FUNCIONES Y PERFIL DEL AUDITOR DE SISTEMAS

En varias oportunidades ( semininarios, foros, reuniones, de profesionales) se ha manifestado la inquietud

por definir el perfil y las funciones del auditor de sistemas. Siempre que se desea dar una definicin se
corre el riesgo de sealar un permetro tan grande que, contrariando el objetivo, se queda en el terreno
de la indefinicin o resulta tan pequeo, tan subjetivo y tan pobre que son necesarias definiciones
adicionales para obtener el propsito buscado.

Por lo dicho, este artculo solo pretende el equivalente de coloca un mueble en un saln vacio: busca
presentar una solucin a un problema. Despus recibir la avalancha de cometarios para mejorar la
solucin: nos dirn que el mueble es muy viejo: otros que es muy nuevo. Alguien opinara que el color
verde es muy chilln, y su visin que el chilln es adecuado pero no en verde, y un tercero mostrara un
argumento muy slido segn el cual el color que mejor complementa la ambientacin es el amarillo
pollito. No importa. Bastante satisfactorio ser si lo que se afirme se cambia de tal modo que algn da se
llegue a un consenso til para todos. Para ganar no se necesitan perdedores.

Partir de los objetivos de la auditoria de sistemas, nos ayudara a lograr una mejor aproximacin:
necesariamente, el objetivo o propsito general mas importante es el de dar recomendaciones orientadas
al fortalecimiento de los controles identificados como dbiles y que por esa razn, constituyen factores
de riesgo para la organizacin.

Esta definicin, que en principio debe reconocerse muy vaga y casi imprecisa con seguridad va a dar pie a
la primera polmica. Existen opiniones segn la cuales el auditor de sistemas palabras mas palabras
menos debes ser el responsable del establecimiento de los controles relacionados con el PED
(Procesamiento Electrnico de Datos).As opinan muchos entre ellos uno que otro conferencista de
reconocida trayectoria con mas afn de buscar objetividad que de tomar una posicin sobre el asunto me
permitira dejar algunas preguntas sobre la mesa.

puede responsabilizarse sobre la eficacia de los controles a alguien que o tiene autoridad sobre
los responsables de su ejecucin?

Seria otra alternativa que un director gerente o jefe de sistemas permitiera que sus subordinados
reciban instrucciones del auditor?

Seria sano, administrativa y organizacional mente, delegar el desarrollo y procesamiento de datos
en un individuo que a su vez delegara la responsabilidad del control en un auditor? En otras
palabras, garantizamos los aplausos para uno y las rechiflas para otro?

Ello entrara en franca oposicin con el principio administrativo de delegar autoridad y responsabilidad,
bsico para la unidad de criterio y el desempeo ordenado y funcional.

Indudablemente, no se trata de evadirla que si es responsabilidad del auditor de efectuar un trabajo
profesional con la calidad que exigen los principios y orientaciones de su oficio.

De aqu, ya podemos asimilar algunas caractersticas del perfil que buscamos:

El auditor debe tener un criterio muy claro y objetivo acerca de sus funciones y de su participacin
como componente de la organizacin.

Debe caracterizarlo su independencia mental y organizacional de modo que su trabajo no este
influenciado por caractersticas de respetabilidad o intereses particulares provocados por su nivel
de educacin y de experiencia o por un esquema organizativo defectuoso.

Debe tener el soporte humano necesario (en calidad y cantidad) de modo que su trabajo no se vea
ilimitado por la carencia de recursos suficientes.


Este ultimo punto y la ubicacin en la organizacin no podran calificarse como componentes del perfil
del individuo, pero se destacan como complementos necesarios del mismo.

El propsito general del que nos ocupamos al principio (dar recomendaciones para fortalecer los
controles) debe descomponerse segn las circunstancias propias que rodean el area de
sistematizacin de datos as:

El auditor debe evaluar los planes y proyecciones de la sistematizacin de datos, de acuerdo
con los proyectos de la entidad.

Esta obligacin supone que el auditor conoce la organizacin y sus planes a mediano y largo plazo. Le
obliga a tener claridad sobre los objetivos de la empresa., la conformacin de su estructura y las
funciones de cada una de las reas que la componen. En consecuencia, debe tener un conocimiento
detallado de la organizacin y recursos de la sistematizacin ya que en su evaluacin no debe considerar
solo lo que se debe hacer sino que debe incluir anlisis de los recursos necesarios para lograrlo.

El auditor debe evaluar la organizacin del area de sistemas, la distribucin de funciones y los
procedimientos e trabajo y supervisin.

Uno de los pilares mas importantes del control es la adecuada distribucin de tareas con el fin de que cada
funcionario tenga a su cargo una responsabilidad precisa. El auditor no puede definir una estructura de
organizacin que proporcione esta condicin .pero si puede, de acuerdo con las circunstancias plantear
esquemas de organizacin apropiada; sin embargo, frente a estructuras ms pequeas que impiden
cumplir con este requisito, debe evaluar mtodos alternativos de control que disminuyan los riesgos
inherentes a las incompatibilidades identificadas.

Esta tarea requiere de un estudio detallado sobre la prctica de trabajo del departamento de sistemas y
sus diferentes secciones. Con nfasis en los procedimientos utilizados y la supervisin de niveles de
autorizacin incorporados a ellos

El auditor debe evaluar los mtodos de trabajo y documentacin utilizados por el grupo de
desarrollo de sistemas y los controles implantados para supervisar sus labores.

Naturalmente no existe una formula acerca de cmo se debe desarrollar e implantar una aplicacin. En la
prctica cada centro de procesamiento tiene su propio estilo, y en su mayora, aplican dosis excesivas de
confianza en los grupos de desarrollo. No le corresponde al auditor dar la formula- que no existe- ni
sentar ctedra sobre los procedimientos de control.

Su papel con relacin a este punto, consiste en analizar los mtodos y procedimientos utilizados junto con
la distribucin de funciones establecidas y con los recursos computacionales utilizados. Elio cubre por
supuesto un estudio cuidadoso de las costumbres aceptadas y de las facilidades suministradas por el
sistema operativo. Es muy comn la informalidad que existe en el desarrollo e implantacin de
aplicaciones por lo que tambin es comn el desconocimientos o falta d mtodos de control apropiados.
Por consiguiente, la labor del auditor en estos aspectos debe ser mas cuidadosa y detallada; debe buscar
caminos proactivos y razonables tanto para formular sus recomendaciones como apara lograr su
aceptacin por taparte del area de PED.

Su funcin, en este caso, requiere del dominio claro sobre los temas de diseo y desarrollo y grandes
dosis de persuasin y comunicacin, que le faciliten orientar sus recomendaciones sobre bases objetivas y
prcticas. Su conocimiento obviamente supone las caractersticas y facilidades que el sistema operacional
ofrece en tcnicas para ensamblar, pruebas, deteccin de errores y compilacin de programas y una
identificacin clara los riesgos que tales facilidades incorpora.

El auditor de be tener capacidad para evaluar las aplicaciones desde su utilizacin practica y
objetiva por parte de los usuarios hasta los detalles relativos a la composicin de los programa
y los procedimientos utilizados.

El buen funcionamiento de cualquier aplicacin depende tanto de sus componentes tcnicos (equipos y
programas) como de la participacin de los funcionarios que intervienen desde el origen de la informacin
hasta la utilizacin de sus resultados. Una buena evaluacin debe considerar su funcionamiento integral;
la respuesta objetiva que dan los programas y equipos disponibles y la utilizacin practica de estos
resultados. Adems, deben utilizar un enfoque objetivo hacia la organizacin; es decir, tener en cuenta
que cada aplicacin es un componente que puede tener incidencia en sectores que no son sus usuarios
directos o que podra estar afectada por ellos.

El auditor debe evaluar la seguridad lgica prevista par ala operacin de las diferente
aplicaciones y sistemas.

Las empresas que no utilizan recursos computarizados o los usan en baja escala, apoyan el control de sus
operaciones en los niveles de autoridad delegados a sus funcionarios. Por contraposicin, el mayor
avance en la sistematizacin desplaza esos niveles de autoridad a los empleados de sistemas y a los
usuarios directos de las aplicaciones, mediante la asignacin de claves de acceso.

Dado que la mayor cobertura de sistematizacion implica un aumento directo en la concentracin de
informacin de la compaa, genera un aumento en los riesgos inherentes al uso de la informacin, que
se facilita o impide con el uso de claves.

El auditor debe estudiar el sistema de seguridad y evaluar los mtodos de acceso permitidos para:

Manejo del sistema de seguridad
Utilizacin de programas que permiten modificaciones a archivos o facilitan su duplicacin.
Uso de compiladores
Acceso a la utilizacin de programas e informaciones, incluidas aquellas organizadas en bases
de datos

Su propsito especifico es el de determinar si todo tipo de acceso esta debidamente controlado y deja
registros que puedan consultarse con posterioridad para efectos de seguimiento.

Por otra parte es tambin de principal importancia el anlisis de duplicaciones de informaciones,
programas y sistema operacional, en conjunto con los procedimientos establecidos para su custodia y
planes de emergencia previstos par atender fallas de equipo o prdidas de informacin.

El auditor debe evaluar los sistemas de seguridad fsica del centro de procesamiento.

Aun cuando la seguridad fsica debe propiciarse a todos y cada uno de los sectores. Es el area de
procesamiento de datos la que por su naturaleza y su riesgo exige un mayor cuidado sobre este aspecto.
Este incluye el medio ambiente de la construccin; la ubicacin con relacin a la edificacin y otras reas
los mecanismos o ayudas con que se cuenta para controlar la ocurrencia de riesgos, y la preparacin de
los empleados para utilizarlos adecuadamente.

Para el auditor una evaluacin sobre la seguridad fsica incluye un estudio de ubicacin, recursos y
preparacin del personal junto con el anlisis de riesgos probables y recursos del mercado, con el fin de
que sus recomendaciones se ajusten a alternativas satisfactorias y razonables con relacin a la
cuantificacin de los riesgos.

El auditor de sistemas debe hacer usos adecuados de la informacin sistematizada, y otros archivos para
satisfacer varios propsitos.

Verificar el cumplimiento de normas y procedimientos y evaluar las desviaciones encontradas.
Proporcionar informaciones tiles a otros sectores de la auditoria (financiera)
Verificar la exactitud de la informacin cuando los programas de trabajo as se lo exijan.
Efectuar comprobaciones sobre los archivos de programas o de informacin con el fin de
satisfacerse acera de cambios realizados.
En general surgen mltiples probabilidades de utilizacin que en algunas oportunidades
corresponden a pruebas de comprobacin del auditor de sistemas y, en otros casos la mayora-
a trabajo de apoyo hacia otras reas. La revisora fiscal, la auditoria externa y otras dependencias
de la auditoria interna.

Corresponde entonces al auditor el desarrollo o adquisicin y uso de paquetes especficos que estn
orientados al cumplimiento de tales funciones.


En resumen el auditor de sistemas o el grupo de auditoria de sistemas en conjunto- debe reunir una
serie de caractersticas basicas para ejercer sus tareas con propiedad, tales como:

o Un criterio claro acerca de la organizacin a que le permita enfocar su trabajo con objetiva.
Claridad sobre mtodos y procedimiento de trabajo, asignacin de funciones y determinacin y
alcance de Politicas

o Conocimiento detallado sobre la sistematizacin, su organizacin, mtodos de planeacion y de
trabajo, facilidades que ofrece y riesgos que genera.

o Conocimiento sobre computadores, caractersticas de hardware y software y facilidades y riesgos
inherentes a ellos.

o Conocimiento de lenguajes de programacin

o Conocimiento de los objetivos de otros grupos de auditoria

o Claridad de conceptos acerca de procedimientos no sistematizados


Adems, requiere complementos bsicos que le permitan lograr sus objetivos

o Facilidades en la expresin oral y escrita, fundamental par la presentacin objetiva y clara de
sus informes y opiniones.
o Facilidad para relacionarse con distintos grupos de trabajo, de los diferentes niveles de la
organizacin tanto desde el punto de vista jerrquico como multidisciplinario
o Capacidad y criterio que le permitan discutir con propiedad sus puntos de vista. Aceptando los
de los dems, sin ceder ante presiones o conveniencias.
o Clara independencia de criterio y respaldo gerencial que apoyen eficazmente los resultados de
su trabajo.

Por lvaro Bermdez
Auditor Interno
Banco Anglo Colombiano









SEGURIDAD Y AUDITORIA EN AMBIENTE COMPUTARIZADO




CONTENIDO





I. INTRODUCCION
II. CONCEPTOS Y COMPONENETE DE LA SEGURIDAD EN LOS SISTEMAS DE INFORMACION
III. PRINICPIOS BASICOS, PROPIEDADES Y FUNCIONES DE LA SEGURIDAD
IV. NIVELS DE CONTROL DE LA SEGURIDAD EN LOS SITEMAS DE INFORMACION
V. COSTO/ BENEFICIO DE LA SEGURIDAD
VI. SIGNOS DE PELIGRO PARA LA SEGURIDAD EN LOS SISTEMAS COMPUTARIZADOS
VII. DISTRIBUCION DE LAS RESPONSABILIDADES EN EL CONTROL Y LA SEGURIDAD DE LOS
SISTEMAS DE INFORMACION
VIII. BIBLIOGRAFIA


I. INTRODUCCION

La seguridad de los sistemas computarizados involucra cuatro aspectos que deben tratarse
integradamente en sus soluciones tcnicas y administrativas y deben ser entendidos claramente por la
alta direccin, los auditores y los administradores y analistas de sistemas. Estos son: SEGURIDAD,
EXACTITUD, CONFIDENCIALIDAD Y PRIVACIDAD EN LA INFORMACION.

La administracin superior necesita esta familiarizada con los problemas para alcanzar la seguridad y con
los tipos de soluciones. Los auditores, en sus diferentes especialidades, deben entender las tcnicas
necesarias para lograrla. Los jefes y analistas de sistemas necesitan conocer tcnicas, herramientas y
metodologas para disearlas e implantarlas. El trabajo mancomunado de ellos afecta todos los aspectos
de diseo y operacin de los sistemas de informacin computarizados, incluyendo personas, archivos de
datos, software, hardware, procedimientos de operacin y la planeacion de las instalaciones fsicas.

II. CONCEPTOS Y COMPONENTES DE LA SEGURIDAD EN LOS SISTEMAS
COMPUTARIZADOS DE INFORMACION

Tomando como base los conceptos emitidos por autores de reconocido prestigio en materia de seguridad
de los sistemas de informacin, como James Martn, royal P. Fisher y Robert Kukrall, La SEGUERIDAD EN
LOS SISTEMAS DE INFORMACION puede definirse como la resultante de cuatro vectores componentes.

CONTROLES DE SEGURIDAD FISICA Y FUNCIONAL.

Esta dada por los controles que protegen a los equipos de computacin y los datos contra robo y tres (3)
exposiciones basicas que pueden ocurrir en forma INTENCIONADA O ACCIDENTAL.

Divulgacin no autorizada de la informacin
Modificacin no autorizada de la informacin
Destruccin no autorizada de la informacin


CONTROLES DE EXACTITUD

La exactitud esta dada por los controles para evitar errores en los datos de entrada (imput) y minimizar la
posibilidad de errores adicionales durante el procesamiento de los datos.




CONTROLES DE CONFIDENCIALIDAD

Se refiere a los mecanismos necesarios para asegurar que la informacin se reciba y utilice nicamente
por las personas autorizadas para ello.

CONTROLES DE PRIVACIDAD

Se refiere a los mecanismos para proteger el derecho que tienen los individuos para determinar por si
mismos que informacin privada de ellos puede proporcionarse a otros.

III. PRINCIPIOS BASICOS, PROPIEDADES Y FUNCIONES DE LA SEGURIDAD EN LOS
SISTEMAS DE INFORMACION

Es importante entender los fundamentos de la seguridad de los datos antes de planear, disear o revisar
la seguridad de los sistemas de informacin.

PRINCIPIOS BASICOS

El principio fundamental para la seguridad en los sistemas de informacin esta dado por lo que la
profesin de la contaduria publica denomina ADECUADA SEPARACION DE FUNCIONES Y
RESPONSABILIDADES.

En procesamiento de Datos cualquier control orientado a os errores y conductas deshonestas de los
empleados necesita de la aplicacin de este principio mediante las cuatro (4) alternativas que se tratan
enseguida:

1. SEGREGACION DE FUNCIONES ENTRE MULTIPLES PERSONAS

Segregacin de funciones significa separar las actividades de un proceso entre varias personas.

Los principios de control interno expresados en la Declaracin de Normas de Auditoria de aceptacin
General, elaborados por las asociaciones de Auditores, denominan incompatibles a las funciones que
deben desagregarse y las definen en los siguientes trminos.

Dos o mas funciones son incompatibles si al ser ejercidas por una misma persona, permiten que los
errores y las irregularidades pasen inadvertidas.

EJEMPLOS:

a. El operador de entrada de datos no debera tener tambin la responsabilidad de verificar los
datos capturados por el.
b. Un programador no debera tener la responsabilidad de custodiar y modificar los programas
desarrollados por el.
c. Al diseador del sistema no debera permitrsele accesar los mdulos de aplicacin
diseados por el.

La aplicacin de este principio a los ejemplos mencionados, fortalece el sistema de control
porque:

- Los errores de transposicin se detectaran fcilmente antes de afectar el sistema con los
datos.
- Un usuario puede descubrir el intento del diseador para controlar el acceso sobre su
sistema.
- Se requiere colusin para que ocurran violaciones de la seguridad. Esto es, se necesita mas
de un persona para violar la seguridad.
- Se mejora la capacidad del sistema para evitar errores y violaciones de seguridad.
- El Grupo de Quality Assurance mediante la revisin de los cambios efectuados a los
programas, tiene la posibilidad de descubrir una rutina no autorizada, programada con
intenciones dolosas, tales como las denominadas bombas lgicas y caballos de Troya.

Cuando por razones de insuficiencia de personal sea imposible separar funciones que se sabe son
incompatibles deben establecerse CONTROLES COMPENSATORIOS para sustituir la violacin de este
principio. Como ejemplo de esta situacin, en el ambiente de microprocesadores un mismo funcionario
desarrolla las funciones de anlisis, programacin y operacin.

2. NO PERMITIR EL ACCESO DE UNA MISMA PERSONA A COMBINACIONES SENSITIVAS DE
RECURSOS.

INFORMACION SENSITIVA. Es aquella que si se expone a ser conocida por personas no autorizadas
para hacerlo, podra influenciar la ocurrencia de una situacin de negocios dada. Una informacin
determinada en si misma puede carecer de significancia, pero su combinacin con otras informacin
puede volverla sensitiva.

Por ejemplo, un programador puede no estar autorizado para conocer los salarios de los empleados. Sin
embargo, puede llegar a conocerlos si tiene acceso a la informacin sobre las direcciones de los
empleados y los datos estadsticos de nomina.

Las combinaciones sensitivas mas frecuentes incluyen datos y sus activos asociados. Por ejemplo, los
individuos que tiene acceso al activo fsico y a los datos de control del mismo, tales como el inventario y
los datos de control del inventario, presentan un riesgo definitivo para la seguridad.

3. EVITAR QUE UNA MISMA PERSONA ESTE EN POSICION DE OCULTAR ACTIVOS Y
CONVERTIRLOS EN DINERO.

A los empleados no debera asignrseles funciones que les permitan ocultar y convertir activos para su
beneficio personal. Una violacin comn de este principio es la asignacin de un solo operador de un
computador para el tercer turno. Las corridas de produccin prolongadas con pocos procedimientos de
operacin pueden justificar un solo operador. Sin embargo, despus de algn tiempo, el operador, por
aburrimiento o necesidad, podra empezar a producir y vender copias de los listados secretamente podra
montar un negocio de servcie bureau.

Pero las mayores oportunidades para ocultar los datos y convertirlos en dinero, sin embargo, podran
ocurrir fuera del centro de procesamiento y no dentro de el. Cuando es posible la Comunicacion de
entradas/salidas con la base de datos.

Los sistemas de informacin que se disean con inapropiada separacin de funciones y responsabilidades
y7o permiten el acceso a combinaciones de recursos sensitivos, son propicios para permitir violaciones de
conversin y ocultamiento de activos en beneficio de los empleados. No es el uso del computador o de la
base de datos computarizada el que crea esta oportunidad es el inadecuado uno de las capacidades de
control disponibles.

En efecto un computador y su base de dato pueden ofrecer un mejor control sobre el negocio que el
sistema manual al que reemplazan. El control se alcanza mediante apropiada planeacion, diseo, prueba,
utilizacin y administracin de las diversas caractersticas de control disponibles actualmente en los
compatadres.

4. UN MISMO INDIVIDUO NO DEBE ORIGINAR Y APROBAR TRANSACCIONES.

Con el propsito de mejorar la eficiencia y velocidad de las operaciones puede parecer razonable asignar
los procesos de dar origen y aprobar transacciones a un mismo individuo.

Sin embargo, aunque esta responsabilidad se confie a empleados honestos con una impecable hoja de
vida laboral, se esta violando la sana practica de segregar dos funciones incompatibles desde el punto de
vista de control.

Algunas organizaciones exigen que la operacin de transacciones sensitivas este sujeta a una aprobacin
independiente. Si embrago, fallan al permitir que el mismo individuo que las origina sea el que las
aprueba.

Todos los negocios necesitan un sistema de verificaciones y balances. Si alguien pudiera aprobar su
propia cuenta de gastos, podra extralimitarse.

PROPIEDADES DE UN SISTEMA SEGURO.

Para que las organizaciones funcionen con un nivel de riesgo aceptable, sus sistemas de informacin
deberan satisfacer las siguientes propiedades:

1. INTEGRIDAD

Un sistema debera hacer solamente lo que esta previsto que haga y nada mas. Este sistema debe
funcionar de acuerdo con un grupo de especificaciones planeadas. Estas poseen la esencia de totalidad o
de la completitud. Los sistemas tienen INTEGRIDAD si satisfacen esas especificaciones y nada mas.

EJEMPLOS

- Un temporizador en la puerta de una bveda de un banco activara la cerradura en el tiempo
programado y no en otro.
- Un archivo de datos de solo lectura debera rechazar todos los intentos de modificaciones
desde cualquier fuente.
- Un cheque debera pagarse solamente al individuo apropiado, en la fecha correcta y por la
cantidad correcta.

La verificacin de la integridad es predecible. Si para cada estimulo que reciba el sistema, la respuesta es
predecible ya sea que esta funcionando bien o mal, existe INTEGRIDAD.

La propiedad de la INTEGRIDAD proporciona la capacidad de responder con acciones correctivas cuando
recibe estmulos anormales.

2. AUDITABILIDAD

Un sistema AUDITABLE permite a un revisor independiente verificar sus actividades en cualquier tiempo.
La auditabilidad permite al sistema DEMOSTRAR que esta funcionando de acuerdo con especificaciones,
cumpliendo con requisitos de control, que se esta utilizando como se pens y de acuerdo con estndares y
practicas aceptadas en procesamiento de datos.


Para satisfacer esta propiedad, los sistemas deben construirse enteramente con componentes auditables.
Para esto se requiere que sea modular en su diseo y que cada modulo sea capaz de comunicarse con los
otros solamente a travs de un numero limitado de interfases formalmente definidas. Tale sistemas, por
consiguiente, deben tener la capacidad de registrar todas las transacciones ( consultas, eventos,
contenidos, estmulos, respuestas) en las interfases permitidas

Una prueba de auditabilidad es la RESPONSABILIDAD. Un sistema debera tener al habilidad para fijar la
responsabilidad por cada evento significativo en un solo individuo. Debe tener la capacidad de apuntar a
alguien o alguna PARTE como responsable de cualquier actividad del sistema. El sistema debera ser
capaz de registrar a cualquier persona, determinando completamente la responsabilidad por sus
actividades.

Los sistemas auditables tambin deben tener VISIBILIDAD. Esto es, que las varianzas de comportamiento
esperado, uso o contenido se indiquen y se den a conocer a la administracin de tal manera que permitan
iniciar acciones correctivas en forma apropiada y oportuna.

3. CONTROLABILIDAD

Un sistema que posee CONTROLABILIDAD permite a la Administracion ejercer una Direccion o influencia
restrictiva sobre su uso, comportamiento o contenido .Esta propiedad limita la capacidad de un sistema
para pasar los recursos previstos entre reas de trabajo o de influencias sujetas a control. Por Ejemplo.
Ud. Puede estar habilitado para procesar gastos legtimos del negocio, pero no para aprobar, producir o
enviar el pago de los fondos correspondientes. Adems Ud. Puede permitrsele procesar solamente para
tipos particulares de cargos asociados con su departamento.

Para alcanzar esta postura de control, cada modulo auditable debe ser individualmente controlable. Esto
implica que cada modulo de control transfiere a otros mdulos SOLAMENTE aquellas actividades previstas.

Una prueba de controlabilidad es la GRANULARIDAD. Esta requiere que el tamao del modulo a ser
controlado sea suficientemente pequeo para construir un aceptable nivel de riesgo. Por Ejemplo, si un
modulo de nomina incluye las funciones de solicitud, autorizacin y ejecucin del pago, este falla en su
granularidad.

Ningn modulo debera controlar su recurso de tal tamao que pueda afectar significativamente la
continuidad del negocio. Es responsabilidad de la administracin definir el nivel de riesgo aceptable en
cada interfase.

FUNCIONES DE LA SEGURIDAD DEL SISTEMA

Una estrategia para alcanzar las propiedades de integridad, auditabilidad y controlabilidad es colocar
controles funcionales en los dominios de cada interfase. Esos controles protegen el transito de informacin
en el sistema y representan la gran contribucin del diseador del sistema para alcanzar el mximo nivel
de seguridad de los datos.

1. IDENTIFICACION

Esta funcin permite establecer identificadores (nombres o cdigos) para cada usuario y recursos del
sistema. Su propsito es proporcionar evidencia la realidad. Esta funcin identifica por algunos medios
aceptables a las personas, el hardware, el software y otros recursos disponibles en el sistema.

La identificacin implica que un registro de datos existente en el sistema asocia un identificador con un
usuario o recurso definidos. La confirmacin de alguna identidad se establece e ese punto. Por ejemplo,
empleado JAIME RODRIGUEZ, data record, ECDIMA; terminal li.

2 . AUTENTICACION

Es el acto de seleccionar con un nivel aceptable de riesgo, de la validez de la identidad declarada. Es la
validacin aceptable de la identidad. Proporciona la capacidad del sistema para verificar el usuario o
recurso identificado.

Se realiza comparando algo que el individuo conoce, tiene, es o puede hacer para una referencia
registrada. Por ejemplo:

- Algo que sabe o conoce: pasword
- Alguna cosa que tiene: tarjeta con fotografa
- Algo que el es: Apariencia fsica
- Algo que puede hacer: la firma

Adicionalmente, la autenticacin de la FUENTE en los sistemas de informacin es clave para seguridad de
los datos. Esta ayuda a determinar cuanta confianza puede darse a la exactitud, confiabilidad y a lo
completa que es la informacin presentada por el sistema.

3. AUTORIZACION.

El propsito de una funcin de autorizacin es establecer lo que esta permitido hacer a alguien a un
recurso dado. Generalmente relaciona a un usuario con un recurso a travs de reglas de autorizacin
definidas. La autorizacin establece reglas que restringen a los usuarios de los sistemas para ejecutar
solamente actividades predefinidas a los recursos de datos.


4. DELEGACION

La funcin de DELEGACION es necesaria para aplicar y dar mantenimiento a la funcin de actualizacin.
Suministra la generacin, registro y mantenimiento, de las reglas de acceso. Determina quien y bajo que
circunstancias, puede habilitar o cambiar reglas de autorizacin.

En sistemas pequeos esta funcin la desempea el administrador de seguridad. En grandes sistemas, con
una estructura compleja de usuarios, recursos, localizaciones, y actividades, se requieren mecanismos de
delegacin sofisticados, que implican el uso de paquetes de software de control de acceso, tales como el
RACF (Resource Allocation and Control Facility) y el ACF2 proporcionados para equipos IBM.

5. REGISTRO DE PISTAS DE LAS TRANSACCIONES (JOURNALING)

Despus de la identificacin, autenticacin, autorizacin y delegacin, el siguiente paso es el
JOURNALING de todas las actividades significativas que ocurran. Los journals proporcionan evidencias
escritas del uso de los registros del sistema. Ofrecen tres beneficios destacables.

a. Proporcionan lo necesario para reconstruccin, backup/ recovery.
b. Fijan responsabilidades- rastrea e identifica
c. Cana visibilidad permite ver que esta ocurriendo


Los sistemas nunca deberan disearse sin capacidades de journaling, es decir, para capturar informacin
sobre quien hizo que, donde porque, cuando y como. Los journaling son el medio mas eficaz de
monitorear la adherencia a las Politicas de la compaa, objetivos reglas y standares de rendimiento
generalmente. Cualquier punto donde un recurso o responsabilidad importante para del control de una
persona a otra, es un area clave para consideraciones de PISTAS DE LAS TRANSACCIONES.

6. VIGILANCIA

Las pistas de las transacciones (Journals y Logs), sin importar lo completas que sean. Son inefectivas sin
la funcin de VIGILANCIA. Alguien debe revisar los journals. Alguien debe examinar las actividades
registradas y establecer las variaciones con respecto al rendimiento esperado, uso y contenido. Esta es la
funcin de vigilancia.

ESTAS SEIS FUNCIONES SON PROBABLEMENTE LAS CONSIDERACIONES MAS IMPORTANTES EN
EL DISEO DE ADECUADOS CONTROLES DE SEGURIDAD DE LA INFORMACION.

IV. NIVELES DE CONTROL DE LA SEGURIDAD EN LOS SISTEMAS COMPUTARIZADOS DE
INFORMACION.

James Martn en su libro Security Accuracy and Privacy in Computer Systems, propone cuatro (4)
niveles de controles para proteger la seguridad de los sistemas computarizados.
1. CONTROLES TECNICOS CONSTRUIDOS DENTRO DEL SOFTWARE APLICATIVO Y DEL SISTEMA.

Es el sistema o nivel mas interno de la metodologa de control. Sin fuertes controles en el software del
sistema y de las aplicaciones, ninguna otra precaucin puede hacer el sistema seguro. Los controles
dentro del software del sistema proporcionan la SEGURIDAD LOGICA. Los controles establecidos dentro
de software aplicativo proporcionan la SEGURIDAD FUNCIONAL.

2. CONTROLES DE SEGURIDAD FISICA

Los controles de seguridad lgica y funcional no son suficientes por si solos, deben reforzarse con niveles
de control externos al diseo del sistema. El nivel de controles tcnicos es circundado por el de
SEGURIDAD FISICA, estos se refieren a las cerraduras en las puertas, guardias, alarmas y otros medios
para prevenir el acceso no autorizado, precauciones contra incendios, proteccin de datos almacenados
en archivos magnticos y otros.

3. CONTROLES ADMINISTRATIVOS

El siguiente nivel es el de controles administrativos para asegurar que el sistema se utilice correctamente.
Estos controles se extienden mas all del departamento de procesamiento de datos: incluyen a los
departamentos usuarios de los sistemas, los auditores y la Administracion superior.

4. CONTROLES DEL AMBIENTE SOCIAL Y JURIDICO

Es el nivel mas externo y problemtico tiene que ver con privacidad exactitud y confiabilidad de los datos
en el ambiente social y jurdico en que operan los sistemas.

Estos niveles de proteccin no estn completamente separados. Los controles que se establezcan en cada
uno, dependern de la importancia de la informacin y la tecnologa de procesamiento de datos utilizada.

V. COSTO BENEFICIO DE LA SEGURIDAD

LA SEGURIDAD ABSOLUTA ES INALCAZABLE. La razn mas poderosa para esta afirmacin es que los
errores y las irregularidades son propias de la intervencin humana y esta no puede eliminarse
completamente. En este punto es importante resaltar que la seguridad de la empresa empieza por sus
polticas de administracin de personal

Nunca podemos hablar de seguridad absoluta pero si de minimizar las oportunidades de quebrantarla los
altos niveles seguridad son prohibitivamente costosos sin embargo la medidas de seguridad basicas
cuestan muy poco. Es recomendable asignar un presupuesto de seguridad de proporciones razonables,
que no exceda del 5% del presupuesto total de procesamiento de datos, segn aconseja el autor antes
citado.

No todos los sistemas necesitan del mismo grado de seguridad. Este depende fundamentalmente de la
importancia de la informacin.

VI SIGNOS DE PELIGRO PARA LA SEGURIDAD DE LOS SISTEMAS DE INFORMACION.

Existe una gama de aspectos que permiten determinar rpidamente el grado de seguridad existente en os
sistemas de informacin. Si alguno de estos no se utiliza esta descuidado, representa un punto vulnerable
en el sistema de seguridad.

La administracin superior, la gerencia de sistemas y la auditoria deberan revisar los siguientes signos de
peligro.

1. Carencia de un programa de seguridad que cubra todas las actividades de procesamiento de datos.

2. Carencia de balance en los esfuerzos de seguridad

3. Deficiente control de acceso a las instalaciones de procesamiento de datos.

4. Falta de orden y pulcritud en as instalaciones de procesamiento de datos.

5. Deficiente documentacin de las aplicaciones y falta de pulcritud en la programacin

6. Carencias o deficiencias en los planes y programas de recuperacin de desastres.

7. Deficientes Politicas de Administracion del personal de procesamiento de datos.

8. Inadecuada distribucin de funciones y responsabilidades

9. Inadecuada localizacin fsica de las instalaciones de procesamiento de datos

10. Carencia o deficiente enfoque de la auditoria a los aspectos de seguridad en los sistemas de
procesamiento de datos.

VII DISTRIBUCION DE RESPONSABILIDADES EN EL CONTROL Y LA SEGURIDAD DE LOS
SISTEMAS COMPUTARIZADOS DE INFORMACION.

La seguridad de la informacin en los sistemas computarizados depende de todos los individuos
involucrados en su manejo por consiguiente es necesario establecer un mnimo de cultura de control en
todos los funcionarios de la empresa. Como base para crear conciencia de las responsabilidades que al
respecto les corresponden, de acuerdo con las funciones que desempeen.

Un modelo de distribucin de estas responsabilidades entre la alta Direccion, la Gerencia de sistemas las
reas, las reas operativas o usuarias de los sistemas y los auditores se describe a continuacin.

RESPONSABILIDADES DE LA ALTA DIRECCION.

Frente al control y la seguridad de la informacin su responsabilidad hace parte de las cuatro funciones
basicas que corresponden en la empresa: PLANEAR, ORGANIZAR, DIRIGIR Y CONTROLAR.


Su papel consiste en proporcionar los recursos y el apoyo necesario para que los sistemas de informacin
basados en computadores tenga un apropiado sistema de controles. La administracin superior debe
APROBAR Y APOYAR las actividades de desarrollo e implantacin de controles que sean promovidas por el
personal de sistemas las reas de los sistemas y los auditores.

RESPONABILIDAD DEL PERSONAL DE SISTEMAS

Los diseadores de los controles seleccionados por ellos juegan un papel importantsimo en la vida de los
sistemas de informacin basados en computadores, de manera anloga a la trascendencia que tienen
para la vida de un edificio y los estudios previos que realizan los arquitectos e ingenieros constructores y
los materiales de construccin empleados. En ambos casos los constructores y arquitectos se preocupan
no solamente por los aspectos tcnicos de su profesin, sino tambin por el objetivo y la funcin que
cumplir la obra construida.

El personal de sistemas involucrado en el desarrollo y mantenimiento de los sistemas de informacin es
responsable de DISEAR, IMPLANTAR Y DAR MANTENIMIENTO al sistema de controles que proteger a la
organizacin, contra los riesgos que podran afectar su estabilidad financiera u operativa a travs de los
sistemas computarizados.

El cumplimiento de estas responsabilidades implica la ejecucin de las siguientes actividades.

EN LA FASE DE DESARROLLO DELSISTEMA

1. Identificar las amenazas o situaciones de riesgo que podran afectar las actividades del procesamiento
electrnico de datos y el buen manejo del negocio en las reas de operacin sistematizadas.

2. Definir objetivos de control especficos. Estos siempre deben apuntar a INCREMENTAR la probabilidad
de que el sistema funcione correctamente y a REDUCIR la probabilidad de ocurrencia de errores e
irregularidades.

3. Seleccionar los controles requeridos para MINIMIZAR la probabilidad de ocurrencia de las amenazas o
situaciones de riesgo.

4. Definir la ubicacin de los controles seleccionados

5. Estimar costos/ beneficio de los controles seleccionados

6. Instalar los controles seleccionados

7. Documentar los controles

8. Probar la efectividad y eficiencia de los controles instalados

9. Educar a los usuarios del control (entrenamiento para el control)

10. Dar a conocer (promulgar) los controles que corresponde ejecutar a cada una de las reas
involucradas en el manejo del sistema

EN LA FASE DE OPERACIN DEL SISTEMA

1. Ejecutar los controles en actividades manuales y automatizadas que corresponda desarrollar al personal
de sistemas.

2. Dar mantenimiento al sistema de controles establecido, es decir, efectuar ajustes y correcciones que
surjan como resultado de cambios en el manejo de las operaciones sistematizadas de errores e
irregularidades no previstas en la fase de desarrollo del sistema o de recomendaciones de los usuarios y
auditores.

- Adicionar controles
- Suprimir controles
- Modificar procesamiento de control
- Actualizar la documentacin de los controles
- Dar a conocer (promulgar) cambios en el sistema de controles

3. Prevenir omisiones: incumplimiento de controles en su departamento

4. Detectar omisiones incumplimiento de controles en su departamento

5. Corregir efecto de omisiones incumplimiento de controles en su departamento

6. Recomendar mejoramiento o implantacin de nuevos controles en otros departamentos involucrados
en el manejo del sistema.

RESPONABILIDADES DE LAS AREAS OPERATIVAS USUARIAS DE LOS SISTEMAS.

El papel de esta area frente al control de la seguridad de la informacin que procesan los sistemas
computarizados, es similar al que un propietario ejerce sobre su vehculo cotidianamente y cuando utiliza
los servicios de un diagnosticentro.

El vehculo (el sistema de informacin) dispone de unos controles suministrados por el fabricante (el
personal de sistemas), los que a travs de un tablero de control alertan al conductor (usuarios del
sistema) sobre la inminente ocurrencia de amenazas criticas que podran ocasionar daos graves al
vehculo. El propietario es libre de tomar accin o no cuando se activan los indicadores del tablero de
control. Si toma una accin, evitara daos mayores: si no lo mas probable es que su vehculo sufra daos
muy graves, que sea necesario adquirir otro o que durante algn tiempo no pueda utilizarlo.

El servicio de un diagnosticentro es comparable al soporte tecnico que los usuarios de los sistemas reciben
de los analistas y programadores del departamento de sistemas. Por ejemplo cuando el usuario solicita la
inclusin de un nuevo control o la impresin de un dato adicional en uno de los listados que normalmente
se producen.

De la misma manera que el propietario del vehculo se preocupa por la calidad, el costo y la eficiencia del
servicio especifico que contrata, el usuario de los sistemas debe preocuparse por los servicios que solicita
y recibe PARA SU INFORMACION por parte del personal de sistemas.

En el control y la seguridad de los sistemas de informacin computarizados, los usuarios de las reas
operativas de los sistemas deben asumir el papel de PROPIETARIOS de la informacin que se procesa con
software, hardware y personal administrativo por el departamento de sistemas. Como propietario de la
informacin sistematizada, es responsable de las siguientes actividades de control:

EN LA FASE DE DESARROLLO DEL SISTEMA

1. Identificar y definir las amenazas o situaciones de riesgo, que podran afectar al negocio en las reas
operativas manejadas por ellos.

2 .Recomendar (proponer) los controles requeridos en su jurisdiccin para el manejo de la informacin
que se genere para su procesamiento en el computador o se reciba de el.

3. Aprobar los controles seleccionados por los fabricantes del sistema para ser ejecutados en su
jurisdiccin.

4. Participar en la definicin de los objetivos especficos de los controles establecidos para su jurisdiccin.





EN LA FASE DEL OPERACIN DEL SISTEMA

1. Ejecutar los controles establecidos par operar en su jurisdiccin

2. Comprobar que los controles establecidos para su jurisdiccin estn activos y se utilicen

3. Recomendar mejoramiento de los controles o el establecimiento de nuevos controles en su jurisdiccin.

4. Prevenir omisiones / incumplimiento de controles en su jurisdiccin.

5..Detectar omisiones / incumplimiento de controles en su jurisdiccin

6. Corregir efecto de las omisiones / incumplimiento de controles en su jurisdiccin

7. Informar a sistemas las deficiencias de control que detecte en la porcin automatizada de los sistemas.

RESPONSABILIDAD DE LA AUDITORIA

La auditoria como parte del sistema de control interno de la empresa debe asumir responsabilidades
frente al control y la seguridad de los sistemas de informacin basados en computadores. Durante el
desarrollo de los sistemas cumple una funcin ASESORA. Aportando sus conocimientos y experiencias
para ayudar a construir.

A continuacin se presenta un modelo de las responsabilidades de la auditoria frente al control y la
seguridad de los sistemas de informacin.

EN LA FASE DE DESARROLLO DE LOS SISTEMAS


1. Identificar las situaciones de riesgos de mas probable ocurrencia en las operaciones sistematizadas
objeto de la auditoria (Anlisis de riesgos).

2. Evaluar la capacidad de los controles establecidos para:

- Evaluar errores e irregularidades
- Detectar oportunamente la ocurrencia de situaciones que pueden ocasionar errores o
irregularidades.
- Informar oportunamente la ocurrencia de situaciones que puedan conducir a errores e
irregularidades

3. Verificar que estn activos y operando los controles establecidos

4. Evaluar efectividad y suficiencia de los controles establecidos

5. Sealar situaciones de riesgo desprotegidas o dbilmente protegidas

6. Recomendar nuevos controles o mejoras a los controles existentes.

7. Verificar que los responsables de establecer, ejecutar y dar mantenimiento a los controles entienden los
objetivos, la conveniencia y la necesidad de los controles.

VIII. BIBLIOGRAFIA


- Burch. Jhon G. Jr Sardinas Joseph L. Jr. COMPUTER CONTROL AND AUDIT: TOTAL SYSTEMS APROACH.
Ed. John Wiley & Sons. Inc. 1978.

- Auditoria de sistemas e Informatica Ltda AUDISIS PROGRAMA DE ENTRENAMIENTO EN CONTROL Y
AUDITORIA DE SISTEMAS DE INFORMACION. MODULOS I Y II. 1989.


- E.D.P Auditors Foundation. Inc. CONTROL OBJETIVES CONTROLS IN A COMPUTER EVIRONMENT:
OBJETIVES GUIDELINES. AND AUDIT PROCEDURES. By David H. Li. Ph. D. CPA. 1983.

- Martin. James. SECURITY, ACCURACY AND PRIVACY IN COMPUTER SYSTEMS. Prentice Hall Inc.. 1973.

- Fisher, Royal P. INFORMATION SYSTEM SECURITY. Prentice Hall Inc. 1984.

- FitzGerald Jerry and FitzGerald Ardra F. DESIGNING CONTROLS INTO COMPUTERIZED SYSTEMS. Second
Edition. Jerry FitzGerald & Associates. 1990.