ÍNDICE

INTRO DUCCIÓ N .................................................................................................................i OBJETIVO GENERAL Y ESPECÍFICOS........................................................................ iii CAP ÍTULO I INTRODUCCIÓN A LA AUDITORÍA INFORMÁTICA .....................1 1.1. CONCEPTOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA............................2 1.2. TIPOS DE AUDITORÍA ......................................................................................... 10 1.3. CAMPO DE LA AUDITORÍA INFORMÁTICA....................................................... 16 1.4. CONTROL INTERNO ............................................................................................. 20 1.5. MODELOS DE CONTROL UTILIZADOS EN AUDITORÍA INFORMÁTICA....... 27 1.6. PRINCIPIOS APLICADOS A LOS AUDITORES INFORMÁTICOS ..................... 35 1.7. RESPONSABILIDADES DE LOS ADMINISTRADORES Y DEL AUDITOR ........ 38 CAP ÍTULO II PLANEACIÓN DE LA AUDITORÍA INFO RMÁTICA .................... 42 2.1. FASES DE LA AUDITORÍA ................................................................................... 43 2.2. EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESGO ......................... 61 2.3. INVESTIGACIÓN PRELIMINAR ........................................................................... 63 2.4. PERSONAL PARTICIPANTE ................................................................................. 68 CAP ÍTULO III AUDITORÍA DE LA FUNC IÓN INFORMÁTICA .......................... 73 3.1. RECOPILACIÓN DE LA INFORMACIÓN ORGANIZACIONAL ........................... 74 3.2. EVALUACIÓN DE LOS RECURSOS HUMANOS .................................................. 79 3.3. ENTREVISTAS CON EL PERSONAL DE INFORMÁTICA ................................... 90 3.4. SITUACIÓN PRESUPUESTAL Y FINANCIERA.................................................... 92 CAP ÍTULO IV EVALUACIÓN DE LA SEGURIDAD ................................................. 97

4.1. GENERALIDADES DE LA SEGURIDAD DEL ÁREA FÍSICA ............................... 98 4.2. SEGURIDAD LÓGICA Y CONFIDENCIAL..........................................................100 4.3. SEGURIDAD PERSONAL.....................................................................................111 4.4. CLASIFICACIÓN DE LOS CONTROLES DE SEGURIDAD ...............................113 4.5. SEGURIDAD EN LOS DATOS Y SOFTWARE DE APLICACIÓN ......................120 4.6. CONTROLES PARA EVALUAR SOFTWARE DE APLICACIÓN.........................122 4.7. CONTROLES PARA PREVENIR CRÍMENES Y FRAUDES INFORMÁTICOS ...124 4.8. PLAN DE CONTINGENCIA, SEGUROS, PROCEDIMIENTOS DE RECUPERACIÓN DE DESASTRES .............................................................................124 4.9. TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FÍSICA Y DEL PERSONAL........................................................................................................130 4.10. TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIÓN ...........................................................141 CAP ÍTULO V AU DITORÍA DE LA SEGURIDAD EN LA TELEIN FORMÁT ICA ............................................................................................................................................151 5.1. GENERALIDADES DE LA SEGURIDAD EN EL ÁREA DE LA TELEINFORMÁTICA ....................................................................................................152 5.2. OBJETIVOS Y CRITERIOS DE LA AUDITORÍA EN EL ÁREA DE LA TELEINFORMÁTICA ....................................................................................................154 5.3. SÍNTOMAS DE RIESGO......................................................................................156 5.4. TÉCNICAS Y HERRAMIENTAS DE AUDITORÍA RELACIONADAS CON LA SEGURIDAD EN LA TELEINFORMÁTICA .................................................................158

3

CAP ÍTULO VI .........................163

INFORME

DE

LA

AUDITORÍA

INFORMÁTICA

6.1 CARACTERÍSTICAS DEL INFORME....................................................................164 6.2. ESTRUCTURA DEL INFORME ............................................................................167 6.3. FORMATO PARA EL INFORME..........................................................................169 CONC LUSIONES Y RECOMENDACIONES ................................................................iv REFERENCIAS BIBL IOGRÁFICAS Y VIRTUALE S ...................................................v ANEXOS ...............................................................................................................................vi

4

realizan con frecuencia y sobre todo están muy familiarizados teniendo en cuenta que en muchas de las ocasiones los mismos empleados saben de las debilidades del trabajo que realizan. fraudes y fugas de información. Se evaluarán los recursos con los que se cuenta tanto humanos. Se trata de ver desde un panorama general. Se brindan algunas recomendaciones de cómo verificar la seguridad de las áreas físicas. usuarios. se avaluarán los sistemas de acuerdo al riesgo. para poder brindar algunos puntos desde como la podemos planear para llevarla a la practica y quienes de las mismas instituciones nos pueden proporcionar la información que necesitamos ya que los auditores externos analizan todos los procedimientos que los empleados. donde los podemos aplicar y quienes son las personas responsables y las responsabilidades que tienen. todo esto con la finalidad de evitar. personal que trabaja y de que manera salvaguarda toda la informaron que se maneja. los tipos que existen.. teniendo la mejor forma de elaborar controles mas seguros. como se recabará la información y quien participará en ella. de los presupuestos financieros y materiales con los que cuenta. Se tocara los momentos de una auditoría. presupuestal y financiera así como las entrevistas que se realizarán al personal participante con algunos ejemplos. etc.INTRODUCCIÓN El siguiente material será una guía la cual nos dará un panorama para la realización de auditorías a practicar. seguridad del i .

Este material será un apoyo didáctico para la materia de auditoría informática de la carrera de licenciatura en informática ya que se adecua al plan de estudio de dicha especialidad. la mejor manera de proteger los datos mediante el software y los crímenes o fraudes que pueden surgir. Por último se explicará como se rendirá un informe sobre los puntos alcanzados y que se encontró. ii . Se siguieren planes de contingencia y seguros. la cual se imparte en este instituto tecnológico superior de teziutlán.personal. Por tal motivo en la actualidad la teleinformática esta presente en muchas áreas de la vida cotidiana y se explicará como podemos proteger algunas instalaciones de formas más seguras. así como la mejor manera de dar solución a los problemas expuestos. seguridad lógica y confidencial.

ESPECÍ FICOS Dar a conocer los fundamentos teóricos sobre el desempeño de la auditoría informática. iii . Contar con un material de apoyo para docentes en la impartición de la materia de auditoría informática.OBJETIVO GENER AL Y ESPECÍFICOS Crear un material de apoyo didáctico que permita dar a conocer como se llevara a cabo la realización de una auditoría para detectar las problemáticas existentes en el área de informática dentro de las empresas. ajenas al instituto tecnológico superior de teziutlán. para tomar la medidas correctivas lo mas pronto posible evitando todo riesgo en la institución. Facilitar un resumen de consulta para personas interesadas en conocer el proceso de una auditoría sobre el área de informática. y que las esta ocasionando ya sean de carácter humano o material. Aportar una guía de estudio al alumno que cursara la materia de auditoría informática.

CAPÍTULO I INTRODUCCIÓN A LA AUDITORÍA INFORMÁTICA 1 .

como lo son las contables para instituciones. se trata de un examen crítico sobre las actividades. por tal motivo se hace necesario realizar auditorias no para buscar culpables sino para corregir las debilidades de todo tipo que se puedan encontrar para solucionarlas de la mejor manera posible. con el objeto de evaluar la eficiencia y eficacia de alguna o todas las parte de una institución u organismo para poder alcanzar los objetivos propuestos. 1. Por otro lado este concepto es mucho más amplio: no solo se detectarán errores. en las cuales también se deben de establecer normas y procedimientos para realizar auditorias en informática ya como parte de toda una profesión en nuestros días muy demandada.1.En la actualidad todas las empresas e instituciones cada día necesitan de mejores formas de protección tanto de instalaciones como de sistemas para su correcto funcionamiento. corrección de errores y proponer la mejor o las mejores 2 . En la actualidad existen normas y procedimientos para realizar auditorias. la detección de errores y fallas. CONCEPTOS D E AUD ITORÍA Y AUDITORÍA INFORMÁTICA Auditoría: Este concepto se le ha tomado o empleado de manera muy errónea ya que se considera como que su único fin es la evaluación. siempre con la visión de evaluar lo existente.

El primero se le conoce como nivel técnico. como son desde la utilización de una sola maquina en adelante. La información se maneja como una serie de datos ordenados y clasificados de manera tal que se puedan facilitar la utilización de la misma. internet. las bases de datos (que se refiere a manejo de información como datos personales). Esta es una acción posterior a las actividades que se realizan y sobre las que se emite una opinión lo mejor fundamentada y lo mayor apegada a la realidad. etc.alternativas de solución. También se dice que puede ser la emisión profesional sobre el objeto sometido a los análisis que presente una realidad que se encuentre sustentada mediante procedimientos las cuales deben de tener una gran fiabilidad. la cual se pueda imprimir o guardar y que se pueda utilizar en el momento más necesario para cualquier persona o institución que lo requiera. letras. La información también se ha dividido en varios niveles. seguridad. Informática: Este concepto es mas amplio a cada día que transcurre. entradas a sistemas. éste considera aspectos de eficiencia y capacidad de los 3 . ya que no solo se limita al uso de una computadora sino que ya intervienen muchos aspectos. signos. La información esta dirigida a reducir o acortar los procesos para la utilización de esta con tal. estructura del área de trabajo (edificios) programas. etc. telecomunicaciones. que se basaran en símbolos. números. redes.

Recordemos que la información tradicional se vea afectada dentro de la informática cuando se introduce el manejo de medios electrónicos. Algunas técnicas (tesis) se dividen en dos: métodos manuales y métodos asistidos por computadora. lo cual permite generar. Todos los procedimientos con informática pueden variar de acuerdo con la filosofía y técnica de cada organización o departamentos de la auditoría. actualizando. bases de datos. localizar. donde. he intercambiando la misma que y que la pueden utilizar en el mismo momento. redes de comunicación. y a quien se le destinará la información. herramientas como microcomputadoras. etc. teniendo acceso. duplicar y distribuir esta información de una manera muy rápida. 4 . el tercero se conoce como pragmático. que éste considera al receptor en un contexto dado. Pero sin embargo existen técnicas y procedimientos compatibles. Todo esto permite que varios usuarios puedan disponer de esta información en cualquier momento. procesos distribuidos. el segundo se enfoca a lo semántico a la información desde el punto de vista de su significado en el cual nos pueden dar más ideas. La información también se puede manejar de forma rápida y en grandes volúmenes. y por último el cuarto nivel se encarga de analizar la información desde el punto de vista normativo y de la parte ética que esto se enfoca más al cuando.canales de transmisión.

Recordemos que existen paquetes (software) para realizar auditorias en sistemas financieros y contables. Por lo generan un auditor deberá utilizar una computadora como apoyo para realizar la auditoría. Clasificación y análisis de los datos. con esta se amplía el proceso de examen. reduciendo el tiempo. La computadora puede ocuparse principalmente por el auditor para apoyarlo en: Transmitir información de la contabilidad de la organización a la computadora del auditor. costos de las pruebas y realizando procedimientos de muestreo. por consiguiente toda la 5 . para que el la trabaje o también se puede conectar con la finalidad de laborar pruebas. Todos los paquetes o programas creados en auditoría se deberán guardar bajo un estricto control por el departamento de informática.Utilización de las técnicas de auditoría asistidas por computadora. Seleccionan mediante muestreos de datos e imprimirlos para revisiones. Verificar cifras totales y cálculos para comprobar los reportes de salidas que se producen mediante el departamento de informática. que de no tener esta herramienta tan útil tendrían que efectuarse la mayoría de las pruebas de una forma manual. Pruebas a los registros de archivos para verificar la consistencia de los montos de las operaciones que la empresa o institución realiza.

Elaborar o desarrollar programas independientes de control que verifiquen todos los procesos de la auditoría que se realiza. mediante algunos controles como: Mantener un control sobre programas que se encuentran catalogados en el sistema con protecciones apropiadas. Los programas que se hallan desarrollados con el objetivo de realizar la auditoría deberán estar cuidadosamente documentados para definir sus propósitos. objetivos y asegurarse de una ejecución continua. Observar cuidadosamente todo el proceso de auditoría. Mantener un control sobre especificaciones de los programas. los materiales de prueba impresos.documentación. Los programas actuales que se encuentren ocupando los auditores internos deberán asegurar la integridad del procesamiento. 6 . Todos los programas que se hayan utilizado pueden ser guardados utilizando contraseñas de protección. toda la documentación necesaria y principalmente si se tienen comandos de control. programas fuente y objeto con todos los cambios que se les haya elaborado serán de total responsabilidad del auditor o auditores.

de la empresa o institución para que sea más confiable. La mala utilización de las computadoras. comunicación. La necesidad de mantener la privacidad en la organización. El control de la computadora ya que cada día son más importantes y más costosas.Podemos finalizar diciendo que la auditoría informática es la revisión y evaluación de los controles. La posibilidad de perder información o en su defecto el mal uso de esta. de los equipos de cómputo. El valor del hardware. La auditoría en informática debe comprender no sólo la evaluación de los equipos de cómputo o de un sistema o procedimiento específico. sino que tiene que evaluar todos los sistemas de información desde sus entradas. Algunos de los factores que pudieran intervenir o influir en la organización a través del control y la auditoría en informática son: El uso evolucionado de las computadoras. Decisiones incorrectas. 7 . eficiente y segura de su propia información que principalmente servirá para una adecuada toma de decisiones. sistemas y procedimientos de la información. software y el personal que las manejará. El alto costo de un error en la organización.

seguridad. Concluiremos que la auditoría Informática será la herramienta que nos permita diagnosticar la infraestructura. No hay que olvidar que tienen una gran responsabilidad las personas que están a cargo de las computadoras y de las redes de comunicación. controles.archivos. Las bases de datos de caer en malas manos se pueden usar para fines ajenos a su finalidad alterando los fines para los que fueron diseñados y poner en peligro la privacidad de las personas. además de tener una imagen inicial y precisa de los recursos informáticos con los que se cuenta para mejorar la funcionalidad y agilizar la administración. personal. habrá que asegurar que la información que sea recolectada he integrada sea entregada rápidamente. y que todos los equipos de cómputo arrojarán información adecuada y tendrán un organización específica. procedimientos. la calidad y el estado que guarda actualmente la Organización en términos de Informática. y con toda la confidencialidad que se requiera. y la obtención de todo el información. 8 . obteniendo así éxito en el cumplimiento de los objetivos a corto y largo plazo.

así como de los procedimientos de decisión. Recordemos que la tecnología no es buena ni mala. Protección de los Activos y Recursos: Control interno que protege los activos de la instalación informática de cualquier posible amenaza o riesgo. hay que recordar que todo invento es para el beneficio de la humanidad en el mundo. Todos debemos proclamar una legalización más estricta en el uso de tecnología y principalmente del Internet para considerar que éste sea de investigación o de provecho para toda persona y no de daños. Efectividad del Sistema: Un sistema de información efectivo alcanza sus objetivos y dependen de las características y necesidades de los usuarios.OBJETIVOS. Integridad de Datos: Mecanismos que vigilen constantemente el mantenimiento de los datos. Control de la función informática. Seguridad y confidencialidad. el uso que nosotros le demos dependerá en el desarrollo de cosas productivas para el beneficio de la sociedad. Eficiencia del Sistema: Mínimo de recursos necesarios para obtener las salidas requeridas. Cumplimiento de Normatividad gerencial de la empresa en este ámbito. 9 .

Se evalúa y estudia todo un sistema para el control interno. La auditoría informática general se realiza por áreas específicas. TIPOS AUDITORÍA DE Cada clase de auditoría o tipo de esta poseen sus propios procedimientos para alcanzar su fin aunque estos pueden coincidir en muchos puntos. Al final del proyecto se obtiene una mejor evidencia que será suficiente y adecuada. se abarcan de una sola vez todas las dificultades que afectan a la misma. operaciones y elementos que intervengan.1. En estos tipos se pretende se considere todo lo que pueda influir para obtener los mejores resultados desde considerar áreas físicas. de forma que el resultado se obtiene más rápidamente y de menor calidad por lo que resulta más factible realizar las auditorias por áreas específicas obteniendo los siguientes resultados: Todo trabajo se supervisa y planifica adecuadamente.2. Las auditorías son de diferentes tipos dependiendo de los objetivos que se pretendan alcanzar con cada una de ellas en las empresas y sus áreas de aplicación así por ejemplo existen: 10 . Si se examina por grandes temas resulta evidente la mayor calidad y el empleo de más tiempo y mayor cantidad de recursos. Cuando la auditoría se realiza por áreas específicas.

con el fin de replantear nuevas estrategias para un mejor servicio.Auditoría de usuario: La cual se enfoca única y exclusivamente al personal del área de informática y es aplicada a las máquinas de cada uno de los empleados para conocer el estatus de la información que se ha generado de la propia institución en un determinado tiempo. así como de verificar que los equipos con los que están trabajando los usuarios. así como se analiza el impacto que dichas actividades hasta el momento han tenido en la organización y desarrollo de la misma. Auditoría de seguridad: La cual se encarga de evaluar la seguridad tanto de los equipos como de respaldar la información que en el área de informática se genera. 11 . Auditoría informática de dirección: Ésta va de la mano con la anterior ya que tiene como finalidad detectar las necesidades de la institución y buscar estrategias de solución que conlleven a una mejor dirección del apoyo que el departamento de informática brinda a la institución. se encuentren en un estado óptimo para que se lleve a cabo un trabajo eficaz y eficiente. Auditoría informática de actividades internas: Ésta se refiere al análisis de las actividades que dentro del área de informática se han venido generando por los usuarios en beneficio de la institución para la cual laboran.

Es por ello que en ambos casos de aplicación de auditoría la empresa se verá beneficiada ya que las dos tienen el objetivo de evaluar las ventajas y las desventajas de las actividades que hasta el momento se están llevando a cabo en la empresa.2. La auditoría interna existe por expresa decisión de la empresa o sea. es siempre remunerada. que puede optar por su disolución en cualquier momento. ya que la auditoría interna tiene la ventaja de que puede llevarse 12 . Por otro lado. Se presupone una mayor objetividad que en la Auditoría Interna. aunque cabe mencionar que la auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto a la externa y que en muchas de las ocasiones no son tan perceptibles como en las auditorías convencionales. Los empleados que realizan esta tarea son remunerados económicamente. la auditoría externa es realizada por personas afines a la empresa auditada. debido al mayor distanciamiento entre auditores y auditados. 1.Se considera que estas cuatro auditorias son las más importantes a llevar a cabo dentro de cualquier institución en su área de informática.1. Auditoría externa interna y La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada.

ya que este ejercicio enriquecerá en gran medida el trabajo de dicha empresa que lo lleve a cabo. han beneficiado en la mayoría de las ocasiones a su calidad de trabajo. 13 . Por la necesidad de comparar algún informe interno con el que resulte de la auditoría externa. particularmente si los resultados que estas generan. Sin embargo una empresa o institución que posee una auditoría interna como parte de sus actividades permanentes de control interno debe en ocasiones contratar los servicios de una auditoría externa por las siguientes razones: Necesidad de auditar una materia de gran especialización para lo cual los servicios propios con los que cuenta no se encuentran lo suficientemente capacitados. Se deben llevar a cabo como una medida más de seguridad de posibles auditorías informáticas externas decretadas por la misma empresa.a cabo periódicamente haciendo revisiones generales como parte de las actividades normales de control de la empresa las cuales generalmente se encuentran especificadas en los proyectos anuales de la empresa y por consiguiente el personal se encuentra tan habituado a que se lleven a cabo estas actividades que se acostumbran a las auditorias.

Por último aunque porque las auditorías externan nos sirven para tener una visión desde afuera de la empresa. Cuando los usuarios se encuentran inconformes por que sus computadoras no contienen la información necesaria o el software con el que trabajan se vuelve obsoleto o no esta actualizado. Generalmente es recomendable acudir a las auditorias externas cuando en la empresa se observan algunos cambios drásticos que están perjudicando la organización. Algo que es importante mencionar es que la auditoría informática tanto interna como externa se debe realizar en las empresas de manera periódica para una mayor eficiencia de la misma y sobre todo deben de estar exentas de cualquier interés social o político y de la propia estrategia y política de la empresa. esto acompañado de que el hardware de su equipo en ves de que les agilice el trabajo hace que tarden el doble 14 . éstas deben realizarse por iniciativa de la propia empresa y siempre pensadas en generar el mayor beneficio para las mismas. Cuando su nivel de productividad no es el proyectado a la media que se viene obteniendo. Estos pueden ser: Cuando los objetivos de la institución no coinciden con los objetivos de su área de informática. pues las auditorias internas forman parte de la misma empresa.

Definen los controles periódicos que se tendrán que realizar en cada una de las etapas de acuerdo al nivel de riesgo de cada una de sus etapas.de tiempo o en ocasiones casi tengan que realizar sus operaciones de forma manual. Definen las políticas para los sistemas de información basadas a las necesidades y pueden ser internas y externas. estos son diseñados de acuerdo a las necesidades de cada empresa y que puedan ser aplicables legalmente. metodología y normas. Dirección de Informática. Definen el funcionamiento del entorno y cada una de sus funciones con las publicaciones y creaciones de estándares. Tienen que aplicarse forzosamente a los usuarios y áreas de la empresa o negocio. Dirección de Negocios o de Sistemas de Información. Dentro de la implantación de políticas y culturas de seguridad se necesita que este compuesta por fases y tiene que estar soportada por la dirección. procedimientos. 15 . todas tienen un papel importante dentro de las fases. Control Interno Informático.

Evaluar los sistemas y procedimientos. los sistemas y los equipos de cómputo con todo lo que implica (software. Que comprende una evaluación de: Todos los objetivos de cada departamento.1. redes. comunicaciones. Evaluación del proceso de los datos. y de la eficiencia que se tiene en el uso de la información. bases de datos. Para lograr todos estos puntos se necesitará: A) Una evaluación administrativa del departamento informática.). se tratara de mostrar lo mas claro y sencillo posible.3. El campo de la acción del auditor en informática principalmente es: La evaluación administrativa del área de trabajo. Aspectos legales de todos los sistemas. Confidencialidad y la seguridad de toda la información. 16 . etc. CAMPO DE LA AUDITOR ÍA INFORMÁTICA El campo de la auditoría informática es muy grande y día a día crece mas. hardware. Una evaluación eficiente y eficaz con la que se trabaja.

Evaluación del desarrollo físico del sistema.Las metas. La seguridad física de lógica de los sistemas. La integración de recursos materiales y técnicos. Evaluación del diseño lógico del sistema. Las funciones y niveles de autoridad así como responsabilidades del área de procesos electrónicos. Instructivos y documentación. Control de proyectos. B) Evaluación de los sistemas y procedimientos. políticas y procedimientos de los procesos electrónicos. Control de sistemas y programación. de la eficiencia y eficacia para el uso de la información: Evaluación de los sistemas y sus diferentes etapas. La organización del área y toda su estructura orgánica. Confidencialidad de los sistemas. Controles administrativos del área de procesos electrónicos. 17 . La facilidad para elaborar un sistema. Controles y costos presupuestales. Formas de implantación. los planes.

Confidencialidad. Control de medios de comunicación. Derechos de autor y secretos industriales. Control de otros elementos de cómputo.Controles de mantenimiento y formas de respaldo de los sistemas. Control de medios de almacenamiento masivos. Respaldos. Prevención de factores que pueden causar contingencias. D) Seguridad: Seguridad física y lógica. Control de operación. Orden en el centro de cómputo. Control de salida. Productividad. Seguros y recuperación en caso de desastre. Control designación de trabajo. 18 . C) Evaluación del proceso de datos y de los equipos de cómputo que comprende: Controles de datos fuente y manejo de cifras de control.

Restauración de equipo y de sistemas. Esto se refiere a la protección del hardware. Que todos los objetivos se cumplan con los menores recursos posibles (optimizar). Los sistemas deben cumplir con los objetivos de la organización o institución. Seguridad en utilización de los equipos. Eficiencia de sistemas. Seguridad y confidencialidad. Los principales objetivos y necesidades de la auditoría en informática son: Salvaguardar los activos. Plan de contingencia y procedimientos en casos de desastre. humanos existentes en las compañías o La integridad de datos.Seguridad del personal. Los datos deben mantener consistencia y no duplicarse. No hay que olvidar que hay que tener un adecuado control de los activos. Seguros contra desastres. software y de recursos instituciones. la integridad de todos sus datos y la eficiencia de los sistemas solamente se lograra si 19 . Efectividad de sistemas.

la información deberá ser confiable. oportuna y siempre manejarse de manera segura y con la suficiente confidencialidad y por supuesto siempre dentro de todos los parámetros legales y éticos que ellos puedan tener para obtener resultados lo más claros y seguros posibles. la división de responsabilidades y la delegación de autoridad cada día es más difícil debido a que muchos usuarios comparten recursos. pueden estar conectadas en serie o trabajar en forma individual. recordando que malos manejos son del propio personal. verídica. INTERNO CONTR OL Este medio controla de manara diaria las actividades de los sistemas de información para cumplir los procedimientos y estándares. Todas las características del control dependerán de muchos factores como por ejemplo. para que a final de cuentas los mecanismos implantados sean correctos y válidos.la administración de la organización desarrolla un adecuado sistema de control interno. Los controles 20 .4. en un ambiente de mini computadoras. lo que dificulta en gran medida un control interno con exactitud. Por lo que en la actualidad las auditorías se deben realizar por personas con un alto grado de conocimientos en informática y con toda la experiencia que se pueda tener en el área. 1.

Lograr que en la operación se cumplan las políticas establecidas por los administradores de las mismas empresas. La obtención de toda la información financiera veraz. junto con la gestión de la calidad. La reestructuración de procesos empresariales. La descentralización. Los objetivos básicos del control interno son principalmente: Se dirigen a la protección de activos de la prensa. Rendimiento de las secciones. registros que se refieren una protección de los archivos y a la confiabilidad de los registros financieros. 21 . además las empresas tiene iniciativas de crear nuevos controles según sus necesidades. También existen tendencias que pueden influir sobre las empresas que giran a nuestro alrededor y que lo vemos día a día. confiable y oportuna.tendrán que ser sometidos a rigurosas pruebas constantemente. La promoción de la eficiencia en la operación del negocio. El control interno contable comprende el plan de organización y los procedimientos.

Asesorar sobre los riesgos informáticos. por lo tanto todos estos especialistas son de importancia a las organizaciones. Control sobre en software de base. Por tal motivo los auditores informáticos contribuyen con sus conocimientos específicos ya que están mas en contacto con la tecnología informática. antes de que surjan problemas tomando medidas para su seguridad y en la actualidad se hacen cada vez mas seguros y poder soportar los ataques del fututo. Queda claro que ante todos los cambios que se viene presentando en nuestra vida actual los directivos toman muy en cuanta los controles para reevaluar y reestructurar los sistemas de controles internos. 22 .La globalización. La fusión o formación de alianzas como estrategias para la competencia. Licencias y relaciones que se tengan con terceras personas o sociedades. Controles sobre la calidad y eficiencia del desarrollo así como mantenimiento del software.

Normas y Procedimientos. Plan de Seguridad.Control Interno y Auditoría. Todas las operaciones y movimientos se realizarán con las autorizaciones generales o en su caso específico de la administración. 23 . Por lo general todos estos movimientos deberán ser registrados oportunamente y estar respaldados por archivos adecuados. Políticas de Seguridad. Las transacciones deben ser válidas para conocerse y ser sometidos oportunamente a su aceptación. Estas autorizaciones deberán estar de acuerdo a los criterios establecidos por todo el nivel apropiado de la administración. Medidas Tecnológicas Implantadas Formación y Mentalización. Objetivos de autorización.

y de entrar personal no autorizado deberán ser acompañados así como vigilados para no ser objetos de algún tipo de atentado o fuga de información.Objetivos del procesamiento y clasificación de transacciones. El acceso a todos los activos se deberá permitir bajo el acuerdo con autorización de la administración. los datos relativos a activos sujetos a custodia. Todas las acciones deben registrarse para permitir la preparación de todos los estados financieros o cualquier otro criterio aplicable a estas para mantener los archivos apropiados. Objetivos de salvaguarda física. Los equipos contaran con claves para uso del personal autorizado e intransferible a otras personas. 24 . El control físico también es para que se asegure el acceso. siendo una de sus funciones la administración y gestión del software de seguridad. el cual estará restringido solo al personal autorizado.

la cual se hará por paquetes ya conocidos para las auditorías. oportuna y principalmente confiable para mejorar la eficiencia y operación de la organización enfocada siempre a la informática. para tener una información veraz. Objetivos de verificación y evaluación.Tendrán instaladas medidas preventivas en caso de que ocurra un incendio o algún otro tipo de siniestro. la segunda será un control del área y el departamento de informática. Todos los registros relativos a los activos sujetos a custodia deben compararse con los activos existentes a intervalos razonables. y utilizando la computadora como una herramienta auxiliar y principal en este proceso. así como la evacuación de instalaciones de forma parcial o total del edificio. El segundo como ya hemos señalado anteriormente se deben proteger los activos de la organización por medio del control. Los objetivos generales del control interno de sistemas son aplicables a todos los ciclos. la primera servirá para un adecuado control interno. El área informática puede interactuar de dos maneras en el control interno. El primer caso se realiza por medio de una evaluación a la organización. 25 . y se deberán tomar las medidas apropiadas respecto a las diferencias existentes.

así como de la salvaguarda física. pero claro estas personas deberán tener conocimientos de especialistas. La informática es una herramienta muy valiosa con la cual se debe tener un adecuado control y será un gran auxiliar de la auditoría interna. recordemos que la auditoría interna está y debe estar presente en todas y cada una de las partes de la organización. Salvaguardia física. verificación y evaluación de todos los equipos de la empresa o institución donde se realicen estas actividades y que principalmente será de su información. Verificación y evaluación. informática con requerimientos mínimos aunque no sean El auditor interno. Procesamiento y clasificación de las transacciones. En el diseño general y detallado de los sistemas principalmente se sugiere incluir a personal de la contraloría interna.La auditoría informática siempre tendrá presentes los objetivos de autorización. en todo momento que se elaboran los sistemas deberá participar en todas sus etapas: 26 . según estudios los objetivos generales del control interno son: Autorización. procesamiento y clasificación de las transacciones.

Todos los planes en casos de desastre. 1. se deberán elaborar desde el momento en que se diseña el sistema la seguridad no puede llevarse a cabo los procedimientos de controles adecuados. Incorporar técnicas avanzadas de auditoría en los sistemas de cómputo.. Recordemos que estos métodos de control requieren un experto y si el departamento no cuenta con la 27 . MODELOS DE CONTR OL UTILIZADOS EN AUDITORÍA INFORMÁTICA En la actualidad pueden existir varios modelos de control cuando una instalación se encuentra operando sistemas avanzados.Que los requerimientos de seguridad y de auditoría sean incorporados y él participe en la revisión de estos puntos. varios ejemplos son: cuando se procesan datos en línea. procesamientos distribuidos. se pueden evaluar los sistemas utilizando técnicas avanzadas. las bases de datos.5. etc. Revisar la aplicación de los sistemas y el control de usuario como en el centro de informática. Que las políticas de seguridad y los procedimientos estén claramente especificados en incorporados al plan en casos de desastre.

como un ejemplo pueden ser las copias que se realizan para seguridad y poder reestablecer como se tenía. las acciones de prevención que se tengan de los errores. Para evitar o tratar de evitar los errores antes de que ocurra. para poder conocer que fue lo que paso o que ocurrió. como cuando hay intentos no autorizados a un sistema o el registro de actividades diarias para tener un control de los sucesos como un histórico. Sin embargo cuando se realizan apropiadamente todos estos componentes harán que se supere una auditoría tradicional como las que en muchas empresas en la actualidad obteniendo mejores resultados. que otra limitante en los controles puede ser un alto costo de inversión. como software para impedir los accesos no autorizados. otro puede ser la sobrecarga del sistema y trabajo. Asimismo recordemos.capacitación deberá realizarse un entrenamiento adecuado y lo más pronto posible. Detectivos. Los controles informáticos se encuentran divididos en tres puntos de los cuales también se desarrollan en más de estas categorías. por 28 . Preventivos. Para facilitar en su totalidad o lo más cercano a la realidad. Correctivos. y como consecuencia habrá que esperar más tiempo para recibir una respuesta. Cuando falló el preventivo entrará éste.

horas. A medida que se tienen avances tecnológicos los sistemas se vuelven más complejos y por eso se presentan más situaciones para su control. Simulación. 29 . Éste control consistirá en realizar pruebas a la aplicación o programas y compararlos con resultados de la simulación a la aplicación real. y movimientos realizados a toda clase de archivos (prácticamente un historial). Revisiones a los accesos. a fin de evitar errores. Se deberá realizar un registro computarizado de todas y cada uno de las acciones que se realizaron. Se deberá tomar en cuenta y ser muy cuidadoso en las participaciones que se están utilizando en el sistema para prueba de la contabilidad o balances. En éste caso son transacciones realizadas por el auditor independiente de la aplicación normal. información de la identificación tanto de alguna terminal como de usuarios. pero que se realizarán al mismo tiempo. fechas. los archivos podrán contener por ejemplo.ejemplo una base de datos del día anterior que se devuelve para continuar trabajando. Pruebas integrales.

Evaluación de un sistema con datos de prueba.Operaciones en paralelo. Sin embargo sabemos que en la actualidad se están desarrollando programas y sistemas de auditoría cada vez más confiables que intervienen en actividades e información cuyo control solamente corresponden al departamento de informática. a comparación de un sistema pasado que también fue auditado. Se consiguen totales en algunas partes del sistema para verificar su exactitud de una forma parcial. En la actualidad el auditor puede desarrollar gran parte de sus 30 . Consistirá en aprobar los resultados producidos en la aplicación con los datos de prueba contra los resultados obtenidos inicialmente en las pruebas del programa. Los métodos anteriormente descritos ayudarán al auditor interno para establecer una metodología en la revisión de los sistemas de aplicación de una institución. Registros extendidos. como un campo especial de un registro extra el cual puede incluir datos de todos los programas que forman parte del procesamiento para que quede determinada transacción con los siguientes casos. Esta prueba consiste en verificar con exactitud toda la información de los resultados que produce un sistema nuevo. Consistirá en agregar un campo de control a un registro determinado. Totales aleatorios de ciertos programas. o dependencia.

Las aplicaciones pueden generarse automáticamente. Verificar la exactitud de cálculos mediante muestreos estadísticos. Visualización de datos. El tener una microcomputadora constituye una herramienta que facilita la realización de actividades como: El traslado de datos de un sistema a un ambiente para el control del auditor. Por ejemplo. Llevar a cabo una selección de datos. el sistema puede emitir automáticamente una orden de reposición cuando el inventario está a un nivel por debajo del punto de orden. para la producción de reportes e histogramas. Ordenamiento de la información.funciones con sólo intervenir en las redes de comunicación internas. El auditor interno tiene que participar en el diseño general y específico de los sistemas. Ahora mostraremos algunos ejemplos de formas tradicionales de evidencia que existe en un proceso manual y las maneras en que la computadora las puede cambiar: Transacciones originadas por personas y accesadas a un sistema para su proceso. 31 . para que todos tengan los controles de acuerdo a las políticas internas antes de comenzar la programación del sistema.

Por ejemplo. correos o algún otro servicio similar de un lugar del negocio a otro sitio completamente distinto. El transporte de documentos de una estación de trabajo otra por personas. iniciales o sellos de los documentos para indicar la autorización del proceso. los datos son enviados electrónicamente (mediante Internet). En la mayoría de las aplicaciones computarizadas la autorización puede ser automática. 32 . Otro método también puede ser la autorización electrónica incluyendo excesos mediante claves de seguridad. Se pueden producir documentos impresos cuando la información es accesada. cuando se realice una venta a crédito puede ser automática mientras no se rebase el límite de crédito previamente determinado. La revisión de transacciones por el personal.El registro manual de la información necesaria para originar una transacción. Anteriormente se tenía firmas en donde ahora sólo se tiene una clave o llave de acceso y que en la actualidad lleva un registro de la hora y el día en el que fue autorizada. que deja constancia con sus firmas. En aplicaciones de computadoras. Previamente codificada o encriptada para ser enviada por medio electrónico y que al final se elabora un registro de cuando se recibió la información por el receptor.

Procesamiento manual. En las aplicaciones computarizadas, este proceso se efectúa electrónicamente dentro de la memoria por procesos programados y siguiendo reglas predeterminadas.

Proceso simplificado que facilita las ejecuciones repetitivas sin alta probabilidad de error. Estos procesos son complejos debido a la velocidad y exactitud de los procesadores. Por ejemplo, en una compañía se puede utilizar una computadora para calcular posibles horarios o cédulas de producción con la finalidad de seleccionar el más adecuado proceso, que si este proceso se elabora de forma manual se tardaría mucho tiempo o sería casi imposible de realizarlo.

Mantenimiento de manuales de información. En las aplicaciones computarizadas esta información se almacena como catálogo, que de forma manual sería muy amplio y sería imposible actualizar los datos de manera inmediata.

Listado de proceso de documentos impresos. No todos los sistemas podrán emitir resultados impresos ya que en ocasiones los fondos pueden ser transferidos de manera electrónica. Por ejemplo, la elaboración de cheques.

Almacenamiento de documentos de entrada, proceso y salida en registro de archivos. La información puede localizarse y rescatarse de manera manual del área de almacenamiento físico, la mayoría de los archivos que se encuentran en medios

33

magnéticos. También se podrán utilizar programas extractivos para recobrar la información de tales medios, los cuales en la actualidad son mas rápidos y exactos como es el caso de las bases de datos.

Uso de documentos impresos para construir el proceso. En los procesos manuales estos documentos contienen información fuente, firmas de autorización método de proceso y resultados de salida. En las pistas de una auditoría pueden verse fragmentadas, por lo regular esto ocurre en un ambiente de bases de datos, gran parte de esta secuencia en las auditorías requieren entender las reglas del proceso del sistema pero no siempre es obvio cuáles pasos se ejecutaron, principalmente cuando el proceso computacional es complejo.

Uno o más manual es de procedimientos. Este manual principalmente será la guía de usuarios cuando este desconozca que procedimiento continúa cuando manipula un sistema mediante las ya conocidas ayudas (help).

La división de tareas entre los empleados. Esto implica no sólo la división de tareas de los empleados sino también entre los pasos y procesos automatizados. Por ejemplo, los programas pueden procesar diferentes partes de una transacción en diversos lugares, pero también se requiere que tengan sistemas de seguridad de acceso a nivel sistema, dato o programa, como es el caso de los sistemas bancarios.

34

1.6. PRINCIPIOS APLICAD OS A LOS AUDITORES INFORMÁTICOS
Los auditores serán capases de dar un soporte tangible sobre las actividades que se realizan dentro de una empresa, una vez teniendo contacto con los medios sobre los cuales observaron los procedimientos siendo muchas veces los medios físicos de la compañía como equipos de computo, manuales, reportes etc. serán personas estrictamente objetivas, no tienen que inculpar a alguien necesariamente sino de dar solución a todos los problemas que pudieran encontrar, para no reincidir por parte de los mismos usuarios o personal extraño a la institución o empresa.

Por lo regular los auditores suelen ser personal con perfiles universitarios o que tengan una experiencia multidisciplinaria teniendo algunas de estas características:

35

Amplia experiencia en Automatización CPD´S. y que deben razonablemente detectar: 36 . el diseño y desarrollo de exámenes que sean apropiados a la naturaleza de la auditoría asignada. Buenos conocimientos de los sistemas. Con experiencia en distintas ramas como lo son de sistemas. coordinador. El rol del auditor informático solamente está basado en la verificación de controles. Expertos en Bases de Datos y gran Tiene experiencia en el manejo de las bases de datos y su mantenimiento. Administrador. evaluación del riesgo. Informática. Gestión de costes. Con experiencia en análisis de Experto en Proyectos. Experto organizador y Técnico de Organización. el conocerá productos compatibles y de buen rendimiento para una mejor explotación de estos recursos. Experto en Software de Comunicación. proyectos y de metodologías las cuales las puede aplicar o reutilizar. Economista con conocimiento de Técnico de Evaluación de Coste. Experto en relaciones humanas. explotación y desarrollo de proyectos. de trabajos. conocen otros productos que los pueden complementar para así explotarlos al máximo. Con amplios conocimientos en las redes y sistemas de teleprocesos. como pueden ser la emisión de reportes. sistemas operativos.Informático en General. Amplios conocimientos en Técnicos en Sistemas. de fraudes. Especialista en el análisis de flujos de información. Experto en Explotación y Gestión de Responsable de Centro de Cálculo.

Características de la organización respecto a la ética. historia de la organización. compensaciones monetarias a los empleados. extensión de la presión laboral sobre los empleados. tipo de supervisión existente. Herramientas. Políticas organizacionales sobre la información y las tecnologías de la información. la industria o ambiente competitivo en la cual se desempeña la organización. Herramientas de control y verificación de la seguridad. cambios recientes en la administración. operaciones o sistemas. etc. Debilidades en los controles internos que podrían resultar en la falta de prevención o detección de irregularidades. Todo tipo de conocimientos tecnológicos. de forma actualizada y especializada respecto a las plataformas que existan en la organización. estructura organizacional. CAPACIDAD Y ENTRENAMIENTO Conocimientos generales. Aspectos Legales. Normas y estándares para la auditoría interna.Irregularidades que puedan tener un impacto sobre el área auditada o sobre toda la organización. 37 .

claves. el auditor dará su objetivo punto de vista y las maneras en que las problemáticas se podrán solucionar ya sea por medio de control de accesos. 1. El auditor en especial el interno no tiene que desarrollar sus actividades como una función de policía o detective 38 . par que en manos de los administradores puedan reajustar todas y cada una de las fallas que se tengan ya que estas pueden ser de forma inconsciente y otras con toda la ventaja para ser aprovechadas por mismos usuarios o personal ajeno a las instituciones.. etc. Cálculo pos operación.7. prestigio y ética profesional puedan proporcionar. Recordemos que las bases de toda auditoría será la información que los empleados bajo su papel de autoridad. RESPONSABILIDADES DE LOS ADMINISTRADORES Y DEL AUDITOR Las responsabilidades serán básicamente compartidas. Técnicas de evaluación de riesgos. Análisis e interpretación de la evidencia. actualizaciones. manuales. para tener un amplio panorama de a que nos enfrentamos. etc. Recopilación de grandes cantidades de información. mantenimiento.Herramientas de monitoreo de actividades. Monitoreo de actividades.

Se pueden generar más delitos al mostrar las debilidades encontradas. puede traer efectos negativos en la organización. Informar a la autoridad correspondiente dentro de la organización. Determinar los vacíos de la seguridad existentes y que permitieron el delito.informático solo esperando algún error del personal. deberá realizar lo siguiente: Determinar si se considera la situación un delito realmente. Por esto deberán de tener sus Normas y Procedimientos emitidos para cada una de las figuras y que también sean conocidas por todo el personal. Se puede perder la confianza de los clientes. Muchas veces de no manejarse adecuadamente este delito. Cuando un auditor informático al detectar irregularidades que indiquen la presencia de un delito informático. sino crear un ambiente pacifico y de forma agradable a las relaciones personales para ser un colaborador más de la empresa. como los siguientes: Se puede generar una desconfianza de los empleados hacia el sistema. proveedores e inversionistas. El auditor manejara la situación con discreción total y con el mayor profesionalismo posible. y evitando que el público o empleados tengan conocimiento. Establecer pruebas claras y precisas. 39 .

entre las que pueden destacarse: Adquisición de herramientas computacionales de alto desempeño. Estándares bien establecidos y probados. el auditor informático deberá ayudar a la empresa en el establecimiento de estrategias contra los delitos. Estas acciones. el auditor deberá sugerir acciones especificas a seguir para resolver el vacío de seguridad. 40 . para que los responsables de la unidad informática puedan actuar. Establecimiento de planes de contingencia efectivos. Si por medio de la auditoría informática realizada se han detectado delitos. Adquisición de herramientas de control. Revisiones continúas del sistema. pueden ser: Revisión total del proceso involucrado.Se pueden perder empleados clave de la administración. Instalación de controles adicionales. Además de brindar recomendaciones. aún cuando no estén involucrados en la irregularidad debido a que la confianza en la administración y el futuro de la organización puede estar en riesgo. Controles sofisticados.

Las preguntas que el realice serán claras por que sabe en realidad lo que trata de buscar. pero también los aciertos. las preguntas que elaborara no serán con términos rebuscados sino lo mas sencillas pero muy significativas.Con el paso del tiempo los auditores se vuelven expertos por que reelaboran sus cuestionarios de acuerdo a los escenarios que inspeccionan puesto que si no lo hicieran se estancarían y no tendrían avances en las auditorías futuras. A estos cuestionarios también se les puede conocer como CHECKLIST. pero en realidad se sabe que no es cierto. principalmente obtener los puntos que considere como débiles. algunas personas sugieren que esta actividad no se realice ya que opinan que sólo es leer muchas preguntas a los usuarios y perdida de tiempo. 41 . una ves que tenga estos datos realizara un análisis y comparativos de estos.

CAPÍTULO II PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA 42 .

2. para que se ocupa. Planeación Para elaborar una adecuada planeación para efectuar una auditoría hay que realizar una serie de pasos. desde que información se maneja.1. quien la realiza. que éstos nos permitan evaluar el tamaño y 43 . que es lo que se ocupa. las personas que intervienen en ella y cuales son los métodos de control que en la actualidad se están manejado y todo esto será nuestra herramienta de partida.1. FASES AUDITORÍA DE LA Para la elaboración de la auditoría se tienen que realizar muchas fases para que esta tenga el éxito esperado tomando en cuenta que al solicitar los servicios de la auditoría tiene que llevar un orden desde como se iniciaran las pruebas. solicitudes de reportes. 2. quienes participan para que al final de que se practique la auditoría pueda brindar las mejores soluciones a las instituciones o empresas. como se aplica.Como todo trabajo se necesita realizar una adecuada planeación para obtener los mejores resultados posibles.1.

el tiempo. Establecer una comunicación en el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Obtener información de apoyo sobre las actividades. equipo para así poder determinar el número y características del personal que se requiere para la auditoría. En este punto la planeación. Todo planeación deberá documentarse y tendrá que incluir: Establecer claramente los objetivos y el alcance del trabajo. herramientas. 44 . sus sistemas. organización. Delimitar los recursos necesarios para autorizar la auditoría. Necesaria con todo el personal que estará involucrado en auditoría. y en su caso poder elaborar el contrato de los servicios. costo para al mismo tiempo definir los alcances. es el paso más importante ya que una inadecuada planeación provocará una serie de problemas que pueden impedir que no se realicen en su totalidad o que no se realice con profesionalismo de cada auditor. Todo trabajo de auditoría deberá incluir una planeación el examen y la evaluación de la información.características del área dentro del organismo o institución a auditar. la comunicación de los resultados y el seguimiento.

de acuerdo siempre con las prioridades del cliente. Evaluación de los equipos de cómputo. porque se manejan recursos genéricos y no específicos. Evaluación de los sistemas y procedimientos. pues tiene que hacerse desde el punto de vista de varios objetivos como: Evaluación administrativa del área de procesos electrónicos. En el primer caso. la elaboración es más compleja y costosa. Si la revisión debe realizarse por áreas generales o específicas. En el plan no se consideran calendarios. La preparación por escrito del programa de auditoría. cuando y a quien se le comunicarán los resultados de la auditoría.Realizar una inspección física para familiarizarse con las actividades y controles a auditar. En el caso de la auditoría informática la planeación es fundamental. Obtener la aprobación del plan de trabajo con la cual se llevará cabo la auditoría. así como de criticar las áreas en las que se pondrá más atención y promover comentarios para una promoción de los auditados. Establecer la persona o responsables de cómo. El plan establece disponibilidad futura de los recursos durante la revisión. 45 . En el plan se establecen las prioridades de materias auditables. El plan estructura las tareas a realizar por cada integrante del grupo.

Presupuesto financiero y planes de contratación de personal. tomando en 46 . redes). de los sistemas y de los equipos de cómputo (software. el tiempo requerido. Para lo cual las metas se deberán establecer principalmente que se puedan lograr. Este proceso de planeación también comprende: Metas. Todos los programas deberán incluir. tiempos. los cuales tendrán criterios para medirlas y fechas límites para su logro. personal necesario y documentos auxiliares a desarrollar durante todo este proceso. Aspectos legales de todos los sistemas y de toda la información.Evaluación de proceso de datos. Por ello se requiere hacer una investigación preliminar y realizar algunas entrevistas previas. sobre los planes específicos de operación y de los presupuestos y de preferencia hasta donde pueda ser posible deberán ser cuantificables. comunicaciones. Programas de trabajo de auditoría. Seguridad y confidencialidad de la información. Primeramente requerida toda la información general sobre la organización y sobre la función informática a evaluar. las actividades. Informes actividades. para así planear el programa de trabajo del cual tendrá que incluir costos. hardware. cuando serán realizadas. bases de datos.

el adiestramiento requerido.consideración el alcance planeado sin olvidar la extensión del trabajo. presupuestos financieros en el que se incluyen el número de auditores. por lo cual siempre se recomienda ser flexibles en las actividades y marcar un poco más de tiempo por todos los contratiempos que puedan surgir. la escolaridad. experiencia todo esto deberá contemplarse en los programas de trabajo igualmente actividades administrativas. Los planes. y los esfuerzos que se desarrollen durante todo este proceso por ello es necesario marcar tiempos para poder calendarizar adecuadamente todo el proceso ya que durante el mismo surgirán siempre aspectos imprevistos durante la planeación. su conocimiento. A continuación se elabora un esquema sobre los puntos más importantes para elaborar una planeación: 47 . todo esto deberá ser lo suficiente flexible para cubrir aquéllas demandas que no fueron previstas.

Desarrollo de herramientas y metodología para probar y verificar los controles de lista de personas a existentes. Planificación previa. tener de comunicación con la gerencia. Identificación entrevistar. Identificación y obtención de políticas y normas. Procedimientos para evaluar los resultados. Propósito del trabajo de auditoría a realizar. Recopilación de datos. Procedimientos de auditoría. Donde se identifica los recursos que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones que se auditaran. Objetivos de la Auditoría. 48 . Alcances de auditoría.Tema de auditoría. Procedimientos de seguimiento. Se identifica el área a ser auditada. Se identifica los sistemas específicos o secciones de organización que se han de incluir en la revisión en un período de tiempo determinado.

Se podrá realizar una revisión detallada de los controles internos.2. estos controles pueden ser los del área de usuario. de todos y cada uno de los sistemas para depositar toda la confianza en ellos. El principal objetivo es obtener toda la información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoría. y de realizar una serie de pruebas para tratar de reducir la mayor cantidad de consecuencias que se puedan dar en este proceso. El segundo en que los controles del área de informática pueden duplicarse.beneficio que será en realizar pruebas sustantivas directamente.2. Se puede dar el caso de confiar en los controles internos de todo sistema. En esta etapa pueden surgir problemas por la falta de competencias técnicas para realizar éste trabajo. Después de esta revisión preliminar el encargado de este proceso podrá tomar cualquiera de estos tres puntos. Se puede decir que se obtendrá un 49 . Diseño de la auditoría. El primero se puede ser más eficiente desde un punto de vista costo.1. preliminar Revisión El siguiente pasó después de la planeación es realizar una revisión preliminar de la red informática.

el auditor externo buscará las causas de las pérdidas y todos los medios necesarios para justificar las decisiones que el pueda tomar. En tercer lugar. El segundo. la cual tomar en cuenta sobre sus consideraciones sobre eficiencia y eficacia con las que él trabaja y se desarrolla. El primero. o también por entrevistas (CHECKLIST). Sin olvidar que esta información inicial sólo nos dará un panorama general para la elaboración del programa de trabajo la cual se tendrá que estar desarrollando y se profundizará en toda la auditoría. La revisión preliminar significa la recolección de evidencias por medio de entrevistas a todo personal de la instalación. por lo tanto revisará la forma detallada para elaborar recomendaciones con las cuales los 50 . Ésta información se pueda recolectar por cuestionarios iniciales. el auditor interno tendrá un amplio panorama. la observación de las actividades en la instalación y la revisión de toda la documentación. el auditor interno supondrá ciertas debilidades en sus controles. y no procederá directamente con las pruebas. el auditor interno requerirá menos revisiones a los trabajos principalmente en la parte gerencial de la organización ya que como trabaja en ella tiene más conocimiento del funcionamiento de la empresa.mayor costo-beneficio cuando su meta es una mayor confianza a los controles de compensación. Tanto la revisión preliminar que puede realizar un auditor interno será diferente a las realizada por un auditor externo principalmente en tres puntos.

después del análisis lo que él crea conveniente para los controles internos. usados dentro del área de informática de esta empresa u organización. se tiene la suficiente confianza y en su defecto cuáles serán los procedimientos alternos más apropiados para esta auditoría.3. detallada Revisión El objetivo principal de esta etapa será obtener la información posible necesaria para que el auditor pueda tener un profundo conocimiento de todos los controles.controles internos pueden ser más seguros y confiables para que éstos den mejores resultados. Él tendrá la capacidad para decidir y evaluar en qué momento los controles establecidos podrán reducir las 51 . El auditor tiene la capacidad de definir si desea continuar elaborando más pruebas. 2. En la mayoría de los casos el auditor decidirá. En esta etapa es de suma importancia que el auditor puede identificar la causa de aquellas pérdidas.1. con la finalidad obtener mayor confianza o en su defecto iniciar en el momento que el así crea conveniente la revisión con los usuarios de estos sistemas. que existen dentro de una instalación y refórmala para reducir las mismas y los efectos que se causan por todas ellas.

No olvidando. de que será más confiable la información y al mismo tiempo mucho más evaluada. puede evaluar que controles son los mejores para que todas las pérdidas que se realizan regresar nuevamente a un nivel aceptable. para encontrarse dentro de los niveles que se pueden aceptar. El puede tomar la decisión de seguir con estos controles o dar las recomendaciones que serán necesarias para mejorar todos los controles de los sistemas existentes. También podrá evaluar si los controles escogidos son lo mejor. de información y/o materiales pero tendrán que estar dentro de un margen mínimo que se pueda permitir. 52 . y si los controles tendrán un nivel satisfactorio. El auditor interno considerará las causas de las pérdidas que afectan la eficiencia y eficacia.pérdidas. para también saber cuales de estos controles son los menos costosos para la empresa o institución. Todos los métodos de información al momento de realizar una evaluación serán los mismos usados en la revisión preliminar con la única diferencia. dentro de las compañías pueden existir pérdidas que pueden ser económicas. que las decisiones que él tome podrán influir dentro en la empresa y son su responsabilidad dar las mejores soluciones a todos y cada uno de los problemas que puede encontrarse.

Toda la información deberá ser lo bastante real. Esta información significará que puede ser confiable y que se puede obtener de la mejor manera posible. se tendrán que elegir desde un inicio. siempre y cuando las técnicas empleadas en auditoría sean las más apropiadas. La información será lo bastante fácil de entenderse para que toda persona llegue a las mismas conclusiones que el auditor tenga que tomar.2.1. interpretar. para que de este modo sea lo bastante sólida para el informe de hallazgos y las recomendaciones que ésta auditoría realice al personal. Recopilar toda la información para todos y cada uno de los asuntos que se relacionaron para corregir las fallas con los objetivos y alcances de esta auditoría. pueda desarrollar sus objetivos y cumplir sus metas que se ha propuesto.4. o cuando considere 53 . Teniendo en cuenta que todo esto es con el fin de que la empresa. analizar y documentar toda la información para que en base a ella puedan sostener sus resultados de todo este proceso (auditoría). Todo procedimiento que se realice en esta auditoría incluyendo todas las pruebas. Examen y evaluación de la información Los auditores internos deberán obtener.

efectuar. y sobre todo se deberán de apoyar en los hallazgos y las recomendaciones que éstos puedan hacer. analizar de la documentación esta se deberá supervisar bajo un control que asegure la objetividad que el auditor mantuvo a lo largo de este proceso. claros. Todos los informes que le entregue tienen que ser objetivos. y que cada uno de los objetivos de esta auditoría se cumplió. Estos informes presentarán todos los propósitos. En estos casos se registrara la información obtenida así como el análisis efectuado. Estos informes podrán contener recomendaciones para mejorar el trabajo y de una manera satisfactoria poder mencionar maneras correctivas. El auditor interno puede llevar un 54 . antes de que el emita un informe final. y se requiera algún tipo de modificación se pueda Todo este proceso de recabar información. El auditor deberá discutir las conclusiones y recomendaciones para los niveles que corresponda.necesario implantar. alcances y los resultados efectuados y cuando él considere apropiado podrá expresar su opinión de cada uno de estos procesos. constructivos y oportunos. interpretar los resultados. Los auditores tienen que reportar el trabajo obtenido. Los documentos de trabajo deberán ser supervisados y preparados por los propios auditores y revisados por la gerencia. Los puntos de vista de los auditores pueden ser incluidos en el informe que se presente.

que principalmente pueda contemplar: Descripción de las actividades de todos los puestos y de cada nivel. En el departamento de auditoría interna se tendrá un control de calidad. Con la finalidad que este proceso proporciona una seguridad razonable para que este trabajo de auditoría cumpla con las normas mínimas. Revisiones internas.seguimiento de las recomendaciones realizadas para verificar si la solución está dando resultados. Realizar una evaluación del trabajo realizado por cada uno de los auditores. Se elaborará un programa de trabajo para seleccionar y desarrollar los recursos necesarios. Seleccionar cuidadosamente a los individuos calificados para cada actividad. este programa de control tendrá que incluir los siguientes elementos: Supervisiones periódicas. Capacitación y entrenamiento profesional así como una continúa capacitación para todos los auditores. 55 . El trabajo de una auditoría interna y externa se deberá coordinar para tener la mejor cobertura y para disminuir todos aquellos gastos de esfuerzos que se tengan que realizar. por lo menos una vez al año. Revisiones externas.

2. él auditor deberá observar si realmente éstos existen y estén trabajando. Pruebas usuario de controles de El objetivo de esta etapa es determinar si estos controles realmente están cumpliendo su función para lo que fueron diseñados. e incluso de cierta forma los podrían manipular si es que si ellos lo deciden. visitas y evaluaciones directamente con los usuarios. cuestionarios. Todas las revisiones internas se supervisaran periódicamente por el personal de esta auditoría interna. políticas y programas de auditorías en informática. no confiar en todo los controles internos establecidos dentro de las instalaciones. se realizará de forma continua para así asegurar que está trabajando bajo normas.La supervisión del trabajo realizado por los auditores. Desgraciadamente gran parte de las auditorías realizadas por los auditores prefieren.1. hechas 56 .5. para evaluar el trabajo de auditoría realizado. Estas pruebas de los controles internos generalmente son aplicadas mediante entrevistas. ya que los usuarios como son quien tienen mayor contacto están muy familiarizados y pueden tener cierta influencia sobre estos.

es decir si se cuenta con deshumidificadores. 57 . asegure la utilización efectiva del computador. extintores de incendios. Revisión de programas de operación: Se verifica que el cronograma de actividades para procesar la información.Revisión de Centros de Cómputo. fuentes de energía continua. aire acondicionado. Revisión de controles en el equipo: Se hace para verificar si existen formas adecuadas de detectar errores de procesamiento. Revisión del sistema de administración de archivos: Se hace para verificar que existan formas adecuadas de organizar los archivos en el computador. que estén respaldados. así como asegurar que el uso que le dan es el autorizado. Revisión del plan de mantenimiento: Aquí se verifica que todos los equipos principales tengan un adecuado mantenimiento que garantice su funcionamiento continuo. Revisión de controles ambientales: Se hace para verificar si los equipos tienen un cuidado adecuado. etc. prevenir accesos no autorizados y mantener un registro detallado de todas las actividades del computador que debe ser analizado periódicamente. Revisión del plan de contingencias: Aquí se verifica si es adecuado el plan de recuperación en caso de desastre.

Rectificación de los datos con fuentes externas. Este auditor interno tendrá la libertad de expresarse de acuerdo a su opinión de cuando un proceso esté mal diseñado o no tengan suficiente control de la información.6.1. Pruebas para determinar los problemas de legalidad existentes. PRUEBAS SUSTANTIVAS Una vez que el auditor ha recabado la suficiente información que le permita a este emitirá sus propias conclusiones. Pruebas para determinar la falta de seguridad en el sistema. de el o los momentos en los que considere que se pueda dar un dictamen. Se enlistan algunas de estas pruebas: Pruebas para identificar la mayor cantidad de errores durante el proceso.2. Pruebas para certificar la calidad de los datos. Pruebas para confirmar la adecuada comunicación. Deberemos de tomar en cuenta todos los beneficios que tendremos al tener un alto grado de control. rendirá su propio informe. Pruebas para verificar la seguridad o confidencialidad. ya que nuestros sistemas estarán mejor protegidos pero sin olvidarnos de el costo que esto poder presentar para la institución o empresa. Por 58 . Pruebas para comparar los datos. Pruebas para identificar la redundancia de los datos.

Crear una sección de auditoría informática que trabaje dentro del departamento previamente creado de auditoría interna. En la actualidad se dice que tanto la alta gerencia como el gerente de informática piensan.eso es necesario devaluar el costo que representaría una falla en el sistema y todos los problemas que esto traería para determinar su riesgo. Reasignar diferentes auditores en la fase del diseño. 59 . que el que el auditor participe en las fases del diseño disminuye su propia independencia pero también se dice que no es así como a continuación se detalla: Éstos aumentaran los conocimientos en informática por parte del auditor. Se sugiere el auditor participe en tres estados del sistema: En la fase del diseño del sistema. preferentemente especializado en informática. En la fase de operación. para sí compararlo si es que en realidad vale la pena la inversión que se efectúe en la implantación de estos controles. En la fase posterior a la auditoría realizada. durante el trabajo de auditoría y posteriormente a la auditoría.

60 . para saber sus principios y los pasos de los procesos. El auditor no dará a conocer su opinión. las decisiones que pueda tomar serán difíciles. Un cuarto lugar realiza pruebas sustantivas en los procesos. Sino hasta que realice el informe para poder evaluar los controles internos. Los pasos que se necesitan en una auditoría informática son muy semejantes. En segundo lugar el auditor confiar los controles internos de todo el sistema. El tercer punto el auditor tras su veredicto sobre los controles que considera más importantes. mientras decide las alternativas que pueda ofrecer. del cual realizará las pruebas necesarias o investigación. ya que la suma de estos subsistemas nos dará la mejor aproximación para demostrar de lo que es capaz de realizar. una vez realizados los trabajos poder evaluar cómo es que funciona realmente todo el sistema. Primero realizando una investigación y documentándonos para familiarizarnos con estos. para poder identificar todos y cada uno de las actividades que se realicen en cada proceso para que después. a los que se utilicen en una auditoría manual.El realizar una auditoría en informática es un trabajo demasiado complejo y hay que saber realizarlo. Para esto los auditores necesitarán fraccionar o dividir en subsistemas. pero tendrán un respaldo ya que tienen que estar soportadas y documentadas.

61 . es el que no sea utilizado adecuadamente.2. Aquí un ejemplo claro podrá ser el procesamiento para la elaboración de nóminas y como consecuencia el personal pueda llevar a cabo una huelga. inversiones cuentas por pagar. EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESG O Una de las formas para realmente poder evaluar un sistema para el uso de una organización. o un mismo personal sin previa autorización para manipularla. El auditor podrá tener mayor atención en todos aquellos sistemas que manejen controles financieros para un adecuado funcionamiento. Como pueden ser cajas. por cobrar y nómina entre otras. Estas fallas pueden tener grandes impactos en toda la organización. Algunos sistemas por sus aplicaciones son considerados de alto riesgo debido a que son: Muy susceptibles a diferentes tipos de pérdida económica. el que pueda perder información o que incluso sea utilizado por personal ajeno a la organización.2. Que son más conocidos como fraudes o desfalcos y entre los más comunes son los financieros.

Sistemas con tecnologías de punta. otros pueden ser que teniendo pérdidas podrán destruir la imagen o llevar a la quiebra a una institución u organización. Sistemas de alto costo.Interfiere con otros sistemas y los errores pueden dañar otros subsistemas. Cuando los sistemas utilizan alta tecnología. derechos de autor los cuales son de grandes recursos de organización. Pueden surgir altos riesgos en relacionaron a la competencia. algunos sistemas están diseñados para dar un rendimiento bastante alto en cuanto al mercado en el cual esté trabajando. Por ejemplo algún sistema de planeación o patentes. Son sistemas muy complicados y altamente costosos con los que si no se tiene mucho cuidado puede causar demasiados problemas de control así como un alto costo en su mantenimiento. Los más conocidos con sistemas de bases de datos. ya que como surgen cada día tecnologías más avanzadas puede que la compañía u organización tenga muy poca experiencia como consecuencia surjan problemas para tener mayor control. 62 . distribuidos o de comunicación.

Administración. políticas y prácticas que se usan en cada uno de sus niveles dentro de toda la estructura en la que se encuentren las computadoras.2. Toda la información es previamente analizada una vez realizada una visita programada a la organización. sus áreas de informática y todos los equipos con los que se este trabajando. las cuales podrán ser mediante observaciones. Se deberá documentar toda la información posible para tener una idea general del departamento. Durante todas las revisiones de los controles gerenciales el auditor tiene la obligación de entender la organización. PRELIMINAR INVESTIGACIÓN Ésta etapa de la investigación deberá incorporar fases del control gerencial y el control de aplicaciones. entrevistas preliminares y solicitar los documentos necesarios con el fin de verificar el objetivo y los alcances del estudio.3. Se concentra la mayor cantidad información para saber específicamente que se dedica este departamento que puede ser mediante 63 . si existe la información solicitada previamente o en su defecto solicitar la última fecha de su actualización. el papel que desempeña dentro de la organización. así como el programa detallado previamente. Hay que tener en cuenta el estado del departamento.

También dependeremos de todas las personas involucradas. El que tenga éxito el departamento informática sólo se logra si lleva un fin común con la institución y que se adapte a los posibles cambios. 64 . para que ellas tengan una actitud positiva respecto a sus actividades y evaluar constantemente su trabajo.observaciones. y con la cual puedan tomar grandes decisiones. Por lo regular todos los ejecutivos de alguna empresa consideren al departamento de informática como una inversión importante. claro estos cambios sólo son posibles si los altos ejecutivos y los usuarios toman parte en las decisiones en referencia a la dirección y utilización de los sistemas de información quedando claro que él o los responsables de los sistemas esté consultando y pidiendo asesoría así como cooperación a ejecutivos y usuarios. entrevistas y documentos para tener claros objetivos alcances de este departamento. y con la cual se tienen que cumplir los objetivos del organización. esperan que todo lo invertido en este departamento informática puedan arrojar grandes beneficios. Hoy en día es una herramienta con la cual se pueda administrar y disminuir tiempos de la manera más eficaz y rápida posible. Por lo general los usuarios ven esto como una herramienta para asegurarse un mejor desempeño de su trabajo. dentro de su área que pueden ser estableciendo metas para así de alguna forma incrementar su productividad.

En el nivel del área de informática: Los objetivos a corto y largo plazo. Manual de la organización. Antecedentes de la organización. Procedimientos administrativos de área. Número de personal que labora y sus puestos. Puestos y costos de cada área. Manual de políticas. Manual de la organización así como su organigrama. Las políticas generales. En los recursos materiales y técnicos: 65 .Para poder analizarse y delimitar la estructura a auditar se tienen que solicitar por departamentos la siguiente información: En el nivel de organización: Los objetivos a corto y largo plazo. reglamentos internos y todos los lineamientos generales.

Manual de procedimientos de los sistemas. Manuales de entrada y salir de archivos. Proyectos para instalar nuevos sistemas. Ubicación de los equipos. por instalar y programados). Los sistemas: Descripción general de los sistemas instalados o por instalar y que contengan mucha información. Estudios de viabilidad. Políticas de operación. Manual de formas. Configuración de los equipos y capacidades actuales y máximas. Los contratos vigentes de compra.Solicitar un inventario físico de cada uno de los equipos (instalados. Plan de seguridad y prevención contra contingencias internas y externas. renta y servicios de mantenimiento. Plan de expansión. Contratos de seguros existentes. Fecha de instalación de los equipos. Configuración de los equipos redes internas y externas. 66 . Políticas de uso de los equipos.

esta actualizada. En todo momento de la planeación de la auditoría. rentados y adquiridos. es adecuada y finalmente completa (información perfecta). Recordemos que habrá información disponible y no disponible tendremos que evaluar si la necesitamos o no por eso necesitamos evaluarla. debemos tener en cuenta que se pueden presentar muchas situaciones: Se solicita la información como consecuencia: No se tienen la información y se necesita.Procedimientos y políticas en casos de desastre. Los sistemas propios. Cuando se tienen la información pero: No se usa. si le necesitamos sino la tenemos se tendrá que labora la forma en la cual la podemos ocupar. No se tiene la información y no es necesaria. 67 . Se usa. recordemos que no solamente hay que dar una buena opinión de las cosas malas que se pueden encontrar sino también de las buenas. No es actualizada. Está incompleta.

4. 68 . No siempre confiar en la memoria sino preguntar constantemente para no cometer errores. no precisamente se enfocara al número de personas que podrán participar. ya que esto depende de las organizaciones los sistemas con los que se esté trabajando así como total de equipos. PARTICIPANTE PERSONAL Otra de las partes importantes al realizar una auditoría es el personal que puede participar en ella. Atender las razones. lo cual esta fase se enfoca a las características y conocimientos que el personal necesita tener para realizar una buena auditoría. Criticar de manera objetiva todos los datos recabados de cada uno de los informes.Nos debemos pasar por alto el éxito del producto y analizar también las consideraciones como: Estudiaran y verificar hechos y no opiniones necesariamente. 2. investigar las causas y los efectos.

sus conocimientos y capacitación. Este personal será de gran apoyo para el auditor.Esté personal deberá estar muy capacitado y con las mayores actualizaciones posibles. Con esto se debe de tener en cuenta los conocimientos que ellos tengan. programar reuniones y si es que se necesita entrevistar a más personal el deberá saber quién puede auxiliar en ésta tarea. la facilidad para desarrollar su trabajo. hay que tener en cuenta una buena gratificación por el trabajo que ellos realicen. Durante todo este proceso también se deberá contar con la participación de los usuarios. Claro esta que tendrá asignado personal por parte de la organización del cual conozca muy bien todas las actividades que se realizan y como se realizan ya que a este personal se le podrá solicitar información la que el auditor necesita. ya que los auditores tratarán de optimizar una mayor cantidad de recursos. sobre todo que tenga un gran sentido de moralidad y mucha objetividad por las situaciones que puede encontrar en esta auditoría. por lo tanto la organización tiene que designar a las personas o persona adecuadas para este trabajo y sin ellas no se podrá realizar la auditoría y si se llega a ser puede tardar mucho tiempo o no obtener los resultados deseados. ya que forman parte de esta empresa o compañía a al cual también se le podrá solicitar información para sin comprobar las hipótesis que no sólo es 69 .

Conocimientos comunicaciones. redes. Con experiencia en el área de informática.comparar el punto de vista de la dirección de informática sino que también del usuario que esta más familiarizado con el sistema. finanzas y contaduría. Con conocimientos en psicología industrial aplicada. Conocimientos de los sistemas importantes para empresas. Con experiencia en operación y análisis de sistemas. Para la elaboración de esta auditoría podemos tener un grupo conformado con personal con estas características: Técnicos en informática. Por lo tanto ya que se planeó la auditoría se presentará el convenio de los servicios 70 . tal vez no sean expertos en todas estas características y por eso se hace la aclaración que pueden ser varios participantes. bases de datos. En base a este último punto se pueden tener una o más personas sobre estos conocimientos para facilitar este trabajo. o incluso en ocasiones los usuarios pueden saberse algún tipo de problema que presente y que los mismo empleados desconocen. Personal con conocimientos en administración. de sistemas operativos.

2 para registrar control del avance en la auditoría para asegurarnos se esté llevando a cabo con los recursos y tiempos estimados durante la planeación. En este documento se especificarán los objetivos y alcances de la auditoría. la fase. Un control del avance lo podemos llevar con otro formato como el anexo 2. El convenio es firmemente un compromiso que el auditor entrega al cliente para que éste confirme y acepte lo que en este esté asentado. actividad. se puede utilizar un formato como el que a continuación se detalla en anexo 2. este formato podrá servir de base para llevar un control del desarrollo de este trabajo. número de personal.1. descripción. claro que las correcciones dependerán del auditor y esta podrán aumentar u omitir información según lo considere conveniente. así como las limitaciones que pueda tener la colaboración que necesitan por parte de la empresa o institución las responsabilidades que adquieren así como los informes que deberán entregar en tiempos marcados. fecha. 71 . Ya que se realizó la planeación. un período tanto de inicio como de término. Éste formato contiene el nombre del organismo. número.que se prestarán (recordando cuando es el caso que sean auditores externos) con su correspondiente plan de trabajo previamente elaborado. días y horarios establecidos.

4. el anexo 2. 72 .Se muestra también un ejemplo de auditoría.3. y un ejemplo como contrato de auditoría el anexo 2.

CAPÍTULO III
AUDITORÍA DE LA FUNCIÓN INFORMÁTICA

73

La mayoría de las instituciones maneja información de todo tipo y para este adecuado manejo es muy necesario algunos métodos de recolección de esta, así como también la forma en que la institución opera y toda la clase de recursos con los que cuenta por lo cual se da una explicación de estas etapas.

3.1. RECOPILACIÓN DE LA INFORMACIÓN ORGANIZACIONAL
Teniendo ya elaborada la planeación de la auditoría, la cual sirve de guía y teniendo asentados los tiempos, prioridades, costos y necesidades tendremos que empezar con la recolección de la información por lo cual se necesita una revisión de los elementos siguientes:

1.

Como revisión de la estructura orgánica. La jerarquía existente. Entre las cuales su función, su autoridad y su forma de trabajo. Estructura orgánica. Objetivos y funciones.

2.

La situación actual de los recursos humanos.

74

3.

Entrevistas a personal. Departamentos. Programadores y operadores. Personal para base de datos. Comunicación incluyendo Internet y redes. Usuarios en general. Personal administrativo y mantenimiento. Personal de capacitación.

En algunas empresas el personal tiene a su cargo diferentes actividades de las mencionadas, ya sea por la falta de capacidad del personal o por que no se cuentan con los recursos de personal o financieros, y también por que la empresa o institución no tiene muchos equipos para estos profesionales.

4.

Hay que tener conocimiento de la situación de: Recurso financiero disponible. Recursos materiales como mobiliario y equipos. El presupuesto asignado (si es por año o por mes).

5.

Se realizaran entrevistas al personal humano para conocer su situación de: El numero total de empleado y donde están laborando. Puestos actuales.

75

Salario como se compone y si es que tienen incrementos. Antigüedad así como la experiencia si han desarrollado varios puestos. Organización.Personal de confianza y de base. Expediente dentro de la institución. Procedimientos. Después de recabar esta información estaremos en condiciones de determinar si la organización esta definida adecuadamente para lo que fue creada. Toda institución o empresa deberá documentar sus actividades. el personal que los atiende están de acuerdo con las actividades 76 . Movimientos de puestos. funciones y responsabilidades de acuerdo a cada uno de los puestos. Escolaridad máxima o si están estudiando. Planes de trabajo como programas operativos anuales. Cumplimiento de trámites administrativos. Conocimientos. Normatividad y políticas. 6. Capacitación si esta es continua o se programa de forma anual. Objetivos. normatividades y organización. siguiendo sus objetivos.

para tener los recursos humanos necesarios y capases de desempeñar su labor así como su salario de acuerdo a puesto para poder evaluar los resultados obtenidos siempre y cuando se les den las herramientas necesarias para su actividad. Organización: Dar las herramientas necesarias. 77 . Control: Revisando lo alcanzado contra lo planeado y de ser necesario realizar los ajustes correspondientes. la estructura del personal así como la asignación de actividades grupales o de manera individual. Recursos Humanos: Teniendo el necesario y capacitándolo de acuerdo a su actividad. mas las de otras personas o departamentos. Todas las instituciones o empresas deberán estar capacitando a sus empleados constantemente. Dirección: Coordinando las actividades.que estos realizan ya que pueden estar realizando sus actividades. Una de las formas más seguras con las que se puede evaluar el desempeño es que la gerencia o altos mandos realicen: Planeación: Definir los alcances y metas (realistas y no solo por números). motivando al personal. concertando apoyos en beneficio de su trabajo y actividades con una forma de liderazgo.

Estas son algunas de las preguntas mas frecuentes que se pueden utilizar: “QUE” ¿Qué acciones se realizan? ¿Qué recursos se utilizan de manera específica? ¿Qué consecuencias tiene hacerlo de esa forma? ¿Qué características tiene o se requieren? “QUIEN” ¿Quién tiene la información? ¿Quién interviene? ¿Quién apoya? ¿Quién es el responsable? “CUANDO Y CUANTO” ¿Cuándo se llevan a cabo los procesos? ¿Cuánto tiempo lleva hacerlo? ¿Cuánto tiempo requiere? ¿Cuánto dinero se gasta? “DONDE” ¿Dónde se lleva a cabo el proceso? ¿Dónde se encuentran los recursos? “PORQUE” ¿Por qué se toma esa decisión? ¿Por qué es importante el proceso? ¿Por qué se tienen problemas? “COMO” ¿Cómo se realiza el proceso? ¿Cómo se evalúa? ¿Cómo esta organizado? ¿Cómo se consigue el objetivo? ¿Cómo se obtiene el recurso? 78 .

Hay que obtener información mediante entrevistas al personal de estas áreas de informática para saber su desempeño y comportamiento. Que tengan educación y capacitación constante no importando si son de base o de confianza.2. ¿Se tiene el personal suficiente para las actividades de esa área? ¿No haces todas las actividades por falta de personal? ¿Esta capacitado el personal para hacer sus funciones? Si Si No No 79 . también hay que tener en cuanta que no todas las instituciones o empresas cuentan con el suficiente recurso para la capacitación constante.3. para que el personal tenga la confianza y moral elevadas para poder ser capases de alcanzar sus metas y objetivos. la forma en que lo organizan. el desarrollo que tienen y la motivación para saber de que forma se pueden estar capacitando por que esto es un punto fundamental. que tendrá que ser constante ya que día a día surgen cambios significativos que pueden repercutir en el trabajo a realizar. Como pueden ser las siguientes preguntas: DESEMPEÑO EFICIENTE. sus condiciones de trabajo. En el área de informática es muy importante tener una adecuada capacitación. EVALUACIÓN HUMANOS DE LOS RECURSOS El desarrollo del personal implica que este tenga las mismas oportunidades de crecimiento y apoyo de jefes inmediatos.

Explica como se supervisa al personal de cada área. _ _ _ _ _ _ 80 . ¿por que? ¿Se repiten las actividades? ¿El manejo de la información es de manera discreta? ¿Se apegan a la normatividad y políticas creadas? ¿El personal respeta a la autoridad inmediata? ¿El personal coopera para realizar las actividades encomendadas? No. ¿por que? _ _ Si No _ Si Si Si Si Si Si No No No No No No ¿Se aportan sugerencias para realizar actividades de la mejor manera posible? Si ¿Se toman en cuentas las sugerencias no importando quien las realice? Si No No SUPERVISIÓN.No. ¿por que? ¿Es buena la calidad de tu trabajo? No.

Si no se realiza esta actividad. explique por que. _ _ _ ¿Por qué considera que se evalúa al personal? _ _ _ 81 . ¿por que no se hace? _ _ _ ¿De que forma se da un seguimiento a los retardos he inasistencias del personal? _ _ _ Sino se lleva un seguimiento.

Esta capacitación incluye al personal de: Departamentos. Comunicación incluyendo Internet y redes. Otro (especifique) ¿Se han podido identificar necesidades sobre capacitación para el personal de las diferentes áreas? No. Este es uno de los puntos importantes dentro de toda estructura por que se tienen cambios constantes.CAPACITACIÓN. al no tener esta capacitación se puede poner en peligro por el atraso en tecnologías de más reciente creación como es el caso de los virus informáticos que surgen o se instalan de formas muy constantes y cada día tienen nuevas formas de atacar sin ser detectados rápidamente. Personal administrativo y mantenimiento. ¿Por qué? Si No ¿Se efectúan capacitaciones para el personal de esta área? Si No 82 . Usuarios en general. Programadores y operadores. Personal para base de datos.

(Esta sugerencia puede ayudar a replantear las actividades que no se han realizado). LIMITANTES.No. ¿Por qué? ¿Ayudan los jefes inmediatos a efectuar las capacitaciones? Si No ¿En realidad se evalúan las capacitaciones para saber el aprovechamiento de las capacitaciones? Si No ¿Los jefes están capacitados o entran a las capacitaciones o solo las toma el personal? _ _ _ Nota: revisar si efectivamente se realizan las capacitaciones como se planearon. de manera interna? _ _ 83 . ¿Cuáles considera que son los factores que limiten el desarrollo del personal.

¿Cuáles considera que son los factores que limiten el desarrollo del personal. Programadores y operadores. Usuarios en general. Personal para base de datos. Personal administrativo y mantenimiento. de manera externa? _ _ _ Departamentos. Otro (especifique) ¿De manera general el personal se adapta a los cambios de forma administrativa? Si No ¿El personal suele comportarse de forma irrespetuosa o prepotente? ¿Existen normas para corregir la indisciplina del personal? ¿Tienen efecto esas normas? ¿Existen otras personas que se quejan de estas áreas por su desempeño? Si No Si No Si No 84 . Comunicación incluyendo Internet y redes.

Si No ¿De que forma se puede otorgar un asenso de puestos o de salario? _ _ ¿Cuál es la principal causa de inasistencia laboral? _ _ CONDICIONES DE TRABAJO. las condiciones y resultados serán los mejores ya que la autoestima de los empleados resultara mejor. Se ha comprobado que mientras se tenga un área digna para trabajar. ¿El personal conoce las reglas internas? Si No ¿Se apoyan de las reglas o contratos para dar solución a cualquier conflicto laboral que pueda surgir? No ¿Por qué? _ _ Si No _ 85 . para cualquier situación de trabajo.

¿Cómo son las relaciones entre el personal del área y el sindicato? Si No ¿Hay problemas frecuentemente? Si. Por mucho tiempo y encuestas realizadas se ha demostrado que las personas están no muy conformes con las remuneraciones que se les asignan. ¿como es que esto impacta? _ 86 . en ocasiones desconocen la forma en que se les evalúa para poderles otorgar su remuneración. ¿Su personal esta satisfecho con su remuneración respecto a su: Trabajo que realiza? Los diferentes puestos que se tienen? Los puestos semejantes a otras empresas? El trato que reciben actualmente? Si Si Si Si No No No No Si. ¿Por qué? _ Si No ¿Cuales son las medidas para que se resuelvan los problemas mas frecuentes? _ _ REMUNERACIONES.

No. ¿El personal realmente trabaja como un grupo de trabajo? No. El ambiente es un factor muy importante en esta área de informática. ¿Cuál es la razón? _ _ ¿Hasta que punto el personal convive adecuadamente? _ _ Si No _ _ _ 87 . ¿Cómo es que esto impacta? _ Se siguiere poder conseguir el sueldo que se tienen en otras empresas o instituciones. más menos con las mismas características y funciones que realicen los empleados para poder realizar un comparativo y de este modo tratar de hacer ajustes si es que se pueden realizar de acuerdo al presupuesto que se tenga. para poder lograr un eficiente desarrollo. EL AMBIENTE DE TRABAJO.

¿Cómo aprovecha el jefe inmediato esto para mejorar el ambiente laboral? _ _ _ _ ¿Son adecuadas las condiciones de trabajo referente a: ¿El espacio de trabajo? ¿Equipo de oficina y mobiliario? ¿Clima? ¿Ventilación? ¿Ruido? ¿Limpieza de oficinas? ¿Sanitarios limpios y suficientes? ¿Instalación para comunicación de personal? Si Si Si Si Si Si Si Si No No No No No No No No De esta forma podremos conocer algunas de las necesidades que se deberán de corregir para un mejor aprovechamiento de las instalaciones. y poder obtener un mejor desempeño. 88 .

¿Por qué? _ ¿Quiénes realizan la contratación? _ ¿Por consecuencia estas actividades qué acarrean? _ Si No ¿Se sabe de las necesidades de personal. las cuáles se pueden contratar? ¿De calidad? ¿En cantidad? No. ¿El jefe participa en la selección del personal? No. ¿Por qué? Si el jefe inmediato conoce las necesidades del personal y el no puede realizar las contrataciones tendrá que poner de conocimiento estas para que cuando se contrate personal sepan realmente las necesidades de la empresas.ORGANIZACIÓN DE TRABAJO. ya que en muchas ocasiones sabemos que se contrata por las ya conocidas palancas o recomendaciones. Si Si No No 89 .

Cumplimiento de procedimientos y políticas. también se les solicita que las opiniones que tengan estén totalmente fundamentadas ya sea por escritas o con pruebas de dichos acontecimientos. esta puede ser eligiendo a un grupo de personas. Acuerdos y desacuerdos. Sugerencias generales. 1. La capacitación. claro que también pueden participar los que deseen y se siguiere que puede algún lugar y hora que ellos elijan. Puesto que desempeña. Hay quienes incluso solicitan que las reuniones sean fuera de las instalaciones ya que esto les dará un clima de mayor confianza. A continuación se presenta una forma de guía sobre una entrevista: ENTREVISTA. 2. Nombre del jefe inmediato y puesto. si se esta realizando o no.3. ENTREVISTAS CON EL PERSONAL DE INFORMÁTICA Se podrá entrevistar al personal de las áreas de informática.3. 90 . Estas entrevistas nos servirán para determinar: Hasta que punto la estructura organizacional esta cumpliendo con sus objetivos.

7. 12. 14. ¿con qué frecuencia se realizan? ¿Sobre que tema le gustaría que se le capacitara? ¿Sobre que fue la capacitación mas reciente en el último año? ¿Cree que el ambiente laboral es del todo satisfactorio para el desempeño de sus funciones? 16. ¿Qué actividades periódicas realiza? ¿Recibió capacitación antes de desempeñar sus actividades? ¿Cuenta con manuales para el desempeño de sus actividades? Señale los defectos que usted encuentra en la organización. 9. 13. de este modo se podrá saber las necesidades y cuales son los defectos que se tienen.3. 4. Si menciona cargas de trabajo tendrá que anotarlas. 6. 11. 10. 8. Nota: cuando se realizan entrevista por que el personal lo solicita se podrán omitir algunos punto que identifiquen a este personal. 91 . Observaciones generales. ¿Quiénes reportan al entrevistado? Descripción de las actividades diarias. 15. 5. ¿Cómo es que las controla? ¿Cómo se deciden las políticas implantadas? Si recibe capacitación. recordando que si se tienen denuncias estas se tendrán que realizar de manera fundamentada para así actuar. incluyendo el nombre del solicitante.

4. ¿Se tiene un inventario de control de gastos? 3.1 Presupuestos PRESUPUESTAL Y Se solicitará la información presupuestal. Esta información nos servirá para tener una idea del poder adquisitivo de la empresa y se sugieren algunas preguntas: 1. ¿Al realizar el control de gastos se sabe cuanto se gasta del presupuesto asignado? Si No 92 . características de cada uno de los equipos así como el número total y contratos. ¿Cuál es el gasto del área de informática (con gastos de mantenimiento y actualización actual)? _ 2.3. SITUACIÓN FINANCIERA 3. también el número de equipos y las características que integran cada uno par poder realizar un análisis de la situación para saber el costo económico. ¿Los usuarios conocen el costo de sus equipos y el mantenimiento que representan? Si No 4.4. costo de cada departamento. Dentro de esto se encontrará. el presupuesto desglosado por áreas.

disco. Se renta. cintas. ( ) ( ) ( ) ( ) ( ) 7. Es de renta con opción a compra. etc. Software. El equipo lo adquirió la empresa. Material de limpieza de los equipos (espumas. toner. franelas.5. Mantenimiento y actualizaciones. ¿Cuál es la situación jurídica del Software? Se realizan programas internos de acuerdo a las necesidades. El equipo fue donado. líquidos. 6. ( Se compra a proveedores.) Mobiliario y equipos. cartuchos). Anote los principales insumos que necesita así como el mantenimiento que requiere para que este departamento funcione correctamente: Papelería (hojas. ¿Qué situación jurídica tiene cada equipo? El equipo se renta. El equipo es propio. ) ( ) ( ) 93 .

pero que también se pueden realizar propuestas de acuerdo a las experiencias laborales que se tengan. ( ) Se deberá tener claro la situación de los equipos ya que estos pueden tener un numero de inventario y pueden ser federales o estatales o simplemente de la empresa y por lo tanto se tendrá que llevar un inventario de cada equipo. y que en ocasiones este ya se encuentra establecido por jefes inmediatos o áreas respectivas. Recursos materiales financieros y Recordemos que el recurso financiero esta sujeto a la asignación.2.Pertenece a la institución y son instalados desde su inicio y solo requieren de actualizaciones. 3. El recurso material esta muy ligado al financiero y también es indispensable para el cumplimiento de las metas y objetivos de la empresa y como principales puntos podemos encontrar: 94 .4. este recurso pude ser o no suficiente para las actividades que se realizan y que también están sujetas a los objetivos y metas que se pretenden alcanzar. en cuanto al software se deberá tener cuidado ya que se deben de tener licencias para el uso de los programas y no incurrir en delitos de autor.

La programación. Equipos y mobiliario. hay que tener en cuanta que se pueden dejar de realizar actividades por falta de mobiliario y equipo. seleccionar quiénes pueden participar en este proyecto. El mobiliario tendrá que ser el suficiente y el adecuado. tendrá que estar distribuido adecuadamente en las instalaciones o lugares donde se requiera. si esto fueran la causa se tendrá que informar al jefe 95 . Dentro de la programación se tendrá que establecer un programa operativo para la utilización de los recursos. El recurso material y financiero tendrá que ser suficiente para las actividades recordando que tiene que estar en tiempo y forma pues aunque se tenga en cantidad si no se tiene en tiempo esto origina atrasos en las actividades para poder obtener los resultados deseados. Los servicios y mantenimiento tendrán que realizarse de forma periódica para no tener contratiempos en las actividades ya que se puede estar realizando en tiempo y forma y de repente tener que parar por que no se hicieron los ajustes necesarios. Servicios o mantenimientos. Adecuaciones durante las actividades.

Recordar que se tiene que dar mantenimiento de acuerdo a lo programado. teniendo en cuenta las medida de seguridad para evitar errores.inmediato para que se tomen las medidas necesarias. 96 . cuando un equipo quede obsoleto de su uso se tendrá que reportar para tener actualizado el inventario y saber con que se cuenta para poder ser renovado y para esta actividad deberá de existir un responsable de este control de inventario.

CAPÍTULO IV EVALUACIÓN DE LA SEGURIDAD 97 .

. La ventilación y de tener ductos de aire deberán de tener aseo. etc. 98 . 4. desde la forma de procesarla hasta la forma utilizarla. personal. software. mediante seguridad de sistemas. por eso se tendrán que tener en cuenta todas las medidas de seguridad posibles.1. Los dispositivos con que cuentan en el centro de cómputo y así como los archivos de respaldo pueden estar en riesgo si se tienen accesos no autorizados. física.Siempre tendremos que evaluar todos nuestros datos para de esta forma darles la mejor protección posible. La limpieza del área. G ENERALIDADES DE LA SEGURIDAD DEL ÁREA FÍSICA Las áreas de informática deberán de estar en total orden y con reglas definidas para el cuidado de estas. hasta llegar a los ya conocidos crímenes informáticos que por desgracia son cada días mas frecuente y que para muchas instituciones y empresas se transforman en perdidas do todo tipo. Estas pueden ser algunas de las indicaciones mas frecuentes. datos. los dispositivos pueden sufrir pérdidas irreparables que como consecuencia se transforman en trabajos extras para la reconstrucción de archivos que pueden ya no ser útiles.

información debido a contingencias como incendio. 99 . Prohibir la entrada de alimentos. sabotaje. Su objetivo es establecer políticas. y continuar en medio de la emergencia hasta que sea restaurado el servicio completo. procedimientos y prácticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos.Limpieza de pisos falsos. Anuncios relacionados con salidas de emergencia. No fumar en estas áreas. El aislamiento del ruido. En caso de incendios extintores señalizados. No existir humedad en los cuartos o lugares donde se almacenen los respaldos y donde se tengan la papelería a utilizar. Ocultar correctamente las líneas de red. etc. inundaciones. disturbios. Planes de contingencia en casos de desastres. huelgas. La iluminación del área. terremotos. El aislamiento de la energía eléctrica y su señalización.

hasta mayor seguridad. pero hay que tener en cuenta que cuanta mayor seguridad tengamos también 100 . También se encarga de proteger el software en desarrollo o aplicación. etc. Por lo cual podemos intuir que puede tener repercusiones para la empresa el mal uso de la información he inclusive poder ser usada en su contra.2. y el uso de las redes o terminales. Códigos ocultos. por personal no autorizado. La seguridad empieza desde una clave de acceso básica. Unas de las más frecuentes infracciones que surgen en la falta de seguridad lógica son: Copias de información o programas no autorizadas. SEGURIDAD CONFID ENCIAL LÓGICA Y La seguridad lógica se encargara de tener la mayor seguridad posible para que la información de cada computadora se encuentre lo más segura y no se realice un mal uso. Entrada de virus que en la actualidad son de las más frecuentes. restringir accesos a programas o archivos a los cuales deben tener contacto. Modificaciones a los datos en la entrada o actualización. el crimen organizado.4. poder identificar a los usuarios y las actividades que estos realizan en los equipos.

no con esto queremos decir que todos los programadores realizan delitos sino que también hay muchos programadores honestos. Para poder proteger nuestros sistemas de computación podemos iniciar con accesos con claves para cada usuario y personal que maneje un equipo.subirán los costos. Desgraciadamente en la actualidad hay personas (delincuentes) muy avanzados en conocimientos sobre computación y pueden con facilidad elegir las claves y entrar a los sistemas y se sugiere que se tengan más medidas de seguridad como pueden ser acompañadas de: 101 . Se han detectado mas delitos en el momento de la programación donde alguien puede crear archivos para realizar modificaciones a los sistemas o borrados de información total. todos los programas tendrán que ser debidamente documentados para que no solo en unas cuantas manos este el funcionamiento de una empresa. ya que por lo regular solo son unas cuantas personas que realizan esta actividad. y mas cuando no se tienen los programas fuente para poder detectar las modificaciones. Para ello se tendrá que tener una proporcionada relación de seguridad/costo. Tendremos que tener en cuenta que un porcentaje de filtración de información la realizan las personas que capturan o por las que pasan estos datos dentro de todo este proceso. estos métodos se han estado utilizando ya desde hace varios años.

Mejores elementos administrativos. por o mismo se pueden definir varios tipos de usuarios como son: Propietario. Bitácoras de acceso a la información. Solo personal autorizado.Definir mejores políticas de seguridad. la información puede estar en un archivo. borrar. corregir y permitir accesos a otros usuarios hasta donde el lo permita. División de responsabilidades. Dentro de esta seguridad dependerá del alto grado con que un usuario pueda actuar o moverse dentro del sistema o las restricciones que este tenga. base de datos o bien manejada por medio de una red local o externa. SEGURIDAD LÓGICA. el realiza cualquier función como consultar. Este es el dueño del control total de la información y será el mayor responsable de esta. 102 .

Puede utilizar la información y rastrearla para realizar la auditoría con fines específicos. se responsabiliza de la seguridad lógica y de los datos. Usuario principal. La confidencialidad. Usuario para auditoría. Solo revisará pero no puede realizar cambios de ningún tipo. Será responsabilidad de las personas autorizadas para consultar. El sólo actualiza o modifica el software mediante la autorización del Propietario. pero el no dará autorización a otros usuarios para entrar a ciertas áreas. pero se recomienda que solo exista un propietario o administrador que en muchos casos así se le nombra para tener mayor seguridad de los datos de forma física designados bajo la consulta de los jefes inmediatos de ser necesario. (cuando estas se realicen). si puede realizar reportes o consultas para estadísticas para la elaboración de reportes. En toda empresa o institución pueden existir muchos usuarios. cambios o utilizar datos. A éste le asigna actividades el Propietario. La integridad. La información se debe proteger bajo las siguientes características. tales como hacer modificaciones. Usuario de consulta. La información no la puede modificar.Administrador. Será responsabilidad de cada individuo autorizado para la modificación de datos y programas y de los usuarios a los que se les 103 .

Claves por usuarios. Rutas de acceso.permita los accesos y que puedan ser fuera de las responsabilidades de trabajo. Para minimizar los riesgos podemos considerar los siguientes factores: El valor de los datos. Software de control. Encriptameinto. El riesgo que se producirá con la información que pueda ser mal utilizada. La disponibilidad. La probabilidad de que se puedan realizar accesos no autorizados. Es responsabilidad de individuos autorizados para alterar parámetros de control de acceso a los sistemas operativos. a los manejadores de bases de datos. software y los medios de comunicación como las redes. 104 . Las consecuencias que puedan tener si hay accesos no autorizados.

El dispositivo por el cual entro. 105 . El tipo de usuario. para que se puedan determinar las causas probables de las desviaciones y un correcto seguimiento. cambios o copiar archivos.Rutas de acceso. El principal objetivo de la seguridad de un sistema de información es que se puedan controlar las operaciones y el ambiente para el monitoreo de accesos a la información y a los programas. Por lo cual es necesario poder utilizar un software en los sistemas y contar con rutas de acceso. Lectura y consulta. bajas. Para solo lectura. Con esto se puede identificar: Identificar al usuario. Se ha señalado o que debe de ser necesario que los usuarios pasen por distintos tipos de seguridad antes de llegar a lo que ellos necesitan como acceso a programas y datos dentro de los tipos de restricciones son: Para solo consulta. Actualización de datos altas.

Entre algunas características pueden tener: Que el usuario este registrado. CLAVES DE ACCESO. Los recursos a los cuales accedió. etc. El auditor deberá de conocer los puntos de acceso para la evaluación de los puntos de control para poder proteger los datos de la mejor manera posible y sin limitaciones. características de usuarios. las funciones permitidas. un código de barras. credencial con banda magnética. 106 .El software usado. La longitud de que los caracteres correspondan. Este es un punto importante de la seguridad lógica. El password también conocido como clave de acceso serán usadas para controlar el nivel al que pueden o no acceder controlar la entrada a una computadora. etc. y por los cuales existen diferentes tipos de maneras de identificar a un usuario como puede ser un password. este es un proceso para saber de que usuario se trata ya que se identificará por entrada única reconocida por el sistema. que información pueden o no ver.

En la actualidad son de los métodos más sofisticados y seguros. en la actualidad en ves de bandas magnéticas se colocan código de barras. Credencial por banda magnética.).No se debe visualizar la clave al ser tecleada (como por ejemplo: #####). Como toda credencial se recomienda que tenga nombre y firma como las utilizadas en los bancos. para poder acceder a los sistemas. son de tecnología biométrica y que pueden basarse en el reconocimiento de: La voz. La firma. Deberán ser encriptadas para mayor seguridad. apellidos. por tal motivo es la foto y la firma. La retina. Características de usuarios. Huella completa de la mano. 107 . también se tendrá que tener confianza en los usuarios que no la traspasen o presten a personal ajeno. Huella dactilar (de solo un dedo). pero sin dejar de lado que son muy costosos. y al realizarlas poner medidas de protección que sean infalsificables. Se recomienda sean caracteres numéricos y alfanuméricos (no es recomendable familiarizarlas con su nombre. fechas de nacimiento etc.

Comunicación. Controla los accesos a toda la información llevando un registro de cada usuario entre las cuales se encuentran las siguientes funciones: Registro de funciones del usuario cuando acceso al sistema. esto se guardara en archivos los cuales se encriptarán para mayor seguridad. Este software protegerá los recursos mediante la identificación de usuarios por sus llaves de acceso. Define cada usuario. Utilerías. Archivos. Diccionario de datos. Este software es diseñado par permitir el manejo y control de acceso a los recursos: Archivos de datos.SOFTWARE DE CONTROL DE ACCESOS. Programas de aplicación. como se ha dicho todos los usuario tendrán un grado de 108 . Programas.

Manejan los controladores para la ejecución de 109 . Registros para la auditoría. la hora.accesibilidad para poder controlar la información. archivos. Cuando se obligan a las terminales para que se apaguen. así como las no exitosas que llevan en el día. Otra de sus cualidades es que estos paquetes pueden detectar violaciones. cuando se toma en cuenta las siguientes medidas: Terminaciones de procesos. etc. También se sugiere que se pueda realizar una bitácora donde se registrarán los accesos exitosos por parte de personas no autorizadas y que actividades realizaron. por donde entraron. la clave con la que entraron. El software que se manejan en la actualidad son: Sistemas Operativos. Desplegar los mensajes de error. o el uso de alguna información. Unos pueden restringir el acceso a datos. librerías mientras otros podrán restringir el uso de una terminal. Es un programa o conjunto de programas de computadora destinados a permitir una gestión eficaz de los recursos entre el software y el hardware.

organizar y manipular los datos.programas y prevén servicios que el usuario necesita. Cuando se instala este software se definen las librerías y los respectivos niveles de protección. manejador de equipos periféricos. Software de consolas o terminales maestras. Los programas de aplicación más conocidos como librerías se pueden guardar en archivos del sistema y su acceso se puede controlar por programas de software. Tienen sistemas de control en la salida para tener accesos importantes del sistema. manipula la integridad de los datos entre operaciones. Software de librerías. 110 . algunos restringen las fallas cuando se pretende entrar con claves erróneas. Software manejador de bases de datos. funciones y tareas de la organización. Está formado por datos y programas para ejecutar una función especifica en la organización. incluye funciones de seguridad para restringir el acceso a los datos por programas de aplicación gran parte de estas consolas llevan un registro de las llaves de acceso válidas y no válidas. Su finalidad es la de controlar. un contador de trabajo. Se define como varios programas del sistema operativo para proveer soporte y servicio para que las terminales puedan acceder a programas. cada servicio necesita un calendario de trabajo. Usan claves de acceso. compilador de programas y pruebas.

4. 2.3. el segundo para asistir en manejo de operaciones de una computadora como ejemplo de manejadores de disco. 4. Utilerías de monitores. uno usado en sistemas de desarrollo que provee productividad. Software de telecomunicaciones. estén integrados. Sistemas de virus. PERSONAL SEGURIDAD Para que un buen centro de computo funcione es necesario de que el personal este comprometido.Software de utilerías. Algunos ejemplos de utilerías de este software están: 1. 3. Las personas de informática tendrán un alto sentido ético y de 111 . para lo cual cuando se integren a estos lugares de trabajo se examinen sus antecedentes de trabajo. Por ejemplo para el desarrollo de programas y editores en línea. Es importante considerar sus valores morales ya que estas personas trabajan por lo regular bajo presión por lo que es importante su actitud de servicio y de dar lo mejor de si mismos. Manejador de discos. sean estables y sean leales. Editores en línea. En la actualidad encontramos dos tipos. 5.

y un empleado motivado dará lo mejor de si mismo y es mucho mas 112 . debido a la dependencia de estas personas que ocupan los puestos. por lo que es conveniente trabajen y descansen lo mejor posible. en caso de renuncia tendrá que existir otra persona que se quede a cargo sin que esto ponga en riesgo a la empresa.lealtad claro que no todas las personas cuentan con estas características. Por lo regular en estos puestos se trabaja demasiado y con gran presión. Se sugiere la rotación del personal principalmente en los altos mandos para poder evitar toda clase de fraudes que puedan estar realizando. y muchos de estos no se toman sus vacaciones como debe de ser. por lo cual el auditor tendrá que ser muy cuidadoso y examinar no solo el trabajo del personal de informática sino también la veracidad y confiabilidad de los programas. claro que esta rotación puede implicar costos para la organización pero se pueden evitar perdidas que podrían tener mayor costo tanto financiero como de reputación ante la sociedad. también se identifica que empleados funcionan y quienes no para de este modo poder prescindir de sus servicios. ya que en la rotación por mes se puede observar si están realizando algún tipo de fraude o desvió de información se pueden detectar por las personas que llegan a esos puestos. así como la capacitación y actualización. algunos de estos llegan a considerarse que son “indispensables” en su totalidad. Una forma de motivar al personal es la rotación.

por tal motivo se debe de motivar al personal. Controles de Organización y Planificación.4. de la motivación y capacitación dependerá que se disminuya en gran porcentaje todo tipo de delito. Controles de Procesamiento. Controles de Sistemas en Desarrollo y Producción. CLASIFICACIÓN DE LOS CONTR OLES D E SEGUR IDAD Tipos de Controles. Controles de uso de Microcomputadores.leal de esta forma y se logran disminuir los ataques que se pudieran programar e incluso proponiendo incentivos justos. así como teniendo los controles de seguridad adecuados los cuales serán observados principalmente por el área de informática. 113 . El empresario así como los auditor debe saber que mucho de los fraudes y fugas de información surgen del mismo personal a cargo de estos departamentos. Controles de Operación. Controles de Preinstalación. 4.

Garantizar una selección adecuada de equipos y sistemas de computación. Controles de Organización y Planificación. 114 . Objetivos Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa. Acciones a seguir Las funciones de operación. Se refiere a la definición clara de funciones. programación y diseño de sistemas deben estar claramente delimitadas. Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de cómputo y obviamente a la automatización de los sistemas existentes. Asegurar la elaboración de un plan de actividades previo a la instalación.Controles de Preinstalación. línea de autoridad y responsabilidad de las diferentes unidades del área.

bajo una relación costo-beneficio que proporcionen oportuna y efectiva información. Las actividades deben obedecer a planificaciones a corto. 115 . mediano y largo plazo sujetos a evaluación. Se debe justificar que los sistemas han sido la mejor opción para la empresa. Debe existir un control de calidad. que los sistemas se han desarrollado bajo un proceso planificado y se encuentren debidamente documentados. tanto de datos de entrada como de los resultados del proceso. El manejo y custodia de dispositivos y archivos magnéticos deben estar expresamente definidos por escrito. Controles de Sistema en Desarrollo y Producción. Los usuarios deben participar en el diseño e implantación de los sistemas pues aportan conocimiento y experiencia de su área y esta actividad facilite el proceso de cambio.Evitar interferir en las funciones.

El desarrollo. formatos de los sistemas en desarrollo. Formatos de salida. procedimientos y en general a normatividad escrita y aprobada. Todos los sistemas deben estar debidamente documentados y actualizados. diseño y mantenimiento de sistemas obedece a planes específicos. El personal de auditoría interna/control debe formar parte del grupo de diseño para sugerir y solicitar la implantación de rutinas de control. Los programas antes de pasar a Producción deben ser probados con datos que agoten todas las excepciones posibles. metodologías estándares. aprobación y ejecución de cambios a programas. La documentación deberá contener: Informe de factibilidad Diagrama de bloque Diagrama de lógica del programa Objetivos del programa Listado original del programa y versiones que incluyan los cambios efectuados con antecedentes de pedido y aprobación de modificaciones. 116 .Acciones a seguir. Implantar procedimientos de solicitud. Resultados de pruebas realizadas. Cada fase concluida debe ser aprobada documentadamente por los usuarios mediante actas u otros mecanismos a fin de evitar reclamos posteriores.

Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones.El sistema concluido será entregado al usuario previo entrenamiento y elaboración de los manuales respectivos. Controles de Operación. Controles de Procesamiento. la administración de discoteca y 117 . Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría. Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información. Garantizar la exactitud de los datos procesados. lo que conlleva al establecimiento de una serie de pasos para: Asegurar que todos los datos sean procesados. Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento.

la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas on line. Controles en el uso del Microcomputador. de fácil acceso. 118 . Acciones a seguir. de fácil explotación pero los controles que se implanten ayudaran a garantizar la integridad y confidencialidad de la información. Garantizar la integridad de los recursos informáticos. Es la tarea más difícil pues son equipos mas vulnerables. Asegurar la utilización adecuada de equipos acorde a planes y objetivos. Los controles tienen como fin: Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso.cintoteca. Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios.

Mantener programas y procedimientos de detección e inmunización de virus en copias no autorizadas o datos procesados en otros equipos. Revisión periódica y sorpresiva del contenido del disco para verificar la instalación de aplicaciones no relacionadas a la gestión de la empresa. software utilizado como procesadores de palabras. manejadores de base de datos y mantener actualizadas las versiones y la capacitación sobre modificaciones incluidas. reguladores de voltaje y de ser posible UPS (Uninterruptible Power Supply o Sistema de Alimentación Ininterrumpida) previo a la adquisición del equipo. Establecer procedimientos para obtención de backups de paquetes y de archivos de datos. Vencida la garantía de mantenimiento del proveedor se debe contratar mantenimiento preventivo y correctivo. 119 .Adquisición de equipos de protección como supresores de pico. hojas electrónicas. Estandarización del Sistema Operativo.

datos personales. Se dice que la información esta entre los activos mas importantes de la empresa. datos de producción de la organización. La aplicación de la seguridad de la información nos exige una previa clasificación de ésta. software. (Por ejemplo. Los responsables de cada área deben ser los quienes manejen información y serán clasificación por niveles. SEGURIDAD EN LOS DATOS Y SOFTWARE D E APLICACIÓN Objetivo. etc. Se centra principalmente en proteger el elemento principal que es la información que se compone tanto de las aplicaciones informáticas como del contenido de las bases de datos y de los archivos. Restringidos: Son datos de difusión no autorizada.5. datos de inventarios. Su mal uso puede ocasionar un importante daño a la organización.) 120 .4. programas o utilidades. debido a que no siempre tiene el mismo valor. La mala utilización iría contra los intereses de la organización y/o sus clientes. hablando en términos contables. Confidenciales: Son datos de difusión no autorizada.

No repudio: Tanto en origen como en destino. 121 . listín telefónico interno. Control de accesos: Solo personal autorizado puede acceder a los recursos. etc. Disponibilidad: intenta que la información se pueda utilizar cuando y cómo lo requieran los usuarios autorizados. previniendo que ni el remitente ni el destinatario puedan alegar que no han enviado o recibido algunos datos y poder ser comprobables para aclaraciones. Integridad: Intenta que la información sea creada.) Características de la Seguridad. Confidencialidad: Intenta que la información sea conocida exclusivamente por los usuarios autorizados en tiempo y forma determinados.Uso interno y No clasificado: No tienen la necesidad de algún grado de protección para poder circular dentro de la organización. modificada o borrada sólo por los usuarios autorizados. política y estándares. Autenticación: Acreditando que el remitente del mensaje es quién dice ser y no otra persona para evitar sea interceptada. (Organigramas.

Proceso de los datos: Controles de validación. etc. Salida de resultados: Controles en transmisiones. por empleados de forma automática. etc. almacenamiento. revisión de cómo se verifican los errores todo esto como consecuencia de tener un mayor control del sistema. Se tendrá que mantener la integridad de los datos mediante mecanismos de control que se evalúen constantemente la calidad 122 .6. CONTR OLES PARA EVALUAR SOFTWARE DE APLICACIÓN Estos tienen como principal objetivo que se verifique que existe un sistema de control interno que protege los activos materiales e inmateriales de la instalación informática de cualquier posible amenaza o riesgo que se le conoce como la protección de Activos y Recursos. 4. destrucción. incorporación al sistema por el cliente. en impresión. Para así obtener retención de la información y protección en función de su clasificación. etc. de integridad. Tiene como resultado el comprobar el origen de los datos. autorización.Confiabilidad e Integridad. en distribución.

que se encuentren en operación. Se deberá solicitar el estudio de factibilidad de los diferentes sistemas. Las necesidades de los usuarios y el uso que le den. Los sistemas operativos y lenguajes disponibles. Congruencia de los diferentes sistemas. circulando por los canales ya asignados. Un estudio de factibilidad para saber si el sistema es: Adecuado a realizarse. los que estén en fase de análisis para verificar que: Se considere la disponibilidad y características del equipo. Las formas de utilización de los sistemas.de los datos. recordemos que todo sistema tiene que tener efectividad para alcanzar los objetivos del sistema dependiendo de sus características y necesidades. Los sistemas se pueden evaluar mediante. Tendremos que tener en cuenta que en todo sistema existen problemas. Su relación costo/benefició. hay que tener en cuenta que un sistema eficiente es aquel que con el mínimo de recursos para dar el mejor resultado. 123 .

ya que llevan una conexión entre la vida social o cotidiana con la vida jurídica de cada pueblo a lo largo de muchos años. un crimen es antisocial y lesiona. CONTR OLES PARA PR EVENIR CRÍMENES Y FRAUDES INFORMÁTICOS En la actualidad se define como fraude a toda acción que se define como engaño o contraria a la verdad y rectitud. SEGUR OS.4. por lo cual pone en peligro a un interés jurídicamente protegido. bien sabemos que no estamos exentos de que surjan desastres que puedan dañar nuestros sistemas o instalaciones por lo cual siempre es importante que podamos prever tales 124 . DE RECUPER ACIÓN DE Los ataques principalmente que sufren las instalaciones pueden ser por personas que laboran dentro de la misma empresa. en algunos casos por manejos inadecuados de la información. ladrones informáticos. Y ante la ley es un acto o acción que se hará merecedor a un castigo. defraudadores.7. muchos estudiosos en cuanto a derecho tratan de formular una opinión para este mal.8. Un crimen es un acto humano o acción. No solo perjudica lo físico sino también la funcionalidad así como seguridad. PLAN DE PROCEDIMIENTOS DESASTRES CONTINGENCIA. 4.

forma de trabajo. el cual debe estar previamente aprobado para tales emergencias y deberá contener de manera básica los siguientes puntos: Procedimientos básicos.acontecimientos tomando algunas medidas de seguridad. por muy básicas que sea es necesario contar con un plan de contingencia el cual nos ayudará a identificar y actuar ante un acontecimiento crítico asegurando con ello la estabilidad del personal del área de cómputo así como la información y mobiliario que se encuentren ahí. por consiguiente toda oficina de informática tendrá que contar con un plan de contingencia. recordando que se tratara de hacer en el menor tiempo posible y en el menor costo. etc. Algunas compañías piensan que a ellos nunca les sucederá ningún desastre pero sin embargo se tiene que realizar y cada plan de contingencia será especialmente elaborado para cada compañía o institución.. Información necesaria. por las características de sus equipos instalaciones. Para que en la medida de nuestras posibilidades se efectuara una restauración en el menor tiempo posible. tratando de afectar lo menos posible a la compañía o institución. 125 . Con estos puntos se podrá reanudar el sistema o centro de cómputo. ya que no se pueden utilizar para todos en general.

los discos.. etc. Saber de forma rápida cual es la información confidencial. Por lo tanto cuando se pone a prueba el plan de contingencia se debe siempre tener en mente que las 126 . del equipo de cómputo con que se estará trabajando en caso de presentarse algún desastre ya que estos aspectos en una emergencia pueden obstaculizar el proceso de respaldo de la información interfiriendo con ello el éxito de la aplicación del plan de contingencia. Asegurar la capacitación del personal sobre el plan para sobrevivir a accidentes. Varias compañías que se dedican a la auditoría sugieren algunos puntos a considerar en la elaboración y aplicación de un plan de contingencia: Garantizar la integridad de los datos. tendrán que ponerse a prueba dentro de condiciones normales. para que de este modo se pueda comprobar su efectividad y de no ser así se puedan realizar las adecuaciones para tratar de que el plan sea lo mejor posible. Preservar los activos de desastre provocados por la mano del personal.Para que un sistema sea capas de resolver los problemas que se puedan presentar. el sistema operativo. Es importante señalar que durante la prueba del plan de contingencia no se debe perder de vista ningún detalle tal es el caso de conocer la configuración.

que en la mayoría de los casos es al personal que se encuentra laborando en las áreas de cómputo.situaciones de desastre que se están representando pueden hacerse reales en cualquier momento. el tiempo y los recursos para restablecer el servicio ante una contingencia y considerar todo aquello que asegure la continuidad de la organización. Dependiendo del tipo de información que un plan de contingencia contenga será clasificado como confidencial o de acceso restringido según sea el caso y por consiguiente el gerente de la empresa designará a las personas que tendrán acceso al conocimiento total o parcial del mismo. Además de ser distribuido es muy importante contar con una copia del plan de contingencia en algunos lugares que se encuentren cercanos al centro de cómputo como una medida más en caso de que el desastre fuera mayor y se produjera la destrucción total del centro de cómputo. Es recomendable que las revisiones al plan de contingencia se hagan cada seis meses para con ello evitar ser sorprendidos en caso de algún tipo de desastre cuyas soluciones no se hayan contemplado en el plan de contingencia. por ello cuando se elabora el plan de contingencia es de gran importancia identificar los procesos críticos. incluyendo registros manuales y documentación fuente. Una vez que el plan fue puesto a prueba y ha sido aprobado con las modificaciones pertinentes es de vital importancia repartirlo al personal responsable de su operación. Y por ello debemos de estar preparados. 127 .

programación y auditoría interna ya que ellos como encargados del área poseen un 128 . Dependiendo de la magnitud del desastre el plan de contingencia deberá contar con una metodología la cual nos ayudará a tener una mayor eficacia en la pronta recuperación de la situación ante una contingencia sufrida. Perdida parcial del área.Como ya se ha mencionado las empresas no están exentas de sufrir algún tipo de desastre y desafortunadamente en algunas ocasiones los daños que éstos pueden llegar a causar son de mayor o menor magnitud. etc. Cuando el área de informática sufre daños de electricidad. entradas. paredes. en su estructura como pisos. Se considera como grave la perdida de algún integrante de la organización. También intervienen problemas laborales. en base a ello podemos decir que existen diferentes tipos de desastres: Perdida total del área de informática. Destrucción de la información que se tenga documentada ya se parcial o total. Un plan de contingencia debe ser elaborado por el personal que se encuentre en las áreas de informática particularmente deberán estar al frente el personal de administración de dicha área como pueden ser los jefes de operación de análisis.

129 . A su vez es importante que este personal se apoye en algunos otros trabajadores que sean de absoluta confianza para que las tareas a llevar a cabo en la realización del plan de contingencia sean repartidas y con ello optimizar el desarrollo del mismo. Deberá contener el costo del plan de recuperación. Asignar tareas para evaluar los procesos indispensables de la empresa. Dentro de los objetivos que todo plan de contingencia debe tener son los siguientes: Disminuir los daños que el desastre realice. así como tienen acceso a la información que se genera en dicho espacio y que en la mayoría de los casos tienen un carácter confidencial. Contar con una excelente metodología que permita valorar los procesos para un menor tiempo de respuesta.mayor conocimiento acerca del manejo y funcionamiento de la misma. incluyendo la capacitación y la organización para restablecer las actividades de la empresa en caso de que se genere una interrupción de las operaciones.

Edificios (ubicación del edificio.4.9. Terremotos. También pudiendo evaluar algunos de estos aspectos que también son áreas. Datos (duplicación y respaldo de datos. Sabotajes. Instalaciones (potencia eléctrica. Huracanes. Equipamiento y telecomunicaciones. seguridad de los datos). integridad de la información. Inundaciones. 130 . Huelgas. políticas y practicas para evitar desastres y prolongar las interrupciones para poder trabajar o procesar datos. (Potencia eléctrica. como son: Incendios. TÉCNICAS Y HERRAMIENTAS R ELACIONADAS CON LA SEGURIDAD FÍSICA Y DEL PERSONAL El objetivo de la seguridad física es seguir los procedimientos. control de accesos). sistemas contra incendio). ubicación del área de cómputo. seguridad de los equipos y medios de comunicación). elementos de construcción.

estos espacios eran de tráfico pesado para que pudieran ver todo el equipo que se tenia. Equipos de seguridad. Ubicación y construcción del área de informática. UBICACIÓN Y CONSTRUCCIÓN DEL ÁREA DE INFORMÁTICA. en la actualidad ya estos lugares se encuentra mas escondidos. o ventanas muy grandes ya que era un orgullo tener sistemas de computo los cuales se podían ver desde fueras de las propias instalaciones o a gran distancia. 4. En tiempos pasados estos espacios eran construidos en lugares muy visibles. 6. Seguridad contra desastres provocados por agua. 3. y las perdidas de información menores posibles. 2.Personas (seguridad física de las personas. Instalación eléctrica. Aire acondicionado. 5. Unas de las técnicas que se pueden considerar para la seguridad son: 1. Para poder reanudar los servios en el menor tiempo posible. Pisos elevados. no visibles al publico. selección de personal). prácticamente están aislados de todo tráfico de personas que no tienen nada de que enterarse de cuanto quipo se tiene resguardado por ser objeto de 131 .

ya que de no tomarse en cuenta puede generar demasiado calor o saturación de personal lo cual generaría perdidas. Equipo de telecomunicaciones y servidores.riesgo para sabotajes y robos de equipos y de información. Formatearía a utilizar. Se prefieren lugares donde no de directamente el sol al interior del inmueble y ventanas pequeñas para no poner en riesgo al personal y el equipo. en la actualidad se consideran paredes falsas para poder ser movibles y así tener mejores espacios aunque bien sabemos que los quipos cada vez son mas pequeños y ocupan menos espacios pero puede incrementar el numero de estos. Los materiales con que se construyen estas áreas han cambiado y ya no son altamente inflamables. o que puedan ocasionar mucho polvo el cual dañará notablemente los equipos y su rendimiento o ciclo de vida. Un área y herramienta para mantenimiento. Mobiliario como mesas de trabajo y escritorios. 132 . Se deberá contemplar dentro de estos espacios lugar para: Almacenamiento de respaldos y software de instalación. y todos prácticamente con accesos limitados a cierto personal. se han sustituido por materiales de mejor calidad. Hay que tener mucho en cuenta el espacio que se tiene para el número de equipos que se tengan que instalar en un área.

para el acomodo de cables he incluso de conductos de aire. Recordemos que estas medidas deberán proteger íntegramente al personal para evitar el mayor porcentaje posible de accidentes dentro de esta área. ya se instalan conductos para el tendido de cables principalmente de redes para comunicación y que también ya se sustituyen por redes inalámbricas. De tener un piso falso este deberá ser capaz de soportar cargas elevadas y uniformes. este piso debe de tener las características de ser movido fácilmente para la instalación de cables y la limpieza se pueda hacer con un trapo hasta con equipo nuevo como una aspiradora. se sugiere que los acabados sean con plásticos antiestáticos. 133 . PISO ELEVADO.Área de energía eléctrica. Área de recepción de señal cuando se cuenta con servicio de Internet. pero en la actualidad por las condiciones de las computadoras ya no es necesario este piso. así como cargas por equipos extras que se tengan que utilizar en esta área según se haga mas grande la adquisición de equipo. En tiempos pasados era necesario de un piso totalmente falso.

AIRE ACONDICIONADO. se siguiere instalar detectores de humo para prevenir toda clase de incendio recordando que los usuarios o trabajadores estén lo mejor protegidos. INSTALACIÓN ELÉCTRICA. y muy vulnerables a ataques físicos por lo cual se tendrán que proteger con mayas en interiores y exteriores. estos conductos son frecuentemente causas de incendios. Todo auditor tendrá que apoyarse de una persona especialista en electricidad par poder evaluar las condiciones en las cuales se encuentran trabajando estas áreas. Este dispositivo dependerá en gran medida del tipo de computadoras que se utilicen depende del lugar en que se encuentren y de verificar las temperaturas máximas y mínimas que se tengan. los conductos por los que llegara a pasar el aire tendrán que estar en constante servicio de limpieza para evitar el polvo principalmente. Todo el sistema eléctrico tiene que estar perfectamente identificado como tradicionalmente se hace por medio de colores. Para todo el sistema de cómputo 134 . ya que no solamente puede ser objeto de interrupciones de energía y pérdidas de información ya que también es una de las causas de incendios. Este es uno de los puntos en donde se debe de tener mucho cuidado ser evaluado y controlado.

135 . Se deberán tener los planos de la instalación y si han sufrido modificaciones tendrán que estar actualizados. Los niveles de variación de la energía pueden ser causados por máquinas eléctricas como motores. Otras de las medidas de seguridad es contar en la medida de las posibilidades con reguladores eléctricos de energía las cuales puedan almacenar energía para que en cierto periodo ya sea por horas o minutos para que se realice el apagado de los equipos lo mas rápido posible así como los respaldos correspondientes para guardar la información que fuera mas importante en ese momento. Es común que cuando estos contactos no se especifican para equipos de cómputo pueden instalar otros equipos como copiadoras o aires acondicionados los cuales pueden producir picos de corrientes eléctricas.las conexiones deben de ser independientes. además de contar con tierra física la cual las protege en casos de descargas eléctricas. es esencial tomar en cuenta las características de los reguladores los cuales pueden funcionar para varios equipos o solo pueden limitarse a un número reducido dependiendo de las cargas específicas del regulador a utilizar esto nos ayudará a evitar sobrecargas en ellos. ascensores los cuales pueden producir daños a los equipos por lo cual se recomienda se cuente con tierra física la cual tiene que estar debidamente instalada de acuerdo con especificaciones de los proveedores. así como también es importante contar con reguladores de energía conocidos como no-break.

Los incendios a causa de energía eléctrica son un riesgo latente. aunque de utilizar esta última medida se debe tener mucho cuidado en su aplicación para evitar con ello algún problema al personal. amperímetro e interruptor 136 . Cuando se tienen sistemas de alto riesgo o seguridad los cuales no deben de tener fallos de energía eléctrica un claro ejemplo son los sistemas bancarios que no solo tendrán que contar con reguladores y con interruptores sino con plantas de luz de emergencia para cuando se pierda la energía por un período prolongado. una de las opciones serían con trampas o venenos. para reducir en gran medida este problema los cables podrán ser puestos en paneles o canales resistentes al fuego.Es importante recordar también que existe fauna nociva que puede dañar el sistema eléctrico y de comunicaciones. en la actualidad estos canales se encuentran en los pisos de los centros de cómputo. voltímetro. Cada proveedor deberá distribuir un tablero que contenga un interruptor general. Se debe cuidar que no solo estén aislados sino que no se encuentren distribuidos por toda la oficina ó áreas de cómputo. Los circuitos de iluminación y sistemas de aire no deberán conectarse a los tableros utilizados por los sistemas. como son los roedores que tradicionalmente se comen los plásticos de los cables por lo cual hay que combatirla de forma inmediata.

individual para cada unidad que configure. Si es necesario se podrán instalar bombas de emergencia para que se resuelvan las inundaciones inesperadas. recordando que en zonas sísmicas no provoquen problemas por exceso de peso y puedan surgir problemas. Otro de los cuidados para evitar daños es poseer aspersores contra incendios especiales que no utilicen agua. 137 . se recomienda instalarlas en plantas altas o lugares elevados para con ello evitar que al existir alguna inundación o desastre por el agua los equipos puedan ser dañados y con ello se pierda algún tipo de información. En algunas zonas la ruptura de cañerías o el bloqueo de los drenajes pueden originar problemas para la instalación de los centros de cómputo. Éstas áreas nunca deben de estar en sótanos o plantas bajas. SEGURIDAD CONTRA DESASTRES PROVOCADOS POR AGUA. Éste tablero deberá estar en un lugar visible y accesible así como rotulado para su fácil localización. Siempre se tendrá que optar por la mejor opción para tener la mejor seguridad posible cuando en las zonas existan problemas de inundaciones o sísmicas.

la razón de la visita. Es importante que los accesos sean estrictos todo el tiempo incluyendo al personal de la propia organización. y poner un especial cuidado durante los descansos y cambios de turnos. Puerta de combinación: Este sistema contendrá una combinación de números para poder accesar. Puerta Electrónica: Éste sistema utiliza una tarjeta de plástico magnética o una llave de entrada la cual contiene un código especial que es leído por un sensor. A continuación se dan algunas sugerencias para restringir estos accesos: Puerta con cerradura: Con la tradicional llave de metal tratando de que ésta sea muy difícil de duplicar.AUTORIZACIÓN DE ACCESOS. Preferentemente se deberán identificar antes de entrar a estas instalaciones. su procedencia. El personal autorizado podrá acceder por medio de llaves que les han sido proporcionadas por la gerencia de la empresa. y persona o departamento al 138 . y más aún cuando un usuario sea transferido o termine la función dentro de esa área. Registros de Entrada: Todo visitante deberá registrarse indicando su nombre. de preferencia esta clave se debe cambiar con regularidad. para lo cual será de gran utilidad que porten un gafete que los identifique como personal de esa área.

proveedor asistente de mantenimiento. estos sistemas deberán sonar una alarma para indicar la situación. Las cintas deberán ser guardadas para posibles análisis en caso de presentarse algún problema. A un visitante se le considera desde un amigo. auditor y en general a cualquier persona ajena a esta área. Videocámaras: Se colocarán en puntos clave para poder tener un mayor control sobre las actividades que se realizan en esta área. Ésta medida puede ocuparse en las áreas cercanas al centro de cómputo y dentro de éste. Se deberán colocar en lugares estratégicos 139 . esto permitirá interrumpir la energía eléctrica al equipo de cómputo. Un claro ejemplo son las que se utilizan en los bancos. Es recomendable solicitar una identificación con foto para asegurar que la persona no de datos falsos. Puertas dobles: Se trata de dos puertas donde no se controla el tiempo de apertura y una abre después de la otra. Alarmas: Estas alarmas se instalarán de la manera más discreta posible para no llamar la atención. Es recomendable que existan detectores de humo por ionización.que visita. EQUIPOS DE SEGURIDAD. Guía de visitantes: Todo visitante deberá ser acompañado por un empleado.

para prevenir cualquier clase de incendio. fijarse que sus componentes no deben de provocar mayor prejuicio a las máquinas (que pueden ser líquidos). la forma en que se pueden transportar. que sean factibles para ser manejados por una mujer y que estén colocados en una altura adecuada. Cabe señalar que en caso de incendio los productos como cintas magnéticas al quemarse producen gases tóxicos y todo papel al quemarse es altamente inflamable. el peso. A si mismo se tiene que contar con extintores portátiles los cuales deben revisarse periódicamente para saber cuántos existen. su capacidad. 140 . Por lo cual se sugiere la elaboración de planes de evacuación que estén documentados y aprobados para garantizar la seguridad del todo el personal que labora en estas áreas. que produzcan gases tóxicos. el tipo de producto que se utiliza. por lo cual se sugiere que todo este tipo de material se encuentre en cuartos aislados o fabricados para resistir el calor por lo menos dos horas.

También deberá protegerse de cambios accidentales o voluntarios en la configuración del equipo. En la mayor parte de las ocasiones. pasando por información financiera hasta archivos del personal o correspondencia privada. Estos datos pueden ser de tipos muy diversos. Sin embargo. los equipos se utilizan para almacenar datos valiosos y confidenciales de las empresas o instituciones. TÉCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIÓN Seguridad estándar. los usuarios de los equipos necesitan realizar su trabajo sin obstáculos que dificulten excesivamente el acceso a los recursos que precisan.4. Por lo cual se sugiere la aplicación de un Test de seguridad de antivirus en equipos que contienen archivos confidenciales 141 .10.

Puede establecer. Con una configuración de seguridad estándar. que se encuentra en el grupo de programas de Herramientas administrativas. se debería necesitar una cuenta de usuario (que es un nombre de usuario) y una contraseña para poder utilizar el equipo (como ya se ha definido formado de números y letras de preferencia y cambiados constantemente).Cuentas de usuarios y grupos. 142 . El Administrador de usuarios también permite establecer directivas de contraseñas y organizar las cuentas de usuario en grupos. eliminar o deshabilitar cuentas de usuario con el Administrador de usuarios.

procure elegir una que le resulte fácil de recordar. Test de Auditoría de contraseñas. se ofrecen algunas sugerencias: Cambie de contraseña con frecuencia y evite volverla a utilizar. Los usuarios deben procurar mantener sus contraseñas en secreto. No utilice palabras que se puedan adivinar fácilmente ni que aparezcan en el diccionario.Contraseñas. A continuación. Cualquier persona que conozca un nombre de usuario y la contraseña asociada puede iniciar una sesión como si fuera ese usuario. Una frase o una combinación de letras y números podrá ser lo mejor. No anote la contraseña. 143 .

puede asignar distintas protecciones de archivos y directorios. Con NTFS. 144 . Reducción en tiempo de proceso. Tiempo. Evaluación de los Sistemas. especificando qué grupos o cuentas individuales pueden tener acceso a estos recursos y de qué modo. 1. El sistema de archivos NTFS (New Technology File System o Nueva Tecnología de Sistema de Archivos) proporciona más características de seguridad que el sistema FAT (File Allocation Table o “tabla de ubicación de archivos”) y debe utilizarse siempre que la seguridad sea importante. Para investigar el costo de un sistema se debe considerar: Costo de los programas. personal y operación. Como beneficios podemos citar: Ahorro en los costos de operación.Proteger archivos y directorios. Costos directos e indirectos de operación. Uso de los equipos.

y programación.Mayor exactitud. Nueva tecnología no usada o usada incorrectamente. Documentación inadecuada o inexistente. En esta etapa se evaluaran las políticas. Mayor confiabilidad y seguridad. Procedimientos incorrectos o no autorizados. 145 . Evaluación del Análisis. Falta de integración de Sistemas. Entre los problemas más comunes en un sistema podemos citar: Falta de estándares en el desarrollo. Falta de participación de los usuarios. Inexperiencia por parte del personal de análisis y programación. Mejor control. Deficiente análisis costo beneficio. de recuperación y de archivos. Problemas en la implementación y conversión. que se tienen para llevar a cabo el análisis de sistemas. Diseño deficiente que tiene como consecuencia inadecuados procedimientos de seguridad. análisis. Mejor servicio. procedimientos y normas. 2.

Relación con otros archivos y sistemas. En proceso con problemas detectados. 146 . Seguridad y control. En proceso esporádicamente. Archivos almacenados. Planeada para desarrollo. En proceso.Evaluación de la planeación de las aplicaciones en lo referente a: Una planeación estratégica (Aplicaciones agrupadas. En proceso sin problemas. pero con modificaciones en desarrollo. relacionadas entre si. Inventario de sistemas en proceso (Información de cambios solicitados). Flujo de la información y procedimientos. y no como trabajando aisladamente). En desarrollo. Requerimientos de usuarios. Revisar Documentos y Registros usados en la elaboración del sistema: Salidas y reportes. Frecuencia de acceso.

3. Evaluación del Diseño Lógico. En esta etapa se deberán analizar las especificaciones del sistema: ¿Cómo lo deberá hacer? Será de las preguntas mas frecuentes, ¿Qué deberá hacer? También como pregunta principal, la secuencia y ocurrencia de datos que se estarán trabajando y por ultimo el proceso que se realizará con toda la información y que esto llevará a una emisión de reportes los cuales nos arrojarán la información lo mayor clara y precisa posible. Para así obtener:

Estudiar la participación que tuvo el usuario en la identificación del nuevo sistema. La participación de la auditoría interna en el diseño de controles y la determinación de los procedimientos de operación y decisión. Al tener el análisis del diseño lógico debemos compararlo con lo que realmente se esta obteniendo que principalmente nos arrojara:

Entradas y salidas. Procesos específicos. Especificaciones de datos y manipulación de estos. Métodos de acceso Operaciones Proceso lógico necesario para producir informes. Identificación de archivos, tamaño de los campos y registros.

147

Proceso en línea o lote y su identificación. Frecuencia y volúmenes de operación. Sistemas de seguridad. Sistemas de control Responsables Numero de usuarios

Dentro del estudio de los sistemas en uso se deberá solicitar: Manual de usuario. Descripción de flujo de información. Descripción y distribución de información Manual de reportes. Listas de archivos y especificación.

Teniendo estos procesos lo que se debe determinar en toda clase de sistemas y que nos puede ayudar en un mejor control será:

PROCEDIMIENTO.

¿Quién hace, cuándo y cómo? ¿El número de copias es el adecuado?

148

¿Existen puntos de control o faltan?

GRÁFICA DE FLUJO DE INFORMACIÓN.

¿Es fácil de usar? ¿Es lógica? ¿Se encontraron lagunas? ¿Hay faltas de control?

FORMAS DE DISEÑO

¿Cómo esta la forma en el sistema? ¿Qué tan bien se ajusta la forma al procedimiento? ¿Cuál es el propósito, porqué se usa? ¿Se usa y es necesaria? ¿Quién lo usa?

ANÁLISIS DE INFORMES

Una vez que se ha estudiado los formatos de entrada, debemos de analizar los informes para posteriormente evaluarlos con la información proporcionada por la encuesta a los usuarios.

149

Características del Hardware empleado. Interconexión entre los programas.4. Su diseño. Evaluación del Desarrollo del Sistema. Es recomendable realizar una evaluación cuando el sistema ya se implemento y se encuentra trabajando correctamente. para asegurarnos que tenga las fallas menos posibles. Las características a evaluarse en los sistemas son: Dinámicos Accesibles Oportunos Modulares Únicos Estructurados Necesarios Funcionales Jerárquicos Integrados Comprensibles Estándar Seguros 150 . En esta etapa del sistema se deberán auditar: Los programas. El lenguaje utilizado.

CAPÍTULO V
AUDITORÍA DE LA SEGURIDAD EN LA TELEINFORMÁTICA

151

Toda clase de medio de comunicación puede tener puntos vulnerables por tal razón hay que tener muy en cuanta toda la seguridad posible que se pueda tener recordando que las telecomunicaciones las utilizamos todos los días, desde accesos telefónicos hasta el ya conocido Internet y por tal razón se debe de tener un adecuado control para la recepción y salidas de los datos.

5.1. G ENERALIDADES DE LA SEGURIDAD EN EL ÁR EA DE LA TELEINFORMÁTICA
En la actualidad cada uno de nosotros empleamos en nuestra vida diaria las Telecomunicaciones como por ejemplo el teléfono para tener una platica con alguna persona en cualquier parte de nuestro país o el mundo, las computadoras personales ya las ocupamos en casi cualquier tipo de trabajo donde se necesite entablar una comunicación y desempeñan un papel muy importante para el desarrollo de cualquier institución. Los estudiantes por su parte realizan investigaciones en el ya tan conocido INTERNET o también para el envió de correos electrónicos o Chat.

La telefonía por medio de celulares es día a día más conocida y se expande rápidamente a más lugares del mundo sin tener que poseer una línea de teléfono, y ya en países desarrollados se pone en practica el ya trabajar desde sus hogares

152

sin asistir a la oficina con el envió y recepción de información por medio del INTERNET pudiendo recibir información que tengan almacenada y trabajar desde lugares lejanos, la información solicitada viajara por la red que puede ser publica o privada para lo cual se necesitará una preparación de cómo realizarlo, que seremos como usuarios o diseñadores de esta red.

Todo esto surge por la necesidad de estar comunicados lo mejor posible acortando los tiempos y distancias, esto trae como consecuencia un proceso que es la codificación que representaran el proceso de transmisión de datos, esto para

privacidad de la información, ya que algunos terceros tratarán de interceptarla y descifrarla, la información es una parte imprescindible, la cantidad de

conocimientos que desde hace mucho tiempo pueden ser almacenados, que no se podrían guardar de forma física y por tanto se puede transmitir.

Entre las principales áreas de la teleinformática que requieren de protección son:

Aplicaciones teleinformáticas de las redes telefónicas. Equipos de radio. Equipos de terminales de línea. Elementos integrantes de las redes teleinformáticas. Equipos de circuitos de datos. Equipos de terminal de datos.

153

como fibra óptica (en caso de ser necesario) tienen que estar bien instalados para evitar algún tipo de falla.Las redes telefónicas. como adaptadores LAN (Local Area Network o Red de Área Local). OBJETIVOS Y CRITERIOS DE LA AUDITORÍA EN EL ÁREA DE LA TELEINFORMÁTICA Se debe comprobar que existan normas en comunicaciones al menos para las siguientes áreas: Tipos de equipamiento.2. estos debidamente instalados. Para los procedimientos de autorización para el uso de exploradores físicos y lógicos tendrán que existir planes de comunicaciones de largo plazo. incluyendo estrategia de comunicaciones de voz y datos. También se necesitaran los procedimientos para el uso de cualquier conexión digital con el exterior. 5. Procedimientos de autorización para conectar nuevo equipamiento en la red para que no tenga problemas a la hora de transmitir. Se tiene 154 . Para los planes y procedimientos de autorización para la introducción de líneas y equipos fuera de las horas normales de operación. como línea de red telefónica conmutada o Internet. Los planes de comunicaciones a alta velocidad. que puedan ser instalados en la red.

Se refleja correctamente en el registro de inventario y en los diagramas de red. así como para añadir nuevas terminales o cambios en direcciones. líneas y equipos relacionados entre mejor se tenga un control mejor será el resultado. controladores. El plan de recuperación de desastres considera el respaldo y recuperación de los sistemas de comunicaciones. Se mantienen los diagramas de red que documentan las conexiones físicas y lógicas entre las comunicaciones y otros equipos de proceso de datos lo cual ayudara en caso de realizar correcciones o ampliaciones que se realicen de acuerdo a las necesidades que se tienen. una muestra seleccionada de equipos de comunicaciones.que realizar una buena planificación de redes de cableado integral para cualquier edificio y dependencia que vaya utilizar la empresa la cual pude ser dentro del área de cómputo hasta oficinas adjuntas en donde se necesite estar comunicado como lo son oficinas de los ejecutivos. Los procedimientos de cambio de equipos. Las listas de inventarios incluyen todo el equipo de comunicaciones de datos. dentro y fuera de sala de computadores. 155 . son adecuados y consistentes con otros procedimientos de cambio de las operaciones de proceso de datos. terminales. como modems.

transmitiendo múltiple información soportar. La utilización óptima de la línea de telecomunicación.3. Existe un sistema comprensible de contabilidad y cargo en costes en comunicaciones. analógica o digital. documentación y toma de acciones correctivas ante cualquier fallo de comunicaciones. adecuada a los circuitos que se utilizan para la transmisión. Existen procedimientos adecuados de identificación. equipos y terminales.Existe un procedimiento formal de prueba que cubre la introducción de cualquier nuevo equipo o cambios en la red de comunicaciones. 5. incluyendo líneas. SÍNTOMAS RIESGO DE Los problemas mas frecuentes que hoy en día que se pueden encontrar y se plantean para la puesta en funcionamiento de lo que en la actualidad denominamos como sistema teleinformático son muchos y complejos. como principales se tienen los siguientes: La transformación de la información digital que circula por la computadora es una clase de señal. y de acuerdo a la capacidad que pueda . 156 paralelamente.

La eliminación o el nivel mas bajo de los errores que puedan producirse por ruidos e interferencias. El intercambio de circuitos y de mensajes necesaria en una red para establecer diferentes orígenes y destinos. recordemos que para la salida y recepción de señal se tendrá que ocupar un módem o adaptador de la señal dependiendo de la clase de adaptación que se tenga que realizar. 157 . así como la tecnología. claro dependiendo del tipo de medio utilizado. así como la protección contra la pérdida o atenuación de la señal que se produce al ser enviada principalmente cuando viaja a grandes distancias. La tecnología mas utilizada actualmente es la digital. Por otra parte recordemos que se trata de estar lo mejor protegidos posibles de cualquier clase de ataque a las líneas de comunicación. La compatibilidad entre los equipos y medios de comunicación. Por este medio se enviara información de tipo analógica o digital. tanto a nivel físico como lógico.

en el plan de recuperación de desastres.4. TÉCNICAS Y HERRAMIENTAS D E AUD ITORÍA RELACIONADAS CON LA SEGURIDAD EN LA TELEINFORMÁTICA Auditando la red física. para evitar accesos físicos. Comprobar que los accesos físicos provenientes del exterior han sido debidamente registrados. Los controles específicos en caso de que se utilicen líneas telefónicas normales con acceso a la 158 . Hay que tener una atención especial a la recuperación de los sistemas de comunicación de datos. Controles de equipos de comunicaciones. Comprobar que desde el interior del edificio no se intercepta físicamente el cableado. que impidan su utilización inadecuada. usados para monitorizar la red y su trafico. se debe marcar la existencia de: Áreas controladas para los equipos de comunicaciones. previendo así accesos inadecuados. Protección y control adecuado de cables y líneas de comunicaciones. Como objetivos de control.5.

buscando intercepciones activas o pasivas. 159 . Se tiene que realizar una revisión periódicamente a la red de comunicaciones. tienen dispositivos/procedimientos de seguridad y recordando que entre mayor seguridad mejor seguridad de los datos. cuyos números no deben ser públicos.red de datos para prevenir accesos no autorizados al sistema o a la red y se debe de comprobar que: El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado a personas no autorizadas. Las líneas telefónicas usadas para datos. Auditando la red lógica. Como objetivos de control. se debe marcar la existencia de: Contraseñas y otros procedimientos para limitar y detectar cualquier intento de acceso no autorizado a la red de comunicaciones. Solo personal autorizado pueda entrar permanentemente en las salas de equipos de comunicaciones. Existen procedimientos para la protección de cables y bocas de conexión que dificulten el que sean interceptados o conectados por personas no autorizadas.

mediante hardware o software. y pida código de usuario y contraseña. Deben existir técnicas de cifrado de datos donde haya riesgos de accesos impropios a transmisiones sensibles. para que se revisen el procedimiento de conexión de usuario y comprobar: El no acceso hasta cumplir con una identificación correcta. Controles adecuados que cubran la importancia o exportación de datos a través de puertas. 160 . a otros sistemas informáticos.Facilidades de control de errores para detectar errores de transmisión y establecer las retransmisiones apropiadas. que permita el libre acceso y que haya sido utilizado en la instalación original. Se debe comprobar que: El software de comunicaciones. Registro de la actividad de la red. para ayudar a reconstruir incidencias y detectar accesos no autorizados. Inhabilitar usuario que no introduzca contraseña después de algunos intentos. en cualquier punto de la red. ha de haber sido inhabilitado o cambiado. tiene que ser hasta cierto punto el que exige acceso. Cualquier procedimiento del fabricante.

Como conclusión podemos resumir que la auditoría de la red permite la búsqueda de la información que pueda garantizar: La integridad de la información transmitida a lo largo de toda la red. El transporte de las claves de cifrado desde donde se generan a los equipos que las utilizan siguen un procedimiento adecuado. La capacidad y velocidad de la información transmitida de acuerdo a los requerimientos exigidos actuales y futuros. Si se utiliza cifrado: Existen procedimientos de control sobre generación e intercambio de claves. 161 . La protección de la vida y salud de los usuarios de la red. Las claves de cifrado son cambiadas regularmente. comprobar que estos datos viajan cifrados. La protección de los equipos conectados a la red.Existen controles para que los datos sensibles solo puedan ser impresos en las impresoras designadas y vistos desde terminales autorizadas. Si se utiliza la transmisión de datos sensibles a través de redes abiertas como internet. Existe análisis de riesgos para aplicaciones de procesos de datos a fin de identificar aquellas en las que el cifrado resulte apropiado.

La protección de las oficinas y edificios en donde está instalada la red. El cumplimiento de la aplicación de las características mecánicas. El cumplimiento de la aplicación de los estándares internacionales en la instalación de la red. térmicas y ópticas de los medios de transmisión. eléctricas. de acuerdo a estándares internacionales. 162 .

CAPÍTULO VI INFORME DE LA AUDITORÍA INFORMÁTICA 163 .

manuales. equipos de computo. Éste informe se presenta por escrito previa conclusión de los borradores que se elaboraron a lo largo de este proceso en donde se plasmaran todos los acontecimientos que los auditores encontraron pudiendo ser fallos provocados intencionalmente o por desconocimiento de los empleados que pondrán en riesgo la integridad de la información. y personal de la misma tendrá como consecuencia el reporte de la evaluación final. etc.1 CARACTERÍSTICAS INFORME DEL Cuando se ha terminado la auditoría se realizará el informe final para la presentación de los resultados a los directivos de la institución. área de computo u oficinas. equipo con el que cuentan para la realización de su trabajo ya incluidos. personal humano. mobiliario. 164 . 6. respaldos. no con le objetivo de exhibir a las personas o las causas sino para dar la mejor de las soluciones posibles. y cuales fueron los puntos más débiles que se encontraron de la manera mas objetiva posible.Cuando la labor del auditor termino tendrá que entregar su informe final para de este modo poder evaluar como se encuentra la institución.

El Informe Final podrá contener algunas de estas características: Fecha de inicio de la auditoría. Recomendaciones y planes de acción. Nombre del personal que participo en la auditoría. Tendencias. área de trabajo). Para cada tema. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. La carta de introducción es muy importante porque en ella ha de resumirse la auditoría realizada. Nombre de las personas entrevistadas (se incluye puesto. Puntos débiles y amenazas. se podrá ocupar este orden: Situación actual. Objetivos y alcances de la auditoría. Alcance y objetivos de la auditoría. Solo se le entregará a quien es el responsable máximo de la 165 . Fecha de elaboración del informe. el verdadero objetivo de la auditoría informática. se expondrá la situación encontrada y la situación actual. Enumeración de temas considerados. Constituyen junto con la exposición de puntos débiles. Redacción posterior de la Carta de Introducción o Presentación. Cuando sea una revisión periódica. en la que se analiza no solamente una situación sino además su evolución.

empresa o institución. objetivos y alcance. En la carta de introducción no se escribirán nunca recomendaciones (ya que solo es de carácter informativo y que este enterado de la situación real). Proporcionará una conclusión general. Estas son las características que más se manejan en esta carta de introducción: Tendrá como máximo 4 folios. concretando las áreas de gran debilidad encontradas. Se podrán imprimir las copias de la auditoría en los tantos que la soliciten y al personal que los jefes quieran dar a conocer los resultados. Presentará las debilidades en orden de importancia y gravedad (punto muy importante y tendrá que ser lo mas específico posible). o la persona específica quien encargo o contrato la auditoría. naturaleza. Incluirá fecha. Cuantificará la importancia de las áreas analizadas. 166 . (los que solicite el cliente) pero bajo ninguna circunstancia se elaborará más copias de la carta de introducción solo en su caso que el propio contratante o gerente lo solicite.

Este punto y el anterior se consideran como la parte más esencial de toda auditoría practicada. Donde se expondrán las circunstancias en las que se encontró y que cambios o situaciones se dieron en este tiempo de la auditoría. Anexos.2. 167 . Medidas de solución y plan de acción. ESTRUCTURA DEL INFORME Dentro de la estructura del informe: Situación actual de la empresa. Tendencias. y no solo una vaga idea. entrevistas. Los acontecimientos que puedan ocasionar problemas internos y externos. y documentación en la que se baso esta auditoría como soporte de las conclusiones a las que se llego. así como puntos débiles identificables para que realicen ataques que pueden ser por personal de las misma institución o ajenos a ésta. Se realizaran comparativos que nos permitan dar una idea del comportamiento a futuro. Se añadirán los borradores. Las amenazas y puntos vulnerables.6. apuntes. Se mencionaran las mejores estrategias para la solución de los problemas dando los mejores puntos de vista mencionando como y por que se tienen que hacer antes de que puedan surgir problemas mayores.

168 .El informe contendrá los hechos más importantes. El cambio propuesto tendrá que ser lo mejor planteado para resolver la situación. La recomendación del auditor será lo más clara y concreta posible así como estar lo bastante soportada. para puedan ser las más viables. estos tendrán un amplio significado de verificar objetivamente los acontecimientos. se plantearan las o la medida de solución y en que tiempo se pueden implementar. Por ser un hecho encontrado como debilidad podrá ser objeto de cambios. y también al personal que se puede hacer cargo de este proceso. se tendrá que acompañar de la documentación que soporte este hecho y que puede contener estos criterios. Las recomendaciones del auditor sobre algún hecho siempre serán lo mejor posible que las actuales ya que por tal razón se efectuó una revisión.

FORMATO PARA EL INFORME. DIRECCIÓN: SE AUDITO A HOJA NUM. DE FECHA EN QUE SE TERMINO LA AUDITORÍA NUM. PROBLEMAS CAUSAS DEBILIDADES MEDID AS DE SOLUCIÓN OBSERVACIONES FECHA PARA APLICACIÓN RESPONSABLE DE LA RECOMENDACIÓN.6.3. Sugerencia de formato para conclusiones de la auditoría practicada. 169 .

FECHA ESTIMADA DE RESOL. OBS. RESPONS. OBSERVACIÓN FECHA PROBAB. FECHA REAL DE RESOL. DE FECHA EN QUE SE TERMINO LA AUDITORÍA _ _ NUM. MOTIVO POR EL CUAL NO SE HA RESUELTO ESTRATEGIA PARA LA SOLUCIÓN. IMPLAN.Sugerencia para la recomendación de la auditoría practicada. DE LAS RECOMEN. 170 . Periodo reportado _ _ DIRECCIÓN: SE AUDITO A _ _ _ _ HOJA NUM. RECOMENDACIÓN.

sobre todo fin fugas de información o riesgos que pueden causar perdidas y en ocasiones hasta el cierre total. de ante mano se sabe que los problemas surgen en la practica y necesitamos medidas de control para ir cerrando todos esos espacios que pueden estar abiertos de cualquier modo. la tecnología avanza todos los días para mejoras. así como las opciones que se han mostrado se tratará de asegurar los sistemas de todo tipo. pero también hay personas que se dedican a buscar los medios para hacer daño a lo que consideramos más seguro. hasta que no se practiquen las auditorias para de este modo saber que es lo que esta fallando en la institución. Los problemas se resuelven en la practica de estas acciones no hay que creer que todo lo que se tiene es seguro e invulnerable. Se tendrán que poner en practica mucho de estos puntos por el bien de la institución. por lo cual se necesitan realizarse estas auditorías para que la institución este lo más segura posible para poder competir y brindar los servicios lo mejor posible.PROBLEMAS RESUELTOS Mediante este análisis. por que aunque a los ojos de los directivos no esta pasando nada y que crean que todo marcha lo mejor posible pueden estar sucediendo problemas en los niveles mas abajo sin que ellos estén enterados. 171 . los problemas no se han resuelto.

etc. claro siempre contando con que los directivos pongan atención a los resultados. lógicos. Adecuado mantenimiento. por lo tanto hay que practicar auditorías. ya sea por factores físicos. Personal capacitado. aunque estas parezcan repetitivas.CONCLUSIONES Y RECOMENDACIONES Como ya hemos visto al parecer “nada esta seguro” por lo cual se recomienda realizar evaluaciones periódicas de toda clase. y como ya se menciono anteriormente son para encontrar las debilidades de la institución para cerrar esos espacios o accesos no deseados con la finalidad de que la institución este lo más protegida posible para cualquier tipo de desastre o ataque por lo cual se sugieren: Revisiones periódicas. ya que algunos de estos problemas podrán surgir por falta de atención de los directivos por querer ahorrar o pagar favores poniendo en riesgo su propio trabajo. Todo con la finalidad de que la institución sea segura. sugerencias y tomen las mejores decisiones. Trato respetuoso. iv . por que no se sabe en que momento el sistema puede estar en riesgo.. mantenimiento. La mejor planeación posible. Un ambiente de trabajo limpio.

Auditoría en Informática. Editorial Alfaomega.com/computacion v . México. Editorial CECSA. Auditoría Informática Un enfoque práctico. Editorial Alfaomega.eumed. Yann. México. 1999 www .com www. México. José Antonio.net/cursecon/libreria/rgl-genaud/1x. 2001 Echenique. Técnicas de la Auditoría Informática. 1999 Derrien. México. 2ª edición ampliada y revisada. Emilio.auditi. Editorial Mc-Graw Hill.REFER ENCIAS BIBLIOGRÁFICAS Y VIRTUALES Piattini Velthuis. y Del Peso Navarro.com/audinfo1.monografías.htm www. Mario G. 1190 Hernández Hernández Enrique.solocursosgratis. Auditoría Informática.htm www.

ANEXOS ANEXO 2. DE HOJA: _ DE _ _ _ INICIO FIRMA DEL RESPONSABLE: _ TERMINO DESCRIPCIÓN ACTIVIDADES No DE PERSO- DÍAS HOMBRE ESTIMADOS DÍAS HABILES ESTIMADOS ETAPA OBSERVACIONES Vo.1 FORMATO PARA PROGRAMA DE AUDITORÍA. ORGANISMO O DEPENDENCIA: _ FECHA DE ELABORACIÓN : _ RESPONSABLE: NUM. vi . Bo.

2 FORMATO PARA AVANCE Y CUMPLIMIENTO DEL PROGRAMA DE AUDITORÍA. ORGANISMO O DEPENDENCIA: _ FECHA DE ELABORACIÓN : _ RESPONSABLE: NUM. Bo. PROGRAMA DE AUDITORÍA. DE HOJA: _ DE _ PERIODO A REPORTAR: _ DÍAS UTILIZADOS REALES GRADO DE AVAN-CE. INICIADA FIRMA DEL RESPONSABLE: TERMINADA FASE _ Vo.ANEXO 2. _ _ _ AUDITORÍA NO INICIADA EN PROCESO TERMINADA AUDITORÍA DÍAS HOMBRES SITUACION DE LA PERIODO REAL DE LA EXPLICACIÓN DE LAS VARIACIONES EN RELACIÓN CON LO PROGRAMADO. _ vii .

. Estándares.. Capacitación. Recursos humanos disponibles. (Anotar el objetivo especifico de esta Auditoría. I.ALCANCES DEL PROYECTO. Estructura organizacional.ANTECEDENTES. las causas por las que se realiza. (Anotar los antecedentes específicos del proyecto a auditar.. viii . Objetivos.) II. 1. Condiciones de trabajo.3 SE DESCRIBE UNA SUGERENCIA DE SERVICIO DE AUDITORÍA INFORMÁTICA. Planes de trabajo.) III.ANEXO 2.EL ALCANCE DEL PROYECTO PUEDE COMPRENDER LOS SIGUIENTES PUNTOS: Su organización. Funciones Normas y políticas de la empresa.OBJETIVO DE ESTA AUDITORÍA. Situación presupuestal y financiera..

) Evaluación de los sistemas que se encuentran en desarrollo y que estén en acuerdo con los objetivos de la empresa. Evaluación de las bases de los datos. Estandarización. organización del o los sistemas.2. Comunicación. confidencialidad y respaldos. Almacenamiento.EVALUACIÓN DE LOS SISTEMAS: Evaluación del sistema con el que actualmente opera la empresa (documentación. Seguridad lógica del o los sistemas. Derechos de autor. procedimientos. ix . 3. Equipos adicionales.. la forma en que esta programado. Redes. Adquisición. organización de los archivos. Controles Nuevos proyectos de adquisición. opinión de los usuarios en cuanto a su utilización. secretos de la organización y de sus propios sistemas..EVALUACIÓN DE LOS EQUIPOS.

4.SE ENLISTAN ACTIVIDADES A TOMAR EN CUENTA PARA LA EVALUACIÓN DE LA DIRECCIÓN: Se solicitan los manuales sobre las reglas de operación.. Seguridad para restaurar equipos y sistemas en caso de fallos.METODOLOGÍA. Se hará una presentación de la metodología a utilizar: 1. normatividad. Seguridad para la utilización de los equipos por el personal. Seguridad física. Seguridad contra los virus (vacunas). Se aplicaran cuestionarios y entrevistas al personal de la organización. funciones del personal y departamentos. Análisis y evaluación de la información.. Solicitar costos y presupuestos para el departamento de informática. objetivos.. x .EVALUACIÓN DE LA SEGURIDAD: Seguridad del personal. Elaborar un cuestionario para la evaluación de este departamento. Seguridad lógica y confidencial. Planes de contingencia y procedimientos en caso de desastres. IV. políticas y programas de trabajo.

Evaluación de la información contra las necesidades de los usuarios así como la forma en la que se obtiene. de usuarios. Permisos y licencias vigentes. 2. de servicios.Elaboración y presentación del informe..PARA UNA ELABORACIÓN DE LOS SISTEMAS QUE SE ENCUENTRAN OPERANDO Y QUE SE PIENSAN INSTALAR SE PUEDEN REALIZAR LAS SIGUIENTES ACTIVIDADES: Estudio de viabilidad y costo/beneficio. Análisis sobre los sistemas en operación y desarrollo. Evaluación de la participacion de la auditoría interna que exista. Planes de contingencia y recuperación de los datos en caso de desastre. Análisis y evaluación de la información compilada. Analizar la seguridad lógica y confidencial. Evaluación de controles. etc. Análisis de bases de datos. Solicitar documentación de los sistemas en operación (manuales técnico. Solicitar contratos sobre utilizar. la adquisición de software para que se pueda xi . Entrevistas con usuarios de los sistemas. Elaboración de un informe el cual se presentara a la dirección general.) Solicitar planes de trabajo.

y todo lo que pueden tener como seguridad.3. Verificar la seguridad física y lógica del lugar de trabajo del área de informática. el manejo de los archivos y su respaldo. alguna nueva adquisición que se tenga planeada o las actualizaciones que requieran para los equipos en trabajo. Solicitar información si se han actualizado equipos de cómputo.) Elaborar un cuestionario sobre las utilización de los equipos de cómputo para la elaboración de reportes. equipos periféricos. costo/beneficio y características de los equipos de trabajo con los que cuenta actualmente la empresa o compañía. Revisar bitácoras de los equipos de computo (que esta información muchas de las ocasiones las empresas no cuentan con ellas. xii . las unidades de entrada/salida quien o quienes las manejan.. Solicitar información sobre la compra o renta de equipos. Solicitar información para asegurarse si se tienen contratos de seguros previamente establecidos. Solicitar información sobre contratos y convenios de respaldos. Visita o inspección de el o los lugares donde guardan los archivos de forma magnética (condiciones).PARA EVALUAR LAS ACTIVIDADES SE PUEDEN LLEVAR A CABO LAS SIGUIENTES ACTIVIDADES: Solicitar los estudios de viabilidad.

. a quien se denominara “cliente” . PRESENTACION. 4. incluir el personal participante. el costo del proceso y la forma en que se realizará el pago. se siguiere indicar todos los tiempos para cada una de las etapas. en su . V. Y DISCUSIÓN DE ÉSTE.Revisión del sistema eléctrico y de ambiente para los equipos y del local así como toda la instalación para saber si son adecuadas. . por otra parte representada por xiii . la utilidad de los equipos. . Revisión del acceso a los sistemas como medio de seguridad. Una evaluación de toda la información recopilada. ANEXO 2.ELABORACIÓN DEL INFORME FINAL. ASÍ COMO PRESENTAR LAS CONCLUSIONES Y RECOMENDACIONES ELABORADAS POR LOS AUDITORES. y que el lo sucesivo se _ . Por último la elaboración de un informe como resultado y presentación de éste. elaborando porcentajes.4 SUGERENCIA DE CONTRATO DE AUDITORÍA INFORMÁTICA.. Contrato a celebrarse por al prestación de un servicio de auditoría informática por una parte representado por carácter de _ _ _ . justificación. gráficas. etc.TIEMPO Y COSTO. En este punto se describirá el tiempo que tardará la auditoría a realizar.

. I. constituida y que existe de acuerdo a lo restablecido con las leyes vigentes y que dentro de sus principales objetivos esta el de prestar auditoría informática _ b) _. por lo que ha decidido contratar los servicios de un auditor experto. II.. Que se encuentra constituida legalmente según la escritura número _de fecha _ del _ _ ante el notario público número Lic.denominara “ el auditor” . c) Que requiere tener servicios auditoría informática. _ . xiv .El cliente declara: a) b) Que es una Que esta representado para este acto por_ y que tiene como su domicilio . de conformidad con las declaraciones y cláusulas siguientes: DECLARACIONES.Declara el auditor: a) Ser una sociedad anónima.

Normas y políticas. Objeto El auditor se obliga a prestar al cliente los servicios de auditoría informática para llevar a cabo una evaluación de este departamento del cliente. Primero. Recursos humanos. xv . Funciones.Declaran ambas partes: . Segundo. firmada por ambas partes la cual forma parte del presente contrato. Alcance del trabajo. que se desarrollará en la propuesta de servicios que se anexan. El alcance de las actividades que se realizara por el auditor interno dentro de este contrato son: a) Evaluaciones de la dirección de informática en lo que corresponde a: La organización. Estructura. lo formalizan otorgando el presente contrato que se contiene en las siguientes: Cláusulas. Capacitación. Que habiendo llegado a un acuerdo sobre lo antes mencionado..c) Que señala como su _ domicilio particular _ III.

así como el control de estos. c) Evaluación de los equipos: Adquisición. Controles. estándares de programación. Evaluación de prioridades. estudios de viabilidad y del costo/beneficio. xvi . etc. b) Evaluación de los sistemas: Evaluación de él o los sistemas en uso como procedimientos. Supervisión de bases de datos. organización de archivos. Condiciones de trabajo. Evaluación de los recursos ya asignados (humanos y de cómputo). utilización de sistemas. Utilización. documentación. confidencialidad y respaldos.Planes de trabajo. Seguridad de lógica. Evaluación de avances de los sistemas en pleno desarrollo y congruencia con su diseño. Controles. de sus propios sistemas utilizados por la organización. Derechos de autor. Capacidades. Situación presupuestal y financieras.

Seguridad lógica y confidencial. Mantenimientos. Seguridad para restaurar equipos y sistemas. Seguros. Respaldo de los equipos. Seguridad contra los virus. Tercero. d) Elaboración de informes por cada uno de los incisos a. c. xvii . Comunicación. de estas cláusulas con sus conclusiones y recomendaciones. d) Evaluación de la seguridad. Programa de trabajo. b.Nuevos proyectos a implementar. d. Plan de contingencia en caso de desastres. Redes. Seguridad del personal. Seguridad para utilizar equipos. Seguridad física. Almacenamiento.

El cliente y el auditor desarrollaran de manera conjunta un programa de trabajo. Quinto. los responsables de realizarlas así como las fechas en que éstas se estarán realizando. Séptimo. Supervisión El cliente o en su defecto a la persona que éste designe responsable. el auditor y su personal tendrá total libertad de tiempo destinado a cumplir estas actividades por lo tanto no están sujetos a horarios y jornadas determinadas. Cuarto. Coordinación de los trabajos. siempre y cuando lo cumplan. Horario de trabajo El personal de los auditores establecerán tiempo para cumplir con los trabajos previamente establecidos en este contrato. Sexto. el también se encargara de que las reuniones y entrevistas previamente programadas se realicen en las fechas ya establecidas. podrá supervisar el trabajo que esté realizando el auditor dentro de este contrato y podrá dar a conocer sus opiniones por escrito que él crea conveniente para el desarrollo de la misma. Personal asignado El auditor tendrá la facultad de designar para los trabajos de este contrato a integrantes del propio despacho. que también será el responsable de recolectar la información que el auditor necesite y la entrega para su análisis. en el cual se establecerán las actividades a realizar por cada una de las partes. en número y capacidades de cuantos disponga así como personal técnico capacitado. xviii . El cliente podrá designar a un responsable para este trabajo.

Honorarios. por lo que cualquier retrazo por parte de personal del cliente y usuarios del sistema tendrán repercusión en los tiempos dando como resultado la prolongación de fechas para los trabajos y sin repercusión para el auditor. Novena. Relación Laboral. El tiempo estimado para la terminación de los trabajos a realizar será a la rapidez de que el cliente entregue la documentación necesaria y que requiera el auditor y para el cumplimiento de las fechas marcadas en el programa de trabajo acordado por las partes. La forma de pago será la siguiente: _ % a la firma del contrato. Todo personal del auditor no tendrá ningún tipo de relación laboral con el cliente y queda expresamente estipulado que este contrato se subscribe en atención a que el auditor por ningún motivo se considere intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las obligaciones que se deriven de las relaciones entre el y su personal.Octava. xix . El cliente se ve obligado a pagar al auditor por los trabajos del presente contrato. y que exime al cliente de cualquier responsabilidad que a este respecto existiere. El auditor se obliga a terminas los trabajos de este contrato estipulados la segunda cláusula en días hábiles después de la fecha en que se firme el contrato sea cobrado el anticipo correspondiente. que serán los honorarios por la cantidad de _ _ más el impuesto al valor agregado correspondiente. Plazo de trabajo. Décima.

% a los días hábiles después de iniciados los trabajos. xx . % a la terminación de los trabajos y presentación del informe Undécima. Decimotercera. prestaciones sociales y laborales de su personal. Incremento de honorarios. Gastos generales. Trabajos adicionales De ser necesaria una extensión de alcances o trabajos al presente contrato. En caso de tener un atraso debido a la falta de entrega de información. Alcance de los honorarios. Viáticos y pasajes. como consecuencia de los trabajos a realizar por el presente contrato serán por cuenta del cliente. hospedaje y alimentación que requiera durante su permanencia en la cuidad de _ . el presente contrato se incrementara en forma proporcional al retraso y se señalara el incremento de común acuerdo. demora o cancelación de reuniones u otra causa imputable al cliente. El importe puesto de la cláusula décima compensara al auditor por sueldos. Duodécima. Decimoquinta. El importe de viáticos y pasajes que tenga el auditor para el traslado. honorarios y organización de los servicios de la auditoría. las partes celebraran por separado un convenio que también formara parte de este y en forma conjunta se acordara el nuevo costo. Decimocuarta._ _ final.

las parte se someten a la jurisdicción de los tribunales federales. contenidas en el Código Civil del y. que se generen con motivo de este trabajo serán pagador por parte del cliente. Decimoséptima. EL CLIENTE EL AUDITOR xxi . en la ciudad de . Causas de rescisión. Jurisdicción. Será motivo de rescisión del presente contrato la violación o incumplimiento de cualquier cláusula de este contrato. etc. lo rubrican y firman de conformidad. Enteradas las partes del contenido y alcance legal de este contrato. Decimosexta. Todo lo no previsto en este contrato se regirá por las disposiciones relativas. renunciando al fuero que les pueda corresponder en razón de su domicilio presente y futuro.Los gastos de fotocopiado. el día _ . dibujo. en caso de controversia para su interpretación y cumplimiento. en original y tres copias.