica,

relacional, red, o bien

orientada a objetos.

Debe realizarse una

estimación previa del

volumen necesario para el

almacenamiento de datos

basada en distintos aspectos

tales como el número

mínimo y máximo de

registros de cada entidad

del modelo de datos y las

predicciones de

crecimiento.

A partir de distintos

factores como el número de

usuarios que accederá a la

información, la necesidad

de compartir información y

las estimaciones de

volumen se deberá elegir el

SGBD más adecuado a las

necesidades de la empresa o

proyecto en cuestión.

En la fase de diseño de

datos, deben definirse los

procedimientos de

seguridad, confidencialidad

e integridad que se

aplicarán a los datos:

Procedimientos para

recuperar los datos en casos

de caída del sistema o de

corrupción de los archivos.

Procedimientos para

prohibir el acceso no

autorizado a los datos. Para

ello deberán identificarlos.

Procedimientos para

restringir el acceso no

autorizado a los datos.

Debiendo identificar los

distintos perfiles de usuario

que accederán a los

archivos de la aplicación y

los subconjuntos de

información que podrán

modificar o consultar.

Procedimientos para

mantener la consistencia y

corrección de la

información en todo

momento.

Básicamente existen dos

niveles de integridad: la de

datos, que se refiere al tipo,

longitud y rango aceptable

en cada caso, y la lógica,

que hace referencia a las

relaciones que deben existir

entre las tablas y reglas del

negocio.

Debe designarse un

Administrador de Datos, ya

que es importante

centralizar en personas

especializadas en el tema

las tareas de redacción de

normas referentes al gestor

de datos utilizado,

definición de estándares y

nomenclatura, diseño de

procedimientos de arranque,

recuperación de datos,

asesoramiento al personal

de desarrollo entre algunos

otros aspectos.

Creación de bases de datos.

Debe crearse un entorno de

desarrollo con datos de

prueba, de modo que las

actividades del desarrollo

no interfieran el entorno de

explotación. Los datos de

prueba deben estar

dimensionados de manera

que permitan la realización

de pruebas de integración

con otras aplicaciones, de

rendimiento con volúmenes

altos.

En la fase de creación,

deben desarrollarse los

procedimientos de

seguridad, confidencialidad

e integridad definidos en la

etapa de diseño:

. Construcción de los

procedimientos de copia y

restauración de datos.

. Construcción de los

procedimientos de

restricción y control de

acceso. Existen dos

enfoques para este tipo de

procedimientos:

Confidencialidad basada en

roles, que consiste en la

definición de los perfiles de

usuario y las acciones que

les son permitidas (lectura,

actualización, alta, borrado,

creación/eliminación de

tablas, modificación de la

estructura de las tablas).

4.6 Controles para evaluar

software de aplicación.

Una vez conseguida la

Operatividad de los

Sistemas, el segundo

objetivo de la auditoría es la

verificación de la

observancia de las normas

teóricamente existentes en

el departamento de

Informática y su coherencia

con las del resto de la

empresa. Para ello, habrán

de revisarse sucesivamente

y en este orden:

1. Las Normas Generales de

la Instalación Informática.

Se realizará una revisión

inicial sin estudiar a fondo

las contradicciones que

pudieran existir, pero

registrando las áreas que

carezcan de normativa, y

sobre todo verificando que

esta Normativa General .

Informática no está en

contradicción con alguna

Norma General no

informática de la empresa.

2. Los Procedimientos

Generales Informáticos. Se

verificará su existencia, al

menos en los sectores más

12

importantes. Por ejemplo, la

recepción definitiva de las

máquinas debería estar

firmada por los

responsables de

Explotación. Tampoco el

alta de una nueva

Aplicación podría

producirse si no existieran

los Procedimientos de

Backup y Recuperación

correspondientes.

3. Los Procedimientos

Específicos Informáticos.

Igualmente, se revisara su

existencia en las áreas

fundamentales. Así,

Explotación no debería

explotar una Aplicación sin

haber exigido a Desarrollo

la pertinente

documentación. Del mismo

modo, deberá comprobarse

que los Procedimientos

Específicos no se opongan a

los Procedimientos

Generales. En todos los

casos anteriores, a su vez,

deberá verificarse que no

existe

contradicción

alguna con la

Normativa y

los

Procedimientos

Generales de la

propia

empresa, a los

que la

Informática

debe estar

sometida.

4.7 Controles

para prevenir crímenes y

fraudes informáticos.

En los años recientes las

redes de computadoras han

crecido de manera

asombrosa. Hoy en día, el

número de usuarios que se

comunican, hacen sus

compras, pagan sus cuentas,

realizan negocios y hasta

consultan con sus médicos

online supera los 200

millones, comparado con 26

millones en 1995.

A medida que se va

ampliando la Internet,

asimismo va aumentando el

uso indebido de la misma.

Los denominados

delincuentes cibernéticos se

pasean a su aire por el

mundo virtual, incurriendo

en delitos tales como el

acceso sin autorización o

"piratería informática", el

fraude, el sabotaje

informático, la trata de

niños con fines

pornográficos y el acecho.

Los delincuentes de la

informática son tan diversos

como sus delitos; puede

tratarse de estudiantes,

terroristas o figuras del

crimen organizado. Estos

delincuentes pueden pasar

desapercibidos a través de

las fronteras, ocultarse tras

incontables "enlaces" o

simplemente desvanecerse

sin dejar ningún documento

de rastro. Pueden despachar

directamente las

comunicaciones o esconder

pruebas delictivas en

"paraísos informáticos" - o

sea, en países que carecen

de leyes o experiencia para

seguirles la pista -.

Según datos recientes del

Servicio Secreto de los

Estados Unidos, se calcula

que los consumidores

pierden unos 500 millones

de dólares al año debido a

los piratas que les roban de

las cuentas online sus

números de tarjeta de

crédito y de llamadas.

Dichos números se pueden

vender por jugosas sumas

de dinero a falsificadores

que utilizan programas

especiales para codificarlos

en bandas magnéticas de

tarjetas bancarias y de

crédito, señala el Manual de

la ONU.

Otros delincuentes de la

informática pueden sabotear

las computadoras para

ganarle ventaja económica a

sus competidores o

amenazar con daños a los

sistemas con el fin de

cometer extorsión. Los

malhechores manipulan los

datos o las operaciones, ya

sea directamente o mediante

los llamados "gusanos" o

"virus", que pueden

paralizar completamente los

sistemas o borrar todos los

datos del disco duro.

Algunos virus dirigidos

contra computadoras

elegidas al azar; que

originalmente pasaron de

una computadora a otra por

medio de disquetes

"infectados"; también se

están propagando

últimamente por las redes,

con frecuencia camuflados

en mensajes electrónicos o

en programas

"descargados" de la red.

4.8 Plan de contingencia,

seguros, procedimientos de

recuperación de desastres.

Medida que las empresas se

han vuelto cada vez más

dependientes de las

computadoras y las redes

para manejar sus

actividades, la

disponibilidad de los

sistemas informáticos se ha

vuelto crucial. Actualmente,

la mayoría de las empresas

necesitan un nivel alto de

disponibilidad y algunas

requieren incluso un nivel

continuo de disponibilidad,

ya que les resultaría

extremadamente difícil

13

funcionar sin los recursos

informáticos.

Los procedimientos

manuales, si es que existen,

sólo serían prácticos por un

corto periodo. En caso de

un desastre, la interrupción

prolongada de los servicios

de computación puede

llevar a pérdidas financieras

significativas, sobre todo si

está implicada la

responsabilidad de la

gerencia de informática. Lo

más grave es que se puede

perder la credibilidad del

público o los clientes y,

como consecuencia, la

empresa puede terminar en

un fracaso total.

En un estudio realizado por

la Universidad de

Minnesota, se ha

demostrado que más del

60% de las empresas que

sufren un desastre y que no

tienen un plan de

recuperación ya en

funcionamiento, saldrán del

negocio en dos o tres años.

Mientras vaya en aumento

la dependencia de la

disponibilidad de los

recursos informáticos, este

porcentaje seguramente

crecerá.

Por lo tanto, la capacidad

para recuperarse

exitosamente de los efectos

de un desastre dentro de un

periodo predeterminado

debe ser un elemento

crucial en un plan

estratégico de seguridad

para una organización.

4.9 Técnicas y herramientas

relacionadas con la

seguridad física y del

personal.

SEGURIDAD FISICA

Es todo lo relacionado con

la seguridad y salvaguarda

de los bienes tangibles de

los sistemas

computacionales de la

empresa, tales como el

hardware, periféricos, y

equipos asociados, las

instalaciones eléctricas, las

instalaciones de

comunicación y de datos.

Igualmente todo lo

relacionado con la

seguridad y salvaguarda de

las construcciones, el

mobiliario y equipo de

oficina, así como la

protección a los accesos al

centro de sistematización.

En sí, es todo lo relacionado

con la seguridad, la

prevención de riesgos y

protección de los recursos

físicos informáticos de la

empresa.

UNIDAD V Auditoria de la

seguridad en la

teleinformática.

5.1 Generalidades de la

seguridad en el área de la

teleinformática.

En la actualidad tiene una

gran trascendencia tanto

técnica como social, lo que

se denomina

teleinformática: la unión de

la informática y las

telecomunicaciones. Tanto

en la vida profesional como

en las actividades

cotidianas, es habitual el

uso de expresiones y

conceptos relacionados con

la teleinformática.

Este trabajo se basa en

conceptos

fundamentales

expresados de la manera

más simple posible, pero a

su vez siendo precisos.

Comenzamos por introducir

la historia y evolución de la

teleinformática y de la

manera en que fue

desarrollándose, y a su vez,

proporcionando un

panorama general del tema.

Luego mencionamos de

forma genérica los

elementos que integran un

sistema teleinformática,

desde un simple terminal

hasta una red.

Continuamos explicando las

técnicas fundamentales de

transmisión de datos, para

comprender cómo viaja la

información de un sistema a

otro a través de los circuitos

de telecomunicación.

Las técnicas de

comunicación se

estructuran en niveles:

físico, enlace de datos, red,

transporte, sesión,

presentación y aplicación.

También, mencionamos las

redes de área local ya que

son muy importantes en lo

que a la teleinformática

respecta.

Hicimos inca pié en la red

Internet y su protocolo

TCP/IP, y en los conceptos

básicos sobre

Programas de

Comunicación y Gestión de

Red.

Analizamos los servicios de

valor añadido como el

Video tex, Ibercom o La

Telefonía Móvil.

Además, establecimos los

últimos desarrollos y las

tendencias de la

teleinformática, desde las

14

redes digitales hasta el

proceso distribuido.

Por último, manifestamos la

importancia de la relación

que existe entre la

teleinformática y la

sociedad, en lo que respecta

a la educación, la sanidad y

la empresa.

Explicaremos claramente la

importancia de la

teleinformática y su

desarrollo a través de la

historia desde el comienzo

ya que es uno de los

factores que ha constituido

y constituye un elemento

fundamental para la

evolución de la humanidad:

la comunicación.

En una comunicación se

transmite información

desde una persona a otra e

intervienen tres elementos:

el emisor, que da origen a la

información, el medio, que

permite la transmisión, y el

receptor, que recibe la

información.

La primera comunicación

que existió entre los

hombres fue a base de

signos o gestos que

expresaban intuitivamente

determinadas

manifestaciones con sentido

propio. Estos gestos iban

acompañados de sonidos.

Posteriormente, comenzó la

comunicación hablada a

través de un determinado

lenguaje, en el cuál cada

palabra significaba algo y

cada frase tenía un

contenido informativo.

Más tarde, el hombre tubo

necesidad de realizar

comunicaciones a distancia

como por ejemplo, entre

personas de dos aldeas

situadas a cierta distancia

pero con visibilidad entre

ambas, o bien entre un

barco y la costa. Es aquí

donde aparecen las señales

de humo, destellos con

espejos entre innumerables

métodos de comunicación.

Con el paso del tiempo y la

evolución tecnológica, la

comunicación a distancia

comenzó a ser cada vez más

importante.

La primera técnica utilizada

surgió con la aparición del

telégrafo y el código morse

que permitieron

comunicaciones a través de

cables a unas distancias

considerables.

Posteriormente se

desarrolló la técnica que dio

origen al teléfono para la

comunicación directa de la

voz a larga distancia. Más

tarde la radio y la

transmisión de imágenes a

través de la televisión

habilitaron un gran número

de técnicas y métodos que

luego fueron muy

importantes a lo que

respecta a la comunicación.

5.2 Objetivos y criterios de

la auditoria en el área de la

teleinformática.

Así ante la continua

aparición de nuevas

herramientas de gestión, la

auditoría interna se ve

compelida a velar entre

otras cosas por la aplicación

y buen uso de las mismas.

Ello ciertamente implica un

muy fuerte compromiso.

Dijimos antes que la

auditoría debía velar no

sólo por los activos de la

empresa sino además por su

capacidad competitiva.

Cuidar de esto último

significa difundir, apoyar y

controlar las nuevas y

buenas prácticas. Así,

haciendo uso del

benchmarking puede

verificar y promover las

mejores prácticas para el

mantenimiento de la más

alta competitividad. Ser

competitivo es continuar en

la lucha por la subsistencia

o continuidad de la

empresa.

Como brillantemente lo

expresa Fernando Gaziano

(Deloitte Chile), "los

auditores y los astrónomos

compartimos plenamente

una idea: el universo se

expande. Así como después

del "big bang" un universo

de planetas y estrellas

comenzó y continúa

expandiéndose, de la misma

forma el mundo del Auditor

Interno es cada vez más

amplio. Como nunca,

probablemente hoy se

enfrenta a uno de los

cambios más importantes en

su profesión, debiendo

abordar aspectos

relacionados con el

Gobierno Corporativo y los

nuevos riesgos a los que se

enfrentan las

organizaciones.

5.3 Síntomas de riesgo.

La Auditoría de la

Seguridad

15

Para muchos la seguridad

sigue siendo el área

principal a auditar, hasta el

punto de que en algunas

entidades se creó

inicialmente la función de

auditoría informática para

revisar la seguridad, aunque

después se hayan ido

ampliando los objetivos.

Cada día es mayor la

importancia de la

información, especialmente

relacionada con sistemas

basados en el uso de

tecnología de información y

comunicaciones, por lo que

el impacto de las fallas, los

accesos no autorizados, la

revelación de la

información, entre otros

problemas, tienen un

impacto mucho mayor que

hace algunos años.

En la auditoría de otras

áreas pueden también surgir

revisiones solapadas con la

seguridad; así a la hora de

revisar el desarrollo se verá

si se realiza en un entorno

seguro, etc.

Los controles directivos.

Son los fundamentos de la

seguridad: políticas, planes,

funciones, objetivos de

control, presupuesto, así

como si existen sistemas y

métodos de evaluación

periódica de riesgos.

El desarrollo de las

políticas. Procedimientos,

posibles estándares, normas

y guías.

Amenazas físicas externas.

Inundaciones, incendios,

explosiones, corte de líneas

o suministros, terremotos,

terrorismo, huelgas, etc., se

considera: la ubicación del

centro de procesos, de los

servidores, PCs,

computadoras portátiles

(incluso fuera de las

oficinas); estructura, diseño,

construcción y distribución

de edificios; amenazas de

fuego, riesgos por agua, por

accidentes atmosféricos;

contenido en paquetes},

bolsos o carteras que se

introducen o salen de los

edificios; visitas, clientes,

proveedores, contratados;

protección de los soportes

magnéticos en cuanto a

acceso, almacenamiento y

transporte.

Control de accesos

adecuado. Tanto físicos

como lógicos, que se

realicen sólo las

operaciones permitidas al

usuario: lectura, variación,

ejecución, borrado y copia,

y quedando las pistas

necesarias para el control y

la auditoría. Uso de

contraseñas, cifrado de las

mismas, situaciones de

bloqueo.

Protección de datos. Origen

del dato, proceso, salida de

los datos.

Comunicaciones y redes.

Topología y tipo de

comunicaciones, posible

uso de cifrado, protecciones

ante virus. Tipos de

transacciones. Protección de

conversaciones de voz en

caso necesario, protección

de transmisiones por fax

para contenidos

clasificados. Internet e

Intranet, correo electrónico,

control sobre páginas web,

así como el comercio

electrónico.

El entorno de producción.

Cumplimiento de contratos,

outsourcing.

El desarrollo de

aplicaciones en un entorno

seguro, y que se incorporen

controles en los productos

desarrollados y que éstos

resulten auditables. Con el

uso de licencias (de los

programas utilizados).

La continuidad de las

operaciones. Planes de

contingencia o de

Continuidad.

No se trata de áreas no

relacionadas, sino que casi

todas tienen puntos de

enlace comunes:

comunicaciones con control

de accesos, cifrado con

comunicaciones, etc.

Evaluación de riesgos

Se trata de identificar

riesgos, cuantificar su

probabilidad e impacto y

analizar medidas que los

eliminen o que disminuyan

la probabilidad de que

ocurran los hechos o

mitiguen el impacto. Para

evaluarlos hay que

considerar el tipo de

información almacenada,

procesada y transmitida, la

criticidad de las

operaciones, la tecnología

usada, el marco legal

aplicable, el sector de la

entidad, la entidad misma y

el momento. Los riesgos

pueden disminuirse

(generalmente no pueden

eliminarse), transferirse o

asumirse.

5.4 Técnicas y

herramientas de auditoría

relacionadas con la

seguridad en la

teleinformática.

Introducir al estudiante en

los aspectos técnicos,

funcionales y

organizacionales que

componen la problemática

de seguridad en las redes

teleinformáticas, ilustrando

las operaciones, técnicas y

herramientas más usuales

para garantizar privacidad,

autenticación y seguridad.

16

Introducción General a la

Seguridad en Redes

. Definiciones

. Generalidades

. Intrusos

. Amenazas

. Ataques

Planeación de la Seguridad

. Análisis del sistema actual

. Análisis de riesgos

. Definición de políticas de

seguridad

. Implantación de la

seguridad

Servicios de

Seguridad

. Modelo OSI

para

arquitecturas

de Seguridad

. Modelo

TCP/IP

UNIDAD VI

Informe de la

auditoria

informática.

6.1

Generalidades de la

seguridad del área física.

Es muy importante ser

consciente que por más que

nuestra empresa sea la más

segura desde el punto de

vista de ataques externos,

Hackers, virus, etc.

(conceptos luego tratados);

la seguridad de la misma

será nula si no se ha

previsto como combatir un

incendio.

La seguridad física es uno

de los aspectos más

olvidados a la hora del

diseño de un sistema

informático. Si bien algunos

de los aspectos tratados a

continuación se prevén,

otros, como la detección de

un atacante interno a la

empresa que intenta a

acceder físicamente a una

sala de operaciones de la

misma, no.

Esto puede derivar en que

para un atacante sea más

fácil lograr tomar y copiar

una cinta de la sala, que

intentar acceder vía lógica a

la misma.

Así, la Seguridad Física

consiste en la “aplicación

de barreras físicas y

procedimientos de control,

como medidas de

prevención y contramedidas

ante amenazas a los

recursos e información

confidencial”(1). Se refiere

a los controles y

mecanismos de seguridad

dentro y alrededor del

Centro de Cómputo así

como los medios de acceso

remoto al y desde el mismo;

implementados para

proteger el hardware y

medios de almacenamiento

de datos.

6.2 Características del

informe.

Objetivos, características y

afirmaciones que contiene

el informe de auditoría

El informe de auditoría

financiera tiene como

objetivo expresar una

opinión técnica de las

cuentas anuales en los

aspectos significativos o

importantes, sobre si éstas

muestran la imagen fiel del

patrimonio, de la situación

financiera y del resultado de

sus operaciones, así como

de los recursos obtenidos y

aplicados durante el

ejercicio.

Características del informe

de auditoría:

1. Es un documento

mercantil o público.

2. Muestra el alcance del

trabajo.

3. Contiene la opinión del

auditor.

4. Se realiza conforme a un

marco legal.

Principales afirmaciones

que contiene el informe:

Indica el alcance del trabajo

y si ha sido posible llevarlo

a cabo y de acuerdo con qué

normas de auditoría.

Expresa si las cuentas

anuales contienen la

información necesaria y

suficiente y han sido

formuladas de acuerdo con

la legislación vigente y,

también, si dichas cuentas

han sido elaboradas

17

teniendo en cuenta el

principio contable de

uniformidad.

Asimismo, expresa si las

cuentas anuales reflejan, en

todos los aspectos

significativos, la imagen

fiel del patrimonio, de la

situación financiera, de los

resultados y de los recursos

obtenidos y aplicados.

Se opina también sobre la

concordancia de la

información contable del

informe de gestión con la

contenida en las cuentas

anuales.

En su caso, explica las

desviaciones que presentan

los estados financieros con

respecto a unos estándares

preestablecidos.

Podemos sintetizar que el

informe es una presentación

pública, resumida y por

escrito del trabajo realizado

por los auditores y de su

opinión sobre las cuentas

anuales.

6.3 Estructura del informe.

Concluido el Trabajo de

Campo, el auditor tendrá

como responsabilidad la

confección del

Informe de Auditoría como

un producto final de este

trabajo. El informe

contendrá el mensaje del

Auditor sobre lo que ha

hecho y como lo ha

realizado, así como los

resultados obtenidos.

Concepto

Es el documento emitido

por el Auditor como

resultado final de su

examen y/o evaluación,

incluye información

suficiente sobre

Observaciones,

Conclusiones de hechos

significativos, así como

Recomendaciones

constructivos para superar

las debilidades en cuanto a

políticas, procedimientos,

cumplimiento de

actividades y otras.

Importancia

El Informe de Auditoría,

reviste gran Importancia,

porque suministra a la

administración de la

empresa, información

sustancial sobre su proceso

administrativo, como una

forma de contribuir al

cumplimiento de sus metas

y objetivos programados.

El Informe a través de sus

observaciones, conclusiones

y recomendaciones,

constituye el mejor medio

para que las organizaciones

puedan apreciar la forma

como están operando. En

algunas oportunidades

puede ocurrir que, debido a

un descuido en su

preparación, se pierde la

oportunidad de hacer

conocer a la empresa lo que

realmente desea o necesita

conocer para optimizar su

administración, a pesar de

que se haya emitido un

voluminoso informe, pero

inadvertidamente puede

estar falto de sustentación y

fundamento adecuado; en

consecuencia su contenido

puede ser pobre; con esto

queremos hacer resaltar el

hecho de que, el Informe

debe comunicar

información útil para

promover la toma de

decisiones.

Lamentablemente esto no se

logrará si el informe revela

pobreza de

expresión y no se

aportan

comentarios constructivos.

Redacción del Informe

La Redacción se efectuará

en forma corriente a fin de

que su contenido sea

comprensible al lector,

evitando en lo posible el

uso de terminología muy

especializada; evitando

párrafos largos y

complicados, así como

expresiones grandilocuentes

y confusas.

La Redacción del Informe

debe merecer mucha

atención cuidado de parte

del auditor para que tenga la

acogida y aceptación que

los empresarios esperan de

él, en este sentido el

Informe debe:

. Despertar o motivar

interés.

. Convencer mediante

información sencilla, veraz

y objetiva.

2. Requisitos del informe

Claridad y simplicidad.

La Claridad y Simplicidad,

significan introducir sin

mayor dificultad en la

mente del lector del

informe, lo que el Auditor

ha escrito o pensó escribir.

A veces lo que ocasiona la

deficiencia de claridad y

simplicidad del informe es

precisamente la falta de

claridad en los conceptos

que el Auditor tiene en

mente, es decir, no hay una

cabal comprensión de lo

que realmente quiere

comunicar, asimismo

cuando el Informe está falto

de claridad, puede dar lugar

a una doble interpretación,

ocasionando de este modo

18

que, se torne inútil y pierda

su utilidad. En

consecuencia, para que el

informe logre su objetivo de

informar o comunicar al

cliente, el Auditor:

. Evitará el uso de un

lenguaje técnico, florido o

vago.

. Evitará ser muy breve.

. Evitará incluir mucho

detalle.

. Utilizará palabras simples,

familiares al lector, es decir,

escribirá en el idioma que el

lector entiende.

6.4 Formato para el

informe.

El formato para informes

finales está enfocado a

apoyar y facilitar el proceso

de evaluación de los

resultados de los proyectos

financiados por la sede

Bogotá, con respecto a los

compromisos adquiridos en

el proyecto aprobado.

Además de reportar sobre el

cumplimiento de los

objetivos y el impacto

logrado a partir del uso y

obtención de los resultados

esperados y de las

actividades de investigación

científica.

• Los informes finales

técnico y financiero, deben

ser entregados a la

Dirección de

Investigación de la sede, al

finalizar el periodo de

ejecución del proyecto.

• El informe debe ser

aprobado previamente por

el respectivo Consejo

Directivo de cada

Facultad, Centro o Instituto.

• El informe debe contener

un índice. Cada página del

informe debe estar

numerada.

• Cada anexo debe estar

numerado haciendo

referencia a lo anotado en

los cuadros de resultados.

• El informe técnico final

deberá presentarse en

versión impresa y

magnética (CD o disquete).

I. CONTENIDO DEL

INFORME TÉCNICO

1. Título y código del

proyecto

2. Nombre del investigador

principal y de la Facultad,

Centro o Instituto al que

pertenece

3. Fecha de entrega del

Informe

4. Sinopsis divulgativa: Con

el propósito de promover la

divulgación de las

actividades investigativas

que adelanta la Sede Bogotá

y para dar mayor difusión a

los proyectos, deben incluir

un resumen de una cuartilla

que servirá de base para la

elaboración de notas

académicas dirigidas a los

medios de comunicación de

la Universidad.

5. Resumen técnico de los

resultados obtenidos

durante la realización del

proyecto y de las

principales conclusiones

(máximo cinco páginas).

6. Cuadro de resultados

obtenidos: De acuerdo a los

objetivos y resultados

esperados planteados en el

proyecto aprobado,

relacione los resultados

obtenidos durante la

realización del proyecto, los

cuales deben estar

soportados por sus

respectivos indicadores

verificables: publicaciones,

patentes, registros, normas,

certificaciones, memorias,

formación de recurso

humano, capacitación,

organización y/o

participación en eventos

científicos, etc., estos deben

numerarse y adjuntarse

como anexos del informe

(ver cuadro No. 1).

7. Descripción del impacto

actual o potencial de los

resultados: En términos de

generación de nuevo

conocimiento a nivel

mundial, de aporte para el

desarrollo del país, de

contribución a la solución

de problemas específicos,

de fortalecimiento de la

capacidad científica, y de

fortalecimiento de la

investigación y creación en

la Sede Bogotá (máximo

dos páginas).

8. Conclusiones

.