AUIBITORIA ENAUDITORIA EN INFORMATICA Segunda edicién JOSE ANTONIO ECHENIQUE GARCIA Universidad Nacional Auténoma de México Universidad Autonoma Metropolitana McGraw-Hill MEXICO « BUENOS AIRES - CARACAS « GUATEMALA « LISBOA « MADRID NUEVA YORK « SAN JUAN + SANTAFE DE BOGOTA - SANTIAGO + SAO PAULO AUCKLAND « LONDRES « MILAN « MONTREAL » NUEVA DELHI + SAN FRANCISCO ‘SINGAPUR - ST. LOUIS - SIDNEY - TORONTOConTENIDO AGRADECIMIENTOS INTRODUCCION, CAPITULO 1: Concepto de auditoria en informatica y diversos tipos de auditorias .. Concepto de auditoria y concepto de informética .. Diversos tipos de auditoria y su relacién con la auditoria en informatica... ‘Auditoria interna/extema y auditorfa contable_/financiera Auditoria administrativa/ operacional Auditoria con informatica . Definicién de auditoria en informatica... Concepto de auditoria en informatica Campo de la auditoria en informa Auditoria de programas ... CAPITULO 2: Planeacién de Ia audiloria en informética sn Fases do la auditoria os “i PlaneaciGn de la auditoria en informatica Revisién preliminar... Revisién detallada Examen y evaluacidn de la informacion . Pruebas de consentimiento .... Pruebas de coniroles del usuario . Pruebas sustantivas.. Evaluacign de los sistemas de acuerdo al riesgo. Investigacién preliminar. Personal participante. CAPITULO 3: Auditoria de la funcién de informatica Recopilacién de la informacién organizacional PPrincipales planes que se requicren dentro de la organiizacicn de informatica Evaluacién de la estructura organica Estructura orgénica Funciones: Objetivos.. Anilisis de onganizaciones EvaluaciGn de los recursos humanos .. Entrevistes con el personal de informatica Situacién presupuestal y financiora ..conTENDO Presupuestos .. Recursos financieros... Recursos materiales CAPITULO 4: Evaluacién de los sistemas... Evaluecion de sistemas Evaluacisn del anlisi Andlisis y disefio estructirade vnesnn Evaluecisn ciel diseno ldgico del sistema... Programas de desarrollo... Bases de datos El administrador de bases de datos Comunicacién ‘ Informes Andlisis de informe’... Ruido, redundancia, entropia Evaluacisn del desarrollo del sistema Sistemas distribuidos, Internet, comunicacién entee oficinas Control de proyectos vemnsmn Control de disefo de sistemas y programadén Instructivos de operacisn .. Forma de implantacion Equipo y facilidades de Programadia Enirevistas a usuarios .. ct Entrevistas . Cuestionario Derechos ce autor y secretos industriales Intemet - - Proteccién de los derechos de autor... 144 Secretos industriales. eon oe CAPITULO 5: Evaluacién del proceso de datos y de los equipos de cémputo Controles: _ Control de datos fuente y manejo de cifras de control... snine LOL Control de operacion... Control de salida Control de asignacién de trabajo Control de medios de almacenamiento masivo Control de mantenimiento Orden en el centro de eSmputo ... de la configuracién del sistema de computo... Puntos a evaluar en los equipos .. CAPETULO 6: Evaluacion de la seguridad ..n. Seguridad ldgica y confidencialidad... Seguri Riesgo Encrip Seguridad Seguridad Ubicac Piso el Aire ac Instala Seguri Seguric Detece: ‘Tempe Seguridad. Protec Seguros . Conic Seguridad. Seguridad. Plan de con de desa Plan de Selecci CAPITULC ‘Técnicas pa Analisi Metodo Evaluaciéa | Anilisis Evaluacion Evaluag Evaluad Evaluad Evaluag Controles Presentacion Conclusion Bibliogratia Indice analitBRGRS S FA Seguridad 16g{¢€ soon Riesgos y controles a auditar Encriptamiento Seguridad en el personal... Seguridad fisica Ubicacién y construccién del centro de cémputo iso elevado o camara plena Aire acondicionado .. Instalacién eléctrica y suministro de energia =. Seguridad contra desastres provocados por agua . Seguridad de autorizacién de accesos. Deteccidn de humo y fuego, extintores ‘Temperatura y humedad. Seguridad en contra de virus Protecciones contra virus y elementos a auditar Seguros Condiciones generales del seguro de equipo electrénico.. Seguridad en la utilizacién del equipo Seguridad al restaurar el equipo Plan de contingencia y procedimientos de respaldo para casos de desastre Plan de contingencias.. Seleccion de la estrategia .. CAPETULO 7: Interpretacién de la informaciéa . ‘Técnicas para la interpretacién de Ia informacisn’ Analisis critico de los hechos Metodologia para obtener el grado de madurez del sistema Evaluacién de los sistemas Analisis Evaluacién de los sistemas de informacién Evaluacién en la ejecucién Evaluacion en el impacto Evaluacién econémica Evaluacién subjetiva . Controles Presentacién. Conclusiones Bibliografia nn. {ndice analiticoINTRODUCCION En la actualidad el costo de los equipos de eémputo ha disminuido considera blemente, mientras que sus capacidades y posibilidades de utilizacién han au- mentado en forma inversa a la reduceién de sus costos. Aunque los costos uni tarioshan disminuido (el de una computadora personal, “microcomputadora”), los costos totales de la computacién (de equipos, sistemas, paquetes, recursos humanos, consumibles, etc.) se han incrementado considerablemente. Ello se debe a que, si bien la relacién precio /memoria es menor, el tamaiio de la me- moria de los equipos y sus capacidades son mucho mayores, con procesadores y dispositivos que permiten acceso de més datos en mucho menos tiempo y que procesan la informacién en forma mas ripida (memorias RAM y ROM, fijos, etc.). Esto hace que, aunque se han reducido los costos, al aumentar sus capacidades y facilidades se ha incrementado el costo total, Io que ha tenido como consecuencia que os costos totales del uso no hayan disminuido en todos los casos. Las nuevas herramientas con que se cuenta (Intemet, Extranet, comu- nicacién, bases de datos, multimedia, etc.) hacen que también se pueda tener acceso a mayor informacién, aunque el costo total de los sistemas, asf como la confiabilidad y segurided con que se debe trabajar, sean muy altos. En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se tiene poca productividad en relaciGn con la informacién y uso que se da a éstas. También se tiene poco control sobre la utilizacién de los equipos, existe un de- ficiente sistema de seguridad tanto fisica como logica y se presenta una falta de confidencialidad de la informaciGn. Lo que se debe incrementar es la producti- vidad, el control, la seguridad y Ia confidencialidad, para tener la informacién necesaria en el tiempo y en el Iugar adecuados para poder tomar las mejores decisiones. Los siguientes puntos de la tecnologia de informacién son particularmente notables: ‘+ Una gran disponibilidad de hardware de computadoras muy poderosos y baratos, incluyendo la incorporacién, a través de Ia miniaturizaci6n de po- derosas capacidades, en diferentes dispositivos disefiados para usos pers nales y profesionales Una gran dispordbilidad de software poderooo, btrato relativamente ac- cesible, con interfases de uso grafico. ‘Ala medida del cliente, cambio de sistemas a software preempacado. ‘Cambio de computadoras principales (mainframe) a computadoras de us0 individual aumentadas como parte de rectes dedicadas a compartir infor- macién, asi como computadoras corporativas con los correspondientes cam-xii irRoDUCCION bios en la naturaleza, organizacisn y localizacién de actividades de los si temas de informaci io final + _Incrementoen la habilidad de las computadoras para accesar datos en tiempo Feal 0 demorado, ambos en forma local 0 a través de acceso a facilidades Temotas, incluyendo via Intemet. + Captura de nuevos datos y el liderazgo en tecnologfa en almacenamiento maximo para incrementar la computarizaci6n, datos/ informacién en tex- tos, graficas y video, con énfasisen la adminisiracisn, presentacisn y comu- nicacidn de informacién, utilizando aproximaciones de multimedia + Lacobertura de informacion y as tecnologias de comunicacién afectan la forma en que se trabaja y se compra ‘+ Incremento del uso de Intemet para unir individuos, intraorganizaciones, a través de sistemas tales como correo electrOnico (E-mail), intemet, inclu- yendo world y wide web. + Elincremento en ol uso de Intornet para conducir comunicacién entre orga- nizaciones e individuos, a través de sistemas de comercio electrénico, tales como intercambio electrénico de datos (EDI)y sistema de transferenciae trSnica de fondos (EFTS). + Mercadeo masivo y distribucién de productos de tecnologia de informa: ida y servicios, tales como computadoras, software preempacado, servicio de recuperacisn de datos en linea, correo electrSnico y servicios financieros. + Reduccién de barreras de uso e sistemas, estimulando una gran penetra ion de sistemas de informacion dentro de organizaciones de todos los ta: mais, de lucto 0 no lucrativas, para contadores y consejos de administs cin, y para propésitos estratégicos ¢ incremento de papeles del usuario final de computadoras. * Una amplia penetracién de tecnologia de informacisn, tal como disefio manufactura por medio de asistencia computarizada (CAD/CAM), siste- ma de imagenes por computadora, sistemas de informacion para eecutivos (EIS) y sistemas de reuniones en forma electrénica (EMS), * Nuevas técnicas de desarrollo de sistemas, basados en tecnologias de infor macidn, tales como software de ingenierfa de asistencia computarizada (CASE), programacién orientada a objetos y temologia de flujos (WORK FLOW). * Desarrollo continuo de soporte de sistemas inteligentes, incorporando sis temas expertos, redes neuronales, agentes inteligentes y otras ayudas de solucién de problemas. + Acceso a reingenieria de nuevos negocios, basado en la integraci6n efectiva de tecnologia de informacién y procesos de negocios. mn, como el cambio a computadoras de usu Uno de los problemas més frecuentes en los centros de informatica es la falta de una adecuada organizacisn, que permita avanzar al ritmo de las exi sgencias de las organizaciones. A esto hay que agregar la situacion que presen- tan los nuevos equipas en cuanto al uso de bases de datos, rades y sistemas de informacién, Loantcrior, combinado con lanecesidad de una eficiente plancacivn cetratégica y corporativa de las organizaciones, y con una descentralizacion de equipos y centralizacidn de la informacién, ha provocado que la complejidad de las decisiones, y las dimensiones de los problemas en cuanto a la mejor for ma de org izar control y adminis En muchos « pleo de herramee Puestos, finanzas Tepercute en una nes con las caract hace que no se cu desvien de los ob La proliferaci manda de control vVacidad de la info Ademés, hay una dad de (a continui sistemas se caigan incompatibles y el Los sistemastt de las herramiont Para poder evaluai Iarlo desde su inic electrénico, 0 bien respaldos, seguride No basta, pues, con Pos de cémpato, qu ma total de informa La informatica Mos afios, En una g prendié hace alga €reaciGn del horno, década hemos visio era algo cominlata Femoto, y considera tedes. Esto ha provo uitica. Yo no poden con microcomputed conocia en detalles de tener especialisia informatica, y en ola rentes funciones que de la informitica yd EI principal obet Ios siguientes puntos La parte adminis! Tos recursos mat Los sistemes y pro necesidades delavio etre sta stra- lode tiste tivos afor vada IRK- sde ma de organizar el érea de emputo, requieran aplicar técnicas modemas de control y administracién. En muchos centros de informatica también se desconoce el adecuado em- pleo de herramientas administrativas, contables//financieras. tales como presu- puestos, finanzas, costos, recursos humanos, organizacién, control, etc. Esto repercute en una inadecuada drea de informatica que no permite tomar decisio- nes con las caracteristiras que deben tener las organizaciones actuales, lo cual hace que no se cuente con los controles para asegurar que esas decisiones no se desvien de los objetivos. La proliferacién de la tecnologia de informacién ha incrementado la de- manda de control de los sistemas de informacién, como el control sobre la pri- vacidad de la informaci6n y su integridad, y sobre los cambios de los sistemas. Ademés, hay una preocupacién sobre la caida de los sistemas y sobre la seguri- dad de la continuidad del procesamiento de la informacién, en caso de que los sistemas se caigan. Otra drea de preocupaciénes la proliferacién de subsistemas incompatible y el ineficiente uso de los recursos de sistemas. Los sistemas tienen diferentes etapas, y una de ellas puede ser la utilizacién de las herramientas que nos proporcionan los mismos sistemas electronicos. Para poder evaluar un sistema de informacién es necesario conocerio y contro- larlo desde su inicio, siguiendo su proceso, que puede ser manual, mecanico, electrGnico, o bien 1a combinaciGn de éstos, hasta llegar a su almacenamiento, respaldos, seguridad y eficiencia en el uso de la informacién que proporcionan. No basta, pucs, conocer una parte 0 fase del sistema, como pueden ser les equi- pes de cémputo, que tan sélo vienen a ser una herramienta dentro de un siste- ma total de informacién. La informatica ha sido un rea que ha cambiado drasticamente en los tilt mos aftos. En una generacidn, la tecnologfa ha cambiado tanto que Io que sor- prendié hace algunos afios, como la Ilegada del hombre a la Luna, o bien la creacién del horno de microondas, hoy nos parece algo muy familiar. En una década hemos visto el cambio en la organizacion de la informatica: st hace poco era algo comin la tarjeta perforada, hoy la vemos como algo de un pasado muy remoto, y consideramos como algo normal el uso de microcomputadoras y de reds. Esto ha provocado que se tengan especialistas dentro del érea de la infor- mitica. Yano podemos pensar en el personal de informatica que podia trabajar con microcomputadores y con grandes computadoras, o bien en la persona que conocia en detalle sobre bases de datos y de comunicaciones. Ahora se deben de tener especialistas en cada una de las reas. Una de éstas es la auditoria en informétiea, y en ella debemos de tener especialistas para cada una de las dife- rentes funciones que se reatizardn. Esto sin duda depende del tamano del area de la inforsnstica y de la organizacién. El principal objetivo del libro es evaluar la funcién de la informatica desde Jos siguientes puntos de vista La parte administrativa del departamento de informatica. Los recursos materiales y técnicos del drea de informética. Los sistemas y procedimientos, y laeficiencia de su uso y su relacién con las necesidades de la organizacién. mnTRopuccionxiv rRooUCCON inform dependiendo de su tamaiio Es conveniente precisar y aclarar que la funcién de la auditoria e1 sad con la que me relies dcpesera ‘ane de las caracteristicas y del mimero de equipos de cémputo con que se cuente. El Findizarde ecuerda.n h erggnizacion de que sc trate-e los equlposoFiven CaPiTUI y caracteristicas. La prot Os, Al finalizConcepto de auditoria carityco €N informatica te y diversos tipos de auditorias Obuetivos Al finalizar este capitulo, usted: 1. Analizaré lo 2. Conocera to: informética 3. Expondré cudles s con informatica 4. Descrbira las habi formética. 5. Detiniré cual es el campo de la auditoria en informatica. 6. Explicaré cudles son los principales objetivos de la auditoria en informatica 0s de auditoria e informatica, 0s tipos de auditoria y su relacion con la auditoria en sonicas avanzadas que se utiizan en la euditoria fades fundamentales que debe tener todo auditor de in2 : cari Concerto pe aupioria r Y CONCEPTO DE INFORMATICA Ste pe coe Nace in mnctsta El concapte Ue ecco eva coop ss = srgiaig" El raion tend -vsnl de ply coven atréanoner dese at SS ee nc cain aera qiseniaTes “ae | El Roletin C de normas de auditoria® del Instituto Mexicano de Contadores | ost ria debe ev, tivas de sol Informatie equipas de, conferencia tica dela Fa Nacional A) palabra 1a conjur facestim En 1966, del modo sig ndquin: Hacia pe cién, sobre fc por redefini Interguberna UNESCO. Es ello, formuld Aplicacisn La IBItan ca que, aungt Ciencia de En 1977, Mexicana de | Ciencia de En alguns proceso electr mas amplio, ytia debe evaluar par Informitica equipos d conferencia f de Ia Facult 1 ministracis Frectamerts al Auténoi amplio; no eevaluar la jjetivos pro e*auditor de cuentas debe estar intergubern: INESCO. F Allo, form: intos para | laauditoria sidera el total del sistem:DIVERSOS TIFOS DE AUDITOR: Niveles de informacion También es comtin confundir el concepto de dato con el de informacién. La Jenados con un objetivo co: min. El dato se refiere tinicamente a un simbolo, signo o a una serie de let nuimeros, sin un objetivo que dé un significado a esa serie de simbolos, signos letras o ntimeros, La informacion esté orientada a reducir la incertidumbre del receptor y tie- ne la caracteristica de poder duplicarse pricticamente sin costo, no se gasta Ademds no existe por si misma, sino que debe expresarse en algtin objeto (pa pel, cinta, etc.); de otra manera puede des: con la comunicacisn oral, Io cual hace que la inform: debidamente por medio de adecuados sist recer 0 deforn se, como sucede ién deba ser controlada mas de seguridad, confidencialidad y respaldo. La informacién puede comunicarse, y para ello hay que lograr que los me- dios de seguridad sean levados a cabo después de un adecuado examen de la forma de transmisisn, de la eficiencia de los canales de comunicacién{el trans misor, el receptor, el contenido de la comunicacién, la redundancia y el ruidg) La informacisn ha sido dividida en varios niveles. El primero es el nivel técnico, que considera los aspectos de eficiencia y capacidad de los canales de transmisidn; el segundo es el nivel semntico, que se ocupa de la info desde el punto de vista de su considera al rese xto dado, y el cuarto nivel analiza la informa cidn desde el punto de vista normativo y de la parte ética, o sea considera cuan do, dénde y a quién se destina la informacién 0 la@ikusiDquie se le dé abarcar los cuatro niveles de Thformacién, Enel cuarto nivel tenemos una serie de aspectos importantes, como la parte Jegal del uso de 2 iucidi ca ¥ la crevcidn de la ética en informatica, gue no sélo debe incluir a los profesionales t cnicos y especialistas en informatica, sino también a los usua rios tanto de gr indes computadoras como de computadaras personales, gnificado; el tercero es el pragmatic, el cual Ia informacién, los estudios que se han hecho sabre la Kan a de la infor. La informac in tradicional (oral y escrita) se ve afectada dentro de Ia infor mitica cuando se introduce el manejo de medios electronicos, lo cual la hace facilmente mod ficable y adaptable a las caracteristicas de cada receptor. La informacisn tambien tiene la capacidad de mangjarse en forma rdpida y en gran- des voltimenes, lo cual permite generar, localizar, duplicar y distribuir la infor macién de modo sorprendente a través de métodos, téenicas y herramientas como microcomputadoras, procesos distribuidos, redes de comunicacisn, ba ses de datos, etcetera, La nueva tecnologia permite que el usuario disponga de la informacién en cualg) momento, ya sea para su acceso, actualizacién, tacidn o para que pueda distribuirse como se desee. Aunqu mbio 0 explo e intercambiarse entre tantos usuarios mismo tiempo se plantea un gran problema en cuanto al cuarto nivel de la informacién, que es st parte étic el estudio de la posibilidades del buen o mal uso de la informacidn por parte de personas no autorizadas. La planeacién y control de la informacién nos ofrece nuevos aspectos im- portantes a consid 1, entre los que estén la teoria de sistemas, las bases datos, los sistemas de comunicacién y los sistemas de informacién, que van a complementar el concepto de informatica y su c: po de accisn. Dwer YSUR EN INF Avon Y AUDI EL Boletin E interno: stud la neem, estudio para det permitar procedir Lo procedir guardar ticas pre Objetivosb tro objetivor + Laprote © Laobter + Lapron © Lograr¢ blecidas Seha es! troles inte nistrativos, Objetivos g del plan de proteccidn d