Diciembre 2017 Boletín de Investigación Comisión de Desarrollo SE Auditoría Interna - Sur No.

57

Auditoría interna y la vulnerabilidad de la tecnología de la información

PRESENTACIÓN

En el presente documento se tratan puntos significativos que se identifican con la administración de los
riesgos en Tecnología de la Información (TI), así como el enfoque y alcance que Auditoría Interna debe dar
a su examen sobre los mecanismos de control respectivos, a fin de contribuir al logro de los objetivos de
una empresa en este segmento vital de su organización.

Por C.P. Gabriel Espino García, C. P. Iván Rabell Ojeda,

Mtro. y C.P. Gabriel Sánchez Curiel
 ÍNDICE PÁGINA

I. Introducción 3

2016 – 2018 II. Segmentos clave de la vulnerabilidad TI 3

C.P.C. y P.C.CA. Rosa María Cruz Lesbros
Presidenta III. Mecanismos para enfrentar la vulnerabilidad TI 4
C.P.C. Fernando Taboada Solares
Vicepresidente Interino de Desarrollo y IV. Conclusiones 8
Capacitación Profesional

L.C.P. Luis Bernardo Madrigal Hinojosa

Director Ejecutivo

Comisión de Desarrollo SE Auditoría Interna – Sur

Presidente
C.P.C. Adolfo Ramírez Fernández del Castillo

Vicepresidente
Mtro. y C.P. Gabriel Sánchez Curiel

Secretario
L.C.P.C. Fernando Pérez Mendoza

Integrantes
C.P. C. Agustín Francisco Albarrán Carranza
L.C.P. Miguel Ángel Castillo Bautista
C.P. Salvador Cruz Hernández
C.P. Gerardo Amando Díaz Valdez
C.P.C. y A. Jaime Ignacio García Jiménez
C.P. Mario Enrique Mota Sevchovicius
L.C.P.C. Fernando Pérez Mendoza
C.P.C. Arturo Salvador Reyes Figueroa
C.P. Mario Sánchez Martínez
C.P. José de Jesús Sandoval Muñoz
C.P. Fernando Soto Barreto
C.P. Gabriel Espino García
C.P. Iván Rabell Ojeda

Gerencia de Comunicación y Diseño

Comisión de Desarrollo Sector Empresa Auditoría

Interna - Sur del Colegio, año III, núm. 57, diciembre
2017. Boletín Informativo edición e impresión por el
Colegio de Contadores Públicos de México, A.C.
Responsables de la Edición: Lic. Estefanía Belem
Vargas Osorio, Lic. Asiria Olivera Calvo, Lic. Aldo
Plazola González. Bosque de Tabachines Núm. 44,
Fracc. Bosques de las Lomas, Deleg. Miguel Hidalgo
11700. El contenido de los artículos firmados es
responsabilidad del autor; prohibida la reproducción total
o parcial, sin previa autorización.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Diciembre 2017

2
 I. Introducción

El constante desarrollo y crecimiento de la tecnología electrónica (TI) para procesar datos sobre
las operaciones de las empresas ha incrementado de manera incesante la vulnerabilidad de la
información. A través de una falta de identificación de riesgos adecuada y una debilidad en la
estructura del control interno, cualquier persona en la empresa o desde el exterior puede acceder
a los archivos electrónicos para utilizar ilegalmente datos significativos sobre la situación
financiera o la estrategia de las operaciones.
La reingeniería social, el uso indisciplinado del correo electrónico, la exposición de datos
críticos dentro de la nube, el ataque a los servidores conocido como hackeo, el robo de identidad,
los errores operativos accidentales o premeditados, los fenómenos naturales y las catástrofes
que dañan o destruyen los equipos de cómputo son amenazas cotidianas en la vida de las
empresas.
En este escenario de riesgos globalizados sobre la integridad de la información, el gobierno
corporativo, desde el consejo de administración, la dirección general y el grupo directivo al
completo de una empresa o institución debe asumir la responsabilidad de construir y actualizar
de manera oportuna los mecanismos de prevención, detección y remediación respecto a todas
las amenazas recurrentes y casuales que se identifican con la plataforma TI.
La auditoría interna no es ajena a dicha responsabilidad, por ello, en el presente documento
se tratan puntos significativos sobre la administración de los riesgos en TI, así como el enfoque
y alcance que Auditoría Interna debe dar a su examen sobre los mecanismos de control
respectivos, a fin de contribuir al logro de los objetivos de la empresa en este segmento vital de
su organización.

II. Segmentos clave de la vulnerabilidad TI

Los eslabones finales de la cadena TI, como equipos de escritorio, laptops, teléfonos inteligentes,
impresoras, cajeros automáticos o ATM y equipos en punto de venta son los primeros que
enfrentan y detectan amenazas y ataques a la información; por ello, son los primeros en alertae
sobre actos ilícitos hacia los equipos de seguridad que forman la red TI del área local o LAN, por
sus siglas en inglés.
Las pérdidas de datos valiosos pueden ocurrir por diversas causas: que el personal no cumpla
con las normas que limitan el uso de memorias USB o pendrives, los accesos no restringidos al
correo electrónico y las aplicaciones no controladas que funcionan en la nube. Por ello, aunque
los equipos del área local estén protegidos, deben contar con funciones básicas de seguridad
para bloquear el malware avanzado o código malicioso que en cualquier momento puede
infiltrarse en la empresa.
Los servicios en la nube crecen de manera incesante y las empresas los han adoptado para
lograr soluciones multilaterales a retos cotidianos, tales como las videoconferencias, el
almacenamiento de datos más rentable y la posibilidad de conectarse en tiempo real con terceros
localizados en cualquier punto del planeta. Sin embargo, la globalización de las relaciones de
negocios provocada por la nube ha incremento la vulnerabilidad de la información de manera
exponencial.
Dicha vulnerabilidad, propia de TI, incluye a la empresa en su conjunto y debe ser un tema de
máximo interés en la administración de riesgos por parte del gobierno corporativo. El resultado
de una intromisión o violación exitosa a la plataforma de cómputo puede afectar la continuidad

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Diciembre 2017

3
 de las operaciones, quebrantar los recursos de los clientes, provocar el incumplimiento del marco
legal, la pérdida de la identidad corporativa y daños severos a la reputación de la empresa, entre
otros efectos similares. La vulnerabilidad no sólo debe contemplarse bajo un concepto
tecnológico, tiene implicaciones que abarcan a toda la organización y, en consecuencia, debe ser
parte esencial del Plan de Auditoría Interna basado en riesgos.
En la estructura para enfrentar la vulnerabilidad TI, destaca el Comité de Riesgos Informáticos
que, de acuerdo con el giro y la estructura de la empresa, incluye a las áreas de Sistemas, Ventas,
Recursos Humanos, Abastecimientos, Finanzas y Contraloría. Las responsabilidades, facultades
y funciones de este Comité, deben constar en un plan estratégico.
Dentro de los objetivos del Comité de Riesgos Informáticos destaca el apuntalar la seguridad
de la información; participar en el desarrollo y mantenimiento de los controles TI en paralelo con
el crecimiento de la empresa; analizar y aprobar las inversiones en equipos de cómputo, así como
estudiar con detalle el origen, características, efectos y soluciones a problemas informáticos, para
convertir las experiencias críticas en mejores mecanismos de prevención de riesgos.
Puesto que Auditoría Interna conoce las fortalezas y debilidades de la empresa, así como su
estructura y el marco legal respectivo, su participación en el Comité de Riesgos Informáticos es
indispensable como factor de éxito para prevenir, mitigar y remediar las amenazas existentes
sobre la tecnología electrónica de la información. Asimismo, la evaluación de los mecanismos de
control interno sobre la vulnerabilidad TI, es parte esencial del Plan de Auditoría Interna basado
en riesgos.

III. Mecanismos para enfrentar la vulnerabilidad TI

Existen varios mecanismos que, aunque son condiciones básicas, deben establecerse en las
empresas para prevenir, detectar y mitigar los riesgos informáticos, vale la pena recordar algunos
de ellos que por décadas han servido a dichos propósitos, destacando los siguientes:

1. Mecanismos de control de operaciones:

 Políticas, normas y procedimientos de seguridad para el área TI y la información que

produce, cuyo conocimiento y aplicación obligatoria estén respaldados por acuses de
recibo de los involucrados. Deben aplicarse exámenes periódicos sobre estos contenidos
a los propietarios del control.
 Instructivos para los encargados de las estaciones de la red que forma el sistema,
respecto a los procedimientos que deben aplicarse en situaciones extraordinarias del
procesamiento de la información, tales como documentación incompleta o insuficiente.
Sin dichos instructivos, el usuario debe improvisar su reacción o suspender el proceso, lo
que origina errores, investigaciones, aclaraciones y desperdicio de tiempo en horas
hombre y horas máquina.
 Procedimientos de reclutamiento y selección de personal dirigidos a identificar en los
candidatos la autenticidad de valores morales para el manejo de datos secretos y un
carácter disciplinado sobre el cumplimiento, sin excepciones, de los mecanismos de
seguridad y prevención de riesgos.
 Procedimientos y controles severos para autorizar la terminación de las relaciones
laborales y la última salida del empleado de las instalaciones de la empresa, que incluyan
la cancelación de claves de seguridad, claves de acceso al correo electrónico, inspección

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Diciembre 2017

4
 del equipo de cómputo y de oficina que le fue asignado, así como la revisión de portafolios
y mochilas que pudiesen contener USB o documentos con información de la empresa.
 Compromisos de confidencialidad de la información para empleados y personal de
outsourcing, que cubran tanto la información electrónica como la documental y extiendan
la obligación de no revelarla después de haber terminado las relaciones laborales con la
empresa.
 Política de clasificación de la información, para lo cual deben definirse áreas generadoras
de ella, destinos, contenidos, niveles de importancia y de confidencialidad, entre otros
puntos similares, a fin de implantar mecanismos para su manejo, almacenamiento y
destrucción tanto física como electrónica.
 Capacitación permanente al personal sobre el manejo de la información electrónica y
documental, en armonía con la clasificación ya mencionada.
 Capacitación al personal respecto a puntos de la disciplina que repercuten sobre la
seguridad e integridad de la información, tales como uso de protectores de pantalla,
cuidado físico del equipo de cómputo, uso del correo electrónico exclusivamente para
asuntos de la empresa, escritorios limpios y ausencia de líquidos y alimentos cerca de
computadoras y equipos periféricos.
 Participación de clientes y proveedores en el cumplimiento de los mecanismos de
seguridad informática que les conciernen como parte de las comunicaciones electrónicas
con la empresa.
 Implantación una política para el uso del correo electrónico como medio de autorización
de operaciones cuyo rango y naturaleza lo permitan.
 Codificar la información con rango de confidencialidad que lo amerite, incluyendo la que
se transmite a través del correo electrónico.
 Implantar normas que restrinjan el uso de dispositivos móviles, tales como teléfonos
inteligentes y tabletas electrónicas, y que establezcan prohibición de utilizarlos para el
manejo de información confidencial de la empresa.
 Administrar formalmente el diseño, asignación, cambios y cancelaciones de las claves de
seguridad o passwords para el acceso a la información TI, a fin de asegurar que las
facultades operativas o de consulta que las claves otorgan, corresponden al nivel de
responsabilidades y funciones de sus propietarios.
 Complementar la administración de las claves de seguridad con normas para protegerlas,
tales como prohibir su escritura, evitar diseñarlas con las iniciales de sus propietarios o
datos sobre su fecha de nacimiento, mezclar caracteres alfa numéricos y letras
mayúsculas, entre otras similares.
 Evaluar la posibilidad de sustituir las claves de seguridad con la identificación de huellas
dactilares o el registro electrónico de las retinas de los usuarios que deban acceder a los
archivos TI.
 Instalar protectores de pantalla institucionales que se habiliten automáticamente por
tiempo de inactividad, montados a las claves de seguridad de los usuarios.
 Inhabilitar puertos de acceso o almacenamiento de datos en equipos de cómputo
asignados a usuarios que puedan utilizarlos para fines ilícitos al margen de sus facultades
y funciones.
 Instalar software de antivirus y malware y actualizarlos oportunamente.
 Contar con herramientas tales como firewal, detector de intrusos (IDS) y prevención de
intrusos (IPS).

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Diciembre 2017

5
  Instalar un control de acceso a la red para personal interno y para terceros y ejercer un
monitoreo constante sobre su cumplimiento.
 Implantar herramientas de filtrado de contenidos para el correo electrónico, y el acceso a
Internet.
 Restringir el acceso a Internet de acuerdo con las funciones del personal. Implantar
normas sobre sanciones, incluyendo el despido, a quienes violen dicha restricción.
 Hacer análisis de vulnerabilidad a los servidores de bases de datos y a la red de la
empresa, por lo menos dos veces al año o en plazos más cortos de acuerdo con los
riesgos y amenazas identificados.
 Monitorear las actividades de los administradores de bases de datos.
 Si existe desarrollo de aplicaciones, corroborar que se cuente con la documentación
necesaria sobre autorizaciones, ejecución de paralelos, pruebas piloto, liberación de
sistemas, manuales de usuarios y acuses de recibo respecto a ellos.
 Contar con el soporte de licencias de uso para todo el software adquirido e instalado.
 Cumplir con el marco legal relativo a TI: Ley de Protección de Datos Personales; Ley Anti
Lavado de Dinero; pago de derechos de autor sobre el uso de software, entre otras
disposiciones a que esté sujeta la empresa de acuerdo con el giro de sus operaciones.
 Establecer controles de acceso al Centro de Cómputo.
 Cumplir con los estándares de temperatura, cableado, estructurado, instalaciones
eléctricas, prevención, detección y extinción de oportuna de incendios.
 Contar con un Plan de Continuidad del Servicio TI para contingencias y desastres,
formalmente documentado, que cuente con el respaldo de pruebas y simulacros
sorpresivos fuera de agendas y calendarios, a fin de mejorar su estructura y actualizarla
oportunamente.
 Contar con un Plan de Recuperación de Información para casos de desastres,
formalmente aprobado, documentado y oportunamente actualizado.
 Contar con un equipo de expertos para dar respuesta inmediata a incidentes de seguridad
que amenacen la integridad de la información.

2. Mecanismos de control sobre salida de la información:

 Generar respaldos de información, no solo de servidores de bases de datos, sino también

de computadoras personales, así como del software propio o adquirido. Dichos respaldos
deben ser identificables con los nombres de los sistemas y la información que contienen,
así como con el área que los procesó y sus principales usuarios.
 Contar con un inventario de las localidades de la empresa donde se almacenan los
respaldos y corroborar que cuenten con suficientes mecanismos de seguridad física y de
confidencialidad, así como con aire acondicionado, equipo de protección contra el fuego,
cerraduras especiales, cajas fuertes y otros recursos similares.
 Mantener registros sistemáticos sobre la utilización de los archivos de almacenamiento
masivo de información.

3. Mecanismos de mantenimiento sobre equipos TI :

 Establecer un procedimiento para proteger la integridad de la información cuando se

realiza el mantenimiento al equipo de cómputo.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Diciembre 2017

6
  Definir los controles para el mantenimiento preventivo y correctivo de los equipos, ya sea
por llamada telefónica o por otro medio de comunicación, con o sin refacciones.

Implantar los mecanismos descritos es indispensable para prevenir, detectar y remediar los
riesgos que cotidianamente enfrenta la plataforma de cómputo. Un punto a subrayar es la
realización de simulacros sorpresivos sobre la aplicación efectiva de ellos, evaluar las respuestas
esperadas de todo el personal involucrado, así como el seguimiento a la oportuna implantación
de los ajustes estructurales que sean necesarios. Esta es una parte crítica de la administración
de riesgos y, como la vida misma de la empresa, es un proceso que no tiene fin.
Ahora bien, como tercera línea de defensa, Auditoría Interna debe involucrarse en el logro de
los objetivos que la empresa se propone para reducir la vulnerabilidad a que está expuesta TI.
Por ello, el Plan Anual de Auditoría basado en riesgos debe destinar tiempo y recursos suficientes
para cumplir con las siguientes actividades sin afectar la imparcialidad de sus juicios y funciones:

1. Participar en las reuniones del Comité de Riesgos Informáticos que, como ya se dijo, trabaja
para prevenir, mitigar y remediar las amenazas existentes sobre la tecnología de la
información. En dichas reuniones, Auditoría Interna aporta su experiencia y conocimientos
sobre controles manuales e informáticos y reúne antecedentes muy útiles para eficientar sus
propios procedimientos y agregar valor a la empresa.

2. Cerciorarse de que se cumplan totalmente los mecanismos sobre los controles de operación,
los controles de salida de la información y los controles de mantenimiento ya descritos,
induciendo sin demora las acciones remediales que sean necesarias para mejorarlos. Caben
aquí las recomendaciones sobre la disciplina con que el personal lleva a cabo las actividades
a su cargo.

3. Con el previo conocimiento y aprobación del Comité de Auditoría, se deben llevar a cabo
pruebas sobre la eficacia de los mecanismos mencionados en el párrafo anterior; esto implica
retar a los controles; intentar accesos no autorizados a la información; forzar las reacciones
humanas y electrónicas con ataques directos a la integridad de los archivos; llevar a cabo
intentos de robo de discos ópticos; pretender ingresar sin autorización al Centro de Cómputo
o ingresar con materiales peligrosos que pueden dañar las instalaciones; solicitar a un
usuario que proporcione por escrito su clave de acceso al sistema, entre otras pruebas
similares o de mayor alcance.

Es importante destacar que Auditoría Interna debe dimensionar los riesgos y efectos
auténticos de las pruebas con que retará a los controles. En caso necesario, debe
involucrarse al Área de Sistemas para coordinar las reacciones de protección electrónica
cuyos efectos pudieran poner en riesgo la integridad de la información. Este punto debe
también comunicarse previamente a Dirección General y al Comité de Auditoría.

Para cumplir con las actividades descritas en los párrafos anteriores, es necesario que el área
de Auditoría Interna cuente con profesionales en TI cuya capacidad técnica baste para interactuar
con el personal de la empresa bajo cualquier circunstancia que surja tanto en la dinámica
cotidiana de las operaciones, como en escenarios de crisis dentro de la plataforma de cómputo.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Diciembre 2017

7
 IV. Conclusiones

Las actividades que llevan a cabo los gobiernos corporativos se han integrado totalmente a la
plataforma de cómputo. Las tecnologías de la información (TI) se han globalizado y, por ello, la
vulnerabilidad de los datos crece de manera incesante. La respuesta a las amenazas internas y
externas que enfrenta TI es la administración de los riesgos.
Administrar los riesgos informáticos es una responsabilidad institucional que abarca a todos
los niveles de la organización. Prevenir, detectar y reducir dichos riesgos implica un proceso
constante de actualización inmediata sobre las estructuras de control; la alternativa es perder
información, comprometer la integridad de los archivos y, eventualmente, la continuidad de las
operaciones y la vida misma de la empresa.
Parte significativa de la administración de los riesgos TI son los mecanismos para mantener
un gobierno que sustente los controles generales de cómputo, así como el control de las
operaciones, los controles sobre las salidas de información y los mecanismos para el
mantenimiento de los equipos de cómputo electrónico. Todos ellos aportan recursos útiles en el
combate a las amenazas sobre la información, pero su eficacia depende de la participación
disciplinada y sinergética de todo el personal de la empresa.
Como tercera línea de defensa, Auditoría Interna debe involucrarse en la administración de los
riesgos TI; participar en los comités que trabajan para reducir la vulnerabilidad de los sistemas;
aportar su experiencia en asuntos de control; sugerir ajustes a los mecanismos de prevención;
construir precedentes para incluirlos en su Plan de Auditoría basado en riesgos y, desde luego,
mejorar el enfoque de los procedimientos de auditoría.
Apuntalar la eficacia de los mecanismos para enfrentar la vulnerabilidad de TI implica la
realización de simulacros sorpresivos que, como tales, no deben constar en programas, fechas y
horarios conocidos. La repetición constante e inesperada de eventos simulados que amenazan
la información, debe ser parte de la cultura corporativa para la administración de los riesgos.
A fin de contribuir a lograr respuestas oportunas y eficaces frente a los riesgos TI, Auditoría
Interna debe llevar a cabo pruebas de ataques a la estructura de control en la plataforma y en el
Centro de Cómputo de la empresa. Dichos ataques deben ser previamente aprobados por el
Comité de Auditoría y, en su caso, deben coordinarse con el Área de Sistemas y ponerse en
conocimiento de la Dirección General, asegurando que no ponen en riesgo la continuidad de la
empresa y de su toma de decisiones entre las diferentes áreas y unidades de negocios de la
organización.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Diciembre 2017

8