Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

AUDITORIA INFORMÁTICA Y DE SISTEMAS

1

UNIVERSIDAD PERUANA LOS ANDES

FACULTAD DE INGENIERÍA EDUCACIÓN A DISTANCIA

AUDITORIA DE

INFORMÁTICA Y SISTEMAS INGENIERÍA DE SISTEMAS Y COMPUTACIÓN

Ing. YOVANA BLANCAS ESPINOZA

HUANCAYO - PERÚ

2009


2

TABLA DE CONVERSIONES


3

PRESENTACIÓN

Las empresas de hoy están expuestas a diversos riesgos que pueden afectar la

continuidad del negocio; riesgos que pueden generar gastos imprevistos,

pérdidas e incluso fracasos en los negocios. La experiencia ha demostrado que

la mayoría de los problemas se deriva de una inadecuada administración de los

riesgos operativos y tecnológicos en la empresa. Las organizaciones se

enfrentan a mercados globales, la consolidación de su sector y el incremento

de la competencia, así como el uso de nuevas tecnologías. Precisamente la

incursión cada vez mayor de las organizaciones en el uso de la tecnología, que

les provee de ventaja competitiva, también las expone a diversa amenazas que

obligan a una administración del riesgo basado en el fortalecimiento del control

interno en el ámbito tecnológico. Los temas asociados a las tecnologías de

información(TI) deben también ser consideradas ineludiblemente por la función

de auditoria, para descargar adecuadamente sus responsabilidades frente a los

accionistas, si fuera pertinente, a la Alta Dirección de la entidad y a las

entidades reguladoras y de gobierno, de ser el caso.

La Informática hoy, está subsumida en la gestión integral de la empresa y por

eso las normas y estándares propiamente informáticos deben estar, por lo

tanto, sometidos a los generales de la misma. En consecuencia, las

organizaciones informáticas forman parte de lo que se ha denominado el

"management" o gestión de la empresa. Cabe aclarar que la Informática no

gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no

decide por sí misma. Por ende, debido a su importancia en el funcionamiento

de una empresa, existe la Auditoría Informática.

La Auditoría es un examen crítico pero no mecánico, que no implica la

preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y

mejorar la eficacia y eficiencia de una sección o de un organismo.

El presente texto ofrece una visión de conjunto de los procesos y aspectos de

la Tecnología de la Información(TI) que están expuestos a diversos riesgos que

puedan impactar negativamente la continuidad del negocio. En el texto se

brinda los conocimientos necesarios para la ejecución de una auditoria y para


4

la evaluación de los controles implantados para mitigar los principales riesgos,

exponiéndose técnicas y herramientas de auditoria en las cuales se puede

apoyar el auditor, las que se sustentan en estándares

y practicas para la auditoria de sistemas, aceptadas por los profesionales en

control, auditoria y seguridad de sistemas a nivel mundial.

La autora.


5

TABLA DE CONTENIDOS (ÍNDICE)

PRESENTACIÓN 03

1 UNIDAD ACADÉMICA Nº 1:

1.1 Conceptos generales 10

1.1.1 Concepto de auditoria 10

1.1.2 Auditoria informática vs auditoria por medio del ordenador 10

1.1.3 Razones para la auditoria y el control de los sistemas 11

1.1.4 control interno informático 15

1.1.5 Definición de auditoria informática 16

1.2 Breve historia de la auditoria informática 16

1.3 Causas de una auditoria informática 18

1.4 Objetivo fundamental de la auditoria informática 19

1.5 Características de la auditoria informática 21

1.6 Auditoría interna y auditoría externa 22

1.7 Herramientas y técnicas para la auditoría informática 24

1.8 Tipos de la auditoria informática 28

1.9 El auditor y el departamento de auditoria informática 31

2 UNIDAD ACADÉMICA Nº 2:

2.1 Metodología 36

2.2. Metodologías de Evaluación de Sistemas 37

2.2.1 Metodologías Cualitativas 38

2.2.2 Metodologías Cuantitativas 38

2.3 Metodología en Auditoria Informática 39

2.3.1 Metodología ROA (RISK ORIENTED APPROACH) 40

2.3.2 Metodología Tradicional en Auditoria Informática 40

3. UNIDAD ACADÉMICA Nº 3:


6

3.1 Planeación De La Auditoria En Informática 45

3.1.1 Toma De Contacto 46

3.1.2 Validación De La Información 48

3.1.3 Análisis Preliminar 49

3.1.4 Desarrollo 50

3.1.5 Pruebas Sustantivas 52

3.1.6 Presentación De Conclusiones 53

3.1.7 Formación De Plan De Mejoras 53

3.2 El Informe De Auditoria 54

3.2.1 Las Normas 55

3.2.2 Las Evidencias 56

3.2.3 Las Pruebas De Cumplimiento 56

3.2.4 Las Irregularidades 57

3.2.5 La Documentación 58

3.2.6 El Informe 59

3.2.7 Recomendaciones Para Elaborar El Informe Final 60

3.2.8 Conclusiones 61


4.1 Fundamentos De La Seguridad Informática 65

4.1.1 ¿Qué Es La Seguridad Informática? 65

4.1.2 Seguridad De La Información 66

4.1.3 Componentes De La Seguridad Informática 66

4.1.4 ¿Que Es C-I-A? 67

4.1.5 El Análisis Y La Gestión De Riesgos 69

4.2 Auditoria De Seguridad Informática 69

4.2.1 Modelos De Seguridad 70

4.2.2 Justificación De La Auditoria 70

4.2.3 Áreas Que Puede Cubrir La Auditoría De La Seguridad 72

4.2.4 Evaluación De Riesgos 73

4.2.5 Fases De La Auditoria De Seguridad 75

4.2.6 Auditoria De La Seguridad Física 75


7

4.2.7 Auditoría De La Seguridad Lógica 76

4.2.8 Auditoría De La Seguridad Y El Desarrollo De Aplicaciones 77

4.2.9 Auditoría De La Seguridad En El Área De Producción 77

4.2.10 Auditoría De La Seguridad De Los Datos 78

4.2.11 Auditoría De La Seguridad En Las Comunicaciones Y Redes 79

4.2.12 Auditoría De La Continuidad De Las Operaciones 80

4.2.13 Regulación De Auditoría Con Administración De Seguridad 81

4.3 Conclusiones 81


5.1 Auditoria de Base de Datos 90

5.1.1 ¿Qué es una Auditoria de Base de Datos? 91

5.1.2 Objetivos de la Auditoria de Base de Datos 92

5.1.3 Niveles de Auditoria de Base de Datos 92

5.1.4 Metodologías para Auditoria de Base de Batos 94

5.1.5 Técnicas para Auditoria de Base de Datos 96

5.1.6 Aspectos a tomar en cuenta en una Auditoria de Base de Datos 98

5.1.7 Practica de Auditoria de Base de Datos 99

5.2 Auditoria de Aplicaciones 103

5.2.1 Problemática de la Auditoria de una Aplicación Informática. 103

5.2.2 Herramientas de uso más común en la Auditoría de una Aplicación 106

5.2.3 Etapas de la auditoría de una Aplicación Informática 109

5.3 Conclusiones 110


6.1 Auditoria de Redes 115

6.2 Terminología de Redes 116

6.3 vulnerabilidad en Redes 117

6.4 Protocolos de alto nivel 118

6.5 Redes Abiertas TCP/IP 119

6.5.1 Auditando la Gerencia de Comunicaciones 120

6.5.2 Auditando la Red Física 121


8

6.5.3 Auditando la Red Lógica 122

6.6 Auditoria a Sistemas en Internet 122

6.2.1 Componentes en Ambientes Internet 123

6.2.2 Riesgos asociados a estos ambientes 123

6.2.3 Vulnerabilidades de Seguridad en Internet más criticas 124

6.7 Evaluación de seguridad 127


7.1 Planificación Estratégica 133

7.1.1 Comité De Dirección De Sistemas

7.1.2 Políticas Y Procedimientos 134

7.1.3 Prácticas De Gestión De Sistemas De Información (SI) 134

7.2 Auditoria De La Gestión De Tecnologías de Información 136

7.2.1 Planificar 137

7.2.2 Organizar Y Controlar 139

7.2.3 Control Y Seguimiento 146


8.1 Organismos e Instituciones Dedicadas A La Seguridad Y Auditoria

Informática. 151

8.1.1 ISACA (Asociación De Auditoria Y Control De Sistemas De

Información) 151

8.1.2 ISACA en el Perú: APACSI 152

8.2 Deontológica Aplicada A Los Auditores Informáticos 154

8.2.1 Principios Deontológicos Aplicables A Los Auditores Informáticos Y

Códigos Éticos 154

8.2.2 Códigos De Conducta De Algunas Asociaciones 157

8.2.3 Código De Ética De ISACA Perú 159

8.3 Seguridad De La Información En Latinoamérica: Tendencias 2009 160

8.4 Convergencia De La Seguridad 162

8.4.1 Definición De Convergencia 164

8.4.2 Convergencia En La Seguridad Informática 165


9

UNIDAD ACADÉMICA I

FUNDAMENTOS DE AUDITORIA INFORMÁTICA Y DE SISTEMAS

En este primer fascículo, se exponen diversos conceptos fundamentales de la

auditoria informática. En primer lugar se describe la utilización de la informática

como herramienta en las auditorias de hoy en día, mientras que en segundo

lugar analizaremos la relación de la auditoria informá tica con el control interno

informático, y finalmente se plantea los conceptos básicos de la auditoria

informática propiamente dicha.

Al finalizar el estudio del presente fascículo el estudiante:

Identifica los tipos de auditoria informática y los conceptos relacionados con

este entorno.

Diferencia las bases de la evolución de la auditoria informática.

Identifica el concepto y los objetivos de una auditoria informática.

Reconoce y diferencia las principales funciones que tienen la auditoria

informática y el control interno.


10

1.1CONCEPTOS GENERALES

1.1.1 CONCEPTO DE AUDITORIA

Actividad para determinar, por

medio de la investigación, la

adecuación de los

procedimientos establecidos,

instrucciones, especificaciones,

codificaciones y estándares u

otros requisitos, la adhesión a los

mismos y la eficiencia de su

implantación.

El concepto de auditoría es

mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar

la eficacia y eficiencia de una sección, un organismo, una entidad, etc.

La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra

auditor, que se refiere a todo aquel que tiene la virtud de oír.

Según ISO 9000: 2005

“Proceso sistemático independiente y documentado para obtener evidencias de

la auditoria y evaluarlas de manera objetivo con el fin de determinar la

extensión en que se cumplen los criterios de auditoria.”

1.1.2 AUDITORIA INFORMÁTICA vs AUDITORIA POR MEDIO DEL

ORDENADOR

Es frecuente encontrar una confusión entre dos funciones bien distintas; a

veces se denomina auditoria informática a la auditoria financiera o contable

realizada por auditores que uti lizan las facilidades de elevada capacidad de

selección, acceso, clasificación y cálculo de los ordenadores. Dichos auditores


11

utilizan el ordenador como una herramienta de trabajo, igual que uti lizan una

calculadora de mesa o un bolígrafo. El uso del ordenador, con sus

peculiaridades, les obliga a tener una serie de conocimientos sobre el mismo, o

a utilizar el apoyo de un técnico informático. El objetivo de la auditoria que

realizan estas personas no es el computador, el centro en que está ubicado, la

existencia y cumplimiento de normas de seguridad, etc. sino el de la auditoria

financiera o contable. En adelante, se dirá que este personal hace auditoria por

medio del computador o por medio de la informática, y se reservará el término

auditoria informática para referirse a aquella auditoria cuyo objetivo a examinar

sean productos informáticos, procesos informáticos, un departamento de

informática como unidad organizativa, o en su ámbito más amplio, la función

informática dentro de una organización, estudiando y evaluando no solo los

procesos informáticos en si, sino también los procesos administrativos y la

organización que interactúa con aquellos.

1.1.4 RAZONES PARA LA AUDITORIA Y EL CONTROL DE LOS

SISTEMAS

Debido a la cada vez mayor dependencia de las organizaciones de su sistema

informático, dado que los ordenadores juegan un papel decisivo en el

procesamiento de los datos y en la toma de decisiones, es importante que su

utilización sea controlada. Hay 7 razones principales, que se muestran en la

figura 1.1, para establecer una función que examine los controles establecidos

sobre el procesamiento de datos por ordenador. Los siguientes apartados

examinan estas razones.


12

Figura 1.1 Factores que llevan a una organización hacia el control y la

auditoria.

Costes organizacionales por pérdida de los datos

Los datos de una organización son un recurso crítico necesario para que esta

continúe operando. Los datos suministran a las organizaciones una imagen de

sí mismas, su entorno, su historia y su futuro. Si esta imagen es precisa, se

incrementa la habilidad de una organización para adaptarse y sobrevivir en un

entorno cada vez más cambiante.

Consideremos el caso de una organización que pierda su fichero de cuentas a

pagar. No podría pagar sus deudas a tiempo y sufriría tanto una pérdida de su

nivel de crédito nivel de crédito como cualquier descuento que pudiese tener

por pronto pago. Si pidiese ayuda a sus acreedores, tendría que confiar en la

honestidad de sus acreedores para saber la cantidad adeudada. Además, los

acreedores pondrían en cuestión la competencia de dicha organización y

podrían eliminar el nivel del crédito en el futuro.


13

Tales pérdidas pueden provenir de controles débiles en los sistemas

informáticos. La dirección puede no haber previsto respaldos adecuados de los

ficheros, por lo que la pérdida de un fichero debida a un error en un programa,

a un sabotaje, o a un desastre natural significaría que el fichero no se podría

recuperar y las operaciones de la organización quedarían deterioradas.

Toma de decisiones incorrectas

La importancia de la exactitud de los datos depende del tipo de decisiones que

se tomen en una organización. Por ejemplo, los datos uti lizados en la toma de

decisiones de nivel estratégico probablemente tolerarán cierto margen de error

debido a la naturaleza de las decisiones estratégicas –su perspectiva a largo

plazo y su nivel de incertidumbre -. Sin embargo, las decisiones del nivel del

control y de las operaciones normalmente requieren datos exactos. Los datos

inexactos pueden acarrear costosas investigaciones o procesos fuera de

control sin detectar.

Incluso personas de fuera de la organización, accionistas, gobierno , sindicatos,

grupos de presión como los medioambientales, pueden necesitar datos exactos

para tomar decisiones sobre la organización.

Fraude informático

Una definición de fraude informático puede ser cualquier incidente asociado

con la tecnología informática en el que una víctima sufre o puede sufrir

pérdidas y un causante intencionadamente gana o puede ganar.

El control del fraude informático es a menudo difícil debido a temas legales.

Puede ser muy difícil encausar a alguien que realiza una utilización de un

sistema informático de forma no autorizada, debido a que la ley no considera

que un ordenador sea una persona – física o jurídica- y solo las personas

pueden ser defraudadas.

Valor del hardware, software y del personal

Además de los datos, el hardware, software y el personal son recursos críticos

en una organización. Incluso con aseguramiento adecuado, la perdida


14

intencionada o no del hardware puede causar interrupciones considerables. Si

el software se corrompe o destruye, puede que la organización no pueda

continuar las operaciones si no lo recupera prontamente. Finalmente, el

personal siempre es un recurso muy valioso, particularmente en el entorno

informático debido al alto nivel de cualificación requerido.

Altos costes de los errores informáticos

Los sistemas informáticos realizan muchas funciones críticas. Controlan robots,

monitorizan las condiciones de un paciente durante una operación, calculan y

pagan intereses en cuentas de inversión, dirigen el rumbo de un barco.

Consecuentemente, el coste de un error informático puede ser muy alto.

Privacidad

Hoy en día se recogen muchos datos acerca de nosotros como individuos,

impuestos, créditos, datos de salud, de educación, empleo, residencia, etc.

Aunque antes también se recogían este tipo de datos, la posibilidad del

procesamiento automático de estos datos hace que la gente se pregunte si se

está erosionando la privacidad de los datos personales y de las organizaciones.

Muchas naciones consideran que la privacidad es un derecho humano y que la

responsabilidad del personal informático es que el uso de la informática no

pase al nivel en que los diferentes datos personales puedan ser recogidos,

integrados, procesados y recuperados rápidamente. Otra responsabilidad es

que los datos solo sean utilizados para el único propósito para el que hayan

sido recogidos.

La evolución controlada del uso de las tecnologías de la información

La tecnología es neutral, ni buena ni mala. Es su uso el que puede producir

problemas sociales. Aún se tienen que tomar grandes decisiones en como se

deben utilizar los ordenadores en nuestra sociedad, por ejemplo, ¿hasta qué

nivel se puede permitir a la informática desplazar el trabajo de las personas?


15

Concierne a los gobiernos, asociaciones profesionales y grupos de presión la

evaluación del uso de la tecnología, pero también se entiende que las

organizaciones deben tener una conciencia social del uso de la informática.

1.1.4CONTROL INTERNO INFORMATICO

Controla diariamente que todas las actividades de sistemas de información

sean llevadas a cabo, cumpliendo los procedimientos, estándares y normas

fijadas por la dirección de la organización y/o la dirección de informática, así

como los requerimientos legales. Suele ser un órgano staff de la dirección del

departamento de informática y esta dotado de las personas y medios

materiales proporcionados a los cometidos que se le encomienden.

OBJETIVOS:

• controlar que todas las actividades se realizan cumpliendo los

procedimientos y normas fi jados, evaluar su bondad y asegurarse del

cumplimiento de las normas legales,

• asesorar sobre el conocimiento de las normas,

• .colaborar y apoyar el trabajo de auditoria informática, así como las

auditorias externas al grupo,

• definir, implantar y ejecutar mecanismos y controles para comprobar el

logro de los grados adecuados del servicio informático


16

Cuadro 1.1 Diferencias y similitudes entre el Control Interno y Auditoria

Informático

1.1.5DEFINICIÓN DE AUDITORIA INFORMATICA

No existe una definición oficial de Auditoria Informática.

Como se menciono anteriormente, es la auditoria aplicada

al campo informático y auditoria es”el examen

metodológico de una situación relativa a un producto,

proceso u organización, realizado en cooperación con los

interés”.

1.2BREVE HISTORIA DE LA AUDITORIA INFORMATICA

La Auditoria Informática ha surgido cuando las empresas e

instituciones han tomado conciencia de que la información que

adquieren, conservan, procesan y emiten, es vital para su propia

supervivencia diaria y proyección de progreso. Por tanto, han

elevado a la categoría de sistemas críticos prácticamente todos los

sistemas internos que manejan información, agregándolos en uno

solo denominado sistema de información. En consecuencia, por su


17

naturaleza crítica, el enfoque de auditoria debe adoptar una

perspectiva que se adecue absolutamente a estos sistemas, sea

mediante la transformación de métodos, técnicas y procedimientos

de la auditoria tradicional, o sea mediante la creación de unos

nuevos.

Pero al principio esto no era así. La introducción de las máquinas de

proceso de datos en las empresas se produjo en los años 50,

principalmente dedicadas a sustituir a los empleados en las tareas

repetitivas en el cálculo de nóminas y facturas de clientes. Dada su

utilización como súper calculadoras, con un volumen considerable

de datos de entrada, y un volumen similar de datos de salida en

función de los anteriores, el auditor se limitaba a verificar la

corrección de los datos de salida frente a los datos de entrada,

ignorando la lógica y funcionamiento interno de las máquinas de

proceso de datos. Este tipo de auditoria se suele denominar auditoria

alrededor del ordenador. Prácticamente era una auditoria

convencional con un elemento exótico que producía información de

distinta manera que los empleados de la empresa. Esta situación se

prolongó hasta mediados de la década de los 60, cuando las

organizaciones de auditoría propugnaron un cambio en el enfoque,

en base a los resultados de baja calidad obtenidos en las auditorías

de áreas que comportaban proceso de datos a través de

ordenadores. Este cambio consistía fundamentalmente en la

adaptación de los criterios para la evaluación del control interno, en

los sistemas organizativos, financieros y contables, al centro de

proceso de datos y, concretamente, a la sala del ordenador. Esta

etapa se suele denominar auditoría del ordenador. Con la

introducción de nuevas tecnologías, como las comunicaciones entre

ordenadores en tiempo real, pronto se detectaron las limitaciones del

enfoque, ya que se producían pérdidas progresivas de las pistas de

auditoría y el auditor era incapaz de controlar determinadas

actividades.


18

Así, a finales de los años 70, se llega a una tercera etapa: la

auditoría a través del ordenador. En este enfoque se estudia también

el tratamiento lógico de la información a través de los programas y

las aplicaciones que los integran.

Posteriormente, a principios de los años 80, se empieza a aplicar

técnicas de tratamiento de la información por medio de ordenadores,

como apoyo a la labor de los auditores. El auditor informático

empieza a ser también experto en el uso de lenguajes informáticos

que le sirven para escribir, compilar y ejecutar programas para la

consecución de pruebas y obtención de evidencia. Surge de este

modo la denominada auditoría con el ordenador. En la misma década

se empieza a aplicar los principios básicos de la auditoría operativa a

la auditoria informática, dando lugar a la auditoría operativa de

proceso de datos, que se centra principalmente en la eficacia y

eficiencia del tratamiento automático de los datos.

1.3CAUSAS DE UNA AUDITORIA INFORMÁTICA

La auditoria informática no suele realizarse de forma periódica en las

organizaciones, sino que surge como consecuencias de problemas reales o

potenciales, excepto cuando alguna normativa legal obliga, periódicamente o

no, a su realización.

Agrupando por áreas esos problemas, las causas que pueden originar la

realización de una auditoria informática estarían entre las siguientes:

• Desorganización/ Descoordinación.

- No coincidencia de objetivos del sistema de información con los

objetivos de la organización.

- Los circuitos de información no son los adecuados.

- Duplicidad de informaciones

- No disponibilidad de la información o del resto de recursos de TI.

• Insatisfacción de usuarios

- No resolución de incidencias y averías.

- No atención de peticiones de cambios


19

- Inadecuado soporte informático

- No cumplimiento de plazos de entrega en resultados periódicos.

• Debilidades económicas financieras.

- Incremento inadecuado de las inversiones

- Incremento constante de los costos

- Desviaciones presupuestarias significativas

- Incremento de recursos en el desarrollo de proyectos

• Inseguridad de los seguridad informáticas

- Escasa confidencialidad de la información

- Falta de protección física y lógica

- Inexistencia de planteamientos en cuanto a la continuidad del

servicio

• Cumplimiento de la legalidad.

- Protección de datos de carácter personal

- Cumplimiento en TI por la ley Sarbanes-Oxley.

1.4OBJETIVO FUNDAMENTAL DE LA AUDITORIA INFORMÁTICA

Se invierte una considerable cantidad de recursos en personal, equipos y

tecnología, además de los recursos derivados de la posible organización

estructural que muchas veces conlleva la introducción de estas tecnologías.

Esta importante inversión debe ser constantemente justificada en términos de

eficacia y eficiencia. Por tanto, el propósito a alcanzar por una organización al

realizar una auditoria de sistemas de cualquier parte de su sistema de

información es asegurar que sus objetivos estratégicos son los mismos que los

de la propia organización y que los sistemas prestan el apoyo adecuado a la

consecuencia de estos objetivos, tanteen el presente como en su evolución

futura.

Se considera como objetivos fundamentales de la auditoria informática:

el mantenimiento de la operatividad


20

la mejora de la eficacia, la seguridad y la rentabilidad del sistema

de información sobre el que actúa

La operatividad reside en el funcionamiento, aunque se abajo mínimos, del

sistema de información (su organización y sus recursos).

La eficacia se basara la aportación por parte del sistema de información de una

información valida, exacta completa, actualizada y oportuna que ayude a la

toma de decisiones.

La seguridad esta constituida por la confidencialidad, integridad y disponibilidad

del sistema de información.

La rentabilidad implicara la utilización óptima de los recursos del sistema de

información, con el control de la calidad, los plazos y los costos.

1.5ALCANCE DE LA AUDITORIA INFORMÁTICA:

El alcance ha de definir con precisión el entorno y los límites en que va a

desarrollarse la auditoria informática, se complementa con los objetivos de

ésta. Ejemplo: ¿Se someterán los registros grabados a un control de integridad

exhaustivo*? ¿Se comprobará que los controles de validación de errores son

adecuados y suficientes*?. La indefinición de los alcances de la auditoría

compromete el éxito de la misma.

El alcance ha de definir con precisión el entorno y los límites en que va a

desarrollarse la Auditoria informática, se complementa con los objetivos de

ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que

quede perfectamente determinado no solamente hasta que puntos se ha

llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se

someterán los registros grabados a un control de integridad exhaustivo? ¿Se

comprobará que los controles de validación de errores son adecuados y

suficientes? La indefinición de los alcances de la Auditoria compromete el éxito

de la misma.


21

1.6CARACTERÍSTICAS DE LA AUDITORIA INFORMÁTICA

La información de la empresa y para la empresa, siempre importante, se ha

convertido en un Activo Real de la misma, como sus Stocks o materias primas

si las hay. Por ende, han de realizarse inversiones informáticas, materia de la

que se ocupa la Auditoria de Inversión informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo global

y particular: a ello se debe la existencia de la Auditoria de Seguridad

Informática en general, o a la Auditoria de Seguridad de alguna de sus áreas,

como pudieran ser Desarrollo o Técnicas de Sistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de

alguna forma su función: se está en el campo de la Auditoria de Organización

Informática.

Estos tres tipos de auditorias engloban a las actividades auditoras que se

realizan en una Auditoria parcial. De otra manera: cuando se realiza una

auditoria del área de Desarrollo de Proyectos de la Informática de una

empresa, es porque en ese Desarrollo existen, además de ineficiencias,

debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla

de ellas.

Dentro de las áreas generales, se establecen las siguientes divisiones de

Auditoría Informática.

Cada Área Especifica puede ser auditada desde los siguientes criterios

generales:

Desde su propio funcionamiento interno.

Desde el apoyo que recibe de la Dirección y, en sentido

ascendente, del grado de cumplimiento de las directrices de ésta.

Desde la perspectiva de los usuarios, destinatarios reales de la

informática.

Desde el punto de vista de la seguridad que ofrece la Informática

en general o la rama auditada.


22

1.7AUDITORÍA INTERNA Y AUDITORÍA EXTERNA:

La auditoría interna es la realizada con recursos materiales y personas que

pertenecen a la empresa auditada. La Auditoría informática interna cuenta con

algunas ventajas adicionales muy importantes respecto de la Auditoría externa,

las cuales no son tan perceptibles como en las auditorias convencionales. La

Auditoría interna tiene la ventaja de que puede actuar periódicamente

realizando Revisiones globales, como parte de su Plan Anual y de su actividad

normal.

La auditoría externa es realizada por personas afines a la empresa auditada; es

siempre remunerada. Se presupone una mayor objetividad que en la Auditoría

Interna, debido al mayor distanciamiento entre auditores y auditados. La

Auditoría externa es realizada por personas afines a la empresa auditada; es

siempre remunerada. Se presupone una mayor objetividad que en la Auditoría

Interna, debido al mayor distanciamiento entre auditores y auditados.

Objetivos auditoría Interna

Revisión y evaluación de controles contables, financieros y operativos

Determinación de la utilidad de políticas, planes y procedimientos, así

como su nivel de cumplimiento

Custodia y contabilización de activos

Examen de la fiabilidad de los datos

Divulgación de políticas y procedimientos establecidos.

Información exacta a la gerencia

Objetivos auditoría Externa

Obtención de elementos de juicio fundamentados en la naturaleza de los

hechos examinados

Medición de la magnitud de un error ya conocido, detección de errores

supuestos o confirmación de la ausencia de errores

Propuesta de sugerencias, en tono constructivo, para ayudar a la

gerencia

Detección de los hechos importantes ocurridos tras el cierre del ejercicio


23

Control de las actividades de investigación y desarrollo

En cuanto a empresas se refiere, solamente las más grandes pueden poseer

una Auditoría propia y permanente, mientras que el resto acuden a las

auditorias externas. Puede ser que algún profesional informático sea trasladado

desde su puesto de trabajo a la Auditoria Interna de la empresa cuando ésta

existe. Finalmente, la propia Informática requiere de su propio grupo de Control

Interno, con implantación física en su estructura, puesto que si se ubicase

dentro de la estructura Informática ya no sería independiente. Hoy, ya existen

varias organizaciones Informáticas dentro de la misma empresa, y con diverso

grado de autonomía, que son coordinadas por órganos corporativos de

Sistemas de Información de las Empresas.

Una Empresa o Institución que posee Auditoria interna puede y debe en

ocasiones contratar servicios de Auditoria externa. Las razones para hacerlo

suelen ser:

Necesidad de auditar una materia de gran especialización, para la cual

los servicios propios no están suficientemente capacitados.

Contrastar algún Informe interno con el que resulte del externo, en

aquellos supuestos de emisión interna de graves recomendaciones que

chocan con la opinión generalizada de la propia empresa.

Servir como mecanismo protector de posibles auditorías informáticas

externas decretadas por la misma empresa.

Aunque la Auditoria interna sea independiente del Departamento de

Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario

que se le realicen auditorias externas como para tener una visión desde

afuera de la empresa.

La Auditoria informática, tanto externa como interna, debe ser una actividad

exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y

política general de la empresa. La función auditora puede actuar de oficio, por

iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la

dirección o cliente.


24

1.8HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA INFORMÁTICA

ENTREVISTAS:

El auditor comienza a continuación las relaciones personales con el auditado.

Lo hace de tres formas:

1. Mediante la petición de documentación concreta sobre alguna materia

de su responsabilidad

2. Mediante “entrevistas” en las que no se sigue un plan predeterminado ni

un método estricto de sometimiento a un cuestionario.

3. Por medio de entrevistas en las que el auditor sigue un método

preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales más importante del auditor;

en ellas, éste recoge más información, y mejor matizada, que la proporcionada

por medios propios puramente técnicos o por las respuestas escritas a

cuestionarios.

Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y

auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que

hace un auditor, interroga y se interroga a sí mismo. El auditor informático

experto entrevista al auditado siguiendo un cuidadoso sistema previamente

establecido, consistente en que bajo la forma de una conversación correcta y lo

menos tensa posible, el auditado conteste sencillamente y con pulcritud a una

serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es

solo aparente. Tras ella debe existir una preparación muy elaborada y

sistematizada, y que es diferente para cada caso particular

CUESTIONARIOS:

El auditor en las entrevistas con los auditados utilizara como herramienta los

cuestionarios para la obtención de información. Los cuestionarios o checklist

son conjuntos de preguntas personalizadas o reelaboradas en función de los

escenarios auditados.

Los cuestionarios utilizados en la auditoria informática deben ser contestados

oralmente por el auditado, planteados de forma flexible por el auditor y con los


25

posibles respuestas muy estudiadas, una vez pasada la entrevistas , con las

respuestas obtenidas del auditado.

En función del tipo de calificación o evaluación los cuestionarios pueden ser:

De rango: las respuestas a las preguntas están en un rango

preestablecido. Por ejemplo de 1 a 5. Al final se puede obtener un

resultado global calculando la media aritmética, este tipo es

adecuado cuando el equipo auditor no es grande y mantiene

criterios homogéneos en las valoraciones.

Binario: contiene respuestas únicas y excluyentes, por ej. Con si o

no. Su elaboración inicial es mas compleja que los anteriores, ya

que exigen precisión, aunque menor uniformidad en el equipo

auditor.

CHECKLIST:

El auditor conversará y hará preguntas "normales", que en realidad servirán

para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de las Checklists, ya que consideran que

leerle una pila de preguntas recitadas de memoria o leídas en voz alta

descalifica al auditor informático. Pero esto no es usar Checklists, es una

evidente falta de profesionalismo. El profesionalismo pasa por un

procesamiento interno de información a fin de obtener respuestas coherentes

que permitan una correcta descripción de puntos débiles y fuertes. El

profesionalismo pasa por poseer preguntas muy estudiadas que han de

formularse flexiblemente.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo

excepciones, las Checklists deben ser contestadas oralmente, ya que superan

en riqueza y generalización a cualquier otra forma.

No existen Checklists estándar para todas y cada una de las instalaciones

informáticas a auditar. Cada una de ellas posee peculiaridades que hacen

necesarios los retoques de adaptación correspondientes en las preguntas a

realizar.


26

TRAZAS Y/O HUELLAS:

Con frecuencia, el auditor informático debe verificar que los programas, tanto

de los Sistemas como de usuario, realizan exactamente las funciones

previstas, y no otras. Para ello se apoya en productos Software muy potentes y

modulares que, entre otras funciones, rastrean los caminos que siguen los

datos a través del programa.

Muy especialmente, estas "Trazas" se uti lizan para comprobar la ejecución de

las validaciones de datos previstas. Las mencionadas trazas no deben

modificar en absoluto el Sistema. Si la herramienta auditora produce

incrementos apreciables de carga, se convendrá de antemano las fechas y

horas más adecuadas para su empleo.

Por lo que se refiere al análisis del Sistema, los auditores informáticos emplean

productos que comprueban los Valores asignados por Técnica de Sistemas a

cada uno de los parámetros variables de las Librerías más importantes del

mismo. Estos parámetros variables deben estar dentro de un intervalo marcado

por el fabricante. A modo de ejemplo, algunas instalaciones descompensan el

número de iniciadores de trabajos de determinados entornos o toman criterios

especialmente restrictivos o permisivos en la asignación de unidades de

servicio según cuales tipos carga. Estas actuaciones, en principio útiles,

pueden resultar contraproducentes si se traspasan los límites.

No obstante la utilidad de las Trazas, ha de repetirse lo expuesto en la

descripción de la auditoría informática de Sistemas: el auditor informático

emplea preferentemente la amplia información que proporciona el propio

Sistema: Así, los ficheros de <Accounting> o de <contabilidad>, en donde se

encuentra la producción completa de aquél, y los <Log> de dicho Sistema, en

donde se Del mismo modo, el Sistema genera automáticamente exacta

información sobre el tratamiento de errores de maquina central, recogen las

modificaciones de datos y se pormenoriza la actividad general.

Del mismo modo, el Sistema genera automáticamente exacta información

sobre el tratamiento de errores de maquina central, periféricos, etc.


27

[La auditoría financiero-contable convencional emplea trazas con mucha

frecuencia. Son programas encaminados a verificar lo correcto de los cálculos

de nóminas, primas, etc.].

LOG:

El log vendría a ser un historial que informa que fue cambiando y cómo fue

cambiando (información). Las bases de datos, por ejemplo, utilizan el log para

asegurar lo que se llaman las transacciones. Las transacciones son unidades

atómicas de cambios dentro de una base de datos; toda esa serie de cambios

se encuadra dentro de una transacción, y todo lo que va haciendo la Aplicación

(grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log.

La transacción tiene un principio y un fin, cuando la transacción llega a su fin,

se vuelca todo a la base de datos. Si en el medio de la transacción se cortó por

X razón, lo que se hace es volver para atrás. El log te permite analizar

cronológicamente que es lo que sucedió con la información que está en el

Sistema o que existe dentro de la base de datos.

SOFTWARE DE INTERROGACIÓN:

Hasta hace ya algunos años se han utilizado productos software llamados

genéricamente <paquetes de auditoría>, capaces de generar programas para

auditores escasamente cualificados desde el punto de vista informático.

Más tarde, dichos productos evolucionaron hacia la obtención de muestreos

estadísticos que permitieran la obtención de consecuencias e hipótesis de la

situación real de una instalación.

En la actualidad, los productos Software especiales para la auditoría

informática se orientan principalmente hacia lenguajes que permiten la

interrogación de ficheros y bases de datos de la empresa auditada. Estos

productos son utilizados solamente por los auditores externos, por cuanto los

internos disponen del software nativo propio de la instalación.


28

Del mismo modo, la proliferación de las redes locales y de la filosofía "Cliente-

servidor” , han llevado a las firmas de software a desarrollar interfaces de

transporte de datos entre computadoras personales y mainframe, de modo que

el auditor informático copia en su propia PC la información más relevante para

su trabajo.

Cabe recordar, que en la actualidad casi todos los usuarios finales poseen

datos e información parcial generada por la organización informática de la

Compañía.

Efectivamente, conectados como terminales al "Host", almacenan los datos

proporcionados por este, que son tratados posteriormente en modo PC . El

auditor se ve obligado (naturalmente, dependiendo del alcance de la auditoría)

a recabar información de los mencionados usuarios finales, lo cual puede

realizar con suma facilidad con los polivalentes productos descritos. Con todo,

las opiniones más autorizadas indican que el trabajo de campo del auditor

informático debe realizarse principalmente con los productos del cliente.

Finalmente, ha de indicarse la conveniencia de que el auditor confeccione

personalmente determinadas partes del Informe. Para ello, resulta casi

imprescindible una cierta soltura en el manejo de Procesadores de Texto,

paquetes de Gráficos, Hojas de Cálculo, etc.

1.9TIPOS DE LA AUDITORIA INFORMATICA

En la empresa podemos distinguir varios tipos de auditorias, entres las

principales están:


29

Figura 1.1 Auditoria de Estados Financieros

Auditoria de Gestión, que analiza que las decisiones de gestión han

sido tomadas de forma consistente con la existencia de

informaciones suficientes y oportuna.

Auditoria operacional, para determinar hasta que punto una

organización, una unidad o función dentro de una organización esta

cumpliendo con los objetivos establecidos por la Direccion; asi

como identificar las condiciones que necesiten mejora.

Auditoria financiera, examen y y verificación de los estados

financieros de la empresa, para emitir una opinión fundada sobre el

grado de fiabilidad de los de dichos estados.

Auditoria contable,

Auditoria organizativa

Auditoria de calidad

Auditoria informática


30

Centrados en la auditoria informática, podemos distinguir varios tipos en

función a las áreas a considerar, al realizador, al ámbito de aplicación o la

especialidad.

El departamento de Informática posee una actividad proyectada al exterior, al

usuario, aunque el "exterior" siga siendo la misma empresa. He aquí, la

Auditoria Informática de Usuario. Se hace esta distinción para contraponerla a

la informática interna, en donde se hace la informática cotidiana y real. En

consecuencia, existe una Auditoria Informática de Actividades Internas.

El control del funcionamiento del departamento de informática con el exterior,

con el usuario se realiza por medio de la Dirección. Su figura es importante, en

tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una

informática eficiente y eficaz requiere el apoyo continuado de su Dirección

frente al "exterior". Revisar estas interrelaciones constituye el objeto de la

Auditoria Informática de Dirección. Estas tres auditorias, mas la Auditoria de

Seguridad, son las cuatro áreas Generales de la Auditoria Informática más

importantes.

Dentro de las áreas generales, se establecen las siguientes divisiones de

Auditoria Informática: de Explotación, de Sistemas, de comunicaciones y de

Desarrollo de Proyectos. Estas son las áreas Especificas de la Auditoria

Informática más importantes.

Áreas

Específicas

Áreas Generales

Interna Dirección Usuario Seguridad

Explotación

Desarrollo

Sistemas


31

Comunicaciones

Seguridad

Cuadro 1.1: Áreas de la Auditoria Informática

Cada Área Especifica puede ser auditada desde los siguientes criterios

generales:

Desde su propio funcionamiento interno.

Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del

grado de cumplimiento de las directrices de ésta.

Desde la perspectiva de los usuarios, destinatarios reales de la

informática.

Desde el punto de vista de la seguridad que ofrece la Informática en general o

la rama auditada.

Estas combinaciones pueden ser ampliadas y reducidas según las

características de la empresa auditada.

1.9EL AUDITOR Y EL DEPARTAMENTO DE AUDITORIA INFORMATICA

A. EL AUDITOR INFORMATICO

El auditor informático observa, juzga y recomienda. Debe ser independiente

de la función o elemento auditado, y no puede ser ni responsable de la

función, ni realizador, ni usuario.

En EE.UU., donde la auditoria informática es algo mas habitual que en

Perú, loa auditores deben ser certificarse con el titulo CISA()otorgado por la

ISCA(). este certificado se consigue aprobando un examen y demostrando

experiencia en auditoria informática, y se renueva periódicamente. Los

auditores peruanos también pueden conseguir el certificado CISA a través

del capitulo peruano de la ISACA, cuya URL es http://www.isaca.org.pe.

http://www.isaca.org.pe/


32

El auditor informático debe tener una buena preparación, tanto teórica como

practica, aparte de otras características como: independencia,

responsabilidad, integridad, objetividad,..

La cualificación del auditor debe ser: educación y experiencia, habilidad

para comunicarse, entrenamiento especifico en sistemas de información y

técnicas de auditoria informática, participación en auditoria informática.

Importante para el auditor es la necesidad constante de: participantes

regulares, es decir, mantener su capacidad a lo largo del tiempo, a través

de: participaciones regulares de manera activa en auditoria informática,

revisar y estudiar normas, códigos, instrucciones y otras documentaciones

relativas de auditoria informática.

Características del auditor:

Que deben hacer los auditores Que no deben hace

Recomendar

Ser independiente, objetivos

Ser competentes en auditoria informática

Diagnosticar en función a verificaciones

Actualizarse en cuanto a avances

Obligar o amenazar

Actuar en beneficio propio

Asumir trabajos sin preparación adecuada

Diagnosticar en función a suposiciones

Dejar obsoletos sus conocimientos

Figura 1.2: Características de una Auditor

Algunas reglas básicas que debe respetar el auditor son:

Fomentar la cooperación con el auditado.

No emitir juicios que no estén sólidamente basados.

Evitar las situaciones preventivas del auditado entre el auditor.

No adelantar resultados parciales sobre un área o función determinadas,

una visión parcial puede resultar errónea.

Comentar con los interesados los resultados antes de presentarlos a

niveles superiores, excepto en casos de fraude.


33

Extrapolar la idea de colaboración con informática y la intención de

descubrir las debilidades para mejorar.

Comunicar que no se trata de castigar sino de detectar deficiencias y

corregirlas.

Estas reglas suelen estar incluidas en los Códigos deontológico, que son un

conjunto de preceptos que establecen los deberes exigibles a aquellos

profesionales que ejerciten una determinada actividad y tienen como

finalidad incidir en sus comportamientos profesionales estimulando que

estos se ajusten a determinados principios morales que deben serviles de

guía. Estos códigos son elaborados por los propios profesionales en el

marco de los colegios profesionales, asociaciones o agrupaciones que los

representen.

B. EL DEPARTAMENTO DE AUDITORIA INFORMÁTICA

En las empresas de tamaño medio-grande existe un área con al

responsabilidad de realizar la auditoria informática. Deben estar

perfectamente delimitadas las funciones de esta área, ya que pueden

solaparse con las funciones de los auditores financieros o auditores

organizativos, y al revés pueden quedar zonas sin descubrir.

El nivel organizativo del departamento de auditoria interna debe ser

suficiente para permitir el cumplimiento de sus responsabilidades. El

director del departamento debe ser responsable ante una persona de la

organización, con suficiente autoridad para promover la independencia ya

segurar una amplia cobertura


34

Elegir una organización de su entorno, del cual se debe comentar su perfil

informático, objetivos y metas de control interno de Tecnologías de

Información.

Toda empresa pública o privada, que posean Sistemas de Información media

deben de someterse a un control estricto de evaluación de eficacia y eficiencia.

Hoy en día, el 90 por ciento de las empresas tienen toda su información

estructurada en Sistemas Informáticos, de aquí, la vital importancia que los

sistemas de información funcionen correctamente. La empresa hoy, debe /

precisa informatizarse. El éxito de una empresa depende de la eficiencia de sus

sistemas de información. Una empresa puede tener un staff de gente de

primera, pero tiene un sistema informático propenso a errores, lento, vulnerable

e inestable; si no hay un balance entre estas dos cosas, la empresa nunca

saldrá a adelante. En cuanto al trabajo de la Auditoría en sí, podemos remarcar

que se precisa de gran conocimiento de Informática, seriedad, capacidad,

minuciosidad y responsabilidad; la Auditoría de Sistemas debe hacerse por

gente altamente capacitada, una Auditoría mal hecha puede acarrear

consecuencias drásticas para la empresa auditada, principalmente

económicas.

Littlejhon Shider, Debra, “Superutilidades y detección de Delitos

Informaticos”, Edit. Anaya, 1era. Edición, 2003.

Jones J., Keith, “Superutilidades Hackers “, Edit. Mc.Graw Hill, 1era.

Edición, 2003.


35

Cougias,Dorian/E.L. Heiberg, “Herramientas de Protección y

Recuperación de Datos”, Edit. Anaya, 1era. Edición, 2004

Solís Montes, Gustavo Adolfo, “Reingeniería de la Auditoria”, Edit.

Trillas, 1ra. Edición. 2002.

Piattini Mario G., ”Auditoria Informática”. Edit. AlfaOmega, 2da.

Edición 2001.

Echenique GARCIA, José Antonio, “Auditoria en Informática”, Edit.

Mc. Graw Hill, 2da. Edición, 2001.

Radlow J. “Informática y computadoras en la sociedad”, Edit. Mc.

Graw Hill. 1ra. Edición 2001.

INEI, “Auditoria de Sistemas”, Edición 2002

COBIT versión 4.0 , ”Manual de Objetivos de Control” de ISACA,.

En el siguiente fascículo se describe las principales metodologías para la

realización de una auditoria informática.

o ¿Cuáles son los elementos fundamentales del concepto de

auditoría informática?

o ¿Cuantas clases diferentes de auditoria existen?

o ¿Qué diferencias existen entre la auditoria y el control interno?

o ¿Cuáles son las funciones del control interno informático?


36

UNIDAD ACADÉMICA II

METODOLOGÍAS PARA LA AUDITORIA INFORMÁTICA

Las metodologías son necesarias para desarrollar cualquier proyecto que nos

propongamos de manera ordenada y eficaz.

El contenido de este fascículo tratara las metodologías principales para una

evaluación de la seguridad y auditoria informática en forma general, así como

de manera particular la metodología tradicional para realizar una auditoria

informática.

En primer lugar, se describe las metodologías de seguridad y auditoría

informática en forma general. En segundo lugar se profundiza sobre una

metodología tradicional en particular para la realización de una auditoria

informática.

Conocer y evaluar que tipos de metodologías entre las existentes se

puede aplicar en cada caso de auditoria informática.

Conocer y entender la importancia de cada una de las fases de una

auditoria informática.


37

2.1 METODOLOGÍA

Siendo el método un modo ordenado de decir o hacer una cosa determinada,

podemos decir que la metodología es un conjunto de métodos que se siguen

en una investigación científica, lo cual significa que cada proceso científico

debe estar sujeto a una disciplina de proceso definida con anterioridad a la cual

se le da el nombre de metodología.

La metodología se hace necesaria en materias como la informática, ya que sus

aspectos son muy complejos y la cual se uti liza en cada doctrina que compone

dicha materia, siendo de gran ayuda en la auditoria de los sistemas de

información.

El nacimiento de metodología en el mundo de la auditoria y el control

informático se puede observar en los primeros años de los ochenta, naciendo a

la par con la informática, la cual utiliza la metodología en disciplinas como la

seguridad de los sistemas de información, la cual la definimos como la doctrina

que trata de los riesgos informáticos, en donde la auditoria se involucra en este

proceso de protección y preservación de la información y de sus medios de

proceso.

La informática crea unos riesgos informáticos los cuales pueden causar

grandes problemas en entidades, por lo cual hay que proteger y preservar

dichas entidades con un entramado de contramedidas, y la calidad y la eficacia

de la mismas es el objetivo a evaluar para poder identificar así sus puntos

débiles y mejorarlos, siendo esta una función de los auditores informáticos.

2.2 METODOLOGÍAS DE EVALUACIÓN DE SISTEMAS

En el mundo de la seguridad de sistemas se utiliza todas las metodologías

necesarias para realizar un plan de seguridad además de la auditora

informática. Las dos metodologías de evaluación de sistemas por antonomasia

son el análisis de riesgo y la auditoria informática.

Las metodologías son necesarias para desarrollar cualquier proyecto que nos

propongamos de manera ordenada y eficaz.


38

La auditoria informática solo identifica el nivel de “exposición” por la falta de

controles mientras el análisis de riesgos facilita la evaluación de los riesgos y

recomienda acciones en base al costo-beneficio de la misma. Todas las

metodologías existentes en seguridad de sistemas van encaminadas a

establecer y mejorar un entramado de contramedidas que garanticen que la

productividad de que las amenazas se materialicen en hechos sea lo mas baja

posible o al menos quede reducida de una forma razonable en costo-beneficio.

Todas las metodologías existentes desarrolladas y utilizadas en la auditoría y el

control informático, se puede agrupar en dos grandes familias:

2.2.1METODOLOGIAS CUANTITATIVAS

Basadas en un modelo matemático numérico que ayuda a la realización del

trabajo, están diseñadas par producir una lista de riesgos que pueden

compararse entre sí con facilidad por tener asignados unos valores numérico.

Están diseñadas para producir una lista de riesgos que pueden compararse

entre si con facilidad por tener asignados unos valores numéricos. Estos

valores son datos de probabilidad de ocurrencia de un evento que se debe

extraer de un riesgo de incidencias donde el número de incidencias tiende al

infinito.

2.2.2 METODOLOGÍAS CUALITATIVAS

Basadas en el criterio y raciocinio humano capaz de definir un proceso de

trabajo, para seleccionar en base al experiencia acumulada. Puede excluir

riesgos significantes desconocidos (depende de la capacidad del profesional

para usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa,

que requiere menos recursos humanos / tiempo que las metodologías

cuantitativas.

Ventajas:

Enfoque lo amplio que se desee.

Plan de trabajo flexible y reactivo.

Se concentra en la identificación de eventos.


39

Desventajas

Depende fuertemente de la habilidad y calidad del personal involucrado.

Identificación de eventos reales más claros al no tener que aplicarles

probabilidades complejas de calcular.

Dependencia profesional.

2.3 METODOLOGÍAS EN AUDITORIA INFORMÁTICA.

Metodología es una secuencia de pasos lógica y ordenada de proceder para

llegar a un resultado. Generalmente existen diversas formas de obtener un

resultado determinado, y de esto se deriva la existencia de varias metodologías

para llevar a cabo una auditoria informática.

Las metodologías de auditoria informática son de tipo cualitativo/subjetivo. Se

puede decir que son subjetivas por excelencia. Están basadas en profesionales

de gran nivel de experiencia y formación, capaces de dictar recomendaciones

técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación

continua. Solo existen dos tipos de metodologías básicas para la auditoría

informática:

Controles Generales.- Son el producto estándar de los auditores

profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los

datos del computador para la auditoría financiera, es resultado es escueto y

forma parte del informe de auditoría, en donde se hacen notar las

vulnerabilidades encontradas. Están desprestigiadas ya que dependen en

gran medida de la experiencia de los profesionales que las usan.

Metodologías de los auditores internos.- Están formuladas por

recomendaciones de plan de trabajo y de todo el proceso que se debe

seguir. También se define el objetivo de la misma, que habrá que describirlo

en el memorando de apertura al auditado. De la misma forma se describe en

forma de cuestionarios genéricos, con una orientación de los controles a

revisar. El auditor interno debe crear sus metodologías necesarias para

auditar los distintos aspectos o áreas en el plan auditor.


40

2.2.1 METODOLOGÍA ROA (Risk Oriented Approach)

En la actualidad se utilizan tres tipos de metodologías de auditoria informática:

R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen.

CHECKLIST o cuestionarios.

AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT;

sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF,

etc.).

En sí las tres metodologías están basadas en la minimización de los riesgos,

que se conseguirá en función de que existan los controles y de que éstos

funcionen. En consecuencia el auditor deberá revisar estos controles y su

funcionamiento.

2.2.2 METODOLOGÍA TRADICIONAL DE UNA AUDITORIA INFORMÁTICA

La metodología o ciencia del método es según el diccionario el conjunto de

métodos que se siguen en una investigación científica o en una exposición

doctrinal. Método es el modo de hacer con orden una cosa.

En una auditoria informática deben emplearse unas técnicas y herramientas

determinadas, intervienen diversos participantes, han de obtenerse unos

resultados concretos y documentados, y por tanto se convierte en necesario la

aplicación de una metodología.

La metodología empleada en la auditoria informática es similar a las fases que

componen una auditoria tradicional: primero se planea para obtener y entender

los procesos de negocio; en segundo lugar se analiza y evalúa el control

interno establecido para determinar la probable eficacia y eficiencia del mismo,

posteriormente, se aplican pruebas de auditorias para verificar la efectividad de

los procedimientos de control(pruebas de cumplimiento), o de los productos de

los procesos de trabajo(pruebas sustantivas).


41

Después se informan los resultados de las auditorias, con el fin de reportar las

sugerencias correspondientes a las oportunidades de mejora encontradas y,

finalmente, se efectúa el seguimiento para evaluar el nivel del cumplimiento y el

impacto de las recomendaciones hechas. Esta metodología nos proporcionara

los pasos a seguir desde la contratación por parte del cliente o la orden de la

Dirección (según se externa o interna la auditoria) hasta la confección y entrega

por escrito del informe final.

Las fases de una metodología típica son:

Fase 01: Definición de ámbito y objetivos

Fase 02: Estudio previo

Fase 03: Determinación de recursos

Fase 04: Elaboración del Plan

Fase 05: Realización

Fase 06: Elaboración del Informe Final.

La preparación y planificación de la auditoria informática abarca las cuatro

primeras fases metodológicas y tiene como objetivo disponer de todo lo

necesario para el comienzo de la auditoria informática. Con mayor detalle se

trata el planeamiento en el fascículo siguiente.


42

Caso Práctico: “Auditoria de Seguridad”

A continuación, un caso de auditoría en el área de seguridad para proporcionar

una visión más desarrollada y amplia de la función auditora.

Es una auditoría de Seguridad Informática que tiene como misión revisar tanto

la seguridad física y lógica de una cabina de Internet con sus funciones

informáticas más importantes.

Se pide realizar las fases 01 y 02 de la metodología tradicional de una auditoria

informática.

Indicar los supuestos que se esta definiendo para desarrollar dichos caso.

En el presente fascículo se presenta las principales metodologías para realizar

una evaluación de la seguridad informática y a su vez para una auditoria

informática, haciendo énfasis en la descripción de las fases de las

metodologías mas utilizadas en el campo informático.


43




Edición 2001.



En el siguiente fascículo se describe todo el proceso de la auditoria de la

gestión de Tecnologías de Información.

1. ¿Para qué sirve definir los alcances y objetivos en una auditoría?

2. ¿Por qué es más costosa una auditoría general que una específica?

3. ¿En qué consiste la etapa del estudio previo?

4. ¿Qué tipo de recursos insume una auditoría Informática?

5. ¿Cuales son las principales técnicas de trabajo en una auditoria informática?

6. ¿De qué herramientas se disponen para realizar una auditoría?


44

UNIDAD ACADÉMICA III

AUDITORIA DE UN SISTEMA DE INFORMACIÓN

Para hacer una adecuada planeación de la auditoria en informática hay que

seguir una serie de pasos previos que permitirán dimensionar el tamaño y

características del área dentro del organismo a auditar, sus sistemas,

organización y equipo. Con ello podremos determinar el número y

características del personal de auditoría, las herramientas necesarias, el

tiempo y costo, así como definir los alcances de la auditoria para, en caso

necesario, poder elaborar el contrato de servicios.

Dentro de la auditoria en general, la planeación es uno de los pasos

importantes, ya que una inadecuada planeación provocara una serie de

problemas que pueden impedir que se cumpla con la auditoria o bien hacer

que no se efectué con el profesionalismo que debe tener cualquier auditor.

El trabajo de auditoría deberá incluir la planeación de la auditoria, el examen y

la evaluación de la información, la comunicación de los resultados y el

seguimiento.

Conocer y aplicar las diferentes fases de la auditoria de un sistema de

información.

Conocer y entender la importancia de cada una de las fases de la

auditoria ed sistemas de información.


45

3.1 PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA

El desarrollo de una auditoria se puede considerar como un proyecto en sí.

Entonces, dicho proyecto constara de fases, cada fase de actividades, y cada

actividad de tareas concretas. Las fases, actividades y tareas se denominan

genéricamente como pasos. Cada paso tendrá sus objetivos, resultados

previstos, planificación temporal, estimación de recursos, técnicas y

herramientas de soporte, todo ello supeditado al paso de grado superior. Las

pautas para identificar, establecer o aplicar correctamente cada una de estos

elementos emanan de normas y metodologías de auditoría. En la auditoria

informática, se disponen de COBIT, un marco metodológico elaborado,

mantenido y en constante perfeccionamiento a cargo de la Information Systems

Audit and Control Association(ISACA), que tiene reconocimiento mundial y

oficial en algunos países. COBIT es el acrónimo de Control Objectives for IT, y

es un moderno y estándar conjunto de Objetivos de Control de las Tecnologías

de Información generalmente aceptados para la utilización diaria de los

ejecutivos y auditores de sistemas de información (ISACAF, 2000).

La realización de una auditoria informática se compone de varias fases o

pasos: toma de contacto, validación de la información, análisis preliminar,

desarrollo, pruebas sustantivas, presentación de conclusiones y formación del

plan de mejoras. La fase de desarrollo tiene varias subfases: análisis detallado,

pruebas, y análisis y controles de pruebas de usuario.


46

Grafico 3.1: Fases de una auditoria informática

3.1.1 TOMA DE CONTACTO

Objetivo: se pretende tomar contacto con todos aquellos elementos

informativos que puedan se interesantes para la consecución del trabajo, y así,

lograr alcanzar un profundo conocimiento de la idiosincrasia organizativa a

todos los niveles para poder desenvolverse en el ámbito de la empresa con

total comodidad y conocimiento del funcionamiento interno de esta.

Realización: Se debe tener en cuenta dos puntos de vista a la hora de obtener

conocimiento general.

Organizativo: La propia estructura organizativa de la empresa, su

organigrama, volumen, líneas de producto, situación en el mercado, etc.

Recursos informáticos: Estructura del departamento, relaciones funcionales

y jerárquicos, recursos humanos, materiales (SGBD, SO, comunicaciones,

etc), aplicaciones de desarrollo en sistema de explotación.

Esta es una fase en que intervienen fundamentalmente los auditores externos.

Por tanto, para que estos se puedan asegurar de que las conclusiones


47

obtenidas en su análisis preliminar son las correctas, es recomendable que se

puedan contrastar con las conclusiones emitidas por los auditores internos. En

esta fase también se da el visto bueno o el rechazo a la viabilidad de la

realización de la auditoria por diversas razones como, por ejemplo, la carencia

de capacidad para auditar el sistema, ya que excede el campo de actuación del

auditor, o la necesidad de realizar otro tipo de auditoria, ya que auditando

informativamente no se alcanzaran a resolver los problemas que la empresa

tenga.

Herramientas y documentación: En esta fase se uti lizan principalmente dos

herramientas intangibles que son:

La experiencia propia: El auditor con la experiencia adquirida en la

realización de otras auditorias interpreta de una forma más efectiva toda

aquella información.

Implicación de directivos y usuarios: Para que el auditor pueda realizar las

labores de aproximación al problema de una forma optima necesita la

cooperación de todos y cada uno de los integrantes de la estructura

organizativa de la empresa haciéndoles participes en todo el proceso de

ejecución de la auditoria, porque son ellos quienes han de ser capaces de

transmitir cuales son los puntos clave a ser auditados.

Además de los dos puntos enumerados anteriormente el auditor tiene que

ayudarse de todo tipo de formularios que pueda rellenar el personal y que

después puedan ser de interés a la hora de extraer conclusiones. También se

puede utilizar todo tipo de material informático como programas de

interpretación de datos obtenidos, estadísticos, etc, pero nunca perdiendo de

vista las interpretaciones mas subjetivas, que no por ello erróneas, de todos los

aspectos interesantes.

Por ultimo cabe destacar la importancia que se le tiene que dar a esta fase, ya

que, sobre todas las conclusiones extraídas se basaran el resto de fases, es

decir, una mala interpretación de la filosofía de la empresa podría repercutir en

una mala realización de la auditoria.


48

3.1.2 VALIDACIÓN DE LA INFORMACIÓN

Objetivo: Se pretende validar toda la información obtenida en la fase anterior,

así como definir los resultados esperados en la fase de operación.

Realización: Una vez finalizada la fase de toma de contacto, el auditor tiene

que estar seguro de que toda la información recogida es valida, precisa,

eficiente y de real importancia para su trabajo. Con toda esta información hay

que ser capaces de tratar los siguientes temas que son de importancia vital:

Concentración de objetivos: Fijar los objetivos a nivel global que el auditor

espera en su trabajo, hasta donde llegara como lo quiero hacer.

Las áreas que cubrirá: que partes exactas de la empresa y, en este caso,

del sistema, serán auditadas.

Personas de la Organización: empleados que deberán colaborar directa e

indirectamente y en que momento concreto.

Plan de Trabajo: comprende los siguientes elementos:

- Tareas que se deberán realizar.

- Calendario, tanto de todas las fases así como la de consecución

del trabajo.

- Presupuesto, partiendo de la base de las inevitables limitaciones

presupuestarias, si existen, aspecto que es bueno tener siempre

presente.

- Equipo auditor necesario: una vez obtenido todo el material de

partida el encargado tiene que ser capaz de realizar una estimación

lo mas exacta posible del equipo de auditores necesario, en cuanto

a numero y especialidades, o áreas de conocimiento.

Herramientas y Documentación: El auditor debe disponer de todo tipo de

manuales de los diferentes sistemas informáticos tanto de software como

hardware. Por otro lado, el grado de conocimiento de las personas de la

empresa que deben colaborar con el auditor tiene que ser alto y la capacidad

de movilidad del auditor en la organización tiene que ser máxima. Al auditor

también debe estar familiarizado con los controles directivos y con la aplicación

para ser capaz más delante de determinar donde puede haber fallos en la


49

utilización o si, por otro lado, son los propios controles los que no funcionan

adecuadamente. Y por ultimo, se tendrá que utilizar constantemente la

documentación obtenida de los cuestionarios realizados en la fase anterior.

3.1.3 ANÁLISIS PRELIMINAR

Objetivos: Obtener la información necesaria para tomar la decisión sobre

como proceder con la auditoria. Pueden seguirse tres caminos:

a) Renunciar a la auditoria: el auditor carece de la competencia técnica

para realizar la auditoria.

b) Realizar un análisis detallado del sistema de control interno.

c) Desconfiar del sistema de control interno. Existen dos razones para

tomar esta decisión: Quizá sea mas rentable realizar directamente las

pruebas substantivas; o el control de la función informática duplicara los

controles existentes en el ares de usuario.

Realización: Esta fase incluye el análisis general del riesgo que comprende

principalmente, el análisis de los controles directivos y los controles de

aplicación, Durante el análisis de los primeros se trata de comprender la

organización y las practicas directivas utilizadas en cada nivel de la jerarquía

de la instalación. Durante el segundo análisis, deben comprenderse los

controles realizados sobre las transacciones más importantes que fluye n a

través de los sistemas de aplicación en la instalación. En primer lugar, durante

esta fase, se realizan entrevistas con el personal de la instalación, se observan

las actividades de la instalación y se analiza la documentación de la instalación.

Las evidencias han de documentarse completando cuestionarios, construyendo

diagramas de flujo y tablas de decisión y preparando informes. En la siguiente

subsección se describe con más detalle este tipo de análisis.

El análisis preliminar realizado por los auditores internos difiere del realizado

por los auditores externos en tres aspectos:

a) Los auditores internos requieren menos tiempo para realizar el análisis,

sobre todo en temas de control de dirección, ya que están familiarizados

con el tema.


50

b) Loa auditores internos poseen una amplia perspectiva que incluye

consideraciones de eficacia y eficiencia al sistema.

c) si los auditores internos piensan que existen debilidades en el sistema

de control interno cuanto completan la fase de análisis preliminar, antes

de proceder directamente con las pruebas substantivas, siguen

realizando unas pruebas detalladas del sistema de control interno en

vista de hacer recomendaciones especificas para mejorar.

3.1.4 DESARROLLO:

ANALISIS DETALLADO

Objetivo: Obtener información necesaria para que el auditor tenga un

conocimiento profundo de los controles usados en la instalación informática. De

nuevo debe decidir si la auditoria se lleva cabo o se rechaza, o se procede

conforme a la fase de pruebas con la expectativa de que la dependencia puede

estar situada sobre el sistema de control interno, o proceder directamente al

análisis de los controles de usuario o procedimiento de pruebas substantivas.

Realización: Tanto los controles de dirección, como los controles de aplicación

han de analizarse y a ser posible en este orden. Es importante identificar las

cusas de perdida y riesgos existentes en al instalación y establecer los

controles para reducir los efectos de las cusas de perdida.

Al final de comprobarse si los controles reducen las pérdidas a un nivel

aceptable. Aun dentro de esta fase no se sabe con certeza si los controles son

eficaces, la evaluación supone la fiabilidad de las funciones a menos que haya

una clara evidencia de lo contrario.

PRUEBAS

Objetivo: Determinar si el sistema de control interno opera del modo que lo

corresponde. Se trata de determinar si existen de hecho los controles y si

trabajan correctamente.

Realización: A menudo deben utilizarse técnicas asistidas por ordenador que

determinan la existencia y la fiabilidad de los controles. Al final de esta fase,


51

deben ser evaluados los sistemas de control interno para ratificar la fiabilidad

de los controles individuales.

ANALISIS Y CONTROLES DE PRUEBAS DE USUARIO

Objetivos: Determinar si existen controles de los usuarios que compensan

cualquier debilidad en el sistema de control interno informático.

Realización: Los usuarios realizan controles que compensan cualquier

debilidad en el sistema de control interno de proceso de datos. Estos controles

no deben estar duplicados, es decir, en algunos casos será útil eliminar

cualquiera de los dos, tanto los controles de usuario como los controles

informatizados.

Herramientas y Documentación:

En las tres subfases de la fase de desarrollo, y con respecto a la

documentación, el auditor tiene que apoyarse en al experiencia que ha

obtenido de otros sistemas para poder comparar resultados de rendimientos

anteriores con los que le presta el sistema actual. En cuanto a las

herramientas, puede ser interesante que se utilice algún tipo de herramienta

informática que le ayude a interpretar los cuestionarios realizados por los

usuarios. A menudo, también deben utilizarse técnicas asistidas por ordenador

que determinen la existencia y la fiabilidad de los controles. Además, se puede

disponer de:

Los juegos de ensayo que son una herramienta eficiente y significativa que

se utiliza para probar programas enrevesados, aunque la realización de

buenos juegos de ensayo no siempre será una tarea útil.

Los programas de auditoria desarrollados por las principales firmas

auditoras.

Las técnicas de ejecución en paralelo para verificar el correcto

funcionamiento de los programas que se tienen que revisar.


52

3.1.5 PRUEBAS SUSTANTIVAS

Objetivo: Conseguir evidencias suficientes para poder emitir una valoración

final sobre la existencia o no perdidas o la posibilidad de que ocurran durante

los procesos informáticos. El auditor externo emite esta valoración como una

opinión.

Realización: Según Davis (Davis, 1983), existen cinco tipos de pruebas

substantivas que se realizan en una instalación informática: pruebas que

identifican los procesos erróneos; pruebas para asegurar la calidad de la

información, pruebas para identificar la información inconsistente, pruebas para

comparar la información con los cómputos, y confirmación de la información

con fuentes externas. Algunas de estas pruebas requieren soporte informático

.Herramientas y documentación:

En lo referente a la documentación, la información no tiene porque ser útil solo

para los auditores sino, en general, para cua lquier consultor informático. Entre

esta documentación cabe destacar los tipos siguientes:

Organigrama de la empresa y en especial del servicio informático.

Documentos de organización interna.

Aspectos económicos como gastos, presupuestos, costes humanos y

materiales, etc.

Estudios informáticos realizados y en curso.

Actividades desarrolladas por el propio personal o por terceros.

Configuraciones de maquina: ordenadores, unidades de disco.

Comunicaciones, etc.

Documentos de input de datos.

Listado de operación de consola

Plannings.

Para las aplicaciones existentes se pueden citar: el análisis funcional y

orgánico, los cuadernos de carga, el diseño e ficheros, los juegos de

ensayo, las pruebas de programa, etc.

En cuanto a las herramientas, hay que decir que se debe continuar con las

utilizadas hasta ahora, pero siempre teniendo en cuenta su utilización en cada

fase, ya que esta es diferente.


53

3.1.6 PRESENTACIÓN DE CONCLUSIONES

Objetivo: Mostrar las conclusiones obtenidas en las fases anteriores a los

responsables directos mediante la documentación necesaria.

Realización: Antes que los responsables conozcan las conclusiones

obtenidas por los auditores en la realización de la fase anterior, estas deben

discutirse con las afectadas, por lo que deben estar bien argumentadas,

probadas, y documentadas para que no se puedan refutar en las primeras

discusiones. Esta fase es claramente delicada porque es el momento en el que

se presentan deficiencias, situaciones anómalas o por lo menos mejorables.

Por eso es recomendable que los auditores tengan el suficiente tales como

para presentar estas conclusiones como un plan de mejoras en beneficio de

todos, mas que como una reprobación de los afectados, excepto en los casos

en que esto ultimo sea necesario, pues hay situaciones en las que alguien

puede ser sustituible y es aconsejable que el auditor (como consultor al servicio

de la dirección) tenga la obligación de hacer conocer estas situaciones.

También hay que resaltar la importancia de la forma que debe tener la

presentación de conclusiones, es decir, tiene que ser clara, relevante, y que no

de lugar a la ambigüedad.

Herramientas y Documentación: La documentación a presentar es el informe

final de auditoria y la carta de presentación que lo acompaña. La herramientas

son las necesarias para elaborar estos documentados.

3.1.7 FORMACIÓN DE PLAN DE MEJORAS

Objetivo: Inclusión del plan de mejoras que permitirán solventar las

deficiencias encontradas en la auditoria.

Realización: En el inicio de esta fase, la dirección ya conoce las deficiencias

que el equipo auditor ha observado en su departamento informático y que

también han sido discutidas. Entonces, los auditores deben de adjuntar, al

informe de auditoría, el plan de mejoras que permitirán solventar las

deficiencias encontradas. Ese informe comprende las deficiencias encontradas

en los pasos anteriores abordando los puntos relativos a auditoria funcional,

como son la gestión de recursos humanos, la seguridad física, los costes, etc.,


54

abordando también aspectos de auditoría operatividad, tales como el

cumplimiento de plazos, los procedimientos de control, la calidad y fiabilidad.

El plan de mejoras debe abarcar todas las recomendaciones que intenten

soslayar las deficiencias detectadas en la realización de la auditoria. Para ello

se tendrán en cuenta los recursos disponibles, o al menos potencialmente

disponibles, o al menos potencialmente disponibles, por parte de la empresa

objeto de la auditoria. De cara a la ejecución de las recomendaciones

contenidas en el plan, es posible distinguir entre las medidas que se pueden

realizar a corto plazo, de las que son a medio y por último, de las ejecutables a

largo plazo. Entre las primeras, se incluirán aquellas mejoras puntuales y de

fácil realización como son las mejoras en plazo, calidad, planificación o

formación. Las medidas a medio plazo necesitaran de uno a dos años para

poderse concretar. Aquí pues, caben ya mejoras algo mas profundas y con

mayor necesidad de recursos, como la optimización d programas, o de la

documentación, e incluso algunos aspectos de diseño del sistema.

Para concluir, las consideraciones a largo plazo, como cabe pensar fácilmente,

pueden llevar a cambios sustanciales en las políticas, medios o incluso

estructuras de servicio de informática. Lógicamente con más tiempo mas

medios es posible afrontar profundas modificaciones si con ello se consiguen

las mejoras redactadas por el equipo auditor. Estas mejoras pueden pasar por

la reconsideración de los sistemas en uso o de los medios humanos y

materiales con que se cuenta, llegando si es preciso a una seria

reconsideración del plan informático. Todo esto comporta un riesgo adicional,

por lo que se requiere una profunda reflexión por parte de la empresa, así

como un considerable grado de confianza en el equipo auditor.

3.2 EL INFORME DE AUDITORIA

El informe de Auditoria Informática es el objeto de la Auditoria Informática. El

contexto en el cual se desenvuelve hoy su práctica es muy cambiante, las

tecnologías de información dominan de modo imparable las relaciones

humanas presentando un ciclo de vida cada vez mas corto. Desfase entre las

expectativas de los usuarios y los Informes de Auditoria. La complejidad de los


55

sistemas de información crece con sus prestaciones y características.

Dependencia de los sistemas y necesidad más marcada de expertos eficientes

(no infalibles) en Auditoria Informática. La informática es muy joven, por tanto la

Auditoria informática lo es más. Se tratara de fijar en este fascículo la práctica

de Auditoria Informática en función del Informe. Para ello se repasara aspectos

previos fundamentales, como son las normas, el concepto de evidencia en

Auditoria, la documentación y finalmente el informe, sus componentes,

características y tendencias detectadas como también algunas conclusiones.

3.2.1 LAS NORMAS

En 1996 la Unión europea publicó el Libro Verde de la Auditoria, dedicado al

papel, la posición y la responsabilidad del Auditor Legal. Su contenido afecta a

la Auditoria informática. En principio el libro acepta las Normas Internacionales

IFAC para su adaptación adecuada a la Unión Europea. Otra fuente de Normas

Internacionales es ISACF, ya más especifica de Auditoria Informática. La

normativa española oficial que afecta, en mayor o menor medida, a la Auditoria

Informática es:

ICAC: Normas Técnicas de Auditoria: punto 2.4.10, Estudio y Evaluación del

Sistema de Control Interno.

AGENCIA DE PROTECCION DE DATOS: Instrucción relativa a la

prestación de servicios sobre solvencia patrimonial y créditos, Norma

Cuarta: Forma de Comprobación.

La Auditoria Informática no esta muy desarrollada y, por añadidura, se

encuentra en un punto crucial para la definición del modelo en que deberá

implantarse y practicarse. Hay dos tendencias legislativas y de practicas de

disciplinas: la anglosajona, basada en la Common Law, con pocas leyes y

jurisprudencia relevante y la latina, basada en el Derecho romano, de

legislación muy detallada. El sabio uso de los principios generalmente

aceptados hará posible la adaptación suficiente a la realidad de cada época.

Los organismos de armonización, normalización, homologación, acreditación y

certificación tendrán que funcionar a un ritmo más acorde con las necesidades


56

cambiantes. La aparición de multitud de organizaciones privadas, consorcios y

asociaciones que pretenden unificar normas y promocionar estándares.

3.2.2 LA EVIDENCIA

La Evidencia es la base razonable de la opinión del auditor informático, es decir

el informe de Auditoria Informática. La Evidencia tiene una serie de calificativos

a saber:

La Evidencia Relevante, que tiene una relación lógica con los objetivos de la

auditoria. La Evidencia Fiable, que es valida y objetiva aunque, con nivel de

confianza,

La Evidencia Suficiente, que es de tipo cuantitativo para soportar la opinión

profesional del auditor.

La evidencia Adecuada, que es de tipo cualitativo para afectar las

conclusiones del auditor

En principio, las pruebas son de cumplimiento o sustantivas. La opinión deberá

estar basada en evidencias justificadas, si es preciso con evidencia adicional

3.2.3 LAS PRUEBAS DE CUMPLIMIENTO

Las desviaciones nos permiten soportarnos para determinar si se deposita

confianza en los controles internos. Antes de comenzar a probar los controles

en los cuales se depositará confianza, debemos definir aquello que se

constituirá una desviación de cumplimiento.

Se entiende por desviación de cumplimiento a todo procedimiento que de

acuerdo con las normas establecidas debe efectuarse y no se efectúa.

Ejemplo. Pude existir entonces que no se ha realizado un asiento contable o

que el mismo este mal hecho, el cual el mismo debería estar bajo a supervisión

del encargado del departamento contable.

La determinación del desvío nada tiene que ver con el valor monetario dado

que el propósito de la prueba de cumplimiento es reunir evidencia respecto del

cumplimiento de un control y no sobre el intercambio en particular tales desvíos

se producen por:


57

PRUEBAS SUSTANTIVAS.

Una prueba sustantiva es un procedimiento diseñado para probar el valor

monetario de saldos o la inexistencia de errores monetarios que afecten la

presentación de los estados financieros. Dichos errores (normalmente

conocidos como errores monetarios) son una clara indicación de que los saldos

de las cuentas pueden estar desvirtuados. La única duda que el auditor debe

resolver, es de sí estos errores son suficientemente importantes como para

requerir ajuste o su divulgación en los estados financieros

Deben ejecutarse para determinar si los errores monetarios han ocurrido

realmente.

Una vez valorados los resultados de las pruebas se obtienen conclusiones que

serán comentadas y discutidas con los responsables directos de las áreas

afectadas con el fin de corroborar los resultados. Por último, el auditor deberá

emitir una serie de comentarios donde se describa la situación, el riesgo

existente y la deficiencia a solucionar, y en su caso, sugerirá la posible

solución.

3.2.4 LAS IRREGULARIDADES

Las Irregularidades, o sea, los fraudes y los errores. En las organizaciones y

las empresas, la dirección tiene la responsabilidad principal y primaria de la

detección de irregularidades, fraudes y errores: La responsabilidad del auditor

se centra en planificar, llevar a cabo y evaluar su trabajo para obtener una

expectativa razonable de su detección

Es Pues indudablemente necesario diseñar pruebas antifraude que

lógicamente incrementaran el coste de la auditoria, previo análisis de riesgos

Por prudencia y actitud, convendrá aclarar al máximo –de ser posible- si el

informe de auditoria es propiamente de auditoria y no de consultaría o asesoría

informática, o de otra materia a fin o próxima.

Aunque siempre debe prevalecer el deber de secreto profesional del auditor.

Conviene recordar que en el caso de detectar fraude durante el proceso de

auditoria se procede actuar en consecuencia, con la debida prudencia, sobre


58

todo si afecta a los administradores de la organización , Objeto de la Auditoria.

Ante un caso así conviene consultar a la comisión Deontológico profesional , al

asesor jurídico y leer detenidamente las normas profesionales el código penal y

otras disposiciones

3.2.5 LA DOCUMENTACIÓN

En el argot de auditoria se conoce como papeles de trabajo la “totalidad de

los documentos preparados o recibidos por el auditor, de manera que ,en

conjunto, constituye un compendio de la información utilizada y de las

pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones

que a debido tomar para llegar a formarse su opinión”.

El informe de auditor tiene que estar basado en la documentación o papeles

de trabajo, como utilidad inmediata previa supervisión.

No debemos omitir la característica registral del informe , tanto en su parte

cronológica como en la organización, con procedimientos de archivo,

búsqueda, custodia y conservación de su documentación cumpliendo toda

la norma legal y profesional.

Los trabajos utilizados, en el curso de una labor, de otros auditores externos

,así como de los auditores internos , forman parte de la documentación.

Además ,se incluirán:

el contrato cliente/auditor informático y la carta propuesta del

auditor informático.

Las declaraciones de la dirección.

los contratos o equivalentes, que afectan al sistema de

información.

el informe sobre terceros vínculos.

Conocimiento de la actividad del cliente.


59

3.2.6 EL INFORME

Es momento adecuado de separar lo significativo de lo no significativo,

debidamente evaluados por su importancia y vinculación con el factor

riesgo.

También es cuestión previa decidir si el informe es largo o, por el contrario,

corto.

En lo referente a su redacción, el informe deberá ser claro, adecuado,

suficiente y comprensible.

Los puntos esenciales, genéricos y mínimos del informe de auditoria

informática, son los siguientes:

1. Identificación del informe.

2. Identificación del cliente.

3. Identificación de la entidad auditora.

4. Objetivos de la auditoria informática.

5. Normas aplicadas y excepciones.

6. Alcance de la auditoria.

7. Conclusiones: informe corto de opinión.

El informe debe contener uno de los siguientes tipos de opinión:

favorable o sin salvedades, con salvedades, desfavorables

o adversa, y denegada.

I. Opinión favorable

II. Opinión con salvedades

III. Opinión desfavorable

IV. Opinión denegada

V. Resumen

9. Resultados: informe largo y otros informes.

10. Informes previos.

11. Fecha del informe.

12. Identificación y firma del auditor.

13. Distribución del informe.


60

3.2.7 RECOMENDACIONES PARA ELABORAR EL INFORME FINAL:

Buscar la clarificación del panorama normativo: La Auditoria Informática no

esta muy desarrollada y por añadidura, se encuentra en un punto crucial

para la definición del modelo en que deberá implantarse y practicarse.

Conviene que se clarifique el panorama normativo, de prácticas y

responsabilidades en lo que concierne a los problemas planteados por los

servicios profesionales multidisciplinarios, ya que el informe de Auditoria

Informática se compone de 3 términos: Informática, Auditoria e Informe.

Entender la evidencia como base razonable de la opinión del Auditor

Informático (Informe de Auditoria Informática): La evidencia tiene una serie

de calificativos como: evidencia relevante, evidencia fiable, evidencia

suficiente, evidencia adecuada. En principio, las pruebas son de

cumplimiento o sustantivas. La opinión deberá estar basada en evidencias

justificativas, desprovistas de prejuicios, si es posible con evidencia

adicional.

Controlar las irregularidades: Pueden ser fraudes o errores. Es

indudablemente necesario diseñar pruebas antifraude, que aumentara el

coste de la Auditoria, previo análisis de riesgos. En caso de detectar fraude

durante el proceso de Auditoria procede actuar con la debida prudencia que

aconseja episodio tan delicado y conflictivo.

Conocer la documentación empleada en el Informe de Auditoria Informática:

La totalidad de los documentos preparados o recibidos por el Auditor

(papeles de trabajo) constituyen en conjunto un compendio de la

información utilizada y de las pruebas efectuadas en la ejecución de su

trabajo, junto con las decisiones que ha debido tomar para formar su

opinión. Los trabajos utilizados formaran parte de la documentación además

se incluirán:

El contrato cliente / Auditor Informático y / o la carta propuesta del Auditor

Informático:

Las declaraciones de la Dirección: Los contratos, o equivalentes, que

afecten al sistema de información, asi como el informe de la asesoria


61

jurídica del cliente sobre sus asuntos actuales y previsibles.El informe sobre

terceros. Conocimiento de la actividad del cliente.

Redacción del Informe de Auditoria Informática: Es momento adecuado de

separar lo significativo de lo no significativo, debidamente evaluados por su

importancia y vinculación con el factor riesgo, tarea eminentemente de

carácter profesional y ético, según el leal saber y entender del Auditor

Informático. En lo referente a su redacción, el informe deberá ser claro,

adecuado, suficiente y compresible. Una utilización apropiada del lenguaje

informático resulta recomendable. Los puntos esenciales, genéricos y

mínimos del Informe de Auditoria informática son los siguientes:

Identificación del Informe, Identificación del cliente, identificación de la

entidad auditada, objetivos de la Auditoria Informática, normativa Aplicada y

excepciones, alcance de la Auditoria, conclusiones: Informe corto de

opinión, opinión favorable. opinión con salvedades, opinión desfavorable,

opinión denegada, resumen, resultados: informe largo y otros informes,

informes previos, fecha del informe, Identi ficación y firma del Audito,

distribución del informe.

3.2. 3 CONCLUSIONES

Diferenciar el informe de auditoria informática con otros tipos de informes

(consultoría, asesoría, servicios profesionales) de informática.

Antes de redactar el informe de auditoria, se debe de tener en cuenta que

el asunto este muy claro, no por la expectativas, sino porque cada termino

tiene un contenido usual muy concreto.

Al aplicar criterios en términos de probabilidad, hay que evitar la

predisposición a algún posible tipo de manipulación.

Es importante emitir el informe de auditoria informática de acuerdo con la

aplicación de la Auditoria Informática.

El informe de auditoria informática no viene a ser más que los objetivos de

la auditoria informática propiamente dicha.

Los trabajos utilizados, en el curso de una labor, de otros auditores

externos, así como de los auditores internos, forman parte de la

documentación.


62

Además ,se incluirán:

• el contrato cliente/auditor informático y la carta propuesta del

auditor informático.

• Las declaraciones de la dirección.

• los contratos o equivalentes, que afectan al sistema de

información.

• el informe sobre terceros vínculos.

• Conocimiento de la actividad del cliente.

Caso Práctico: “Auditoria de Seguridad”

A continuación, un caso de auditoría en el área de seguridad para proporcionar

una visión más desarrollada y amplia de la función auditora.

Es una auditoría de Seguridad Informática que tiene como misión revisar tanto

la seguridad física y lógica de una cabina de Internet con sus funciones

informáticas más importantes.

Se pide realizar las fases 01 y 02 de la metodología tradicional de una auditoria

informática.

Indicar los supuestos q se esta definiendo para desarrollar dichos caso.

En el presente fascículo se presenta y describe las etapas de la planeación de

auditoria, examen y le evaluación de la información, la comunicación de los

resultados y el seguimiento del mismo.


63


Edición 2001.





En el siguiente fascículo se describe algunos aspectos muy relevantes en la

auditoria de tecnologías de información, que en la actualidad se están

integrando al trabajo de un auditor informática.


64

UNIDAD ACADÉMICA IV

AUDITORIA DE LA SEGURIDAD INFORMÁTICA

La dependencia que tienen actualmente los negocios de las tecnologías de la

información obliga a la búsqueda de métodos, técnica y medios que ayuden a

mantener la seguridad del funcionamiento correcto de los sistemas de

información utilizados de tales tecnologías.

La seguridad de los sistemas de información se apoya principalmente en tres

conceptos: disponibilidad, integridad y confidencialidad, que para mantenerlos

en un nivel aceptable es necesario dedicar recursos y normalmente

presupuesto económico, lo que convierte al mantenimiento de la seguridad en

una tarea de gestión.

En la primera parte del presente fascículo se definen algunos conceptos

utilizados en la seguridad de los sistemas de información, se detallan algunos

mecanismos que ayudan a mantener la seguridad y por ultimo se detalla la

importancia del análisis de riesgo .en la seguridad informática; en la segunda

parte se detalla las fases de una auditoria de seguridad informática, se detalla

también la importancia de la seguridad física y lógica y los aspectos que


65

debemos tener en cuenta en relación con las otras áreas de las tecnologías de

información, como el desarrollo de sistemas de información, redes,

comunicaciones, etc.


Conocerá los conceptos básicos de la seguridad informática.

Conocer los procedimientos de auditoría de la seguridad.

Conocer las áreas que cubre la auditoría de la seguridad.

Conocer y comprender la evaluación de riesgos.

Conocer las fases de la auditoria de la seguridad.

Conocer la auditoría de la seguridad en comunicación y redes.

4.1 FUNDAMENTOS DE LA SEGURIDAD INFORMÁTICA

La creciente dependencia de las empresas, y de la

sociedad en general, de las tecnologías de la

información y las comunicaciones, así como el

entorno cada vez más complejo en que estas se

desarrollan, ha provocado la aparición de

vulnerabilidades en los recursos utilizados, que deben

minimizar con las medidas de seguridad oportunas.


66

4.1.1 ¿QUÉ ES LA SEGURIDAD INFORMATICA?

La seguridad informática, generalmente consiste en asegurar que los

recursos del sistema de información (material informático o programas) de

una organización sean utilizados de la manera que se decidió.

La seguridad informática busca la protección contra los riesgos liados a la

informática. Los riesgos son en función de varios elementos:

Las amenazas que pesan sobre los activos a proteger.

Las vulnerabilidades de estos activos.

Su sensibilidad, la cual es la conjunción de diferentes factores: la

confidencialidad, disponibilidad o accesibilidad.

4.1.2 SEGURIDAD DE LA INFORMACIÓN

Los datos y la información son los activos más estratégicos y valiosos

relacionados con los SI y el uso de las TI.

Según la ISO:

“Es la preservación de la confidencialidad, integridad y disponibi lidad de la

información; además, otras propiedades como autenticidad, no repudio y

fiabilidad pueden ser también consideradas” según [ISO/IEC 27002:2005].

4.1.3 COMPONENTES DE LA SEGURIDAD INFORMÁTICA

En diversas iniciativas internacionales, incluidas las emprendidas por la

organización ISO (Internaciontal Estándar Organization) con sus guías, se

han clarificado los componentes fundamenta les de la seguridad desde la

perspectiva de la modelización. Así se distinguen: los activos, las

amenazas, las vulnerabilidades, los riesgos, los impactos y las

salvaguardas.

A. ACTIVO DE INFORMACIÓN

En relación con la seguridad de la información, se refiere a cualquier

información o sistema relacionado con el tratamiento de la misma

información o sistema relacionado con el tratamiento de la misma que tenga


67

valor para la organización. Según [ISO/EC 13335-1:2004]: cualquier cosa

que tiene valor para la organización.

Ejemplo: Ficha Medica de un paciente

B. RIESGO

Posibilidad de que una amenaza concreta pueda explotar una vulnerabilidad

para causar una perdida o daño en un activo de información. Según [ISO

Guía 73:2002]: combinación de la posibilidad de un evento y sus

consecuencias.

C. AMENAZA

Según [ISO/IEC 13335-1:2004]: causa potencial de un incidente no

deseado, el cual puede causar el daño a un sistema o la organización.

D. VULNERABILIDAD

Debilidad en la seguridad de la información de una organización que

potencialmente permite que una amenaza afecte a un activo. Según

[ISO/IEC 13335-1:2004]: debilidad de un activo o conjunto de activos que

puede ser explotado por una amenaza.

E. IMPACTO

El impacto es la medida del daño producido a la organización por un

incidente posible. Se centra sobre los activos y por tanto puede medirse

económicamente.

F. CONTROL

Las política, procedimientos, las practica y las estructuras organizativas

concebidas para mantener los riesgos de seguridad de la información por

debajo del nivel de riesgo asumido.


68

G. SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

(SCSI)

(Ingles:ISMS)Sistema de gestión de la seguridad de la información.

Según [ISO/IEC 27001:2005]: la parte de un sistema global de gestión que,

basado en el análisis de riesgos, establece, implementa, opera, monitores,

revisa, mantiene y mejora la seguridad de la información.

4.1.4 ¿QUE ES C-I-A?

Son los principios de seguridad, que en general se suele decir que son los

tres objetivos fundamentales de la seguridad informática:

CONFIDENCIALIDAD

(Ingles:Confidenciality). Acceso a la información por parte únicamente de

quienes estén autorizados. Según [ISO/IEC 13335-

1:2004]:”característica/propiedad por la información no esta disponible o

revelada a individuos, entidades, o procesos no autorizados.

INTEGRIDAD

(Ingles: Integrity). Mantenimiento de la exactitud y completitud de la

información y sus métodos de proceso. Según [ ISO/IEC 13335-1:2004]:

propiedad/característica de salvaguardar la exactitud y completitud de

los activos.

DISPONIBILIDAD

(Ingles: Availability). Acceso a la información y los sistemas de

tratamiento de la misma por parte de los usuarios autorizados cuando lo

requieran. Según [ISO/IEC 13335-1:2004]: característica o propiedad de

permanecer accesible y disponible para su uso cuando lo requiera una

entidad autorizada.


69

Figura 4.1: Triangulo ID

4.1.5 EL ANÁLISIS Y LA GESTIÓN DE RIESGOS

El análisis y gestión de riesgos es un método formal para investigar los riesgos

de un sistema de información y recomendar las medidas apropiadas que

deberían adoptarse para controlar estos riesgos. A su ves es una salvaguarda

preventiva que intenta buscar ordenadamente otras salvaguardas para proteger

el sistema de información.

El análisis de riesgos introduce un enfoque riguroso y consecuente para la

investigación de los factores que contribuyen a los riesgos. En general implica

la evaluación del impacto que una violación de la seguridad tendría en las

empresas; señala los riegos existentes, identificando las amenazas que afectan

al sistema informático: y la determinación de las vulnerabilidades del sistema a

dichas amenazas. Su objetivo es proporcionar una medida de las posibles

amenazas y vulnerabilidades del sistema de manera que los medios de

seguridad puedan ser seleccionados y distribuidos eficazmente para reducir al

mínimo las posibles perdidas.

La gestión de riesgos es un proceso separado que utiliza los resultados de la

análisis de riesgos para seleccionar e implantar las medidas de seguridad

(salvaguardas) adecuadas para controlar los riesgos identificados.


70

4.2 AUDITORIA DE SEGURIDAD INFORMÁTICA

Para muchos, la seguridad sigue siendo el área principal a auditar. En algunas

entidades, se creó inicialmente la función de auditoria informática para revisar

la seguridad, aunque después hayan ido ampliando los objetivos.

Puede haber seguridad sin auditoria, puede existir auditoria de otras áreas y

queda un espacio de encuentro: la auditoria de la seguridad, pudiendo ésta

área ser mayor o menor según la entidad y el momento.

Figura 4.2: Encuentro entre seguridad y auditoria

4.2.1 MODELOS DE SEGURIDAD

Deben evaluarse si están en consonancia con las nuevas arquitecturas, las

distintas plataformas y las posibilidades de las comunicaciones. No se puede

auditar con conceptos, técnicas o recomendaciones de hace algunos años.

4.2.2 JUSTIFICACIÓN DE LA AUDITORIA

Tanto la normativa como la auditoria son necesarias:

una auditoría no basada en políticas de la entidad auditada sería

subjetiva y hasta peligrosa

la existencia de normatividad sin auditoría sería equivalente a la no

existencia de policía de tránsito

Grupos de Controles

Además de poderlos dividir en controles manuales y automáticos, o en

controles generales y de aplicación, los dividimos en:


71

Controles directivos, establecen las bases, como las políticas, o la

creación de comités relaciones o de funciones: de administración de

seguridad o auditoría de sistemas de información interna.

Controles preventivos, antes del hecho, como la identificación de las

visitas (seguridad física) o las contraseñas (seguridad lógica).

Controles de detección, como determinadas revisiones de accesos

producidos o la detección de incendios.

Controles correctivos, para rectificar errores, negligencias o acciones

intencionadas, como la recuperación de un archivo dañado a partir de

una copia.

Controles de recuperación, que facilitan la vuelta a la normalidad

después de accidentes o contingencias, como puede ser un plan de

continuidad adecuado.

Objetivos de Control respecto de la seguridad

Son las declaraciones sobre el resultado final deseado o propósito general a

ser alcanzado mediante las protecciones y los procedimientos de control.

Cada entidad ha de definir sus propios objetivos de control en cuanto a

seguridad y otras áreas, y crear y mantener un Sistema de Control Interno que

pueda garantizar que se cumplan los objetivos de control.

Los auditores son “los ojos y oídos” de la Dirección, que a menudo no puede o

no debe, o no sabe como realizar las verificaciones o evaluaciones.

En los informes se recomendará la implantación o refuerzo de controles, y en

algunos casos incluso la supresión de algún control, si resulta redundante o ya

no es necesario.

El Sistema de Control Interno ha de basarse en las políticas y se implanta con

el apoyo de herramientas.


72

A menudo encontramos en las auditorías que existe la implantación parcial de

controles de acceso lógico a través de paquetes o sistemas basada en el

criterio de los técnicos y no de la normativa, o bien habiendo partido ésta de los

técnicos sin aprobaciones de otro nivel

En realidad, el control interno no esta generalizado fuera de los procesos que

implican gastos, sin embargo existen riesgos tan importantes o más que las

pérdidas monetarias directas, relacionados con la gestión adecuada de los

recursos informáticos o con la propia protección de la información, que podrían

suponer pérdidas muy importantes para la entidad

Cuando existe un sistema de control interno adecuado, los procesos de

auditoría, especialmente si son periódicos, son revisiones necesarias pero más

rápidas, con informes más breves

En cambio, si el sistema de control interno es débil, la auditoría llevará más

tiempo y esfuerzo, su coste será mayor, y las garantías de que se pongan en

marcha las recomendaciones son mucho menores. Podríamos hacer una

analogía con la situación de un paciente que se somete a un chequeo luego de

varios años sin control

4.2.3 ÁREAS QUE PUEDE CUBRIR LA AUDITORÍA DE LA SEGURIDAD

Los controles directivos, es decir, los fundamentos de la seguridad: políticas,

planes, funciones, existencia y funcionamiento de algún comité relacionado,

objetivos de control, presupuesto, así como métodos de evaluación periódica

de riesgos.

El desarrollo de las políticas: procedimientos, posibles estándares, normas y

guías, sin ser suficiente que existan estas últimas.

El marco jurídico aplicable, así como las regulaciones o los requerimientos

aplicables a cada entidad. Otro aspecto es el cumplimiento de los contratos

Amenazas físicas externas: inundaciones, incendios, explosiones, cortes de

líneas o de suministros, terremotos, terrorismo, huelgas...

Control de accesos adecuado, tanto físicos como lógicos, para que cada

usuario pueda acceder a los recursos a que esta autorizado y realice sólo las

funciones permitidas y quedando las pistas necesarias para control y auditoría,


73

tanto de los accesos producidos al menos a los recursos más críticos como los

intentos en determinados casos.

Protección de datos: lo que fije la LOPD en cuanto a los datos de carácter

personal bajo tratamiento automatizado, y otros controles en cuanto a los datos

en general, según la clasificación que exista, la designación de propietarios y

los riesgos a que estén sometidos.

Comunicaciones y redes: topología y tipo de comunicaciones, posible uso

cifrado, protecciones ante virus, éstas también en sistemas aislados aunque el

impacto será menor que en una red

El entorno de producción, entendiendo como tal la explotación más técnica de

sistemas, y con especial énfasis en los elementos de contratos en lo que se

refiere a protecciones, tanto cuando se refiera a terceros cuando se trata de

una entidad que presta servicios, como el servicio recibido de otros, y de forma

especial en el caso de subcontratación total o outsourcing.

El desarrollo de aplicaciones en un entorno seguro, y que se incorporen

controles en los productos desarrollados y que éstos resulten auditables y

también la continuidad de las operaciones.

Éstas áreas, casi todas tienen puntos de enlace y partes comunes:

comunicaciones con control de acceso, cifrado con comunicaciones y soportes,

datos con soportes y con comunicaciones, explotación con varias de ellas, y así

en otros casos.

4.2.4 EVALUACIÓN DE RIESGOS

Se trata de identificar los riesgos. Cuantificar su probabilidad e impacto, y

analizar medidas de que los eliminen o que disminuyan la probabilidad de su

ocurrencia o mitigar su impacto.

Para evaluar estos riesgos haya que considerar, entre otros factores:

El tipo de información almacenada, procesada y transmitida

La criticidad de las aplicaciones

La tecnología usada

El marco legal aplicable

El sector de la entidad, la entidad misma y el momento


74

Es necesario revisar si se han considerado amenazas, y de todo tipo:

Errores y negligencias en general.

Desastres naturales

Fallos de instalaciones

Fraudes o delitos

Y que puedan traducirse en daños a:

Personas

Datos

Programas

Redes

Instalaciones

Debemos pensar que las medidas deben considerarse como inversiones en

seguridad, y transmitir a los auditores que a demás tiene un impacto favorable

en la imagen de las entidades. La protección no ha de basarse en sólo en

dispositivos y medios físicos, sino en formación e información adecuada al

personal, empezando por la mentalización a los directivos.

El factor humano es el principal a considerar.

Es necesaria una separación de funciones: es peligroso que una misma

persona realice una transacción, la autorice y revise después los resultados,

porque podría planificar un fraude o encubrir cualquier anomalía, y sobre todo

equivocarse y no detectarse.

Una vez identificados y medidos los riesgos, lo mejor seria poder eliminarlos.

Si la entidad auditada está en medio de un proceso de implantación de la

seguridad, la evaluación se centrará en los objetivos, los planes, que proyectos

hay en curso y los medios usados o previstos.

En la auditoria externa se trata de saber si la entidad, a través de funciones

como administración de la seguridad, auditoria interna, ha evaluado de forma

adecuada los riesgos.

Al hablar de seguridad de seguridad se habla de sus tres dimensiones clásicas:

confidencialidad, integridad, y disponibilidad de la información.


75

Confidencialidad.- se cumple cuando solo las personas autorizadas,

pueden conocer los datos o la información correspondiente.

La integridad.- consiste en que solo los usuarios autorizados puedan

variar (modificar o borrar) los datos, deben quedar pistas para control

posterior de auditoria.

La disponibilidad.- se alcanza si las personal autorizadas pueden

acceder a la información a la que estén autorizadas.

4.2.5 FASES DE LA AUDITORIA DE SEGURIDAD

Con carácter general para una auditoria informática pueden ser:

Concreción de los objetivos y del alcance y profundidad de la

auditoria.

Análisis de posibles fuentes y recopilación de información: en el caso

de los internos este proceso puede no existir.

Determinación del plan de trabajo y de los recursos y plazos.

Adaptación de cuestionarios y a veces consideración de

herramientas

Realización de entrevistas y pruebas

Análisis de resultados y valoración de riesgos

Presentación y discusión del informe provisional

Informe definitivo

4.2.6 AUDITORIA DE LA SEGURIDAD FÍSICA

Se evaluaran las protecciones físicas de datos, programas, instalaciones,

equipos, redes y soportes y por supuesto las personas.

Las amenazas son muy diversas: sabotaje, vandalismo, terrorismo, accidentes

de distinto tipo, incendios inundaciones, averías importantes, derrumbamientos,

explosiones, axial como otros que afecten a las personas y puedan impactar el

funcionamiento de los centros, tales como errores, negligencias, etc.

Desde la perspectiva de las protecciones físicas algunos aspectos a considerar

son:


76

Ubicación del Centro de procesamiento de datos, de los servidores

locales, y de cualquier elemento a proteger, como también los

terminales.

Estructura, diseño, construcción y distribución de los edificios.

Riesgos a los que están expuestos, tanto por agentes externos,

causales o no, como por acceso físico no controlados.

Amenazas de fuego, riesgo por agua, problemas en el suministro

eléctrico.

A demás del acceso, debe controlarse el contenido de carteras,

paquetes, bolsas o cajas.

Se evaluaran las protecciones físicas de datos, programas, instalaciones,

equipos, redes y soportes y por supuesto las personas.

Protección de los soportes magnéticos en cuanto a acceso, almacenamiento y

posible transporte, a demás de otras protecciones no físicas, todo bajo unos

sistemas de inventario, así como de documentos impresos y de cualquier tipo

de información clasificada.

4.2.7 AUDITORÍA DE LA SEGURIDAD LÓGICA

Es necesario verificar que cada usuario solo pueda accedes a los recursos que

el propietario lo autorice. (disco, aplicación, BD, librería de programa, tipo de

transacción, programas). Así como (lectura, modificación, borrado, ejecución).

Revisar como se identifican, autentifican los usuarios, así como quien los

autoriza y como; además de verificar quien se entera, cuando y que se hace

cuando ocurre una transgresión.

El método más utilizado es la contraseña, consideraciones:

Quien asigna la contraseña: inicial y sucesivas.

Longitud mínima y composición de caracteres.

Vigencia.

Numero de intentos que se permiten al usuario.

Si las contraseñas están cifradas y bajo que sistema.

Protección y cambio de contraseñas iniciales.

Controles existentes para evitar detectar caballos de Troya.

La no-cesión y el uso individual y responsable a partir de la normativa


77

Cuando se cuenta con distintos sistemas los cuales requieren identificación.

Los usuarios pueden tener las mismas contraseñas, lo cual supone una

vulnerabilidad si la protección es desigual. Lo más adecuado es utilizar

sistemas de autentificación únicos.

Debemos verificar que el proceso de alta es realizado según la normativa en

vigor, así como las variaciones y bajas, y que los usuarios siguen activos y

cuales inactivos y porque.

Otra debilidad es si pueden crearse situaciones de bloqueo. Porque solo existe

un administrador. Se recomienda la existencia de algún usuario no asignado

con perfil especial y contraseña protegida que puedan ser utilizadas en caso de

emergencia. Todas las operaciones deberán quedar registradas para control y

auditorias

4.2.8 AUDITORÍA DE LA SEGURIDAD Y EL DESARROLLO DE

APLICACIONES

Todos desarrollo debe estar autorizado a distinto nivel según la importancia e

incluso autorizadas por un comité si los costes o los riesgos superan unos

umbrales

Se revisara la participación de usuarios y auditores internos, a que librerías

puedan acceder, si hay separación suficiente de entornos, metodologías, ciclo

de vida, gestión de proyectos, consideraciones especiales respecto a

aplicaciones que traten datos clasificados o tengan transacciones económicas

o de riesgo especial, términos de contrato y cumplimiento, selección y uso de

paquetes, pruebas a distinto nivel, mantenimiento posterior, así como

desarrollo de usuarios final.

El pase al entorno de explotación real, debe estar controlado, no

descartándose la revisión del programa. Para descartar caballos de Troya,

bombas lógicas y similares además de la calidad. Protección de los programas,

(propios, y las que tienen licencias).

4.2.9 AUDITORÍA DE LA SEGURIDAD EN EL ÁREA DE PRODUCCIÓN


78

Las entidades han de cuidar especialmente las medias de protección en caso

de contrataciones de servicios: (Impresiones de etiquetas, outsourcing, etc.),

sin destacar que en el contrato se prevea la revisión por los auditores internos

o externos de las instalaciones de la entidad que prevé el servicio.

Debe revisarse la protección de uti lidades o programas especialmente

peligrosos, así como el control de la generación y cambios posteriores de todo

el software del sistema y de forma especial el de control de acceso.

Revisar el control de formularios críticos, control de problemas y cambios y la

calidad.

4.2.10 AUDITORÍA DE LA SEGURIDAD DE LOS DATOS

La protección de los datos pueden tener barios enfoques.

Confidencialidad. Como datos médicos.

Disponibilidad. Si se pierden o pueden utilizarse a tiempo.

Integridad. Cuando su perdida no puede detectarse fácilmente o no

es fácil recuperarlo.

Controles en los diferentes ciclos de vida de los datos.

Desde el origen de datos, que puede ser dentro o fuera de la entidad

y puede incluir preparación, autorización, incorporación al sistema

Proceso de los Datos: controles de validación integridad,

almacenamiento: que existan copias suficientes, sincronizadas y

protegidas.

Salida de resultados: Controles en transmisiones, en impresoras, en

distribuciones, en servicios contratados de manipulación y en el

envió; conciliación previa de salidas con entradas por personas

diferentes. Para detectar errores y posibles intentos de fraudes

Retención de la información y Protección en función de su

clasificación: destrucción de los deferentes soportes que las

contengan cuando ya no sea necesario o bien des magnetización.


79

Es necesaria la designación de propietarios, clasificación de los datos, e

incluso de muescas para poder detectar usos no autorizados, así como la

protección, controles y auditoria del SGBD.

En cuanto a la clasificación de datos o información debe revisarse quien la ha

realizado, según que criterio y estándares.(no suele ser práctico que haya más

de 4 o 5 niveles).

En aplicaciones Cliente-servidor es necesario verificar los controles en varios

puntos y no solo en la central. Y a veces en plataformas heterogenia con

niveles y características de seguridad muy diferentes.

También pueden usarse BD distribuidas, lo que puede añadir complejidad al

sistema y a los controles a establecer.

Si entra en los objetivos se analizara la destrucción de la información

clasificada sea física o lógica. Y donde se almacena la información antes de ser

destruido. Si son lógicas deben seguir un procedimiento adecuado y ser

sometidos a varias grabaciones antes de ser uti lizados.

En el caso necesario de transporte debe ser por canales seguros cifrados o en

compartimiento cerrados sin que el transportista tenga las llaves

4.2.11 AUDITORÍA DE LA SEGURIDAD EN LAS COMUNICACIONES Y

REDES

En las políticas de la entidad debe reconocerse que los sistemas, redes y

mensajes son propiedad de la entidad y no deben utilizarse para otros fines no

autorizados, salvo emergencias.

En habrá previsto en uso de cifrado. Se evaluara y se llegará a recomendar, y

se revisarán la generación, longitud, almacenamiento y vigencia de las claves,

especialmente de las maestras.

Cada usuario solo debe recibir en el menú lo que pueda seleccionar. Y cargar

únicamente los programas autorizados. Siendo los técnicos autorizados los

únicos que podrán modificar las configuraciones.

Deben existir protección de distinto tipo, así como detecciones de accesos no

autorizados (externas o internas), y frente a virus por diferentes vías de

infección.


80

Se revisaran las redes cuando existan repercusiones económicas

(transferencias de fondos o correo electrónico).

Puntos complementarios:

Tipo de redes y conexiones.

Información de programas transmitidos, y uso de cifrado.

Tipo de transacciones.

Tipo de terminales y protección: física, lógica, llamadas de retorno.

Protección de conversaciones de voz en caso necesario.

Protección de transmisiones por fax si el contenido esta clasificado.

Consideraciones especiales a través de gateway y routers.

Internet e Intranet.

Separación de dominios y medidas de control especiales como normas y

cortafuegos.

El correo Electrónico. Tanto por privacidad y para evitar virus como para

que el uso del correo sea adecuado y referido a la propia función y no

para fines personales.

Protección de programas. El uso no adecuado de programas

propietarios o de los que tengan licencia.

El control sobre las páginas Web. Quien puede modificarlos y desde

donde. Para evitar la publicidad acerca de seguridad.

Es necesarios que queden registrados los accesos a la red para facilitar

los trabajos de control y auditorias.

4.2.12 AUDITORÍA DE LA CONTINUIDAD DE LAS OPERACIONES

Es uno de los puntos que nunca se deberá pasa por alto, estamos hablando de

los planes de contingencia, no vasta con ver los manuales sino que es

imprescindible ver si funciona con las garantías necesarias y cubrir los

requerimientos de tiempos allí denominados.

Se debe evaluar su idoneidad así como los resultados de las pruebas que se

han realizados, si las revisiones no nos aportan garantía suficientes debemos

sugerir pruebas complementarios o hacerlo constar en el informe e incluso

indicarlos en el apartado de limitaciones.


81

Es fundamental la existencia de copias actualizadas de recursos vitales en un

lugar distante y de consideración adecuada tanto física como de protección.

No debe existir copia del plan fuera de las inhalaciones primarias

En caso de los sistemas distribuidos es necesario conocer el características del

centro o sistemas alternativos y deben revisarse si la capacidad de proceso, la

de comunicación y la de almacenamiento del sistema del sistema alternativo

sean suficientes, así como las medidas de protección.

4.2.13 REGULACIÓN DE AUDITORÍA CON ADMINISTRACIÓN DE

SEGURIDAD

• La función de Administración de seguridad en parte será interlocutora en los

procesos de auditoría de seguridad, si bien los auditores no podemos

perder nuestra necesaria independencia, ya que podemos evaluar el

desempeño de la función de administración de seguridad, desde si sus

funciones son adecuadas y están respaldadas por algún documento

aprobado a nivel suficiente, hasta el cumplimiento de esas funciones si no

hay conflicto con otras.

• La función de auditoría de sistemas de información y de la administración

de seguridad pueden ser complementarias, si bien sin perder su

independencia: se trata de funciones que contribuyen a una mayor y mejor

protección, y resulta como anillos protectores, como se muestra en la figura:

4.3 CONCLUSIONES

• Se espera que siga la tendencia y las entidades vayan entendiendo cada

vez más la utilidad de la protección de información y de la auditoría.

• También es cierto que han surgido bastantes entidades suministradoras

que han incluido la seguridad y la auditoría entre sus posibles servicios o

simplemente han aceptado trabajos, en ambos casos sin disponer de

expertos.

• Por otra parte hemos podido verificar que la auditoría de la seguridad

informática, su filosofía, así como sus técnicas y métodos, interesan

cada vez más a los responsables de sistemas de información, a veces


82

para conocer como pueden evaluar los auditores sus áreas, por a

menudo saber cuales pueden ser los riesgos y que controles implantar.

ACTIVIDAD 01: Definiendo los Activos de Información de la Organización

Utilice los siguientes formatos para documentar los activos de información de

su organización. a) Defina un activo de información en algún proceso de su organización e

identifique al (los) propietario (s)

Perfil de Activo de Información

Nombre del Activo de

Información

Fecha de Creación

Versión

Definido por:

Descripción del

Activo de información

Propietarios del Activo de Información


83

b) Identifique los medios de almacenamiento del Activo de información


Nombre del Activo de Información

Fecha de Creación

Versión

Medios de Almacenamiento

Sistemas y Aplicaciones

Aplicaciones

Sistemas Operativos

Hardware

Servidores

Redes

PC y Otros

Personas

Funcionarios de Negocios

Personal Técnico

Otros

Otros Medios

Ubicación Física

Papeles

Otros lugares


84

c) Defina los requerimientos de seguridad para los activos de información

identificados


Nombre del Activo de

Información

Fecha de Creación

Versión

Requerimientos de Seguridad

Confidencialidad

Integridad

Disponibilidad


85

d) Determine el valor para su organización del Activo de información


Nombre del Activo de Información

Fecha de

Creación

Versión

Valuación del Activo de Información

e) De las fichas anteriores, elaborar un resumen del inventario de activos de información que se encontró según el formato siguiente:


86

Inventario de Activos de Información

Preparado por: Fecha

Revisado y Aprobado por: Fecha

Requerimientos de Seguridad

Tipo de

Activo

Descripción

del Activo

Proceso de

Negocio

Fecha

Creación Propietario

Medios de

Almacenamiento Confidencialidad Integridad Disponibilidad

Valor de Activo de

Información

Información Información de los clientes

Comercialización 12/03/2005 Gerente

Comercial

Sis tema Comercial (ERP) Reportes de

Clientes

La información

debe ser accedida sólo por personal

de ventas, facturación e almacén. Cualquier

otro requerimiento de acceso debe ser autorizado por el Gerente Comercial .

Se requiere que la

información sea exacta y completa.

Los sistemas que manejan dicha información deben

tener procedimientos y mecanismos de validación.

Como parte del

proceso de facturación se

requiere que la información se encuentre disponible

durante 12 horas del día de lunes a viernes .

La información de

los clientes es de vi tal importancia

para el negocio. El acceso no autorizado podría ocasionar que

la empresas competidoras los contacten y perdamos ventaja

competi tiva .

Hardware Servidor de Correo Electrónico

Comunicación interna y externa

10/03/2005 Jefe de Infraestructura

Data Center No aplicable No aplicable Se requiere que el activo se encuentre disponible 24x7x365.

Daños o inhabili tación del servidor ocasionaría

fal ta de comunicaciones


87

La seguridad sigue siendo el área más importante a auditar, la importancia de

la información especialmente relacionada con los sistemas basadas en el uso

de la tecnología de la información y comunicaciones, tienen un impacto mayor

que hace unos años, de ahí las necesidades de protecciones adecuadas que

se evalúan y recomiendan en la auditoría de seguridad.

Los grandes grupos de control son los siguientes: controles directivos,

controles preventivos controles de detección, controles correctivos, controles

de recuperación.

Cada entidad ha definir sus propios objetivos de control en cuanto a seguridad

de otras áreas y crear y mantener un sistema de control interno (funciones,

procesos, actividades, dispositivos...) que puedan garantizar que se cumplen

los objetivos de control. El sistema de control interno ha de basarse en las

políticas y se implanta con apoyo de herramientas, lo que encontramos a

menudo en las auditorías que lo que existe es más bien la implantación

parcial de control de acceso lógico a través de paquetes o sistemas basados

en el criterio de los técnicos pero no sustentadas en normativa.

Desde la perspectiva de la auditoría de la seguridad es necesario revisar si se

han considerado las amenazas, o bien evaluarlas si es el objetivo, y de todo

tipo; errores y negligencias en general desastres naturales, fallos de

instalaciones, o bien fraudes o delitos y que pueden traducirse en fallos a

personas, datos, programas redes instalaciones y otros activos. En auditoría

de seguridad física se evaluarán las protecciones físicas de datos, programas ,

instalaciones , equipos redes, y soportes y por supuesto habrá que considerar

a las personas que estén protegidas y existan medidas de evacuación,

alarmas , salidas alternativas así como que no estén expuestas a riesgos

superiores a los considerando admisibles en la entidad. Las amenazas pueden

ser sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios

inundaciones , averías importantes derrumbamientos , explosiones , así como


88

otros que afectan a las personas y pueden impactar el funcionamiento de los

centros tales como errores, negligencias , huelgas epidemias o intoxicaciones.

En las políticas de la entidad debe reconocerse que los sistemas, redes y

mensajes transmitidos y procesados son de propiedad de la entidad y no deben

usarse para otros fines no autorizados por seguridad y por productividad, tal

vez salvo emergencias concretas si así se han especificado.

En el informe se hacen constar los antecedentes y los objetivos, para que

quiénes lean el informe puedan fijarse que ha habido una comunicación

adecuada así como que metodología de evaluación de riesgos y estándares

se han utilizado.


Informáticos”, Edit. Anaya, 1era. Edición, 2003.


Edición, 2003.






Edición 2001.






COBIT versión 4.0 , ”Manual de Objetivos de Control” de ISACA,.


89

En el siguiente fascículo se desarrolla los puntos importantes de una auditoria

de base de datos, así como también su importancia para iniciar una auditoria

de las aplicaciones que la utilizan.

1. La seguridad de la información en Perú, situación ¿se conocen

realmente riesgos? Perspectivas.

2. El perfil del auditor en seguridad del sistema de información.

3. Estándares para la auditoria de la seguridad.

4. La comunicación a auditados y el factor sorpresa en auditorias de

seguridad.

5. ¿Qué debe hacer el auditor si le pide que omita o varié algún punto en

su informe?

6. Auditoria de la seguridad en las próximas décadas: nuevos riesgos,

técnicas y herramientas.

7. Equilibrio entre seguridad, calidad y productividad.

8. ¿Qué es mas critico: datos, personas, comunicaciones,

instalaciones,…?

9. Relaciones entre Administración de Seguridad y Auditoria de sistemas

de información interna y externa.

10. Calculo de la rentabilidad de la auditoria de seguridad informática.


90

UNIDAD ACADÉMICA V

AUDITORIA DE BASE DE DATOS Y APLICACIONES

Las aplicaciones o sistemas de información son uno de los “productos finales”

que genera la infraestructura de TI en las organizaciones y por ende son el

aspecto de mayor visibilidad desde la perspectiva de negocio.

Los errores o las deficiencias de control en las aplicaciones y por ende en las

bases de datos en las cuales se trabajan, tienen un impacto directo en los

intereses de las empresas, ya sea económico, de eficiencia, de imagen, de

cumplimiento legal normativo, etc.

En el presente fascículo se presentara en primer lugar las metodologías para

una auditoria de Base de Datos, debido a la importancia como punto de

partida para una auditoria de aplicaciones, para luego detalla r una metodología

completa para realizar una auditoria de aplicaciones.


Conocer la gran difusión de los SGBD como uno de los recursos

fundamentales de las empresas.

Conocer las diferentes metodologías que se utilizan para la auditoria de

Base de Datos.

Entender la importancia de planificar, preparar y realizar auditorias de

aplicaciones en funcionamiento en cuanto al grado del cumplimiento de los

objetivos para los que las mismas fueron creados.

Conocer la problemática que afronta la utilización de una aplicación

informática y las medidas tendentes a solucionarlas.


91

Conocer las herramientas utilizadas dentro de una auditoria de una

aplicación así como sus requisitos y consejos para poder utilizarlos

efectivamente.

Conocer las diversas etapas de la auditoria de una aplicación informática y

lo necesario para realizarla.

5.1 AUDITORIA DE BASE DE DATOS

La gran difusión de los sistemas de gestión

de base de datos (SGBD), junto con la

consagración de los datos como uno de los

recursos fundamentales de las empresas,

han hecho que los temas relativos a su

control interno y auditoria cobren, cada día,

mayor interés.

Como ya se ha comentado, normalmente la

auditoria informática se aplica de dos formas distintas; por un lado, se auditan

las principales áreas del departamento de informática: explotación, dirección,

metodología de desarrollo, sistema operativo, etc. y por otro se auditan las

aplicaciones que funcionan en la empresa. La importancia de la auditoria del

entorno de base de datos radica en que es el punto de partida para poder

realizar la auditoria de aplicaciones que utiliza esta tecnología.

Los Sistemas de Gestión de Bases de Datos proveen mecanismos que

garantizan la seguridad, consistencia y reglas de integridad. Es de gran

importancia par el auditor de sistemas, conocerlos y apoyarse en ellos para

verificar el ambiente de control establecido en la instalación.

5.1.1 ¿QUÉ ES UNA AUDITORIA DE BASE DE DATOS?

Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar

los accesos a la información almacenada en las bases de datos incluyendo la

capacidad de determinar:

Quien accede a los datos.

Cuando se accedió a los datos.


92

Desde que tipo de dispositivo/aplicación.

Desde que ubicación en la red.

Cual fue la sentencia SQL ejecutada.

Cual fue la sentencia del acceso a la base de datos.

Es uno de los procesos fundamentales para apoyar la responsabilidad

delegada a TI (Tecnologías de Información) por la organización frente a las

regulaciones y su entorno de negocios o actividad.

Características:

Debe ser independiente de las aplicaciones.

Es una auditoria selectiva.

La auditoria de Base de Datos tiene como ámbito posible lo que

ocurre dentro del gestor y por tanto no puede dar razón de lo que

ocurra fuera.

La auditoria depende de la tecnología del gestor de base de datos.

5.1.2 OBJETIVOS DE LA AUDITORIA DE BASE DE DATOS

Es obtener información de las operaciones que cada usuario realiza sobre los

objetos de una Base de Datos. Así como también, disponer de mecanismos

que permitan tener trazas de auditoria completas y automáticas relacionadas

con el acceso a las bases de datos incluyendo la capacidad de generar alertas

con el objetivo de: Apoyar el cumplimiento regulatorio, mitigar los riesgos

asociados con el manejo inadecuado de los datos y satisfacer los

requerimientos de los auditores.

5.1.3 NIVELES DE AUDITORIA DE BASE DE DATOS

A. Agregada: son estadísticas sobre el número de operaciones realizadas

sobre un objeto de BD, por cada usuario. Como cualquier estadística, su

medida puede hacerse con técnicas censales o muéstrales.

Censal: El gestor toma datos de todas las operaciones que reciben el

gestor, esto se ejecutara en paralelo a las operaciones auditadas.


93

Muestral: Periódicamente se toman datos de las operaciones que se

tienen en ese momento por el gestor.

B. Detallado: Incluye todas las operaciones realizadas sobre cada objeto de la

base de datos.

Cambios: El contenido de los datos, debe contener los mismos datos

anteriores y posteriores a la operación de cambios.

Accesos: limitada a los cambios de acceso al contenido de los datos y

tiene dos niveles de detalle: operación (Sentencia SQL que se ejecutó) y

resultado (los datos que se usan en la sentencia SQL ejecutada).

Otros: Copias de seguridad y reconstrucción de estados.

Niveles de auditoria BD más utilizados:

• Reconstrucción a un punto en el tiempo.

• Backup, Restore y Recover

• Resultado de la operación de acceso.

• Operación acceso

• Cambio de estructura

• Cambio de Contenido

• Agregado muestral

• Agregado censal.


94

Cuadro 5.1 Niveles de auditoria en los diferentes SGBD

5.1.4 METODOLOGÍAS PARA AUDITORIA DE BASE DE DATOS

Aunque existen distintas metodologías que se aplican en auditoria informática

(prácticamente cada firma o consultora de auditores y cada empresa desarrolla

la suya propia), se pueden agrupar en dos clases:

A. Metodología Tradicional: en este tipo de metodología el auditor revisa el

entorno de la base de datos con la ayuda de una lista de verificación

(checklist), que consta de una serie de cuestiones a verificar. Este tipo de

técnica suele ser aplicada a la auditoria de productos de bases de datos,

especificándose en la lista de control todos los aspectos a tener en cuenta.


95

Figura 5.1: Ejemplo de checklist

B. Metodología de Evaluación de Riesgos: ROA (Risk Oriented Approach)

que es propuesto por ISACA basado en objetivos de control. Este tipo de

metodología inicia fijando los objetivos de control que minimizan los riesgos

potenciales a los que esta sometido el entorno.

Un objetivo de control puede llevar asociadas varias técnicas que permiten

cubrirlo en su totalidad. Estas técnicas pueden ser preventivas correctivas.

En caso de que los controles existan, se diseñan unas pruebas que

permiten verificar la consistencia de los mismos.


96

Figura 5.2 Ciclo de vida de una Base de Datos

5.1.5 TÉCNICAS PARA AUDITORIA DE BD

Análisis de los caminos de acceso:

Con esta técnica se documentan el flujo, almacenamiento y

procesamiento de los datos en todas las fases por las que pasan desde

el momento en que se introducen, identificando los componentes del

sistema que atraviesan (tanto hardware como software) y los controles

asociados. Con este método el auditor puede identificar las debilidades

que expongan los datos a riesgos de integridad, confidencialidad y

seguridad, las distintas interfaces entre componentes y la compleción de

los controles.


97

Figura 5.3: Análisis de los caminos de acceso.

Revisión de entorno de BD

Cuando el auditor, se encuentra el sistema en explotación, deberá

estudiar el SGBD y su entorno. El gran problema de las bases de datos

es que su entorno cada vez es más complejo y no puede limitarse solo al

propio SGBD. En la figura… se muestra un posible entorno de bases de

datos en el que aparecen los elementos más usuales.


98

Figura 5.4.: Entorno de Base de Datos

5.1.6 ASPECTOS A TOMAR EN CUENTA EN UNA AUDITORIA DE BASE DE

DATOS

No se debe comprometer el desempeño de las base de datos:

soportar diferentes esquemas de auditoria

se debe tomar en cuenta el tamaño de las base de datos a auditar y

los posibles SAL establecidos.

Segregación de funciones: el sistema de auditoria de base de datos no

puede ser administrado por los DBA del área de IT.

Proveer valor a la operación del negocio:

información para auditoria y seguridad

Información para apoyar la toma de decisiones de la organización

Información para mejorar el desempeño de la organización

Auditoria completa y extensiva:

Cubrir gran cantidad de manejadores de base de datos

Estandarizar los reportes y de reglas de auditoria


99

5.1.7 PRACTICA DE AUDITORIA DE BASE DE DATOS

A continuación desarrollamos un ejercicio práctico, el cual muestra cómo usar

los triggers (procedimientos almacenados) para hacer un control de cambios

sobre una tabla. Esta tarea es muy común en muchas empresas o productos,

por lo cual es importante saber cómo hacerla., para esto necesitamos tener

instalado el gestor de base de datos del SQL Server 2000 como mínimo:

1. Planteamos el problema: Disponemos de una tabla ALUMNOS, la cual

nos piden que cada vez que alguien modifique un campo en especial

esto quede guardado en otra tabla; lo mismo si alguien borra registros.

2. Para empezar a trabajar crearemos primero la tabla en cuestión

”ALUMNOS”:

CREATE TABLE ALUMNOS

(CODIGO INT PRIMARY KEY,

NOMBRE VARCHAR (50),

APELLIDOS CHAR (60),

FECHA_INGRESO DATETIME DEFAULT GETDATE ()

)

3. Luego lo que haremos es insertar algunos registros para poderlo usar

luego en nuestro control.

DECLARE @N INT

SET @N = 1

WHILE @N < 250

BEGIN

INSERT INTO ALUMNOS VALUES (@N,'ANA' +

CONVERT(CHAR(4),@N),'GONZALES',GETDATE())

SET @N = @N + 1

END

4. La tabla Auditoria tendrá la siguiente estructura:

CREATE TABLE AUDITORIA_ALUMNOS (

CODIGO INT,


100

NOMBRE VARCHAR(50),

CUIT CHAR(15),

FECHA_INGRESO DATETIME,

USUARIO VARCHAR(100) DEFAULT SUSER_SNAME(),

FECHA_AUDITORIA DATETIME DEFAULT GETDATE(),

TIPO CHAR(1) CHECK (TIPO='U' OR TIPO='D')

5. Bien, ahora tenemos nuestra tabla ALUMNOS y nuestra tabla

AUDITORIA_ALUMNOS, lo que nos queda por hacer son los triggers,

para que cuando se borren o reemplacen registros en nuestra tabla

ALUMNOS, actualice la tabla AUDITORIA_ALUMNOS. El primer trigger

que haremos será el del DELETE; para que si alguien borra registros,

los datos de los mismos se pasen a la tabla de auditoria.

CREATE TRIGGER TR_ALUMNOS_BORRAR

ON CLIENTES FOR DELETE AS

INSERT INTO AUDITORIA_ALUMNOS

SELECT

CODIGO,

NOMBRE,

CUIT,

FECHA_INGRESO,

SUSER_SNAME(),

GETDATE(),D'

FROM DELETED

6. Ahora probaremos si lo que hemos hecho realmente funciona. Para

poder hacer esto no hay nada mejor que borrar registros; esto lo

haremos en 2 etapas: en la primera solo borraremos 1 registro, y en la

segunda borraremos 5 registros; veremos que en ambos casos el trigger

funciona.


101

Primera Prueba:

Esto lo usamos solo para ver que registro vamos a eliminar.

SELECT * FROM ALUMNOS WHERE CODIGO=1

DELETE FROM ALUMNOS WHERE CODIGO=1

Aquí acabamos de borrar un registro.

SELECT * FROM AUDITORIA_ALUMNOS

Si todo salió bien, veremos en nuestra tabla AUDITORIA_ALUMNOS el

registro que se eliminó y los datos del usuario (conexión activa), y en

qué fecha se produjo la acción.

Segunda prueba:

SELECT TOP 5 * FROM ALUMNOS ORDER BY CODIGO DESC

Estos serán los registros que se va a eliminar.

DELETE ALUMNOS

FROM (

SELECT TOP 5 * FROM ALUMNOS ORDER BY CODIGO DESC) AS t1

WHERE ALUMNOS.CODIGO = t1.iD

Aquí acabo de borrar los registros.

SELECT * FROM AUDITORIA_ALUMNOS

Ahora veremos que en nuestra tabla AUDITORIA_ALUMNOS no solo

está el registro anterior sino estos cinco nuevos, o sea que nos da un

total de seis registros en la tabla de auditoria que se han borrado.

7. Ahora solo nos quedaría armar el otro trigger para cuando alguien haga

un Update sobre los registros.


102

CREATE TRIGGER TR_ALUMNOS_ACTUALIZAR

ON ALUMNOS FOR UPDATE AS

INSERT INTO AUDITORIA_ALUMNOS

SELECT

D.CODIGO,

D.NOMBRE,

D.CUIT,

D.FECHA_INGRESO,

SUSER_SNAME(),

GETDATE(),'U'

FROM DELETED D

INNER JOIN INSERTED I

ON D.CODIGO = I.CODIGO

AND (D.NOMBRE <> I.NOMBRE OR D.CUIT <> I.CUIT)

Como verán, este trigger lo que hace es solo insertar en la tabla

AUDITORIA_ALUMNOS si hay algún cambio en el campo nombre ó

CUIT. Esto es así porque sino cada vez que alguien ejecute un Update

el trigger querrá insertar en la tabla AUDITORIA_ALUMNOS llenándola

de basura si realmente no se ha modificado nada.

UPDATE ALUMNOS SET NOMBRE='MAXI' WHERE CODIGO=100



SELECT * FROM AUDITORIA_ALUMNOS WHERE TIPO='U’

Ahora haremos esto:

TRUNCATE TABLE AUDITORIA__ALUMNOS

UPDATE ALUMNOS SET NOMBRE='NN’

SELECT * FROM AUDITORIA_ALUMNOS WHERE TIPO='U’


103

5.2 AUDITORIA DE APLICACIONES

Una meticulosa y exhaustiva auditoría de

una aplicación informática de relevancia en

una empresa o entidad podría dar pie para

poner en funcionamiento la práctica

totalidad de la extensa gama de técnicas y

rica metodología de la auditoria informática.

Este método se va ha centrar en la fase

final de la vida de la aplicación informática,

la de su funcionamiento ordinario, una vez

superada la crítica etapa de su

implantación, que habrá cerrado el ciclo precedido por las de concepción y

desarrollo.

Uno de los objetivos este capítulo consiste en tratar de ayudar a planificar,

preparar y llevar acabo auditorías de aplicaciones en funcionamiento en

cuanto al grado de cumplimiento de los objetivos para los que las mismas

fueron creadas: con carácter general, éstos estarán en la línea de servir de

eficaces herramientas operativas y de gestión que potencien la más

eficiente contribución, por parte de las organizaciones usuarias de las

aplicaciones, a la consecución de los objetivos generales de la empresa,

grupo o entidad a la que pertenecen.

5.2.1 PROBLEMÁTICA DE LA AUDITORIA DE UNA APLICACIÓN

INFORMÁTICA.

Una aplicación informática o sistema de información habitualmente persigue

como finalidad:

Registrar fielmente la información considerada de interés entorno a las

operaciones llevadas a cabo por una determinada organización.

Permitir la realización de cuantos procesos de cálculo y edición sean

necesarios a partir de la información registrada.


104

Facilitar respuestas a las consultas de todo tipo sobre la información

almacenada.

Generar informes que sirvan de ayuda para cualquier finalidad de interés

en la organización, presentando la información adecuada

Ni el rigor en la creación de la aplicación ni la profesionalidad en el uso de la

misma pueden ser garantizados. Además la profundidad no inmuniza contra

el cansancio y el estrés. Asumido esta también que de humano es

equivocarse, cometer errores y omisiones involuntariamente. Y tampoco es

imposible que en un momento determinado un empleado descontento

comete errores intencionadamente o que otros, en apuros económicos,

sucumba a la tentación de intentar un fraude perfecto si considera mínima la

probabilidad de ser descubierto, tal y como funciona el sistema y la

organización, que puede no estar dando muestras de ejercer un control

interno riguroso.

Y no son estas las únicas amenazas al normal cumplimiento de la finalidad

de nuestra aplicación:

La posibilidad de fallo en cualquiera de los elementos que intervienen en

el proceso informático.

La conexión cada vez más generalizada de las empresas a entornos

abiertos como el Internet multiplica los riesgos que amenazan la

confidencialidad e integridad de la información de nuestros sistemas.

Para cada una de estas amenazas y cualquier otras que pueda ser

identificada se habrán debido estudiar las posibles medidas tendentes a

eliminar el riesgo que entraña o a reducir la probabilidad de su

materialización. Dichas medidas son fundamentalmente medidas de control

interno.

En el terreno de una aplicación informática, el control interno se materializa

fundamentalmente en controles de 2 tipos:


105

Controles manuales: a realizar normalmente por parte de personal del

área usuaria.

Controles automáticos: incorporados a los programas de aplicación que

sirvan de ayuda para tratar de asegurar que la información se registre y

mantenga completa y exacta.

Controles que, según su finalidad, se suelen clasificar en:

Controles preventivos.

Controles detectivos.

Controles correctivos.

Y pueden ser utilizados:

En las transacciones de recogido o toma de datos.

En todos los procesos de información que la aplicación realiza.

En la generación de informes y resultados de salida.

Es importante realizar la conveniencia de la participación de auditoría

interna en la revisión de los controles diseñados durante el desarrollo de la

aplicación.

La participación de auditoría interna en le desarrollo de un sistema

informático debe tener un alcance mas amplio que el referente al sistema

informático, ya que debe contemplar no solo los riesgos relacionados con la

aplicación, sino todos los que puedan afectar al proceso completo al que la

misma sirva de herramienta.

Podemos centrar la problemática de la auditoría de una aplicación: se trata

de realizar una revisión de la eficacia del funcionamiento de los controles

diseñados para cada uno de los pasos de la misma frente a los riesgos que,

trata de eliminar o minimizar, como medios para asegurar la fiabilidad,

seguridad, disponibilidad y confidencialidad de la información gestionada

por la aplicación.


106

5.2.2 HERRAMIENTAS DE USO MÁS COMÚN EN LA AUDITORÍA DE

UNA APLICACIÓN

La tremenda evolución de las tecnologías, en todo lo referente a los

sistemas de información, obliga a un esfuerzo considerable de información

a todo el personal de auditoría interna, y en particular a los especialistas en

auditoría informática. Este reto debe estar asumido por la dirección de

auditoría, que debe impulsar la respuesta adecuada al mismo, recogida d

un ambicioso plan de formación, que incluya la atención a las nuevas

tendencias y preocupaciones.

Ello no es óbice para que, dentro de la política de la empresa, se contemple

la posibilidad de contratar la realización de determinadas auditorías

informáticas muy especializadas (outsourcing) o personal auditor que

participe en trabajos.

A. ENTREVISTAS

De amplia utilización a lo largo de todas las etapas de la auditoría, las

entrevistas deben cumplir una serie de requisitos:

Las personas a entrevistar deben ser aquellas que mas puedan

aportar al propósito pretendido.

La entrevista debe ser preparada con rigor de cara a sacar el máximo

partido de ella.

Para ello es indispensable escribir el guión de temas y apartados a

tratar, para evitar que quede sin tratar algún asunto de interés,

también exige haber alcanzado el nivel de conocimientos sobre la

aplicación necesario en ese momento para conducir con soltura la

entrevista.

Ha de ser concertada con los interlocutores con antelación suficiente

informándoles del motivo y las materias a tratar en ella.

Las jefaturas de las personas a entrevistas deben estar informadas

de las actuaciones previstas.

Durante el desarrollo de la entrevista, el auditor tomara las

anotaciones imprescindibles.


107

B. ENCUESTAS

Con las lógicas salvedades, la mayor parte de los requisitos enumerados

para las entrevistas son también de aplicación para las encuestas:

En este caso si que hay que preparar un cuestionario que pueda

ser contestado con la mayor rapidez a base de marcar las

respuestas entre las posibles.

Conviene que todas las preguntas vayan seguidas de un espacio

destinado a observaciones.

Aunque no puede ni debe exigirse la identificación personal del

encuestado, si debe hacerse de la organización a la que

pertenece.

C. OBSERVACIÓN DEL TRABAJO REALIZADO POR LOS USUARIOS

Aunque por otros medios puede llegarse a comprobar que la aplicación

funciona con garantías de exactitud y fiabilidad, es conveniente observar

como algún usuario hace uso de aquellas transacciones más significativas

por su volumen o riesgo.

D. PRUEBAS DE CONFORMIDAD

De uso general en todo el campo de la auditoría, son actuaciones

orientadas específicamente a comprobar que determinados

procedimientos, normas internos, se cumplen o funcionen de

acuerdo con lo previsto y esperado.

La comprobación debe de llevar a la evidencia a través de la

inspección de los resultados producidos.

La evidencia de incumplimiento puede ser puesta de manifiesto a

través de informes de excepción.

Los testimonios de incumplimiento no implican evidencia pero, si

parten de varias personas, es probable que la organización

asuma como validos dichos testimonios.


108

E. PRUEBAS SUBSTANTIVAS O DE VALIDACIÓN

Orientadas a destacar la presencia o ausencia de errores o

irregularidades en procesos, actividades, transacciones o

controles internos integrados en ellos.

Todo tipo de error o incidencia imaginable puede ser objeto de

investigación en esta clase de pruebas.

Infinidad de recursos pueden ser utilizados para detectar indicios,

en primera instancia, de posibles errores.

Otros recursos clásicos utilizados para la detección de errores o

sus indicios son de ejecución manual.

Ejemplo de estos recursos de ejecución manual son: arqueo,

inventario, inspección.

F. USO DEL COMPUTADOR

El uso de computadores constituye una de las herramientas mas

valiosas en la realización de la auditoría de una aplicación

informática.

Existen en el mercado infinidad de productos de software

concebidos para facilitar la tarea del auditor.

Sin restar su valor a estos productos, y desde la óptica del auditor

interno, se pueden obtener resultados similares haciendo uso de

herramientas disponibles en la organización y no necesariamente

diseñadas para funciones de auditoría.

Las pistas de auditoría de que esta provista la aplicación deben

constituir un apoyo importante a la hora de utilizar el computador

para detectar situaciones o indicios de posible error.

También hay que considerar la posibilidad de utilizar la propia

aplicación.


109

5.2.3 ETAPAS DE LA AUDITORÍA DE UNA APLICACIÓN INFORMÁTICA

A. RECOGIDA DE INFORMACIÓN Y DOCUMENTACIÓN SOBRE LA

APLICACIÓN.

Para cubrir esta etapa del trabajo de auditoría resulta útil confeccionar unas

guías que nos permitan seguir una determinada pauta en las primeras

entrevistas y contengan la relación de documentos a solicitar todos aquellos

que ayuden a:

Adquirir una primera visión global del sistema: Descripción

general de la aplicación, presentaciones que hayan podido

realizarse de la aplicación con distintas finalidades a lo largo de

su vida.

Conocer la organización y los procedimientos de los servicios que

utilizan la aplicación.

Describir el entorno en el que se desarrolla la aplicación.

Entender el entorno de software básico de la aplicación.

Asimilar la arquitectura y características lógicas de la aplicación.

Conocer las condiciones de explotación de la aplicación y los

riesgos que se puedan dar.

Conocer las condiciones de seguridad de que dispone la

aplicación.

Disponer de información relativa a: estadísticas de tiempos de

explotación para cada proceso, de tiempos de respuesta de

transacciones on line.

B. DETERMINACIÓN DE LOS OBJETIVOS Y ALCANCE DE LA

AUDITORÍA

Es de desear que los objetivos propuestos sean consensuados

con el equipo responsable de la aplicación en la organización

usuaria.

Es preciso conseguir una gran claridad y precisión en la

definición de los objetivos de la auditoría y del trabajo y pruebas


110

que se propone realizar, delimitando perfectamente su alcance d

manera que no ofrezcan dudas de interpretación.

En la preparación del plan de trabajo trataremos de incluir:

• La planificación de los trabajos y el tiempo a emplear.

• Las herramientas y métodos.

• El programa de trabajo detallado.

• Test de confirmación, test sobre los datos y los resultados.

La auditoria de una aplicación informática, debe ser objeto de una

planificación cuidadosa. En este caso es de crucial importancia

acertar con el momento mas adecuado para su realización:

• Por una parte no conviene que coincida con el periodo de

su implantación, especialmente critico, en que los usuarios

no dominan todavía la aplicación y están más agobiados

con la tarea diaria.

• Por otra parte el retraso excesivo en el comienzo de la

auditoría puede alargar el periodo de exposición a riesgos

superiores que pueden y deben ser aminorados como

resultados de ella.

También hay que establecer el ámbito de actuación.

Para la selección de ese limitado numero de centros en los que

llevar a cabo el trabajo de campo.

Debe conseguir cuanto antes, solicitándolo ya en la primera toma

de contacto.

C. TRABAJO DE CAMPO, INFORME E IMPLANTACIÓN DE MEJORAS.

La etapa de realización del trabajo de campo consiste en la

ejecución del programa de trabajos establecidos.

Una recomendación de cara a esta etapa es la de plantearse la

mínima uti lización de “papeles de trabajo”, en el sentido literal,

físico, potenciando la utilización de PCs.


111

La situación óptima a alcanzar es conseguir que la organización

auditada asuma las propuestas de actuación para implantar las

recomendaciones como objetivos de la organización.

5.3 CONCLUSIONES

La creciente importancia asignada a los sistemas de información como

ayuda inestimable e imprescindible en el desarrollo de los procesos de

negocio, aportando no ya información, sino conocimiento.

Efectivamente, si la base de la toma de decisiones no es segura, fiable

y confidencial los resultados pueden ser exactamente los contrarios a los

pretendidos.

Por otro lado el enorme y continuo avance tecnológico en este terreno y

la apertura de los sistemas al exterior, exige un gran esfuerzo de

formación a los auditores informáticos.

ACTIVIDAD 01:

CASO: Problemas de Segregación de Funciones

En una universidad de prestigio un DBA modifico la información académica de

estudiantes para conseguir compensación económica. El DBA tenía el poder

para borrar o detener los procesos de auditoria, no existía segregación de

funciones.

Durante 5 años el DBA estuvo falsificando registros de estudiantes y el

problema fue identificado por casualidad por un profesor al ver un resumen de

un antiguo estudiante.


112

Las consecuencias de este problema son muy graves consecuencias en la

reputación de la universidad, pérdidas económicas y afectadas en la

credibilidad de sus registros académicos, de la universidad,

La administración general de la universidad, debido a los hechos descritos en

líneas anteriores ha decidido establecer contacto con una Compañía

especializada en la realización de Auditorias Externas, para que efectúe este

estudio.

De las distintas fases que componen una auditoria, realizar solamente:

Definir el alcance de la auditoria externa.

Objetivos de Control y Pruebas a realizar para evaluar los distintos

riesgos, que permitieron los problemas que se detallaron.

ACTIVIDAD 02:

Realizar un análisis de todas las herramientas de software que se ofrecen

actualmente en el mercado, para realizar una auditoria de base de datos, en las

empresas que se utilizan gestores de base de datos como el SQL Server,

MySQL u Oracle.

La gran difusión de los sistemas de gestión de bases de datos, (SGBD) junto

con la consagración de los datos como uno de los recursos fundamentales de

las empresas, ha hecho que los temas relativos a su Control interno y auditoría

cobren cada día mayor interés.

Aunque existan distintas metodologías que se aplican en auditoría informática

se pueden agrupar en dos Clases: Metodología tradicional, metodología de

evaluación de riesgos .Algunos objetivos y técnicas de control a cuenta a lo

largo del ciclo de vida de una BD que abarca desde el estudio previo hasta su

explotación.


113

Asimismo, la importancia asignada a los sistemas de información como ayuda

inestimable e imprescindible en el desarrollo de los procesos de negocio,

aportando no ya información, sino conocimiento, se esta demandando que

apoye la correcta toma de decisiones atribuye esa misma importancia a la

auditoria de las aplicaciones informática, garantes del correcto cumplimiento de

la función encomendada a las mismas.






Edición 2001.

COBIT versión 4.0,”Manual de Objetivos de Control” de ISACA.

En el siguiente fascículo se desarrollara los aspectos mas importantes para

desarrollar una auditoria de redes y telecomunicaciones.


114

1. Establezca objetivos de control relativos al diseño de una base de

datos.

2. Defina un procedimiento para la adquisición de SGBD

3. ¿Cuáles son las diferencias más importantes entre las funciones de

un administrador de datos y las de un administrador de base de

datos?

4. ¿Por qué resulta tan crítico un diccionario de datos?

5. ¿Qué controles establecería sobre la distribución de listados

extraídos a partir de la base de datos?

6. Objetivos de control sobre la formación del personal relacionado con

el SGBD (usuarios finales, administradores, diseñadores, etc.).

7. ¿Qué riesgos adicionales implica el hecho de distribuir las bases de

datos?

8. ¿Qué controles establecería para desarrollos que empleen lenguajes

visuales que acceden a base de datos?

9. Analice el soporte que ofrecen las herramientas de minería de datos

al auditor informático.

10. Enumeré las principales amenazas que pueden impedir a las

aplicaciones informáticas cumplir sus objetivos.

11. Valore la importancia del manual de usuario para la auditoria de

aplicaciones.

12. Proponga técnicas para medir el nivel de satisfacción del usuario con

el modo de operar de las aplicaciones.

13. ¿Cómo verificaría el grado de fiabilidad de la información tratada por

una aplicación?


115

UNIDAD ACADÉMICA VI

AUDITORIA DE REDES DE COMPUTADORAS

Las tecnologías de transmisión de datos a través de redes de computadoras

son el eje central del funcionamiento de un entorno informático que presta

servicios de tipo cliente/servidor. Un excelente desempeño de la red trae como

consecuencia un aumento de la productividad informática.

El ingreso de nuevos equipos en la red, la existencia de protocolos no necesarios, la mala configuración de equipos, activos de red o el escaso mantenimiento del cableado estructurado y el envejecimiento de los equipos de conexión, pueden causar la decadencia y el envejecimiento de la red. A través de pruebas, captura de paquetes, análisis de flujo de datos y verificación de la configuración de equipos activos (switch, routers), la auditoria de redes permite control y para optimar el funcionamiento de red.

Conocer las capas del modelo denominado OSI.

Especificar los tres tipos de incidencias que pueden producirse en una red

de comunicaciones.

Brindar un conocimiento de los principales protocolos de alto nivel.

Conocer los objetivos de control tener en cuenta para auditar la gerencia de

comunicaciones.

Dar a conocer los principales controles para auditar la red física y lógica.


116

6.1 AUDITORIA DE REDES

6.1.1 TERMINOLOGÍA DE REDES

Para poder auditar redes, lo primero y fundamental es uti lizar el mismo

vocabulario que los expertos en comunicaciones que las manejan. Debido a

la constante evolución en este campo, un primer punto de referencia es

poder referirse a un modelo comúnmente aceptable. El modelo común de

referencia, adoptado por ISO (International Standards Organization) se

denomina OSI (Open Systems Interconection), y consta de siete capas:

Grafico: 6.1 Niveles OSI

La potencia del Modelo OSI proviene de que cada capa no tiene que

preocuparse de qué es lo que hagan las capas superiores ni las inferiores:

cada capa se comunica con su igual en el interlocutor, con un protocolo de

comunicaciones específico.

Para establecer una comunicación, la información atraviesa

descendentemente la pila formada por las siete capas, atraviesa el medio

físico y asciende a través de las siete capas en la pila de destino. Por tanto,

cada capa tiene unos métodos prefijados para comunicarse con las

inmediatamente inferior y superior.


117

La red LAN Más extendida, ETHERNET, está basada en que cada emisor

envía, cuando desea, una trama al medio físico, sabiendo que todos los

destinatarios están permanentemente en escucha. Justo antes de enviar, el

emisor se pone a la escucha, y si no hay trafico, procede directamente al

envío. Sí al escuchar detecta que otro emisor está enviando, espera un

tiempo aleatorio antes de volverse a poner a la escucha.

La LAN Token Ring, desarrollada por IBM, está normalizada como IEEE

802.5, tiene velocidades de 4 y 16 Mbps y una mejor uti lización del canal

Cuando se incremente el tráfico.

Para redes WAN, está muy extendido el X.25, se basa en fragmentar la

información en paquetes, habitualmente de 128 caracteres. Estos paquetes

se entregan a un transportista habitualmente público que se encarga de ir

enviándolos saltando entre diversos nodos intermedios hacia el destino.

6.1.2 VULNERABILIDAD EN REDES

La información transita por lugares físicamente alejados de las personas

responsables. Esto presupone un compromiso en la seguridad, ya que no

existen procedimientos físicos para garantizar la inviolabilidad de la

información.

En las redes de comunicaciones, por causas propias de la tecnología,

pueden producirse básicamente tres tipos de incidencias:

Alteración de bits , por error en los medios de transmisión, una trama

puede sufrir variaciones en parte de su contenido.

Ausencia de Tramas , por error en el medio o en algún, o por

sobrecarga, alguna trama puede desaparecer en el camino del emisor al

receptor.

Alteración de Secuencia , el orden en el que se envían y se reciben las

tramas no coincide.

Por causas dolosas, y teniendo en cuenta que es físicamente posible

interceptar la información, los tres mayores riesgos a atajar son:


118

Indagación, Un mensaje puede ser leído por un tercero, obteniendo

la información que contenga.

Suplantación, Un tercero puede introducir un mensaje espurio que

el receptor cree proveniente del emisor legítimo.

Modificación, Un tercero puede alterar el contenido de un mensaje.

Para este tipo de actuaciones dolosas, la única medida prácticamente

efectiva en redes MAN y WAN (cuando la información sale del edificio) es la

criptografía.

6.1.3 PROTOCOLOS DE ALTO NIVEL

Como protocolos de alto nivel, los más importantes por orden de aparición

en la industria son: SNA, OSI, Netbios, IPX y TCP/IP.

SNA, System Network Architecture , fue diseñado por IBM a partir de los

años setenta, al principio con una red estrictamente jerarquizado, y luego

pasando a una estructura más distribuida, fundamentalmente con el tipo de

sesión denominado LU 6.2.

OSI, Fue diseñado por el antiguo comité Consultivo Internacional de

Teléfonos y telégrafos (CCITT), se diseñaron todas las capas, desde los

medios físicos hasta las aplicaciones como transferencia de archivos o

Terminal virtual. Donde ha tenido éxito es en el protocolo de red X.25 y en

el correo electrónico X.400.

Netbios, este protocolo fue el que se propuso por Microsoft, para comunicar

entre sí computadoras personales en redes locales. Es una extensión a red

del “Basic Input/Output System” del sistema operativo DOS. Está muy

orientado a la utilización en LAN, siendo bastante ágil y efectivo.

IPX, es el protocolo propietario de Novell que, al alcanzar en su momento

una posición de predominio en el sistema operativo en red, ha gozado de

gran difusión.


119

TCP/IP,(Transfer Control Protocolo/Internet Protocol)

Diseñado originalmente en los años setenta, la enorme versatilidad de este

protocolo y su aceptación generalizada le ha hecho el paradigma de

protocolo abierto, siendo la base de interconexión de redes que forman la

Internet. La transmisión de archivos FTP (File Transfer Protocol), el correo

electrónico SMTP (Simple Mail Transfer Protocol) o el Terminal virtual

Telnet han de correr precisamente sobre una “pila” de protocolo TCP/IP.

Se establece así un retroalimentación donde las utilidades refuerzan al

protocolo TCP/IP, que se vuelve cada vez más atractivo para que los

desarrolladores escriban nuevas utilidades.

6.1.4 REDES ABIERTAS TCP/IP

Ante el auge que está tomando el protocolo TCP/IP, como una primera

clasificación de redes, se está adoptando la siguiente nomenclatura para las

redes basadas en este protocolo:

Intranet: Es la red interna, privada y segura de una empresa, utilice o no

medios de transporte de terceros.

Extranet: Es una red privada y segura, compartida por un conjunto de

empresas, aunque utilice medios de transporte ajenos e inseguros, como

pudiera ser Internet.

Internet: Es la red de redes, “metared” a donde se conecta cualquier red

que se desee abrir al exterior, pública e insegura, de alcance mundial,

donde puede comunicar cualquier pareja o conjunto de interlocutores,

dotada además le todo tipo de servicios de valor añadido.

Figura 6.1 Cortafuegos.


120

Un dispositivo específicamente dedicado a la protección de una lntranet

ante una Extranet, y fundamentalmente ante Internet, es el cortafuegos

(Firewall). Esta es una máquina dedicada en exclusiva a leer cada paquete

que entra o sale de una red para permitir su paso o desecharlo

directamente. Esta autorización o rechazo está basada en unas tablas que

identifican, para cada pareja de interlocutores (bien sea basado en el tipo de

interlocutor o inclusive en su identificación individual) los tipos de servicios

que pueden ser establecidos. Para llevar a cabo su misión, existen diversas

configuraciones, donde se pueden incluir encaminadores (routers),

servidores de proximidad (proxy), zonas desmilitarizadas, bastiones, etc.

6.1.5 AUDITANDO LA GERENCIA DE COMUNICACIONES

Cada vez mas las comunicaciones están tomando un papel determinante en

el tratamiento de datos, cumpliéndose el lema “el computador es la red’

siempre esta importancia queda adecuadamente reflejada dentro de la

estructura organizativa de proceso de datos, especialmente en

organizaciones de tipo “tradicional”, donde la adaptación a los cambios no

se produce inmediatamente.

Mientras que comúnmente el directivo informático tiene amplios

conocimientos de proceso de datos, no siempre sus habilidades y

cualificaciones en temas de comunicaciones están a la misma altura, por lo

que el riesgo de deficiente anclaje de la gerencia de comunicaciones en el

esquema organizativo existe. Por su parte, los informáticos a cargo de las

comunicaciones suelen auto considerarse exclusivamente técnicos,

obviando considerar las aplicaciones organizativas de su tarea.

Todos estos factores convergen en que la auditoria de comunicaciones no

siempre se practique con la frecuencia y profundidad equivalentes a las de

otras áreas del proceso de datos.


121

Por tanto, el primer punto de una auditoria es determinar que la función de

gestión de redes y comunicaciones esté claramente definida, debiendo ser

responsable, en general de las siguientes áreas:

Gestión de la red, invento de equipamiento y normativa de conectividad.

Monitorización de las comunicaciones, registro y resolución de

problemas.

Revisión de costes y su asignación de proveedores y servcios de

transporte, balanceo de tráfico entre rutas y selección de

equipamiento.

Participación activa en la estrategia de proceso de datos, fijación de

estándares a ser usados en el desarrollo de aplicaciones y evaluación

de necesidades en comunicaciones.

6.1.6 AUDITANDO LA RED FÍSICA

En general, muchas veces se parte del supuesto de que si no existe acceso

físico desde el exterior a la red interna de una empresa las comunicaciones

internas quedan a salvo. Debe comprobarse que efectivamente los accesos

físicos provenientes del exterior han sido debidamente registrados, para

evitar estos accesos. Debe también comprobarse que desde el interior del

edificio no se intercepta físicamente el cableado (“pinchazo”).

En caso de desastre, bien sea total o parcial, ha de poder comprobarse cuál

es la parte del cableado que queda en condiciones de funcionar y qué

operatividad puede soportar. Ya que el tendido de cables es una actividad

irrealizable a muy corto plazo, los planes de recuperación de contingencias

deben tener prevista la recuperación en comunicaciones.

Ha de tenerse en cuenta que la red física es un punto claro de contacto

entre la gerencia de comunicaciones y la gerencia de mantenimiento

general de edificios, que es quien suele aportar electricistas y personal

profesional para el tendido físico de cables y su mantenimiento.


122

6.1.7 AUDITANDO LA RED LÓGICA

Cada vez más se tiende a que un equipo pueda comunicarse con cualquier

otro equipo, de manera que sea la red de comunicaciones el substrato

común que les une. Si un equipo. por cualquier circunstancia, se pone a

enviar indiscriminadamente mensajes, puede ser capaz de bloquear la red

completo y, por tanto, al resto de los equipos de la instalación.

Es necesario monitorizar la red, revisar los errores o situaciones anómalas

que se producen y tener establecidos los procedimientos para detectar y

aislar equipos en situación anómala. En general, si se quiere que la

información que viaja por la red no pueda ser espiada, la única solución

totalmente efectiva es la encriptación.

6.6 AUDITORIA A SISTEMAS EN INTERNET

Junto con la popularidad de Internet y la explosión de usuarios en todo el

mundo, ha venido una creciente amenaza de ataques hacia los sistemas y

la información de las organizaciones públicas y privadas.

Es importante tener en cuenta algunas características que presenta los

sistemas de información actuales:

Gran Importancia de la Información

Mayor conocimiento de los usuarios sobre estos sistemas

Gran avance de los sistemas de comunicación y redes

Internet como medio global de intercambio de información y plataforma

de negocios.

Cuando se realizan negocios por Internet (Comercio electrónico) se

tienen cuatro piedras angulares:

Impedir transacciones de datos no autorizados.

Impedir alteración de Mensajes después de envío

Capacidad determinar si transmisión es desde fuente auténtica o

suplantada.

Manera de impedir a un emisor, que se está haciendo pasar por otro.


123

6.2.1 Componentes en Ambientes Internet

Internet crea todas las posibilidades para hacer frágil la seguridad en el

sistema: Tiempo de exposición, protocolos conocidos, usuarios "expertos" y la

mezcla e igualdad de sistemas:

Navegador o Browser.

Servidor Web

Servidor de Servicios Internet (ISP)

Enrutadores

Puntos de Acceso a la Red

Enlace Usuario – ISP

Protocolo http

Protocolos TCP/IP

HTML

Código Móvil: ASP, Servlets, Applets, CGI...

Protocolos seguros: http-S, SSL

6.2.2 Riesgos asociados a estos ambientes

Gran parte de los problemas asociados a Internet están relacionados por un

lado, con la seguridad misma de los protocolos que lo conforman y por el otro

por la disponibilidad del sistema en tiempo y espacio para que sea examinado y

eventualmente atacado. En general estos riesgos los podemos resumir en:

Acceso no Autorizado al Sistema

Divulgación de información confidencial

Robo o alterar información de la empresa.

Denegación de Servicio

Espionaje o alteración de mensajes

Transacciones fraudulentas.

Modificación o sabotaje de Sitios Web, generando pérdida de la imagen

corporativa.

Pérdida de recursos

Uso del sistema vulnerado para realizar ataques a otros sistemas


124

Virus, gusanos y troyanos.

Instalación y uso de código malicioso

6.2.3 Vulnerabilidades de Seguridad en Internet más criticas

La mayor parte de los ataques en Internet, se realizan sobre un pequeño

número de vulnerabilidades en los sistemas y aprovechando que las

organizaciones pasan por alto las revisiones constantes de los problemas

detectados en las versiones de sus productos y por lo tanto no hacen las

correcciones del caso. El Instituto Sans emite un informe sobre las mas criticas

de estas vulnerabilidades (SAN00).

Debilidades en los servidores de Nombres de Dominio (DNS), en particular

BIND.

Soluciones:

o Desactivarlo en caso de no ser necesario.

o Descargar y actualizar a las ultimas versiones

Debilidades asociadas con programas CGI en los servidores, generalmente

por uso de CGIs desconocidos

Soluciones:

o Uso de programas conocidos.

o Deshabilitar el soporte CGI, para aquellos servidores que no lo

necesiten.

Problemas con llamadas a procedimientos remotos RPC

Solución: Deshabilitar en los casos que sea posible servicios que usen RPC

en sistemas expuestos a Internet.

Agujeros de seguridad en Servidores Web (Especialmente IIS)

Solución: Actualizar desde sitio del fabricante y configurar según

procedimiento recomendado.

Debilidad en desbordamiento de Buffer en SendMail.


125

Solución: No usar la modalidad deamon en sistemas que no sean servidores

de correo. Actualización a última versión parcheada.

Problemas con compartición de archivos (NetBios, NFS)

Soluciones:

Verificar que solo se comparten los directorios requeridos. En lo posible

compartir solo con direcciones IP específicas. Usar contraseñas para definir

nivel de acceso. Bloquear las conexiones entrantes al servicio de sesión

NetBios

Contraseñas inapropiadas

Solución: Crear una política de contraseñas exigente

Configuraciones inapropiadas de Protocolos de correo

Soluciones:

o Deshabilitar estos en aquellas maquinas que no son servidores de

correo.

o Utilizar versiones actualizadas.

o Usar canales encriptados como SSH y SSL

Nombres de comunidad por defecto en SNMP (Public, private)

Soluciones:

o Si no se usa SNMP deshabilitarlo.

o Si se usa, usar políticas de seguridad fuertes.

o Usar solo los elementos requeridos y con las configuraciones

necesarias.

Posibles Infractores

Crackers

Hackers

Vándalos

Empleados


126

Algunas definiciones que vale la pena traer son:

Hacking. Entrar en forma ilegal y sin el consentimiento del propietario en su

sistema informático. No conlleva la destrucción de datos ni la instalación de

virus. También se puede definir como cualquier acción encaminada a conseguir

la intrusión en un sistema (ingeniería social, caballos de Troya, etc.)

Cracker. Un individuo que se dedica a eliminar las protecciones lógicas y

físicas del software. Normalmente muy ligado al pirata informático puede ser un

hacker criminal o un hacker que daña el sistema en el que intenta penetrar.

Crackeador o crack: Son programas que se utilizan para desproteger o sacar

los passwords de programas comerciales. Pudiendo utilizarse éstos como si se

hubiera comprado la licencia. Quienes los distribuyen son altamente

perseguido por las entidades que protegen los productores de software.

Entre las variantes de crackers maliciosos están los que realizan Carding

(Tarjeteo, uso ilegal de tarjetas de crédito), Trashing (Basureo, obtención de

información en cubos de basura, tal como números de tarjetas de crédito,

contraseñas, directorios o recibos) y Phreaking o Foning (uso i legal de las

redes telefónicas).

Ataques

- Ataques a Contraseñas.

- Consecución de direcciones IP

- Scaneo de puertos

- Código Dañino

- Captura y análisis de trafico.

- Denegación del Servicio (DOS).

- IP Spoofing (Modificación del campo de dirección origen de los paquetes IP,

por la que se desea suplantar


127

Herramientas usadas

Aprovechar Huecos de Seguridad en Sistemas operativos y/o Servicios:

Defectos en el software, que permiten la intrusión o generan fallas graves en el

funcionamiento.

A. Scaneo de Puertos: Siendo una herramienta que apoya la seguridad puede

ser utilizada en contra de ella. Permite conocer el estado de los puertos

asociados con los servicios disponibles en la instalación.

B. Sniffer: Es un programa que intercepta la información que transita por una

red. Sniffing es espiar y obtener la información que circula por la red. Coloca la

interfaz en modo promiscuo y captura el tráfico. Su misión para los ataques es

fisgonear la red en busca de claves o puertos abiertos.

C. Troyanos: Programas que simulan ser otros para así atacar el sistema.

Ataque de Fuerza bruta sobre claves. Forma poco sutil de entrar en un sistema

que consiste en probar distintas contraseñas hasta encontrar la adecuada.

D. Ingeniería Social: Es una técnica por la cual se convence a alguien, por

diversos medios, de que proporcione información úti l para hackear o para

beneficiarnos. Requiere grandes dosis de psicología. Explota la tendencia de la

gente a confiar en sus semejantes.

E. Basureo o Trashing: Recoger basura. Se trata de buscar en la basura (física

o informática) información que pueda ser útil para hackear.

F. Ping: Ubicar equipos conectados.

G. Traceroute: Ver la ruta de paquetes y enrutadores en la red

H. Spams: No es un código dañino, pero si bastante molesto. Es un programa

que ejecuta una orden repetidas veces. Ampliamente utilizado por empresas de

marketing usando el correo electrónico para enviar sus mensajes en forma

exagerada.

6.2.4 Evaluación de Seguridad

El auditor debe verificar que se tengan presenten y se implementen medidas

que a partir de los riesgos planteados y dada la importancia del sistema para la

organización minimicen las amenazas.


128

Medidas de Control

Conocimiento de los riesgos a que esta expuesta la instalación en

particular.

Conocimiento y corrección o "parcheo" de los problemas detectados y/o

reportados en versiones de - Sistemas Operativos y Servicios implementados.

Este mecanismo parte de la instalación inicial.

Concientización de los usuarios de los riesgos a que esta expuesta la

instalación y el papel de cada uno en la protección. El 99% de los ataques se

realizan apoyándose en fallas al interior de la organización.

Implementación de políticas de seguridad en sistemas operativos.

Auditoria y monitoreo a trafico, accesos y cambios en el sistema.

Uso de sniffer y scanner para conocer el estado del sistema.

Montaje de Firewall (Muro de Protección): Software y hardware de

seguridad encargado de chequear y bloquear el tráfico de la red hacia y/o es de

un sistema determinado. Se ubica entre la red privada e Internet.

Pueden ser enrutadores de filtración de paquetes o gateways de

aplicaciones basados en proxy.

Utilización de herramientas para Detección de Intrusos (IDS).

Uso de protocolos seguros como SSL y HTTP-S

Requerimientos de certificados de autenticación en los casos de

operaciones de alta importancia.

A nivel de la empresa en lo posible, tener los datos de importancia en zonas

protegidas o fuera del acceso desde Internet.

Encriptación de los datos sensitivos.

Evaluar que los usuarios usan solo los servicios requeridos para su labor y

que no exponen la seguridad con el uso de IRC, P2P, etc.

Se debe considerar la posibilidad de apoyarse en Hacking Etico para

evaluar la seguridad del sistema


129

Caso 01: Taller auditoria de redes

Uno de los aspectos relevantes en toda red es evaluar y monitorear el paso de

paquetes a través de ésta, para lo cual se utilizan herramientas de monitoreo

que muestran en forma legible el comportamiento de la red.

Objetivo: Utilizar el programa Ethereal para examinar paquetes en una red de

datos.

Actividades a desarrollar:

o Bajar e instalar el software Ethereal (http://www.ethereal.com)

o Conectarse a un servidor (SUN, Linux,UNIX,etc) y capturar 2 minutos de

trafico.

o Observar los distintos protocolos y el encapsulamiento

o Establecer conclusiones

o Entregar en formato digital en archivo .doc tipo informe de reporte según

lo que solicite.

Estructura del informe:

o Aspectos y consideraciones en la instalación

o Configuración de la red de pruebas

o Captura del trafico

o Análisis del tráfico ( grafos de protocolos, seguridad,etc)

o Conclusiones relevantes

http://www.ethereal.com/


130

Toda organización en la parte de las redes de computadores tiene un punto de

viraje bastante importante; es por ello que en el presente fascículo tratamos en

un inicio los modelos de redes más conocidos como el modelo OSI y TCP/IP

con algunas variaciones, como el de encapsular varios protocolos, como el

Netbios, el cual nos sirve como base para realizar todo un proceso de auditoria

de redes de computadoras dentro de nuestras organizaciones, para luego

determinar la vulnerabilidades existentes dentro de nuestras redes y poder

proponer las estrategias necesarias para eliminar o reducir dichos problemas.




Edición, 2003.






Edición 2001.




131

En el siguiente fascículo se describe los aspectos básicos que se deben

analizar y evaluar durante una auditoria de redes de computadoras.

1. ¿Cuáles son las incidencias que pueden producirse en las redes de

comunicaciones?

2. ¿Cuales son los mayores riesgos que ofrecen las redes?

3. ¿Existe el riesgo de que intercepte un canal de comunicaciones?

4. ¿Qué suele hacerse con las contraseñas de los usuarios?

5. ¿Cuáles son los protocolos mas importantes de alto nivel?

6. Diferencias entre Internet, Intranet y Extranet

7. ¿Qué es un “Cortafuegos”?

8. ¿Qué es un gusano?

9. ¿Qué objetivos de control destacaría en la auditoria de gerencia de

comunicaciones?


132

UNIDAD ACADÉMICA VII

AUDITORIA A LA DIRECCIÓN DE TECNOLOGIAS DE INFORMACIÓN

Uno de los factores competitivos claves en los últimos veinte años ha sido, sin

duda, la aplicación estratégica de las tecnologías de información y de

comunicaciones. Si bien estas inversiones han estado focalizadas en la

automatización, en el escenario competitivo actual surge la necesidad de

operar de maneras más dinámicas, nuevos modelos de negocio que exigen

inversiones en tecnologías y aplicaciones cada vez más flexibles e integradas

como factor de supervivencia.

Un aspecto estratégico en las organizaciones es la Dirección de las

Tecnologías de Información. En efecto, la manera en que se gestiona la

materialización, operación y continuidad de los servicios tecnológicos

requeridos por la organización ya no son una ventaja competitiva, sino un factor

que al no estar alineado a las necesidades de la empresa, constituirá una

desventaja competitiva relevante.

La Auditoria de la Dirección de Tecnologías de Información es una tarea difícil.

Sin embargo, la contribución que dicha gestión realiza (o debe realizar) al

ambiente de control de las operaciones informáticas de una empresa es

esencial.

Dar a conocer las principales actividades de todo proceso de dirección,

desde una visión de las tecnologías de información en la organización.

Conocer y aplicar las herramientas indicadas de la auditoria en una

auditoria de la dirección de tecnologías de información.


133

7.1 PLANIFICACIÓN ESTRATÉGICA

La planificación estratégica pone en movimiento a una organización para

alcanzar los objetivos de la empresa. Una planificación exhaustiva ayuda a

garantizar una organización eficaz y eficiente. La planificación estratégica está

orientada al tiempo y a los proyectos y ayuda a definir prioridades y alcanzar

los objetivos empresariales.

El Departamento de Tecnologías de Información (TI) debe tener planes a largo

plazo (a más de un año, típicamente entre 3 y 5 años) y a corto plazo(a un año)

para contribuir a que se alcancen con éxito los objetivos globales de la

empresa. Tales planes deben ser coherentes con los planes globales de la

organización para alcanzar sus objetivos de negocio.

Por ejemplo, si una organización tiene el objetivo de negocio de que sus

procesos de negocio estén soportados por la tecnología (un ejemplo podría ser

el comercio electrónico), deberá tener un departamento de TI con fuerte

capacidad de innovación. Sin embargo, si una empresa tiene la vocación de

dar un servicio de bajo costo, necesitará un departamento de TI menos

innovativo.

7.1.1 COMITÉ DE DIRECCIÓN DE TECNOLOGIAS DE INFORMACIÓN (TI)

Los Comités de Dirección de TI aseguran que las actividades del departamento

de TI están alineadas con la misión y objetivos de la empresa. Aunque no es

una práctica común, en este comité debe haber un miembro del Comité de

Dirección de la empresa, que esté al tanto los riesgos y problemas respecto a

la tecnología informática, así como de la ventaja estratégica que la utilización

eficiente de la TI conlleva. El resto del comité, debe estar constituido por

gerentes de alto nivel, incluyendo al de TI, de las diferentes áreas de la

empresa representando a todas las áreas del negocio de la organización. Su

objetivo es revisar y actuar ante las solicitudes de nuevos sistemas, de acuerdo

con los objetivos de la empresa. Por ello, la responsabilidad del comité es

asegurar la uti lización eficiente de los recursos de procesamiento de datos y

fijar prioridades, examinar los costos y respaldar a los diversos proyectos.


134

7.1.2 POLÍTICAS Y PROCEDIMIENTOS

Las políticas y procedimientos son guías y directrices para desarrollar los

controles sobre los sistemas de información y los recursos relacionados:

Políticas, las políticas son documentos de alto nivel. En ellas se plasma la

filosofía de la organización y la estrategia de la alta dirección. Para que sean

eficaces deben estar escritas de forma clara y concisa. La dirección, en sus

diferentes niveles, debe crear un entorno de control positivo asumiendo la

responsabilidad de formular, desarrollar, documentar y divulgar políticas que

cubran los objetivos generales. También debe asegurar que los empleados

afectados por una política concreta reciben una explicación detallada de la

política y de que entienden su intención.

Procedimientos, los procedimientos son documentos de detalle. Cada uno de

ellos debe derivarse de una política y debe implementar la intención de la

política. Al igual que las políticas deben escribirse de forma clara y concisa

para que se puedan entender y aplicar. Los procedimientos documentan los

procesos de negocio y los controles involucrados en ellos. Generalmente, los

procedimientos son más dinámicos que la política de la que emanan. Deben

reflejar los cambios habidos por lo que es necesario que se revisen y actualicen

frecuentemente. Para un auditor constituirá un tema de preocupación el

encontrarse con que una organización no realiza el proceso de revisión de los

procedimientos. Los auditores revisan los procedimientos para

identificar/evaluar y, posteriormente, probar los controles sobre los procesos de

negocio. Cuando encuentran que las prácticas operacionales no siguen los

procedimientos o cuando no existen los documentos de los procedimientos,

será difícil poder identificar los controles y asegurar que están operativos.

En la mayoría de las organizaciones, el departamento de Tecnologías de

Información es un departamento de servicios. El papel tradicional de un

departamento de servicios es el de ayudar a los departamentos de producción

a realizar sus operaciones de una forma más eficaz.

Sin embargo hoy en día, TI se ha constituido como parte integral de las

operaciones de una organización. Su importancia continúa creciendo año tras


135

año, y todo hace prever que esta tendencia no cambie. Por tanto, los auditores

de TI tienen que entender y apreciar que un departamento de TI bien

gestionado es crucial para la salud de una organización.

Principios de Gestión

Los principios estándar de buena gestión aplican a la gestión de TI, no obstante

las prácticas de gestión reales diferirán dependiendo de la naturaleza del

departamento de TI. Por ejemplo, una compañía con un gran computador

central puede tener un gran número de métodos diferentes que una compañía

que tiene una amplia red de oficinas dispersas, cada una con una RAL (red de

área local) de PCs y un alto grado de autonomía.

Algunas áreas clave donde el foco y el énfasis son diferentes en el

departamento de TI son las siguientes:

Gestión de la persona: El personal en un departamento típico de TI está

altamente cualificado. Estos profesionales de TI suelen cambiar de trabajo

frecuentemente y las subidas de salario normales y los cambios a puestos

de gestión no son una motivación para ellos. Los departamentos de TI

muchas veces son organizaciones planas con pocos niveles de jerarquía.

Personal con poca experiencia tiene importantes responsabilidades y toma

decisiones cruciales. Por tanto, la formación de los empleados y un plan de

carrera profesional son de gran ayuda.

Gestión del cambio: No solo el personal cambia frecuentemente, sino que

también el departamento está en un estado de cambio manejando

demandas de nuevas aplicaciones y nuevas tecnologías. Es importante

para el departamento estar al tanto de la tecnología y adoptar

proactivamente el cambio cuando sea necesario.

Foco en buenos procesos: Debido a la tasa de cambio, es importante

implementar y promover buenos procesos. Debe haber procedimientos

documentados de todos los aspectos del departamento ya sean estándares

de programación, pruebas o respaldo de los datos. El control y el

aseguramiento de la calidad son otros ejemplos de elementos importantes

de un departamento bien gestionado. Los procesos y los procedimientos no


136

deben ser estáticos, tienen que estar al corriente de la actualidad de la

organización.

Seguridad: La preocupación por la seguridad es más importante y

penetrante dentro de un departamento de TI que en muchos otros

departamentos. Internet ha hecha mayor esta preocupación. Como recurso

crucial que es, el departamento de TI debe estar igualmente preocupado

por la continuidad de las operaciones del negocio y de la recuperación de

desastres.

Gestión de terceras partes: Dado que los departamentos de TI utilizan

productos, hardware, software y redes de alta tecnología, tienen muchos

suministradores que deben trabajar juntos para entregar los resultados

deseados.

7.2 AUDITORIA DE LA GESTIÓN DE TECNOLOGIAS DE INFORMACIÓN

Los departamentos de TI están integrados en organizaciones mayores y que,

por tanto son destinatarios de un sin fin de estímulos de las mismas, que duda

cabe de que, dado el ámbito tecnológico tan particular de la informática, la

principal influencia que dichos departamentos reciben viene inducida desde la

propia dirección de TI.

Las enormes sumas que las empresas dedican a las tecnologías de

información en un crecimiento que no se vislumbra el final y la absoluta

dependencia de las mismas al uso correcto de dicha tecnología hacen muy

necesaria una evaluación independiente de la función que la gestiona. La

dirección TI no debe quedar fuera: es una pieza clave del engranaje.

Se podría decir que algunas de las actividades básicas de todo proceso de

dirección son:

Planificar.

Organizar.

Coordinar

Controlar


137

Grafico 7.1: Funciones de un proceso de dirección

7.2.1 PLANIFICAR

Se trata de prever la utilización de las tecnologías en la empresa. Existen

varios tipos de planes informáticos. El principal, y origen de todo lo demás, lo

constituye el plan estratégico del sistema de información.

PLAN ESTRATÉGICO DEL SISTEMA DE INFORMACIÓN

Debe asegurar el alineamiento de los mismos con los objetivos de la empresa.

Desgraciadamente la transformación de los objetivos de la empresa en

objetivos informáticos no es siempre una tarea fácil. Estos planes no son

responsabilidad exclusiva de la dirección de informática, pero debe ser el

permanente impulsor de una planificación de sistemas de información

adecuada y a tiempo. Aunque se suele definir la vigencia de un plan estratégico

de 3 a 5 años, tal plazo es muy dependiente del entorno en el que se mueve la

empresa. Cada empresa tiene su equilibrio natural y el auditor deberá evaluar

si los plazos en uso en su empresa son los adecuados. Debe existir un

proceso, con participación activa de los usuarios, que regularmente elabore

planes estratégico de sistemas de información a largo plazo y el auditor deberá

evaluar su adecuación.

Planificar Organizar Coordinar y Controlar


138

Guía De Auditoria

El auditor deberá examinar el proceso de planificación de sistemas de

información y evaluar si se cumple los objetivos. Deberá evaluar si durante el

proceso de planificación se presta adecuada atención al plan estratégico de la

empresa y se presta adecuada consideración a nuevas TI.

Las tareas y actividades presentes en el plan tienen la correspondiente y

adecuada asignación de recursos para poder llevarlas a cabo así mismo si

tiene plazo de consecución realista.

Acciones a realizar tenemos:

Lectura de actas de sesiones del comité de informática y dedicadas a la

planificación estratégica.

Identificación y lectura de los documentos intermedios prescritos por la

metodología de planificación.

Lectura y comprensión detallada del plan e identificación de las

consideraciones incluidas en el mismo.

Realización de entrevista al director de informática y otros miembros del

comité de informática participantes en el proceso de elaboración de plan

estratégico así como a los usuarios

Identificación y comprensión de los mecanismos existentes de seguimiento

y actualización del plan y de su relación con la evolución de la empresa.

Otros planes relacionados:

Normalmente deben existir otros planes informáticos, todos ellos nacidos al

amparo del plan estratégico. Entre otros, los más habituales suelen ser:

Plan operativo anual.

Plan de dirección tecnológica.

Plan de arquitectura de información.

Plan de recuperación ante desastres.


139

Plan operativo anual:

Se establece al comienzo de cada ejercicio y es el que marca las pautas a

seguir durante el mismo.

Entre otros aspectos, debe señalar los SI a desarrollar, los cambios

tecnológicos previstos, los recursos y los plazos necesarios, etc.

El auditor deberá evaluar la existencia del plan y su nivel de la calidad.

Deberá estudiar su alineamiento con el plan estratégico, grado de atención

a las necesidades de los usuarios, sus previsiones de los recursos

necesarios para llevar acabo el plan, etc.

Deberá analizar si los plazos descritos son realistas, teniendo en cuenta las

experiencias anteriores en la empresa.

Plan de recuperación ante desastres:

Una instalación informática puede verse afectada por desastres de variada

naturaleza, que tengan como consecuencia inmediata la indisponibilidad de

un servicio informático adecuado.

La dirección debe prever esta posibilidad y, por tanto, planificar para

hacerle frente.

7.2.2 ORGANIZAR Y CONTROLAR

El proceso de organizar sirve para estructurar los recursos, los flujos de

información y los controles que permitan alcanzar los objetivos marcados

durante la planificación.

Comité de Tecnologías de Información (TI)

El comité de Tecnologías de Información es el primer lugar de encuentro dentro

de la empresa de los informáticos y sus usuarios: es el lugar en el que se

debate los grandes asuntos de la informática que afectan a toda la empresa y

permiten a los usuarios conocer las necesidades del conjunto de la

organización y participar en la fijación de prioridades.

Si bien estrictamente el nombramiento, la fi jación de funciones, etc. del comité

de informática no son responsabilidades directas de la dirección de


140

Tecnologías de Información, sino de la dirección general, la dirección de TI se

ha de convertir en el principal impulsor de la existencia de dicho comité.

Se ha escrito mucho sobre las funciones que debe realizar un comité de TI y

parece existir un cierto consenso en los siguientes aspectos:

Aprobación del plan estratégico de SI.

Aprobación de las grandes inversiones en TI.

Fijación de prioridades entre los grandes proyectos informáticos.

Vehículo de discusión entre la informática y sus usuarios.

Vigila y realiza el seguimiento de la actividad del departamento de TI.

Guía de auditoria

El auditor deberá asegurar que el Comité de TI existe y cumple su papel

adecuadamente. Para ello, deberá conocer, en primer Lugar, las funciones

encomendadas al Comité. Entre las acciones a realizar tenemos:

Lectura de la normativa interna, si la hubiera, para conocer las funciones

que debería cumplir el Comité de TI.

Entrevistas a miembros destacados del Comité con el fin de conocer las

funciones que en la práctica realiza dicho Comité.

Entrevistas a los representantes de los usuarios, miembros del Comité, para

conocer si entienden y están de acuerdo con su papel en el mismo.

Una vez establecida la existencia del Comité deTI, habrá que evaluar la

adecuación de las funciones que realiza.

Posición del Departamento de TI en la empresa

El Departamento debería estar suficientemente alto en la jerarquía y contar con

masa critica suficiente para disponer de autoridad e independencia frente a los

departamentos usuarios.

Hoy en día, las tecnologías de información da soporte a un conjunto mucho

mayor de áreas empresariales y, por ello, cada vez es más habitual encontrar a

departamentos de TI dependiendo directamente de Dirección General.


141

Incluso en las grandes organizaciones, el Director de TI es miembro de

derecho del Comité de Dirección u órgano semejante

Guía de auditoria

El auditor deberá revisar el emplazamiento organizativo del Departamento de

TI y evaluar su independencia frente a departamentos usuarios.

Para este proceso, será muy útil realizar entrevistas con el Director de TI y

directores de algunos departamentos usuarios para conocer su percepción

sobre el grado de independencia y atención del Departamento de TI.

Aseguramiento de la Calidad

La calidad de los servicios ofrecidos por el Departamento de TI debe estar

asegurada mediante el establecimiento de una función organizativa de

Aseguramiento de la Calidad.

Es muy importante que esta función, de relativa nueva aparición en el mundo

de las organizaciones informáticas, tenga el total respaldo de la Dirección y sea

percibido así por el resto del Departamento.

Guía de auditoria

El auditor deberá comprobar que las descripciones están documentadas y son

actuales y que las unidades organizativas informáticas las comprenden y

desarrollan su labor de acuerdo a las mismas. Entre las tareas que el auditor

podrá realizar:

Examen del organigrama del Departamento de TI e identificación de las

grandes unidades organizativas.

Revisión de la documentación existente para conocer la descripción de las

funciones y responsabilidades.

Realización de entrevistas a los directores de cada una de las grandes

unidades organizativas para determinar su conocimiento de las

responsabilidades de su unidad y que éstas responden a las descripciones

existentes en la documentación correspondiente.


142

Examen de las descripciones de las funciones para evaluar si existe adecuada

segregación de funciones, incluyendo la separación entre desarrollo de

sistemas de información, producción y departamentos usuarios. Igualmente,

será menester evaluar la independencia de la función de seguridad.

Observación de las actividades del personal del Departamento para analizar,

en la práctica, las funciones realizadas, la segregación entre las mismas y el

grado de cumplimiento con la documentación analizada.

Estándares del funcionamiento y procedimientos.

Descripción dé los puestos de trabajo.

Deben existir estándares de funcionamiento y rendimiento que gobiernen la

actividad del Departamento de TI por un lado y sus relaciones con los

departamentos usuarios por otro.

Dichos estándares y procedimientos deberían estar documentados.

actualizados y ser comunicados adecuadamente a todos los departamentos

afectados.

Por otro lado deben existir documentadas descripciones de los puestos de

trabajo dentro de Informática delimitando claramente la autoridad y la

responsabilidad en cada caso.

Guía de auditoria

El auditor deberá evaluar si existen estándares de funcionamiento

procedimientos y descripciones de puestos de trabajo, adecuados y

actualizados. Entre las acciones a realizar, se pueden citar:

o Evaluación del proceso por el que los estándares, procedimientos y

puestos de trabajo son desarrollados, aprobados, distribuidos y

actualizados.

o Revisión de los estándares y procedimientos existentes.

o Revisión de las descripciones de los puestos de trabajo para evaluar

si reflejan las actividades realizadas en la práctica.


143

Gestión de Recursos Humanos:

Selección, Evaluación del Desempeño, Formación, Promoción,

Finalización.

La gestión de los recursos humanos es uno de los elementos críticos en la

estructura general informática.

La calidad de los recursos humanos influye directamente en localidad de los

sistemas información producidos, mantenidos y operados por el

departamento de informática.

Guía de auditoria

Entre otros el auditor deberá evaluar que:

La selección de personal se basa en criterios objetivos.

El rendimiento de cada empleado se evalúa regularmente en base a

estándares.

Existen procesos para determinar las necesidades de formación de

empleados en base a su experiencia.

Existen procesos para la promoción del personal que tienen en cuenta su

desempeño profesional.

Existen controles que tienden a asegurar que el cambio de puesto de

trabajo y la finalización de los contratos laborales no afectan a los controles

internos y a la seguridad informática

Además el auditor deberá evaluar que todos los aspectos anteriores están

en línea con las políticas y procedimientos de la empresa.

Entre las acciones realizadas se pueden citar:

Conocimiento y evaluación de los procesos uti lizados para cubrir vacantes

en el Departamento.

Análisis de las cifras de rotación de personal, niveles de absentismo laboral

y estadísticas de proyectos terminados fuera de presupuesto y de plazo.

Realización de entrevistas a personal del Departamento.


144

Revisión del calendario de cursos, descripciones de los mismos, métodos y

técnicas de enseñanza.

Revisión de los procedimientos para la finalización de contratos.

Comunicación

Es necesario que exista una comunicación efectiva y eficiente entre la

Dirección de Informática y el resto del personal del Departamento.

Entre los aspectos que es importante comunicar se encuentran: actitud

positiva hacia los controles, integridad, ética, cumplimiento de la normativa

interna entre otras, la de seguridad informática compromiso con la calidad,

etc.

Guía de auditoria

El auditor deberá evaluar las características de la comunicación entre la

Dirección y el personal de Informática.

Para ello se podrá servir de tareas formales como las descritas hasta ahora

y de otras, por ejemplo, a través de entrevistas informales con el personal

del Departamento.

Gestión económica

Este apartado de las responsabilidades de la Dirección de Informática tiene

varias facetas: presupuestario, adquisición de bienes y servicios y medida y

reparto de costes.

Presupuesto

Como todo departamento de la empresa, el de Informática debe tener un

presupuesto económico, normalmente en base anual.

Los criterios sobre cuáles deben ser los componentes del mismo varían

grandemente.

Sea cual sea la política seguida en la empresa, el Departamento de TI debe

seguirla para elaborar su presupuesto anual.


145

Guía de auditoria

El auditor deberá constatar la existencia de un presupuesto económico de un

proceso para elaborarlo -que incluya consideraciones de los usuarios- y

aprobarlo, y que dicho proceso está en línea con las políticas y procedimientos

de la empresa y con los planes estratégico y operativo del propio

Departamento.

Adquisición de bienes y servicios

Los procedimientos que el Departamento de TI siga para adquirir los bienes y

servicios descritos en su plan operativo anual y/o que se demuestren

necesarios a lo largo del ejercicio han de estar documentados y alineados con

los procedimientos de compras del resto de la empresa. Aquí, las variedades

infinitas, con lo que es imposible dar reglas fijas.

Guía de auditoria

Una auditoria de esta área no debe diferenciarse de una auditoria tradicional

del proceso de compras de cualquier otra área de la empresa, con lo que el

auditor deberá seguir básicamente las directrices y programas de trabajo de

auditoria elaborados para este proceso.

Medida y reparto de costes

La dirección de informática debe en todo momento gestionar los costes

asociados con la uti lización de los recursos humanos y tecnológicos. Y ello,

obviamente, exige medirlos.

Guía de auditoria

El auditor deberá evaluar la conveniencia de que exista o no un sistema de

reparto de costes informáticos y de que este sea justo, incluya los conceptos

adecuados y de que el precio de transferencia aplicada este en línea o por

debajo del mercado. Entre las acciones a llevarse acabo, se puede mencionar:

Realización de entrevistas a la dirección de los departamentos usuarios.

Análisis de los componentes y criterios con los que está calculado el precio

de transferencia.


146

Conocimiento de los diversos sistemas existentes en el departamento.

SEGUROS

La dirección de informática debe tomar las medidas necesarias con el fin de

tener la suficiente cobertura para los sistemas informáticos.

Estas coberturas amparan riesgos tales como la posible perdida de negocio,

los costes asociados al hecho de tener que ofrecer servicio informático

desde un lugar alternativo por no estar disponible en sitio primario, los

costos asociados a la regeneración de datos por perdida o inutilización de

los datos originales, etc.

Guía de auditoria

El auditor deberá estudiar las pólizas de seguros y evaluar la cobertura

existente, analizando si la empresa está suficientemente cubierta o existen

huecos en dicha cobertura. Por ejemplo, algunas pólizas sólo cubren el

reemplazo del equipo, pero no los otros costes mencionados, etc.

7.2.3 CONTROL Y SEGUIMIENTO

Un aspecto común a todo lo que se ha dicho hasta el momento es la obligación

de la Dirección de controlar y efectuar un seguimiento permanente de la distinta

actividad del Departamento.

Se ha de vigilar el desarrollo de los planes estratégico y operativo y de los

proyectos que los desarrollan, la ejecución del presupuesto, etc. En esta labor,

es muy conveniente que existan estándares de rendimiento con los que

comparar las diversas tareas.

Guía de auditoria

Entre las acciones a realizar, se pueden mencionar:

Conocimiento y análisis de los procesos existentes en el Departamento para

llevar a cabo el seguimiento y control, Evaluación de la periodicidad e los

mismos. Analizar igualmente los procesos de represupuestación.


147

Revisión de planes, proyectos, presupuestos de años anteriores y del actual

para comprobar que son estudiados, que se analizan las desviaciones y que

se toman las medidas correctoras necesarias.

Cumplimiento de la normativa legal

La Dirección de Informática debe controlar que la realización de sus actividades

se lleva a cabo dentro del respeto a la normativa legal aplicable.

Asimismo, deben existir procedimientos para vigilar y determinar

permanentemente la legislación aplicable.

Guía de auditoria

El auditor deberá evaluar si la mencionada normativa aplicable se cumple.

Para ello, deberá, en primer lugar, entrevistarse con la Asesoría Jurídica de

la empresa la Dirección de Recursos Humanos y la Dirección de Informática

con el fin de conocer dicha normativa.

A continuación, evaluará el cumplimiento de las normas, en particular en los

aspectos más críticos.


148

Realizar un plan de auditoría para la auditoría de la direccion de la direccion de tecnologias de información.

Describa las actividades a realizar por un auditor para evaluar un plan estrategico de sistemas de información.

En el presente fascículo se da a conocer los principales aspectos que se deben

analizar y revisar durante una auditoria a la dirección de tecnologías de

información de cualquier organización. Así como también la importancia de

dicha auditoria en la calidad del marco de controles impulsado e inspirado por

la Dirección de TI sobre el probable comportamiento de los sistemas de

información.




Edición, 2003.






149


Edición 2001.



1. ¿Que evidencias deberá buscar un auditor para poder evaluar si las

necesidades de los usuarios son adecuadamente tenidas en cuenta?

2. ¿Qué tareas debe hacer un auditor para evaluar el plan de formación del

departamento de informática? ¿Cómo puede juzgar si dicho plan esta

acorde con los objetivos de la empresa?

3. Descríbase un programa de trabajo para evaluar Acuerdos de Nivel de

Servicio. Para el área de desarrollo y programación, identifíquense los

principales conceptos de servicio que debería contener un ANS así

como los indicadores de medida pertinentes.


150

UNIDAD ACADÉMICA VIII

OTROS ASPECTOS DE LA AUDITORIA DE INFORMÁTICA

En el presente fascículo se tratara algunos aspectos de mucha importancia

dentro del proceso de una auditoria, debido a la velocidad de avance de las

tecnologías de información y su gran impacto en cada uno de todas las

áreas del que hacer diario del ser humano: en primer lugar se describirá los

objetivos y desempeño de la asociación internacional ISACA y su respectivo

capitulo en nuestro país, así como también se exp licara la importancia de el

“Código Deontológico” en aquellos profesionales que ejercen una

determinada actividad, en especial la auditoria informática, y finalmente se

analizara el estado de la seguridad informática en Latinoamérica y la

convergencia de la seguridad como un nueva panorama para la gestión de

las tecnologías de información.

Conocer los principios deontológicos y códigos éticos que son exigibles

a los profesionales auditores informáticos como deberes y formas de

conducta que deben de seguir.

Entender que los códigos deontológicos sirven como ejemplo y cauce

idóneo por parte de los auditores para transmitir, al resto de la sociedad,

sus singulares y especificas percepciones, inquietudes y

autolimitaciones.

Analizar y aplicar los nuevos conceptos y enfoques de la seguridad y



151

8.1 ORGANISMOS E INSTITUCIONES DEDICADAS A LA SEGURIDAD Y

AUDITORIA INFORMÁTICA

8.1.1 ISACA (Asociación de Auditoria y Control de Sistemas de

Información)

ISACA comenzó en 1967, cuando

un pequeño grupo de personas

con trabajos similares-controles de

auditoría en los sistemas

informáticos que son cada vez más

críticos para las operaciones de sus organizaciones-se sentaron a discutir la

necesidad de una fuente centralizada de información y orientación en el campo.

En 1969, el grupo formalizado, como la incorporación de los auditores EDP

Asociación. En 1976 la asociación formó una fundación de educación para

llevar a cabo los esfuerzos de investigación a gran escala para expandir el

conocimiento y el valor de la gobernanza de las TI y el campo de control.

Hoy en día, los miembros de ISACA-más de 86.000 en todo el mundo firme-se

caracterizan por su diversidad. Los miembros viven y trabajan en más de 160

países y cubren una variedad de profesionales de TI puestos conexos-para

nombrar sólo algunas, es auditor, consultor, educador, es la seguridad

profesional, regulador, director de información y auditor interno. Algunos son

nuevos en el campo, otros se encuentran en los niveles de la gerencia media y

otros están en la mayoría de los rangos superiores. Trabajan en casi todas las

categorías de la industria, incluidas las cuentas públicas financieras y

bancarias, el gobierno y el sector público, servicios públicos y la fabricación.

Esta diversidad permite a los miembros aprendan unos de otros, y el

intercambio de puntos de vista ampliamente divergentes sobre una variedad de

temas profesionales. Durante mucho tiempo ha sido considerado como uno de

los puntos fuertes de ISACA. Anteriormente conocida como la Auditoría de

Sistemas de Información y Control Association, ISACA ahora va por su sigla en

sólo, para reflejar la amplia gama de profesionales de TI de gobierno que sirve.

Otro de los puntos fuertes de ISACA es su red de capítulo. ISACA tiene más de


152

175 capítulos establecidos en más de 70 países de todo el mundo, y los

capítulos de proporcionar a sus miembros educación, intercambio de recursos,

promoción, contactos profesionales y una serie de otros beneficios a nivel local.

Averigüe si hay un capítulo cerca de usted.

Desde su creación, ISACA se ha convertido en un ritmo de establecimiento de

la organización mundial para la gestión de la información, control, seguridad y

profesionales de la auditoría. La de auditoría y normas de control IS son

seguidos por los profesionales de todo el mundo. Su investigación se señala

cuestiones profesionales difíciles de sus mandantes. Su Certified Information

Systems Auditor (CISA), la certificación es reconocida a nivel mundial y ha sido

ganado por más de 60.000 profesionales desde su creación. El certificado

Security Information Manager (CISM) de certificación únicamente los objetivos

de la información de la audiencia de gestión de seguridad y se ha ganado por

más de 10.000 profesionales. El Certificado de gobernanza de TI de las

empresas (CGEIT) la designación promueve el progreso de los profesionales

que deseen ser reconocidos por su gobierno de TI relacionados con la

experiencia y conocimiento y ha sido obtenido por más de 200 profesionales.

Publica una revista técnica de liderazgo en el campo de control de la

información, el Diario de ISACA. Alberga una serie de conferencias

internacionales centradas en temas técnicos y de gestión pertinentes a la es la

seguridad, control, seguridad y Profesiones de la gobernanza. Juntos, ISACA y

su filial IT Governance Institute dirigir la información a la comunidad técnica de

control y sirven a sus practicantes, proporcionando los elementos necesarios

para los profesionales de TI en un entorno en constante cambio en todo el

mundo.

8.1.2 ISACA en el Perú: APACSI

El Capítulo 146 de ISACA, es una asociación de profesionales, miembros de

ISACA, dedicados a la práctica de la auditoria, control y seguridad de sistemas

de información, en la cuidad de Lima – Perú.

El Capítulo 146 de ISACA fue fundado en el año 1997 y su objetivo principal es


153

brindar a sus miembros educación, recursos compartidos, promoción,

contactos profesionales y una amplia gama de beneficios adicionales a nivel

local, para el mejoramiento y desarrollo de las capacidades individuales

relacionados con la práctica de la auditoria, el control y la seguridad de

sistemas de información.

ISACA se ha convertido

actualmente en una

organización global que

establece las pautas para

los profesionales de

auditoria, control y seguridad de sistemas de información. Sus normas de

auditoria, control y seguridad de sistemas de información son respetadas por

profesionales de todo el mundo. Sus investigaciones resaltan temas

profesionales que desafían a sus constituyentes.

Certificaciones:

Su certificación Certified Information Systems Auditor (Auditor Certificado de

Sistemas de Información, o CISA) es reconocida en forma global y ha sido

obtenida por más de 30.000 profesionales.

Su nueva certificación Certified Information Security Manager (Gere nte

Certificado de Seguridad de Información, o CISM) se concentra

exclusivamente en el sector de gerencia de seguridad de la información.

Publica un periódico técnico líder en el campo de control de la información,

el Information Systems Control Journal (Periódico de Control de Sistemas

de Información).

Organiza una serie de conferencias internacionales que se concentran en

tópicos técnicos y administrativos pertinentes a las profesiones de gobernación

de TI y aseguración, control, seguridad de SI. Juntos, ISACA y su Instituto de

Gobernación de TI

(IT Governance Institute) asociado lideran la comunidad de control de

tecnología de la información y sirven a sus practicantes brindando los

elementos que necesitan los profesionales de TI en un entorno mundial en


154

cambio permanente.

APACSI

8.2 DEONTOLOGIA APLICADA A LOS AUDITORES INFORMATICOS

Las asociaciones de profesionales elaboran sus propios códigos de ética para

establecer sanciones que pueden aplicarse a sus agremiados en caso de

incumplimiento de alguno de sus preceptos.

8.2.1 PRINCIPIOS DEONTOLÓGICOS APLICABLES A LOS AUDITORES

INFORMÁTICOS Y CODIGOS ETICOS

Los principios deontológicos aplicables a los auditores deben necesariamente

estar en consonancia con los del resto de profesionales y especialmente con

los de aquellos cuya actividad presente mayores concomitancias con la

auditoría. Se pueden indicar como básicos los siguientes:

Estos principios son los que están en consonancia con los del resto de

profesionales y especialmente con los de aquellos cuya actividad presente

mayores concomitancias con la de la auditoria, estos principios deontológicos

son adoptados por diferentes colegios y asociaciones profesionales del entorno

socio-cultural pudiéndose indicar como básicos para el buen desarrollo de


A. El principio de beneficio del auditado, el auditor deberá ver como se

puede conseguir la máxima eficacia y rentabilidad de los medios informáticos

de la empresa auditada, estando obligado a presentar recomendaciones acerca


155

del reforzamiento del sistema y el estudio de las soluciones más idóneas según

los problemas detectados en el sistema informático.

B. El principio de calidad, el auditor deberá prestar sus servicios a tener de

las posibilidades de la ciencia y medios a su alcance con absoluta libertad

respecto a la utilización de dichos medios y en unas condiciones técnicas

adecuadas para el idóneo cumplimiento de su labor.

C. El principio de capacidad, el auditor debe estar plenamente capacitado

para la realización de la auditoria encomendada, teniendo en cuenta que, en la

mayoría de los casos, a los auditados en algunos casos les puede ser

extremadamente difícil verificar sus recomendaciones y evaluar correctamente

la precisión de las mismas.

D. El principio de cautela, el auditor debe en todo momento ser consciente de

que sus recomendaciones deben estar basadas en la experiencia que le

supone tiene adquirida, evitando que el auditado se embarque en proyectos de

futuro fundamentos en simples intuiciones sobre la posible evolución de las

nuevas tecnologías de la información.

E. El principio de comportamiento profesional, el auditor, tanto en sus

relaciones con el auditado como con terceras personas, deberá, en todo

momento, actuar conforme a las normas implícitas o explicitas de dignidad de

la profesión y de corrección en el trato personal.

F. El principio de concentración en el trabajo, el auditor deberá evitar que

un exceso de trabajo supere sus posibilidades de concentración y precisión en

cada una de las tareas encomendadas, ya que esto puede provocar la

conclusión de los mismos sin las debidas garantías de seguridad.

G. El principio de confianza, el auditor deberá facilitar e incrementar la

confianza del auditado en base a una actuación de transparencia en su

actividad profesional sin alardes científicos-técnicos que puedan restar

credibilidad a los resultados obtenidos y a las directrices aconsejadas de

actuación.

H. El principio de criterio propio, el auditor durante la ejecución de la

auditoria deberá actuar con criterio propio y no permitir que éste esté

subordinado al de otros profesionales que no coincidan con el mismo.


156

I. El principio de discreción, el auditor deberá en todo momento mantener

una cierta discreción en la divulgación de datos, que se le hayan puesto de

manifiesto durante la ejecución de la auditoria.

J. El principio de economía, el auditor deberá proteger en la medida de sus

conocimientos los derechos económicos del auditado evitando generar gastos

innecesarios en el ejercicio de su actividad.

K. El principio de formación continua, el auditor tiene un deber y

responsabilidad de mantener una permanente actualización de sus

conocimientos y métodos a fin de adecuarlos a las necesidades de la demanda

y a las exigencias de la competencia de la oferta.

L. El principio de fortalecimiento y respeto de la profesión, la defensa de

los auditados pasa por el fortalecimiento de la profesión de los auditores

informáticos, lo que exige un respeto por el ejercicio de la actividad

desarrollada por los mismos y un comportamiento acorde con los requisitos

exigibles para el idóneo cumplimiento de la finalidad de las auditorias.

F. El principio de independencia, el auditor deberá actuar tanto como

profesional externo o con independencia laboral respecto a la empresa en la

que deba realizar la auditoria informática.

G. El principio de información suficiente, el auditor deberá ser plenamente

consciente de su obligación de aportar información clara y precisa al auditado

sobre todo y cada uno de los puntos relacionados con la auditoria q ue puedan

tener algún interés para él.

H. El principio de integridad moral, el auditor deberá ser honesto, leal y

diligente en el desempeño de su misión a ajustarse a las normas morales de

justicia y probidad y evitar en participar en actos corruptos tanto personal como

de terceros.

I. El principio de legabilidad, el auditor deberá evitar sus conocimientos para

facilitar a los auditados la contravención de la legabilidad vigente.

J. El principio de libre competencia, el auditor mediante la actual economía

de mercado deberá actuar en el marco de la libre competencia tratando de que

el auditado no entre en comportamientos desleales para que con sus

competidores.


157

K. El principio de no discriminación, el auditor deberá evitar inducir,

participar o aceptar situaciones discriminatorias de ningún tipo, ejerciendo su

actividad profesional sin prejuicios de ninguna clase y con independencia de las

características personales, sociales o económicas de sus clientes.

L. El principio de no injerencia, el auditor deberá evitar injerencia en los

trabajos de otros profesionales, respetar su labor y eludir hacer comentarios

despreciativos de la misma.

M. El principio de precisión, el auditor deberá estar convencido de su trabajo

antes de concluirlo por completo, debiendo ampliar el estudio del sistema

informático cuanto considere necesario.

N. El principio de publicidad adecuada, el auditor deberá en todo momento

ver el ajustamiento de la oferta y promoción de los servicios de auditoria a las

características, condiciones y finalidad perseguidas, evitando falsas difusiones

de publicidad con el objeto de engañar a los usuarios.

O. El principio de secreto profesional, el auditor deberá no difundir datos que

correspondan al auditado durante el desarrollo de su trabajo que pudieran

perjudicar a su cliente.

P. El principio de servicio publico, el auditor deberá hacer lo que este en su

mano y sin perjuicios de los intereses de sus clientes, para evitar daños

sociales durante la ejecución de la auditoria.

Q. El principio de veracidad, el auditor deberá tener siempre presente la

obligación de asegurar la veracidad de sus manifestaciones con los límites

impuestos por los deberes de respeto, corrección y secreto profesional.

8.2.2 CÓDIGOS DE CONDUCTA DE ALGUNAS ASOCIACIONES

La ISACF (Fundación de Control y Auditoria de Sistema de Información)

propone el siguiente Código de Ética Profesional para orientar a la conducta

profesional.

A. Los Auditores Certificados de Sistema de Información deberán:

1. Apoyar el establecimiento y cumplimiento de normas, procedimientos y

controles de las auditorias de sistemas de información.


158

2. Cumplir con las Normas de Auditoria de Sistemas de Información, según

las adopte la ISACF.

3. Actuar en interés de sus empleadores, accionistas, clientes y público en

general en forma diligente, leal y honesta, y no contribuir a sabiendas en

actividades ilícitas o incorrectas.

4. Mantener la confidencialidad de la información obtenida en el curso de

sus deberes.

5. Cumplir con sus deberes en forma independiente y objetiva y evitar toda

actividad que comprometa o parezca comprometer su independencia.

6. Mantener su capacidad en los campos relacionados con la auditoria y

los sistemas de información mediante la participación en actividades de

capacitación profesional.

7. Ejercer sumo cuidado al obtener y documentar material suficiente sobre

el cual basar sus conclusiones y recomendaciones.

8. Informar a las partes involucradas del resultado de las tareas de

auditoria que se hayan realizado.

9. Apoyar la entrega de conocimientos a la gerencia, clientes y al publico

en general para mejorar su comprensión de la auditoria y los sistemas

de información.

10. Mantener altos estándares de conducta y carácter tanto en las

actividades profesionales como en las privadas.

B. The British Computer Society por su parte establece un Código de

Conducta cuyos principios es esquematizan a continuación:

Conducta Profesional.

Integridad Profesional.

Interés Público.

Fidelidad.

Competencia Técnica.

Imparcialidad.


159

El auditor informático debe ser plenamente consciente de que su

comportamiento profesional presenta dos factores, íntimamente ligadas,

que configuran el régimen de su responsabilidad frente a terceros.

La primera corresponde a la aplicación de sus conocimientos técnicos

con la finalidad de determinar las condiciones de seguridad, fiabilidad y

calidad de los medios, elementos o productos que conforman el sistema

informático auditado.

La segunda debe poner de manifiesto la aplicación de los fundamentos

humanísticos que como persona y como profesional le son éticamente

exigibles.

En los casos de producirse algún conflicto entre ambas facetas, la

ponderación de los derechos deberá dar primacía a los valores morales

sobre los materiales.

8.2.3 CÓDIGO DE ÉTICA DE ISACA PERÚ

El Código de Ética Profesional

La Information Systems Audit and Control Association, Inc. (ISACA) dispuso y

actualizó el código de ética profesional para dirigir la conducta personal y

profesional de los miembros de la asociación y/o de aquellos que cuenten con

cualquiera de las credenciales de certificación internacional de ISACA.

En ese sentido, los miembros, certificados o no, están obligados a cumplir el

siguiente código de ética:

1. Apoyar el establecimiento y cumplimiento apropiado de estándares,

procedimientos y controles en los sistemas de información.

2. Realizar sus deberes con el debido cuidado profesional, objetividad, y

diligencia, de acuerdo con los estándares profesionales y las mejores

prácticas.

3. Dar servicio a sus empleadores, accionistas, clientes y público en general

en forma diligente, leal y honesta, manteniendo altos niveles de conducta y

no participar en actividades que desacrediten a la profesión.


160

4. Mantener la confidencialidad de la información obtenida en el curso de sus

deberes, a menos que el acceso sea requerido por una autoridad legal. Tal

información no será utilizada para la ventaja personal ni será divulgada a

terceros.

5. Mantener la capacidad en sus campos respectivos y acordar emprender

solamente aquellas actividades que razonablemente puede esperar

realizarlas competentemente.

6. Informar a las partes apropiadas los resultados del trabajo realizado,

revelándoles todos los hechos significativos.

7. Apoyar la educación de clientes, gerentes y público en general, para realzar

su comprensión de los sistemas de información, su seguridad y su control.

8. El cumplimiento del Código de Ética contribuye con el respeto y

reconocimiento mundialmente ganados por ISACA y contribuye al logro de

sus fines. La falta de adherencia al Código del Ética Profesional, de acuerdo

a lo establecido por ISACA Internacional, puede dar lugar a una

investigación y, en última instancia, a medidas disciplinarias.

8.3 SEGURIDAD DE LA INFORMACIÓN EN LATINOAMÉRICA:

TENDENCIAS 2009

La Asociación Colombiana de Ingenieros de Sistemas (ACIS) publicaron una

los resultados de una encuesta para con el fin de tomar una primera radiografía

al estado actual de la seguridad de la información en el continente.

El análisis realizado se desarrolló basado en una muestra aleatoria de

profesionales de tecnologías de información de Argentina, Chi le, Colombia,

México, Uruguay y otros países de Latinoamérica, la cual respondió una

encuesta de manera interactiva a través de una página web, con los resultados

de dicho análisis se llego a la siguientes conclusiones:

Las regulaciones internacionales llevarán a las organizaciones en

Latinoamérica a fortalecer los sistemas de gestión de la seguridad de la

información. Actualmente las normas como SOX y Basilea II comienzan a


161

cambiar el panorama de la seguridad de la información en la Banca y en el

mercado accionario.

La industria en Latinoamérica exige más de dos años de experiencia en

seguridad informática como requisito para optar por una posición en esta

área. De igual forma, se nota que poco a poco el mercado de especialistas

en seguridad de la información toma fuerza, pero aún la oferta de

programas académicos formales se encuentra limitada, lo que hace que las

organizaciones opten por contratar a profesionales con poca experiencia en

seguridad y formarlos localmente.

Las certificaciones CISSP, CISA y CISM son la más valoradas por el

mercado y las que a la hora de considerar un proyecto de seguridad de la

información marcan la diferencia para su desarrollo y contratación. Se

advierte un importante giro en las certificaciones CFE, CIA y CIFI que si

bien no aparecen con resultados “muy importantes”, si son consideradas

importantes por la industria.

La inversión en seguridad de la información se encuentra concentrada en

aspectos perimetrales, las redes y sus componentes, así como la protección

de datos de clientes que se reafirma con el 53,1% concentrado en temas de

seguridad de la información.

Las cifras en 2009 muestran a los antivirus, las contraseñas y los firewalls

de software como los mecanismos de seguridad más uti lizados, seguidos

por los sistemas VPN y proxies. Existe un marcado interés por las

herramientas de cifrado de datos y control de contenidos dos tendencias

emergentes ante las frecuentes fugas de información y migración de las

aplicaciones web al contexto de servicios o web services.

La limitada aplicación de las normas o regulaciones vigentes en temas de

delito informático en Latinoamérica y baja formación de los jueces en estos

temas establece un reto importante para la administración de justicia en el

continente. En este contexto, adelantar un proceso jurídico puede resultar

más costoso para la organización que para el posible infractor, dado que

generalmente la carga de la prueba está a cargo de la parte acusadora y los


162

posibles costos derivados de peritaje informático o análisis forense no

ayudan con la economía procesal requerida.

Si bien están tomando fuerza las unidades especializadas en delito

informático en Latinoamérica, es necesario continuar desarrollando

esfuerzos conjuntos entre la academia, el gobierno, las organizaciones y la

industria, para mostrarles a los intrusos que estamos preparados para

enfrentarlos.

La falta de apoyo directivo y la falta de tiempo, no pueden ser excusas para

no avanzar en el desarrollo de un sistema de gestión de seguridad. La

inversión en seguridad es costosa, pero la materialización de inseguridad

puede serlo mucho más. La decisión está en sus manos.

Los resultados sugieren que en Colombia el ISO 27000, ITIL y el Cobit 4.1

son el estándar y las buenas prácticas que están en las áreas de seguridad

de la información o en los departamentos de tecnologías de información.

Son motivadores de la inversión en seguridad: la continuidad de negocio, el

cumplimiento de regulaciones y normativas internas y externas, así como la

protección de la reputación de la empresa. Así mismo, se manifiesta la

necesidad de adelantar al menos un ejercicio anual de análisis de riesgos

como soporte a los temas de seguridad y procesos de negocio.

8.4CONVERGENCIA DE LA SEGURIDAD

En la actualidad, han surgido nuevas tecnologías de protección como resultado

del incremento no predecible de las amenazas y su mayor complejidad. Cada

vez más, es necesario mezclar tales alternativas en la organización.

Las organizaciones de hoy buscan incrementar a toda costa su Productividad y

de la forma más eficientemente posible, los recursos Disponibles, de tal

manera que sus productos y/o servicios sean ofrecidos de la mejor manera. En

este sentido es que la seguridad y la protección de la información han visto la

necesidad de evolucionar, de ver más allá, de buscar una manera integral para

garantizar su protección.

Este escenario cambiante y dinámico de la inseguridad de la información ha

direccionado los esfuerzos de la organización a entender que la protección de


163

la información debe contemplar un contexto completo, ver cómo la información

circula a través de empresa y cómo se deben Implementar las respectivas

medidas de protección, sin discriminar el ambiente del que se esté hablando.

Por la misma evolución de la seguridad y la protección de la información, que

ha venido desarrollándose, ya no sólo se ve a la inseguridad como un camino

que integra procesos, gente y tecnología, sino que ahora se integra con otros

elementos propios de protección, respondiendo a la necesidad de ver a la

inseguridad de manera total alrededor de la información, donde inclusive el

riesgo que se ha vuelto un elemento estratégico para el desarrollo natural de la

organización, ahora se puede ver por su evolución natural como un riesgo de

valor corporativo y así como la seguridad se ve como un elemento transversal a

la organización, y no de manera individual por cada unidad de negocio por

donde circula información.

Este nuevo panorama hace que se requieran mayores esfuerzos dentro de la

organización por el cumplimiento de un programa estructurado, con una forma

y un contenido, buscando cumplir de la mejor manera por esa nueva visión

integral del la inseguridad, enfocada a la protección de los activos de

información de la organización.

En este orden de ideas se requiere de alguien capaz de poder dirigir y dar

marcha al programa creado y diseñado de manera específica para la

organización; alguien que con esfuerzo, disciplina y una convicción clara pueda

llevar a acabo la ardua labor de orquestar el panorama desmedido de

inseguridad, al que la organización se ve expuesto, en su constante

crecimiento.

8.4.1 DEFINICIÓN DE CONVERGENCIA

Convergencia es un término que ha existido desde los años 70, y al que se le

han atribuido muchas definiciones y diferentes connotaciones. Al momento de

revisar la definición de convergencia encontramos lo siguiente. Según

diccionarios online se define la convergencia como “. Unión de dos o mas

cosas que confluyen en un mismo punto...” Según la Real Academia de la


164

Lengua. “Acción y efecto de convergir” y en los términos matemáticos se

entiende por convergencia, cuando una sucesión de número tiene un limite

definido.

Al analizar la definición se nota que se está hablando de que las tendencias se

unen o se encuentran en algún punto del tiempo y del espacio, de tal manera

que conjuran sus esfuerzos en pro de algo; que si bien al principio no poseen

características similares, tienden a entrelazarse por la misma naturaleza de la

situación o porque encuentran que sus esfuerzos mancomunados los llevan al

mismo objetivo.

Cuando se habla de convergencia de la seguridad, se hace referencia a un

todo como un elemento que integra las visuales de seguridad, desde todos sus

puntos de vista. Se trata de ver los servicios de seguridad no operando de

manera independiente; por un lado la seguridad física y por otro la seguridad

lógica, como un primer enfoque. Es ir más allá, para presentar la seguridad

como un todo, un elemento universal, un elemento único que contempla todas

las aristas posibles, en pro de un propósito: proteger un servicio de negocio.

Hablando puramente de seguridad, la convergencia en términos de compartir,

cooperar, colaborar parte de un propósito, la defensa; por lo tanto, es posible

definirla como todos aquellos esfuerzos mancomunados de seguridad de las

organizaciones, para compartir el propósito de “la defensa” y todo lo que a ella

le corresponda.

8.4.2 CONVERGENCIA EN LA SEGURIDAD INFORMÁTICA

La convergencia es un nuevo panorama que muestra una realidad, que se

puede leer como una tendencia que vendrá o existe en la actualidad, pero que

en el futuro cercano podría llegar a convertirse en una consideración y

recomendación para muchos tipos de organizaciones.

Es necesario que cada organización de sus pasos en el tema, sin dejarse

presionar por factores externos; lo importante podría ser reconocer su estado y


165

si de alguna manera es beneficioso llegar a una convergencia total, proceso,

tecnología y gente como marco de trabajo.

Existen en la actualidad algunos Framework de trabajo para adaptarse a los

modelos de convergencia; lo esencial de todos ellos es tener clara la visión de

negocio como elemento importante, de tal manera que pueda apalancar los

procesos de cambio que requiera la organización al acercarse a cualquier

modelo.

Es necesario que el líder o responsable de una visión corporativa de seguridad

cambie su posición de una postura funcional y experta, a una persona con

visión de negocio, que vea de manera transversal la información y en ella lo

que puede afectar de manera integral a la misma.

La colaboración, trabajo en equipo y esfuerzo conjunto serán piezas claves, de

tal forma que se pueda trabajar en pro de un propósito corporativo común,

“objetivo estratégico”.

Es posible que las organizaciones definan un modelo de madurez, para poder

cubrir los escenarios propuestos de convergencia presentados, una

convergencia a TI, como un primer nivel que nos permite tener una visión de

riesgos de TI unificada entre lo físico y lo lógico, después reordenar la

responsabilidades, y competencias del responsable de este rol; y, por último,

una visión global del riesgo,

En donde desde un punto unificado y con los recursos y esfuerzos adecuados

se pueda gestionar y gobernar los riesgos de la organización, teniendo en

cuenta la visión del negocio y no las áreas funcionales


166

Realizar un análisis y comentario sobre las organizaciones nacionales que se dedican a la seguridad y auditoria informática

Este fascículo trata de algunos aspectos de mucha importancia dentro del

proceso de una auditoria, como las organizaciones dedicadas a la

seguridad y auditoria informática como lo es ISACA, la importancia de el

“Código Deontológico” en el desempeño profesionales en especial la

auditoria informática, y finalmente se brinda algunas aspectos del estado

actual de la seguridad informática en Latinoamérica.


Edición 2001.




Salvador Sánchez, J.,“Ingeniería de Proyectos Informáticos”,Edit.

Universitat Jaume I, Edición 2003.

1. Comente la importancia de la formación continua del auditor informático

2. Explique el grado de independencia del auditor informático.

3. ¿Qué es el principio de libre competencia?

4. Explique la responsabilidad del auditor informático.

5. ¿A qué obliga el secreto profesional?

6. Comentar sobre la convergencia de la seguridad informática.

Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas

Documents

Transcript of Seguridad y Auditoria de Sistemas-Auditoria de Informatica y Sistemas