Unidad 1. Introducción A La Auditoría Informática

Auditora informtica
Unidad 1. Introduccin a la auditora informtica
Ingeniera en Telemtica
Programa de la asignatura:
Auditora informtica
Clave:
210941038
Universidad Abierta y a Distancia de Mxico
Ciencias Exactas, Ingeniera y Tecnologa
Auditora informtica
ndice
Unidad 1. Introduccin a la auditora ....................................................................................................................2 Presentacin de la unidad ..................................................................................................................................2 Propsitos .............................................................................................................................................................4 Competencia especfica .....................................................................................................................................4 1.1. Introduccin a la auditora ..........................................................................................................................5 1.1.1. Definicin y clasificacin de la auditora ...........................................................................................7 Actividad 1. Auditora ....................................................................................................................................... 13 1.1.2. Caractersticas ................................................................................................................................... 14 Actividad 2. Caractersticas de las auditoras .............................................................................................. 15 1.1.3. Uso de tcnicas asistidas por computadora .................................................................................. 15 1.1.4. Responsabilidad del auditor en el descubrimiento de errores y desviaciones ........................ 19 1.2. Normas internacionales y nacionales ................................................................................................ 22 Tipos de normas ........................................................................................................................... 27 Normas actuales ........................................................................................................................... 28 Normas emergentes ..................................................................................................................... 28
1.2.1. 1.2.2. 1.2.3.
Actividad 3. Reporte de normas ..................................................................................................................... 29 1.2.4. Organismos reguladores ............................................................................................................. 29
Actividad 4. Tipos de auditora y distincin de normas............................................................................... 30 Autoevaluacin .................................................................................................................................................. 31 Evidencia de aprendizaje. Clasificacin de casos ....................................................................................... 31 Autorreflexin .................................................................................................................................................... 32 Cierre de la unidad ........................................................................................................................................... 32 Para saber ms ................................................................................................................................................. 32 Fuentes de consulta ......................................................................................................................................... 33
Auditora informtica
Unidad 1. Introduccin a la auditora Presentacin de la unidad
Hoy en da, la mayora de las organizaciones cuentan con recursos informticos, de redes y servicios de comunicaciones para el almacenamiento, procesamiento y transmisin de la informacin (datos, voz, video, etc.). Y dada la apresurada velocidad con que estas tecnologas van surgiendo, nos comprometen a las reas de TIC (Tecnologas de la informacin y comunicacin) a realizar anlisis y diseos cada vez ms improvisados que, sin un adecuado plan para que su funcionamiento sea el mejor, se genera as, un factor crtico para el completo desempeo de todas las reas que involucran las TIC. Esta asignatura de Auditora informtica te ayudar a entender mejor, la necesidad de llevar un control adecuado de la gestin y uso de los recursos por medio de la adecuada revisin y evaluacin de: Usuarios: quienes distribuyen, procesan la informacin y hacen uso de los servicios de explotacin final Sealizacin y control: cuyo enfoque es el procesamiento y la distribucin de la informacin. Redes y sistemas: administracin de todos los sistemas, infraestructura, servicios y la interaccin con operadores de las redes de telecomunicaciones de la organizacin
Comisin digital de seales de Espaa. Consultado en: http://www.onthespot.com/file/Infografia__Digital_Signage.pdf
Auditora informtica
El alcance de esta asignatura en el contexto de la Ingeniera en Telemtica conlleva un matiz que pretende visualizar ms all de aspectos relacionados a la Informtica ya que pretende conjuntar tambin aspectos relacionados a las telecomunicaciones. Para su estudio se iniciar conociendo aspectos generales de la auditora. Por lo cual, en esta primera unidad, estudiars la introduccin a la auditora informtica, con subtemas como: definicin, clasificacin, caractersticas, tcnicas asistidas por computadora, responsabilidad del auditor en el descubrimiento de errores y desviaciones. Tambin aprenders sobre normas: internacionales, nacionales, tipos, emergentes y lo referente a organismos reguladores. Para completar satisfactoriamente la unidad, se recomienda realizar las actividades planteadas, la evidencia de aprendizaje y autoevaluacin.
Auditora informtica
Propsitos
En esta Unidad: Distinguirs la clasificacin de la auditora Identificars las caractersticas de las auditoras Analizars los tipos de normas y normas emergentes
Competencia especfica
Distinguir normas y tipos de auditora para identificar su aplicacin en las diferentes reas de la auditora informtica sealando las caractersticas y usos de cada una.
Auditora informtica
1.1. Introduccin a la auditora
En toda organizacin es de gran importancia la administracin de los recursos de todo tipo, por lo que, en el departamento de informtica y telemtica sta debe ser una de las prioridades, darle el uso adecuado a dichos recursos disponibles como lo son: la transmisin de datos, redes, redes de voz, de video, personas, hardware en general, software, el tiempo y el presupuesto, entre otros. Con la finalidad de producir una adecuada toma de decisiones para favorecer el logro de los objetivos de la organizacin. La informacin desde el punto de vista de la informtica se refiere al conjunto de datos ordenados, relacionados entre s de acuerdo a cierta lgica, que aporta a la organizacin elementos necesarios para el cumplimiento de sus metas. Hoy en da, es necesario el uso de un sistema de informacin para procesar esos datos en informacin relevante en un tiempo apropiado para la toma de decisiones. A esto se le denomina Procesamiento de datos, que adicionalmente tiene la funcin de distribuir la informacin generada, asegurndose de que sta llegue a los usuarios apropiados. Para lograr distribuir la informacin, se requieren redes, los cules se conforman de nodos (de acceso, de ncleo, de servicios, de almacenamiento masivo y de base de datos), sistemas operativos, software, etc. Por lo que, resulta necesario dirimir los riesgos intrnsecos de actividades informticas y telemticas con la finalidad de cuidar en mayor medida toda la inversin realizada en la organizacin con respecto a las TIC (Tecnologas de informacin y comunicacin). Otro de los principales recursos son las personas, que apoyados por las TIC pueden atender servicios que podran ser los siguientes: Operativos: desarrollo o mantenimiento de sistemas, soporte tcnico, etc. Tcticos: trabajos particulares para las decisiones de un jefe, entre otros Funcionales: no estn directamente relacionados con las funciones del rea, sin embargo aseguran que el personal trabaje adecuadamente, por ejemplo Recursos humanos o Contabilidad Atencin a proveedores: aseguran el apoyo al trabajo especializado Estudio de necesidades y anlisis: es una actividad que puede realizar la direccin de informtica Los servicios anteriores pueden a su vez distribuirse de acuerdo a diversas condicionantes que cada organizacin necesita, tomando en cuenta su tamao y su estructura. Por ejemplo observa las siguientes estructuras:
Auditora informtica
Jefe de informtica
Analistas / programadores
Empresa pequea
Operadores
Director de informtica
Jefe de Infraestructura
Jefe de Sistemas
Jefe de Desarrollo
Redes
Soporte
Base de datos
Operadores
Analistas
Programadores
Empresa mediana
En cualquier tipo de organizacin, se debe dejar bien establecido cmo debe fluir la comunicacin, las funciones de cada rol, niveles de autoridad, acceso a la informacin, responsabilidades e instrucciones. El tiempo en toda organizacin es un recurso que debe monitorearse y gestionar las desviaciones cuando estas ocurren, identificar las causas con la finalidad de atender de manera oportuna todos los compromisos del rea de sistemas y de la organizacin en general. Por ltimo, otro de los recursos que se debe gestionar es el presupuesto, ya que ser el motor que dar vida a las actividades planeadas en el departamento de sistemas as como de la organizacin. Si no se cuenta con un presupuesto realista, se estarn construyendo castillos sobre el hielo, es decir, ninguna tarea podr ejecutarse como lo esperado, es por ello que se deben realizar planes adecuados, para poder estimar un presupuesto acorde a las necesidades para el logro de las metas del departamento y por lo tanto, de la organizacin.
Auditora informtica
Dado lo anterior, es obligatorio tener un adecuado control, para que de manera constante se est revisando el modo en que se operan los procesos y tener la seguridad de que estos son adecuados o que se pueden mejorar. Las auditorias forman parte de estos controles que permiten hacer un sondeo de la realidad as como la medicin de indicadores para monitorear la gestin informtica y sus procesos. Hoy en da no es posible una efectiva gestin organizacional sin el beneficio de las herramientas y procedimientos de control adecuados. Las auditoras convencionales aplicadas a lo contable y financiero, ahora tambin se tienen que completar con las auditoras informticas y de infraestructura, con el fin de evitar errores inadvertidos que afecten la inversin de la organizacin. Por otra parte, debido a que las organizaciones cada vez ms, buscan mantenerse en un nivel de competitividad y posicionamiento internacional, es necesario demostrar que sus procesos pueden soportar los rigurosos estndares internacionales, tales como normas de calidad por ejemplo la ISO (International Organization for Standardization) metodologas orientadas a la bsqueda del cero error como lo es: 6 - Sigma y especficamente para el rea de desarrollo los modelos de CMMI (Capability Maturity Model Integration) o PSP (Personal Software Process). Para el rea de soporte e infraestructura ITIL (Information Technology Infrastructure Library) o bien para el rea de redes el modelo de Cisco Systems. En estos casos no basta con realizar auditoras internas, por el contrario, ser necesario que reguladores externos deban validar cmo se desarrolla el trabajo en la organizacin para poder dar crdito de que se sigue algn modelo o estndar internacional y que adems se realiza correctamente. Para conocer ms sobre una de las maneras de monitorear nuestros procesos, en el siguiente subtema vers en qu consiste la auditora as como los tipos que existen.
1.1.1. Definicin y clasificacin de la auditora

Para toda organizacin es importante llevar un control interno de cmo se estn realizando las cosas, que le permita tomar medidas correctivas de los procesos que no funcionan adecuadamente, por lo que es necesario analizar lo que se debe revisar, asesorar a todos los involucrados e informar oportuna y objetivamente los resultados. A todas estas actividades las llamamos auditora. Una definicin ms formal podra ser como la siguiente
Segn Muoz (2002), expresa que: La auditora es la revisin independiente que realiza un auditor profesional, aplicando tcnicas, mtodos y procedimientos especializados, a fin de evaluar el cumplimiento de las funciones, actividades, tareas y procedimientos de una entidad administrativa, as como dictaminar sobre el resultado de dicha evaluacin. (p. 34)
Auditora informtica
Como puedes observar, en la definicin se dice que es una revisin independiente, significa que el auditor debe poseer independencia mental, profesional y laboral del rea que evaluar, lo que le permitir tener un desempeo competente y confiable. La auditora es una actividad especializada que solo podr ser ejecutada por auditores capacitados que adems cuenten con la experiencia necesaria para realizar este tipo de trabajo de manera profesional. Otros puntos importantes de la definicin son que las auditoras son procesos bien definidos y especializados, se aplican tcnicas y se basan en algn mtodo de evaluacin. El fin de aplicar una auditora es para evaluar el cumplimiento en funciones, actividades tareas y procedimientos, para lo cual el auditor utiliza sus conocimientos y herramientas especializadas, para llegar a producir un informe de resultados, en el que plasmar su opinin sobre las desviaciones y observaciones detectadas para que los involucrados conozcan el estado del rea auditada. Hoy en da existen muchas empresas que se dedican a dar servicios de auditora, quienes cuentan con personal calificado para cada tipo de auditora y de esta manera garantizar que tienen la facultad de poder emitir recomendaciones que realmente aporten mejoras sustantivas a la organizacin. Otra definicin de auditora informtica es la siguiente:
Segn Piattini y Del peso (2001). dicen que: Toda y cualquier auditora, es la actividad consistente en la emisin de una opinin profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. (p.4)
Observa que este concepto se destacan los siguientes elementos principales: 1. La opinin de un profesional 2. El objeto de anlisis 3. Finalidad De la misma manera Piattini resalta la importancia de que el auditor sea un especialista en el tema, para que pueda tener la capacidad de juicio y de recomendar las soluciones necesarias. El objeto de anlisis que tiene que ver con el contenido a evaluar, el soporte y la evidencia que sern el caso de evaluacin. Y por ltimo la finalidad de lo que se analiza que se est realizando contra lo que se pretende reflejar. Por ejemplo al evaluar un proceso, el auditor lo cotejar con los procesos previamente escritos por la organizacin, para evaluar si en realidad se llevan a cabo tal y como se redact y ms an, si es una manera ptima de realizarlo.
Auditora informtica
Tomando en consideracin el objeto de anlisis, se desprenden muchos tipos de auditoras por ejemplo: Financiera: evala la veracidad de los estados financieros Operacional: examina la eficiencia, eficacia y economa de los mtodos y procedimientos de la organizacin Fiscal: orientada a monitorear el cumplimiento de leyes y normas fiscales Medio ambiental: orientada a la conservacin y preservacin de la calidad medioambiental Calidad: evala mtodos, mediciones y controles de los bienes y servicios Informtica, en redes y telecomunicaciones: conjunto de herramientas y procedimientos de gestin, para el anlisis y control de los sistemas de informacin, de redes y de telecomunicaciones. Siendo el ltimo punto, el objeto de anlisis en que se centra nuestra asignatura, poco a poco conocers ms del enfoque de auditora informtica, de redes y telecomunicaciones, conforme vayas avanzando el contenido y realizando las actividades, preparadas para tal fin. Hay otras consideraciones que pueden categorizar a las auditoras por ejemplo, considerando el origen del auditor se pueden organizar como: Internas: se refiere a las que el auditor pertenece a la misma organizacin, son tiles para garantizar que las operaciones se desarrollan de acuerdo a la poltica general de la entidad, evaluando la eficacia y proponiendo soluciones a problemas detectados. Cuando se termina la auditora se emite un informe para la direccin de los resultados obtenidos. Externas: cuando se contrata a una empresa para aplicar la auditora y por lo tanto el auditor es ajeno a la organizacin, aportando mayor objetividad a los resultados. En algunas ocasiones la auditora externa obedece a la parte de legal del proceso, ya sea porque se va a obtener alguna certificacin o por algn trmite con el gobierno.
Auditoria informtica
Particularmente dentro del rea de Informtica se puede organizar los tipos de auditora considerando tambin el objeto de anlisis que hacen referencia a las actividades especficas de la propia actividad informtica. Observa la siguiente clasificacin que propone (Piattini et al.,2008, pp. 243-671).
Auditora informtica
Explotacin
Clasificacin de tipos de auditoras de las TIC
Sistemas
Comunicaciones y redes
Desarrollo y mantenimiento de sistemas
Seguridad
Outsourcing
Direccin informtica
Video vigilancia
Datos personales
10
Auditora informtica
Auditora de explotacin: se enfoca a la generacin de: listados, archivos electrnicos, ejecucin de procedimientos automatizados. Estos se evalan por controles de calidad antes de ser liberados al cliente o usuario. Auditar la explotacin consiste en auditar secciones que la componen y sus interrelaciones, por ejemplo los siguientes: o Entrada de datos o Planificacin y recepcin de aplicaciones o Control y seguimiento de trabajos o Operaciones de centros de cmputos o Control de la red o Centros de diagnosis (Help-desk) Auditora de sistemas: analiza la tcnica de sistemas en todas sus facetas o Sistemas operativos o Software de aplicaciones o Software de teleproceso o Tunning o tcnicas de observacin para evaluar subsistemas que tienen un deterioro en su comportamiento y se realizan de manera peridica o Tcnicas de sistemas o Administracin de base de datos o Investigacin y desarrollo Auditora de comunicaciones y redes: se refiere al soporte fsico-lgico de la informtica en tiempo real. Principios y derechos de proteccin de datos en Internet Auditora de desarrollo y mantenimiento de sistemas: engloba varias fases para elaborar cada proyecto. como las siguientes: o Prerrequisitos o Anlisis y diseo o Programacin o Pruebas o Entrega Auditora de seguridad: abarca los conceptos de seguridad fsica y lgica o Seguridad fsica: se refiere a la proteccin de Hardware, edificios, instalaciones, que son el soporte de los datos albergndolos o Seguridad lgica: se refiere a la seguridad de uso del software, proteccin de datos, programas, modelos, as como los niveles de acceso de los usuarios a la informacin. Para ambas auditoras se deben utilizar herramientas para el monitoreo de IP, filtro de paquetes, firewall, test de penetracin, entre otras. Apoyndose de alguna normatividad como OSSTMM (Open Source Security Testing Methodolgy Manual), ISSAF (Information System Security Assessment Frameworks) o ISO 27001 (Estndar para la seguridad de informacin), etc.
11
Auditora informtica
OSSTMM: Consultado en: http://www.automatedtestinginstitute.com/home/ind ex.php?option=com_content&view=article&catid=52 :testcat&id=1077:osstmm-open-source-securitytesting-methodology-manual
ISO 27001. Consultado en: http://www.actualizegroup.com/calidad/
Por ejemplo, una prueba de penetracin consistira en lo siguiente: 1. Etapa de reconocimiento: recopilar informacin sobre el sistema objetivo 2. Exploits: la seleccin del rea objetivo 3. Ya que se realiz el ataque, se analiza el impacto y la generacin de nuevas acciones 4. Documentacin: para reflejar el trabajo completo por parte del pentester (persona de pruebas de penetracin) Existen algunos mtodos para aplicar este tipo de pruebas, por ejemplo: Blackbox: en este no se conoce ningn tipo de informacin del sistema objetivo. Whitebox: se cuenta con informacin sobre el sistema objetivo (cdigo fuente, configuraciones, etc.) Para realizar los exploits, existen mltiples herramientas, incluso las gratuitas como lo es el Metasploit, entre otros. (Catoira, 2013, pp.19-27) Auditora de Outsoursing: por medio de un contrato se fija la prestacin de un conjunto de servicios tecnolgicos y se constata la existencia de un cliente que requiere de los servicios que sern otorgados a travs de un proveedor Auditora de la direccin de informtica: como mxima autoridad en el plano de tecnologas de la informacin, debe auditarse, ya que de l depende que los procesos se autoricen y se lleven a cabo Auditora de videovigilancia: Existen normas que regulan el uso de la imagen y sonido que se captan por la videovigilancia y que deben ser auditadas para evitar invadir el derecho de los individuos del adecuado manejo de sus datos personales Auditora de los datos de carcter personal: de acuerdo a la normatividad de Proteccin de Datos de Carcter Personal, es una exigencia planear una auditora para verificar el cumplimiento de este reglamento e instrucciones vigentes en materia de seguridad de datos, al menos cada dos aos
12
Auditora informtica
En este tema se te present un tipo de clasificacin de auditora informtica, sin embargo sta puede tener variaciones pues la categorizacin de las auditoras depende su especializacin segn el objeto, origen, tcnicas, mtodos, etc., que se realicen.
Actividad 1. Auditora
Bienvenido(a) a la primer actividad de la Unidad! El propsito de esta actividad es que identifiques la clasificacin de auditora. 1. En un documento de texto elabora un reporte en el cual investigues al menos 5 casos en los que clasifiques las diferentes auditoras justificando el porqu de tu respuesta. Todos los casos deben estar sintetizados y referenciados. 2. Para cada caso, registra el tipo de auditora, empresa auditada, los puntos de la auditora, fortalezas, debilidades, resultado (calificacin y/o dictamen), es importante hagas uso de referencias bibliogrficas o electrnicas con el modelo APA. 3. Guarda tu actividad en un archivo con el nombre KAIF_U1_A1_XXYZ y envalo para su revisin. *Revisa los criterios de evaluacin para esta actividad
13
Auditora informtica
1.1.2. Caractersticas
El proceso de la auditora informtica se caracteriza por ser:
1. Objetiva
Porque los auditores internos no se deben involucrar con el rea auditada. Deben ser imparciales y neutrales.
La auditora debe ser un proceso bien organizado, el trabajo deber planificarse apropiadamente, ser supervisado, se estudiar y evaluar el sistema obteniendo 2. Sistemtica la evidencia necesaria.
3.Profesional
Porque se espera que el auditor sea un experto en el objeto de anlisis y con un amplio criterio para evaluar y emitir resultados
4. Selectiva
Toma una muestra representativa del total de la poblacin auditable.
5. Imparcial
Los juicios y recomendaciones del auditor estn basadas de manera objetiva en hechos y cuente con la evidencia suficiente para demostrar su imparcialidad
La auditora debe contar con un esquema detallado del trabajo a realizar y los procedimientos a emplearse durante la fase de ejecucin, para identificar su 6. Integral extensin, as como el trabajo que ha de ser elaborado.
7. Recurrente
Se aplican en auditoras anteriores, donde se obtuvo un resultado de deficiente o malo, para evaluar los planes de mejora si funcionaron bien o no. (Muoz, 2002, p. 34-35)
14
Auditora informtica
Otras caractersticas agrupadas por el tipo de auditora son: Auditora interna El auditor es parte de la organizacin. La relacin con la organizacin podra influir en el juicio y por lo tanto en los resultados de la evaluacin. El informe de resultados tiene impacto solo de manera interna. Las recomendaciones son para establecer mejoras. Se puede calendarizar dentro del plan anual. Los auditados adoptan a la auditora como parte de sus funciones.
Caractersticas de Auditoras internas y externas. (Piattini y Del peso, 2001, pp. 416 y 569)
Auditora externa El auditor no tiene relacin con la organizacin. Su revisin y resultados de la evaluacin, esta libre de influencias. Se realizan por empresas de auditores. Es ms objetiva la auditora. Los resultados arrojarn un dictamen para aprobar una certificacin o proceso legal.
Actividad 2. Caractersticas de las auditoras
Mediante esta actividad podrs identificar las caractersticas de los diferentes tipos de auditoras. 1. Crea un archivo y elabora un organizador grfico, indicado por tu Facilitador(a) en el que destaques las caractersticas de las auditoras en general y las caractersticas de auditoras internas y externas. 2. Guarda tu archivo con el nombre KAIF_U1_A2_XXYZ y sbelo a la plataforma. *Revisa los criterios de evaluacin.
1.1.3. Uso de tcnicas asistidas por computadora

En la auditora informtica se utilizan mltiples herramientas y tcnicas para hacer una adecuada revisin y recopilacin de evidencias sobre el funcionamiento de los sistemas de informacin y de cmputo. El auditor debe ser un especialista en el rea de sistemas y ms an, saber utilizar las tecnologas de la informacin (TI) a su favor, para examinar con mayor eficiencia todos los aspectos de la actividad computacional.
15
Auditora informtica
El uso de las Tcnicas de Auditora Asistidas por Computadora por sus siglas en ingls Computer Audit Assisted Techniques (CAATs) provee al auditor una gran variedad de herramientas para facilitar sus procedimientos, mejorndolos y ampliando las opciones de aplicacin. A continuacin se analizarn algunos mecanismos que se utilizan ms comnmente, segn Muoz (2002). Guas de evaluacin: son herramientas formales, en la que se anotan todos los asuntos que sern evaluados durante la auditora. En este instrumento se indican todos los puntos, aspectos concretos y reas que sern evaluadas, as como tcnicas, herramientas y procedimientos necesarios para la auditora. Tambin se registran la tcnica o mtodo que se emplear para la evaluacin; la ponderacin o peso por cada elemento revisado. Por medio de este documento el auditor puede revisar paso a paso todos los procedimientos para evaluar y calificar cada elemento planeado. Por ejemplo observa la Tabla 2. Gua de auditora.
Gua de auditora
16
Auditora informtica
A continuacin se explica su contenido: Encabezado: contiene logotipo y nombre de la empresa que realiza la auditora. Nombre de la empresa y rea que se auditar. Fecha de inicio. Hoja de inicio y de fin del documento de Gua Columnas Referencia (Ref.): Alguna clave o consecutivo que nos indique lo que se revisa y su secuencia Actividad que ser evaluada: especificar los puntos que se evaluarn, estos pueden ser actividades, funciones, procesos, etc. Procedimientos de auditora: describir las instrucciones para evaluar cada actividad de la columna anterior Herramientas que sern utilizadas: explicar que herramientas, tcnicas o recursos se necesitarn para aplicar la evaluacin Observaciones: seccin para clarificar o completar cada punto evaluado Ponderacin: ayuda al auditor a darle un peso a cada elemento que se evaluar para darle relevancia a los elementos que as lo requieran o restar importancia a elementos menos significativos. Factores 1. Polticas del centro de cmputo 2. Proceso de prstamo de equipo 3. Funciones y actividades de laboratoristas 4. Bitcoras de uso de centros de cmputo 5. Buzn de sugerencias 6. Mantenimiento Peso por factor % 10 20 20 25 10 15 100% Calificacin 1 .6 .85 .80 1 1 Puntos obtenidos 10 12 17 20 10 15 84
Tabla de ponderaciones de auditora
Para llenar la tabla de ponderacin primeramente se eligen los factores o elementos que se quieren evaluar y se asigna un peso por factor. Ambos elementos son distintos en cada auditora, ya que cada empresa tiene su entorno propio y por lo tanto indicadores particulares. La suma de los pesos debe dar 100%. En la columna de puntos obtenidos se multiplica la columna (peso por factor) por la columna (calificacin). La calificacin se basa en los siguientes criterios: Excelente 1.00 Bueno 0.80 Regular 0.60 Deficiente 0.40 Psimo 0.20 * Los criterios solo se brindan como ejemplo, se pueden definir de manera diferente de acuerdo a las necesidades o estrategias de la auditora.
17
Auditora informtica
En general esta tcnica puede hacerse con todo el detalle que se requiera por ejemplo incluir sub factores y obtener calificaciones por sub factor, por factor o el total. En este caso las herramientas automatizadas facilitarn el proceso de clculos dando mayor exactitud y evitando errores. Modelos de simulacin: estas herramientas son parte del desarrollo de sistemas, muchos analistas las utilizan para simular sistemas y comprobar o descartar su utilidad. Les permite crear un ambiente anlogo al de un nuevo sistema y con base a modelos conceptuales determinar su alcance y condiciones y comportamiento del futuro sistema. Estos modelos ayudan a los integrantes del equipo a entender mejor las caractersticas del nuevo sistema antes de su construccin. Para el caso del auditor, estos modelos le servirn para evaluar la estructura del sistema, por ejemplo, se le permite el acceso al diseo de una base de datos o inclusive un respaldo de la base de datos real, para que pueda realizar las pruebas necesarias para comprobar su funcionamiento y condiciones. Lo mismo pasara con el sistema completo o el de una red, desde un modelo conceptual basado en diagramas, un prototipo o cuenta ficticia para que el auditor pueda recrear el comportamiento, proceso, tcnica, factor o elemento que est auditando. Algunos ejemplos que pueden utilizar para simular diferentes aspectos de un sistema: Modelos de planeacin y control de proyectos: Gantt, Project, grficos de lneas de tiempo, etc. Modelos de flujos de datos: diagramas de flujos, entidad relacin, HIPO, UML Modelos administrativos: organigramas, mtodos y procedimientos, planos Modelos estadsticos: grficas de Pie, horizontales, verticales, circulares, etc. Otros: grficas de pantalla, planes, imgenes, procesamiento de datos ficticios Modelos de desarrollo: ciclos de vida Para cualquier tipo de evaluacin el auditor debe contar con las herramientas en las que pueda reproducir el objeto de anlisis. Lista de verificacin: esta herramienta es una de las ms sencillas de utilizar, consiste en realizar un listado ordenado de los aspectos que se tienen que revisar y su objetivo es nicamente evaluar su cumplimiento con una palomita ( ) o su no cumplimiento con una equis ( ). Observa el siguiente ejemplo. Lista de verificacin del funcionamiento y recursos de la red Criterios para evaluar La instalacin es flexible y adaptable. El inventario de componentes de la red esta actualizado. En las bitcoras de software est registrado todo el software con sus respectivos nmeros de licencia. Los recursos de la red se comparten apropiadamente dado el rol de cada usuario Estn registrados los niveles de acceso y seguridad a la red.
Lista de verificacin
Cumple
18
Auditora informtica
Programas para revisin por computadora: estas herramientas le permiten al auditor revisar, desde la misma computadora y con un software especfico, el funcionamiento de un sistema, de una base de datos, alguna aplicacin o sitio web. Con esta herramienta analizar el comportamiento de los elementos que evala, as como el desempeo, errores, requerimientos de hardware, software y otros aspectos tcnicos. Elemento de diagnstico PC Herramientas PC 2010 HWMonitor, WinSAT, SpeedFan, Abra HW Monitor, HWiNFO32, Hmonitor, 3DMark, MonitorTest Netstat, nmap, Sniffers, NetWatch, WinTools, NetStat, Local info, Network scanner, Service & port scanner, TCP/IP workshop, SNMP Browser HP APM, appDynamics, ManageEngine
Herramientas de diagnstico
Red
Aplicaciones
En la tabla anterior se muestra solo algunos de los ejemplos de programas ya desarrollados que estn disponibles para el auditor. (Muoz, 2002, pp. 478-555).
1.1.4. Responsabilidad del auditor en el descubrimiento de errores y desviaciones

La principal responsabilidad del auditor es, entregar un informe de resultados, en el que se encontrarn los hallazgos de las desviaciones ms importantes, debe reportar sus causas y posibles soluciones. Y en base a estas desviaciones redactar su informe final con base al anlisis de estas desviaciones junto con el dictamen de la auditora. Observa el siguiente registro de desviaciones:
19
Auditora informtica
Empresa
rea auditada
Da
Mes
Ao
Desviaciones
Causas
Solucin
Elabor (Nombre y firma)
Aprob (Nombre y firma)
Registro de hallazgos. (Muoz, 2002, p.252)
Los siguientes son principios que los auditores deben mantener en todo el proceso de auditora desde su inicio hasta la entrega de resultados. El principio de beneficio del auditado. Se refiera a que el auditor debe adquirir una apropiacin del sistema que auditar, esta adaptacin le implica un compromiso por probar en su mxima eficacia los medios informticos evaluables. Con la finalidad de poder recomendar, proponer o incitar actuaciones para evitar gastos innecesarios o desproporcionados. El principio de calidad. El auditor deber prestar servicios con los medios a su alcance, tener la libertad de utilizacin de los mismos y condiciones tcnicas adecuadas. El principio de capacidad. El auditor debe ser un especialista en auditoras, el grado de especializacin de sus clientes le exige estar al nivel para mantener el grado de confianza y evitar de esta forma su obsolescencia y prdida de competitividad. El principio de cautela. Todas las afirmaciones del auditor deben estar debidamente fundamentadas y basadas en la experiencia adquirida, evitando que el auditado se embarque en proyectos con argumentos dbiles. El principio de comportamiento profesional. En todo momento el auditor deber evitar juicios exagerados o que atemoricen innecesariamente, por el contrario, debe transmitir ideas precisas, exactas y objetivas que lo respalden e infundan confianza en sus clientes.
20
Auditora informtica
El principio de concentracin en el trabajo. La carga de trabajo del auditor deber planearse adecuadamente, evitando que haya una sobresaturacin provocando una baja concentracin y precisin en las tareas asignadas, ya que esto podr provocar conclusiones imprecisas. El principio de confianza. Por medio de un comportamiento profesional y evitando presunciones, el auditor debe fomentar la confianza en su cliente para evitar restar credibilidad a los resultados obtenidos. El principio de criterio propio. La autoridad del auditor le permitir actuar bajo un criterio propio sin la influencia de colegas que puedan desvirtuar la resolucin. El principio de discrecin. Forma parte de la responsabilidad del auditor identificar el nivel de restriccin de los datos que le han sido proporcionados para la auditora. Aquellos datos con una amplia restriccin deber proteger su divulgacin. As mismo liberar los resultados nicamente con el personal involucrado en la auditora. El principio de economa. Se refiere a que las acciones del auditor debern proteger la economa de su cliente, evitando generar gastos innecesarios en el ejercicio de su actividad. El principio de independencia. El auditor debe exigir una total autnoma e independencia en su trabajo respecto a la empresa en la que deba realizar la auditoria informtica. El principio de informacin suficiente. Obliga al auditor a registrar en forma clara, precisa e inteligible la informacin para el auditado. El principio de integridad moral. El auditor debe ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales y a evitar participar en actos de corrupcin personal o con terceras personas. El principio de legibilidad. El auditor deber facilitar la legibilidad de sus informes evitando utilizar sus conocimientos demasiado especializados y poco claros. El principio de libre competencia. Se exige que el ejercicio de la profesin se realice dentro de un marco de libre competencia. El principio de no discriminacin. Es responsabilidad del auditor evitar situaciones discriminatorias de cualquier tipo. El principio de no injerencia. Evitar la influencia de otros profesionistas, respetar su trabajo y evitar hacer comentarios despreciativos de la misma. El principio de precisin. Hacer las revisiones necesarias antes de entregar un informe al cliente para verificar que los valores son precisos y si es necesario volver a auditar o probar algn elemento, deber hacerse. 21
Auditora informtica
El principio de publicidad adecuada. Supervisar la oferta y promocin de los servicios de auditora a las caractersticas y finalidad perseguidas, evitando falsas difusiones de promocin con el objeto de engaar a los usuarios. El principio de secreto profesional. El auditor deber evitar difundir datos propiedad del auditado, que pudieran perjudicarlo. El principio de veracidad. Fundamentar la veracidad del trabajo realizado y en general, de sus manifestaciones dentro de los lmites de respeto y secreto profesional (Piattini y Del peso, 2001, pp. 151 y 177).
1.2.
Normas internacionales y nacionales
A nivel Internacional, existen organismos que regulan la Auditora de Sistemas de informacin por ejemplo para el rea contable con enfoque a sistemas de informacin son los siguientes: ISACA (COBIT) COSO AICPA (SAS) IFAC (NIA) SAC MAGERIT EDP SAP
22
Auditora informtica
ISACA: Tomado de: http://www.isaca.org/SiteCollectionImages/Isaca-Security-infographic.jpg
ISACA-COBIT. Es la asociacin lder en Auditoras de sistemas. Su sitio oficial (Information Systems Audit and Control Association, 2014). Este organismo propone el mtodo COBIT (Control Objetives for Information and related Technology) para auditores, administradores y usuarios de sistemas de informacin para el control de sus operaciones cumpliendo con las leyes y regulaciones.
Sitio de ISACA: http://www.isaca.org/
COSO: Committee of Sponsoring Organizations of the Treadway Commission Internal Control Integrated Framework (COSO). Ofrece una gua para contadores sobre la gestin de evaluar, informar e implementar sistemas de control.
23
Auditora informtica
Sitio de COSO: http://www.coso.org/
AICPA-SAS: The American Institute of Certified Public Accountants' Consideration of the Internal Control Structure in a Financial Statement Audit. Es una gua de auditora externa sobre el control interno, planeacin y ejecucin de una auditora de estados financieros.
Sitio AICPA: http://www.aicpa.org/InterestAreas/FRC/AuditAttest/Pages/SASClarityGroupAudits.aspx
IFAC-NIA: Federacin Internacional de Contables IFAC (International Federation of Accountants, 2014). La seccin NIA 15 tiene su enfoque a la auditora de entornos informatizados, la NIA 16 son Tcnicas de Auditora asistida por computador. NIA 20 presenta los efectos de un entorno informatizado en la evaluacin de sistemas de informacin contable.
Sitio IFAC: http://www.ifac.org/es
SAC: The Institute of Internal Auditors Research Foundations Systems Auditability and Control. Ofrece un estndar y controles para auditoras internas de sistemas de informacin y tecnologa. El modelo SAC fue creado como un control interno de COSO. Est disponible en diferentes lenguajes para administradores y auditores. Permite la discusin de objetivos, riesgos, mitigacin en el contexto de e-bussines. Tiene el propsito de enfocarse en cmo los riesgos del negocio pueden ser cubiertos 24
Auditora informtica
en la discusin y la implementacin.
SAC MODEL. Tomado de http://www.netcentrum.nl/auditweb/13.pdf
MAGERIT: Metodologa de Anlisis y GEstin de Riesgos de los sistemas de Informacin. Es el consejo superior del ministerio de administraciones pblicas de Espaa. Tiene una orientacin hacia el control de riesgo que afectan los sistemas de informacin y su entorno. MAGERIT es la metodologa de anlisis y gestin de riesgos, est directamente relacionada con la generalizacin del uso de las tecnologas de la informacin, ya que esto presupone beneficios evidentes para los ciudadanos y a la vez da lugar a riesgos que deben controlarse con las medidas de seguridad apropiadas.
25
Auditora informtica
MAGERIT: ISO 31000 - Marco de trabajo para la gestin de riesgos. Tomado de http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.Uu_xLv30sZI
Sitios MAGERIT Unin europea de agencias para redes y seguridad de la informacin: http://rm-inv.enisa.europa.eu/methods/m_magerit.html ccn-cert: https://www.ccncert.cni.es/index.php?option=com_content&view=article&id=3205%3Anuevaversion-de-magerit&catid=79%3Anormativa-ylegislacion&Itemid=197&lang=es
EDP: Fundacin de auditores EDP. Tiene un enfoque educativo y de investigacin sobre los estndares para la auditora de los sistemas de informacin y cdigos de tica. Los orgenes de la Asociacin de auditora y control de sistemas de informacin (ISACA) comenz en 1967 con un pequeo grupo de personas con trabajos de auditora en sistemas computacionales. En 1969. Se formaliz trabajando con el nombre de EDP (Asociacin de auditores de procesamiento electrnico de datos) En 1976, formaron una fundacin para llevar a cabo proyectos de investigacin a gran escala y a expandir los conocimientos en el campo de gobernabilidad y control de TI. La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAATs) o Tcnicas de Auditora Asistidas por Computador, propone la importancia del uso de CAAT en auditoras para un ambiente de sistemas de informacin por computadora. Adems tiene una gua de procedimientos de auditora para procesar datos significativos del sistema de informacin. Por ejemplo los siguientes:
26
Auditora informtica
1. Pruebas de transacciones y balances 2. Procedimientos de anlisis de inconsistencias o fluctuaciones significativas 3. Pruebas de controles, como: configuraciones de sistemas operativos, procedimientos de acceso al sistema, comparacin de cdigos y generacin de versiones. 4. Programas de muestreo para extraer datos 5. Pruebas de control para aplicaciones 6. Realizacin de clculos especiales para comparacin de datos El software de auditora consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditora, para procesar datos de importancia de auditora del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propsito, programas de utilera o programas de administracin del sistema. Independientemente de la fuente de los programas, el auditor deber verificar su validez para fines de auditora antes de su uso.
Flujo de un CAAT. Tomado de http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organolegislativo/ch03s04.html
1.2.1. Tipos de normas

Normas de tipo profesional: se refiere a que el auditor debe mantener un apego a las normas de evaluacin, emitir una opinin bien respaldada, ser disciplinado, guardar el secreto profesional, responsable, independiente, capacitado y emitir dictmenes de las auditoras. Normas de tipo social: el auditor, al igual que cada ciudadano, convive en una sociedad a la que tambin proporciona sus servicios. En la sociedad existen derechos y obligaciones, escritas y no escritas y de alguna manera respetadas por los integrantes de la sociedad. Comenzando por respetar las leyes y reglamentos de las autoridades. Deber evitar los anti patrones de comportamiento como son los sobornos o recompensas ilegales y en general comportarse de manera leal con sus clientes, lo cual, le ayudar a fundamenta adecuadamente sus relacin entre colegas y empresas de la sociedad.
27
Auditora informtica
Normas de tipo tico-moral: se refieren a su conducta como profesional como las siguientes: - Ser incorruptible - Ser imparcial - Juicio tico y moral - Aceptar y hacer cumplir las normas morales y ticas (Muoz, 2002, pp. 88 - 94)
1.2.2. Normas actuales

Normas Tcnicas de Auditora (NTA): estn orientadas a los auditores de cuentas, con la finalidad que se pueda expresar una opinin tcnica responsable. Se clasifican en generales, sobre ejecucin y sobre informes. COBIT (Objetivos de control para tecnologas de informacin y tecnologas relacionadas) Es una herramienta de gobierno de Tecnologas de la informacin (TI) que produce un cambio en la forma en que trabajan los profesionales de TI. Se aplica a los sistemas de informacin de la empresa, computadoras personales, servidores y la red. Su filosofa consiste en la gestin de los recursos de TI por medio de un conjunto de procesos que al ejecutarse producen informacin pertinente y confiable. Su objetivo es que estos procesos formen parte de la actividad diaria de la empresa en el uso de las tecnologas de informacin. Sus principales caractersticas son: Est orientado a la lgica del negocio Tiene estndares y regulaciones prcticas Basado en una revisin crtica y analtica de las tareas y actividades en TI Soporta otros estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA) COBIT tiene tres niveles: I. Dominios. reas agrupadas por alguna responsabilidad organizacional II. Procesos. Conjunto de pasos gestionadas con indicadores de control III. Actividades: Las acciones para el logro de metas que arrojan un resultado medible
1.2.3. Normas emergentes

Como Normas emergentes NE, se denomina a las que por alguna situacin de emergencia deben ser expedidas. El problema que se ha enfrentado en este tipo de normas es que no est claramente definido el trmino emergencia, pues existen casos en los que se les ponga este ttulo a situaciones que no son una norma, con el pretexto de emergencia sin estar debidamente justificado. Las NE tienen una vigencia de 6 meses podrn ser expedidas 2 veces consecutivas, pero antes de la segunda expedicin deber presentarse una Manifestacin de impacto regulatorio (MIR). Transcurrido estos plazos la norma pierde vigencia y deja de ser obligatoria. Por ejemplo los siguientes casos:
28
Auditora informtica
IEEE Instituto de Ingenieros Elctricos y Electrnicos su enfoque principalmente es para evaluar las tecnologas emergentes en las reas de ingeniera; Por ejemplo para los fabricantes de redes se form un comit IEEE 802 el cual se relaciona con el ISO (Organizacin Internacional de Estndares). ISO/IEC 17799 o 27002 Son estndares para implantar seguridad. Uno de sus enfoques es el de la revisin independiente de la seguridad de la informacin.
Actividad 3. Reporte de normas
Mediante esta actividad podrs analizar las normas actuales y las emergentes por medio de ejemplos. 1. Crea un documento de texto y elabora un reporte en el que presentes por lo menos dos casos diferentes; uno en el que muestres el uso de las normas actuales y otro de las normas emergentes. 2. Para cada una de ellas registra y completa de acuerdo a las indicaciones de tu Facilitador(a). 3. Guarda tu archivo con el nombre KAIF_U1_A3_XXYZ. *Revisa los criterios de evaluacin.
1.2.4. Organismos reguladores

IMCP Es el Instituto mexicano de contadores pblicos. Genera peridicamente actualizaciones en materia de auditora para todos sus socios registrados. Se busca que cumplan con las siguientes normas: - Entrenamiento tcnico - Diligencia profesional - Independencia Aplicables en el ejercicio de su profesin con las empresas auditables, con colegas y en general con autoridades tributarias de la nacin. (Muoz, 2002, p.75)
29
Auditora informtica
Sitio de IMCP: http://imcp.org.mx
CONPA Es la Comisin de Normas y Procedimientos de Auditora. Emite publicaciones de actualizacin apara auditores administrativos en el que se tratan criterios, normas, reglas, condiciones, obligaciones, etc. Para regular el comportamiento de auditores en administracin. Uno de los ejemplos de sus publicaciones es el cdigo de tica profesional del licenciado en administracin, el cual ayuda a estandarizar conductas de carcter moral y de su actuar profesional. (Muoz, 2002, p.76) Artculo sobre la funcin sustantiva de la CONPA: http://imcp.org.mx/areas-de-conocimiento/auditoria/en-este-articulo-nose-va-a-hablar-de-la-funcion-sustantiva-de-la-conpa-relacionada-con-laregulacion-en-el-campo-de-la-auditoria-sino-que-se-va-a-referir-a-untrabajo-desconocido-para-muchos#.UvAQp_30sZI
Actividad 4. Tipos de auditora y distincin de normas
Ahora, realiza la cuarta actividad de la primera Unidad! En esta ocasin tendrs la oportunidad de comentar con tus compaeros sobre las actividades 1 y 3, para fortalecer ms la comprensin de la clasificacin de auditora, sus caractersticas, del mismo modo analizar en combinacin con los tipos de normas actuales y emergentes. De acuerdo a los puntos que te indicar tu Facilitador(a), tambin: 1. Determina qu diferencias o semejanzas encontraste en los casos presentados dentro de las actividades 1 y 3. 2. Investiga y escribe la intervencin o injerencia de los organismos reguladores,
30
Auditora informtica
pero dirigidos hacia la Telemtica. 3. Realiza un aporte sobre las diferencias y otro sobre las semejanzas. 4. Comenta sobre los aportes de al menos 2 compaeros, comienza desde la ms antigua y procura que ningn compaero(a), se quede sin retroalimentaciones. *Revisa los criterios de evaluacin de esta actividad.
Autoevaluacin
En lo que respecta a esta actividad, su propsito es que al trmino del estudio de la unidad, evales de manera independiente y autnoma los aprendizajes adquiridos. Para ello contesta las preguntas plateadas y de tener dudas en algn tema, repsalo las veces que sea necesario, pregunta a tu Facilitador(a) e investiga un poco ms por tu cuenta.
Evidencia de aprendizaje. Clasificacin de casos
El propsito de esta evidencia de aprendizaje es que identifiques y evales el tipo y caractersticas de auditora, as como de las responsabilidades del auditor. 1. Analiza caso de estudio que te presentar tu Facilitador(a) y contesta las preguntas que se localizan al final. Justifica la respuesta tomando como base la definicin y caractersticas de la auditora, as como las responsabilidades del auditor. 2. En un archivo realiza un reporte con las respuestas debidamente contestadas y justificadas, agrega esquemas, diagramas y/o comparaciones. Guarda tu archivo con el nombre KAIF_U1_EA_XXYZ y envalo para su revisin. Espera la retroalimentacin de tu Facilitador(a), atiende sus comentarios y de ser necesario enva una segunda versin de tu evidencia
3. 4.
*Recuerda consultar el instrumento de evaluacin correspondiente a la evidencia de aprendizaje para conocer su mtodo de evaluacin.
31
Auditora informtica
Autorreflexin
Al terminar la Evidencia de aprendizaje es muy importante que realices tu Autorreflexin. Para ello, Ingresa al foro de Preguntas de Autorreflexin y a partir de las preguntas presentadas por tu Facilitador(a), realiza lo que se te pide y sbelo en la seccin Autorreflexiones.
Cierre de la unidad
Has concluido la primer unidad de la materia, como pudiste darte cuenta, la auditoria informtica tiene una gran relevancia a nivel direccin, ya que es un proceso til para medir procesos, tecnologas, desempeo y dems elementos de la informtica, as como de la Telemtica. Tambin, habrs notado que el rol del auditor requiere de un nivel de experiencia y especializacin para poder fungir como un evaluador, emitir un dictamen y ms an sugerir soluciones. Por lo tanto, para difundir y mejorar la funcin del auditor, existen estndares internacionales y nacionales que regulan los procesos de auditora y el actuar tico moral de un auditor interno o externo. Ahora que has concluido la unidad 1, ests listo para comenzar la unidad 2, en la que vers ms ampliamente el tema de estndares, cdigo de tica, polticas, procedimientos y seguridad. Si te interes ampliar tu conocimiento sobre algn tema, revisa la siguiente seccin Para saber ms, encontrars vnculos a sitios del mbito de la Auditora informtica.
Para saber ms
Para obtener informacin oficial sobre COBIT, puedes entrar al sitio oficial de ISACA (Information Systems Audit and Control Association, 2014). En donde hay manuales totalmente en espaol para. Consulta: http://www.isaca.org/COBIT/Pages/COBIT-5-spanish.aspx Recuerdas que el auditor informtico utiliza herramientas para evaluar aplicaciones, revisa estos enlaces de algunos ejemplos de este tipo de producto, ya que se explica ms ampliamente como se utilizan: HP APM (Hewlett-Packard Development Company, L.P., 2014). Consulta: http://www8.hp.com/mx/es/software-solutions/software.html?compURI=1175730 appDynamics (Impulse IT Ltda., 2012). Consulta: http://www.impulseit.com/wp/?page_id=373 ManageEngine (Ingeniera Dric, 2013). Consulta: http://www.manageengine.com.mx/applications_manager/index.html?gclid=CIqmiN2J9LsCF UZqfgodUGcATA
32
Auditora informtica
Fuentes de consulta
Fuentes bsicas Muoz R., C. (2002). Auditora en sistemas computacionales. Primera edicin. Mxico: Pearson educacin/ Prentice Hall. Piattini, M. & Del peso, E. (2001). Auditora informtica, un enfoque prctico. Segunda edicin. Mxico: Alfaomega. Piattini, M. Del peso, E., & Del peso M. (2008). Auditora de tecnologas y sistemas de informacin. Primera edicin. Mxico: Alfaomega.
Fuentes complementarias Derrin, Y. (1995). Tcnicas de la auditora informtica. Primera edicin. Mxico: Alfaomega. Garzs, J. (2011). Gua prctica de supervivencia en una auditora CMMI. Espaa: Universidad Rey Juan Carlos.
Fuentes electrnicas American Institute of CPAs. (2014). Statement on Auditing Standards (SASs). Consultado en: http://www.aicpa.org/InterestAreas/FRC/AuditAttest/Pages/SASClarity-GroupAudits.aspx Catoira, F. (2013). Pruebas de penetracin para principiantes: explotando una vulnerabilidad con Metasploit Framework, Seguridad: cultura de prevencin para TI. Vol. 19. 19-27. Recuperado de: http://revista.seguridad.unam.mx/sites/revista.seguridad.unam.mx/files/revistas/pdf/Num19_Seg uridad.PDF Centro Criptolgico Nacional. (CNN) (2014). MAGERIT. Espaa. Consultado en: https://www.ccn-cert.cni.es/index.php?option=com_content&view=article&id=3205%3Anuevaversion-de-magerit&catid=79%3Anormativa-y-legislacion&Itemid=197&lang=es Comisin de Normas y Procedimientos de Auditora y la EUC (Examen Uniforme de Certificacin). (2014). Instituto Mexicano de Contadores Pblicos. Consultada en: http://imcp.org.mx/areas-de-conocimiento/auditoria/en-este-articulo-no-se-va-a-hablar-de-lafuncion-sustantiva-de-la-conpa-relacionada-con-la-regulacion-en-el-campo-de-la-auditoria-sinoque-se-va-a-referir-a-un-trabajo-desconocido-para-muchos#.UvF_NvmSwpl Comisin digital de seales de Espaa (s/f). Digital Signage. Interactive Adversiting Bureau. Recuperado de http://www.onthespot.com/file/Infografia__Digital_Signage.pdf Committee of Sponsoring Organizations of the Treadway Commission (COSO).(2014). Consultado en: http://www.coso.org/ European Union Agency for Network and Information Security (ENISA) (2014). Agencia de la Unin Europea. Consultado en: http://rm-inv.enisa.europa.eu/methods/m_magerit.html
33
Auditora informtica
Hewlett-Packard Development Company, L.P. (2014). Software de diagnstico HP. Recuperado de http://www8.hp.com/mx/es/software-solutions/software.html?compURI=1175730 Impulse IT Ltda. (2012). AppDynamics. Recuperado de: http://www.impulseit.com/wp/?page_id=373 Information Systems Audit and Control Association (2014). Trust in, and value from, information systems. Recuperado de: http://www.isaca.org Ingeniera Dric (2013). Monitoreo del desempeo de aplicaciones en ambientes fsicos, virtuales y en la nube. Recuperado de: http://www.manageengine.com.mx/applications_manager/index.html?gclid=CIqmiN2J9LsCFUZ qfgodUGcATA Instituto Mexicano de Contadores Pblicos (2014). Consultado en: http://imcp.org.mx/ International Federation of Accountants (IFAC) (2014). Supporting the sustainability of organizations, markets, and economies via the development of the accountancy profession. Recuperado de http://www.ifac.org
34

Unidad 1. Introducción A La Auditoría Informática

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Unidad 1. Introducción A La Auditoría Informática

Uploaded by

Copyright:

Available Formats

Auditora informtica

Unidad 1. Introduccin a la auditora informtica

Unidad 1. Introduccin a la auditora informtica

Universidad Abierta y a Distancia de Mxico

Ciencias Exactas, Ingeniera y Tecnologa

1.2.1. 1.2.2. 1.2.3.

Actividad 3. Reporte de normas ..................................................................................................................... 29 1.2.4. Organismos reguladores ............................................................................................................. 29

Ciencias Exactas, Ingeniera y Tecnologa

Comisin digital de seales de Espaa. Consultado en: http://www.onthespot.com/file/Infografia__Digital_Signage.pdf

Ciencias Exactas, Ingeniera y Tecnologa

Ciencias Exactas, Ingeniera y Tecnologa

Ciencias Exactas, Ingeniera y Tecnologa

Ciencias Exactas, Ingeniera y Tecnologa

Ciencias Exactas, Ingeniera y Tecnologa

1.1.1. Definicin y clasificacin de la auditora

Ciencias Exactas, Ingeniera y Tecnologa

Ciencias Exactas, Ingeniera y Tecnologa

Ciencias Exactas, Ingeniera y Tecnologa

Clasificacin de tipos de auditoras de las TIC

Desarrollo y mantenimiento de sistemas

Ciencias Exactas, Ingeniera y Tecnologa

Ciencias Exactas, Ingeniera y Tecnologa

OSSTMM: Consultado en: http://www.automatedtestinginstitute.com/home/ind ex.php?option=com_content&view=article&catid=52 :testcat&id=1077:osstmm-open-source-securitytesting-methodology-manual

ISO 27001. Consultado en: http://www.actualizegroup.com/calidad/

Ciencias Exactas, Ingeniera y Tecnologa

Ciencias Exactas, Ingeniera y Tecnologa

Toma una muestra representativa del total de la poblacin auditable.

Ciencias Exactas, Ingeniera y Tecnologa

Actividad 2. Caractersticas de las auditoras

1.1.3. Uso de tcnicas asistidas por computadora

Ciencias Exactas, Ingeniera y Tecnologa

Ciencias Exactas, Ingeniera y Tecnologa

Tabla de ponderaciones de auditora

Ciencias Exactas, Ingeniera y Tecnologa

Ciencias Exactas, Ingeniera y Tecnologa

1.1.4. Responsabilidad del auditor en el descubrimiento de errores y desviaciones

Ciencias Exactas, Ingeniera y Tecnologa

Elabor (Nombre y firma)

Aprob (Nombre y firma)

Registro de hallazgos. (Muoz, 2002, p.252)

Ciencias Exactas, Ingeniera y Tecnologa

Ciencias Exactas, Ingeniera y Tecnologa

Normas internacionales y nacionales

Ciencias Exactas, Ingeniera y Tecnologa

ISACA: Tomado de: http://www.isaca.org/SiteCollectionImages/Isaca-Security-infographic.jpg

Sitio de ISACA: http://www.isaca.org/

Ciencias Exactas, Ingeniera y Tecnologa

Sitio de COSO: http://www.coso.org/

Sitio AICPA: http://www.aicpa.org/InterestAreas/FRC/AuditAttest/Pages/SASClarityGroupAudits.aspx

Sitio IFAC: http://www.ifac.org/es

Ciencias Exactas, Ingeniera y Tecnologa

SAC MODEL. Tomado de http://www.netcentrum.nl/auditweb/13.pdf

Ciencias Exactas, Ingeniera y Tecnologa

Ciencias Exactas, Ingeniera y Tecnologa

Flujo de un CAAT. Tomado de http://olea.org/~yuri/propuesta-implantacion-auditoria-informatica-organolegislativo/ch03s04.html

1.2.1. Tipos de normas

Ciencias Exactas, Ingeniera y Tecnologa

1.2.2. Normas actuales

1.2.3. Normas emergentes

Ciencias Exactas, Ingeniera y Tecnologa

Actividad 3. Reporte de normas

1.2.4. Organismos reguladores

Ciencias Exactas, Ingeniera y Tecnologa