P. 1
AUDITORÍA DE SISTEMAS

AUDITORÍA DE SISTEMAS

|Views: 38|Likes:
Publicado porCris H. Barajas

More info:

Published by: Cris H. Barajas on Oct 12, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

10/29/2013

pdf

text

original

AUDITORÍA DE SISTEMAS Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa

para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.

Es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de computo, su utilización y seguridad; que permitan medir la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. Esta se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.

A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:

Auditoría de Sistemas es:

• La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.

• La actividad dirigida a verificar y juzgar el tratamiento de la información.

• El examen y evaluación de los procesos del Área de Procesamiento Automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

• Es el proceso de recolección y evaluación de evidencia de un sistema automatizado para determinar: Daños Salvaguarda activos Destrucción Uso no autorizado Robo Mantiene Integridad de Información Precisa, Los datos Completa Oportuna Confiable Alcanza metas Contribución de la organizacionales función informática Consume recursos Utiliza los recursos adecuadamente. Eficientemente en el procesamiento de la información.

• Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a:

Eficiencia en el uso de los recursos informáticos Validez de la información Efectividad de los controles establecidos

LA AUDITORIA TRADICIONAL

La palabra auditoría se ha empleado incorrectamente y se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a acuñar la frase “tiene auditoría” como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se está haciendo auditoría. El concepto de auditoría es más amplio: no solo detecta errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficacia y eficiencia de una sección o de un organismo con miras a corregir o mejorar la forma de actuación.

LA AUDITORIA MODERNA - EL AUDITOR DE SISTEMAS

Los profesionales responsables del auditaje en ambientes computarizados, deben poseer una sólida formación en Administración, Control interno, Informática y Auditoría.

En Administración deben manejar con habilidad y destreza las funciones básicas del proceso administrativo, tales como: planeación, organización,

Comprometerse con una opinión objetiva e independiente. procedimientos operativos y de control. sistema de información confiable y oportuno.dirección y control. el auditor debe entender que su papel profesional debe ser el de Asesor Gerencial para asegurar el éxito de la función y. políticas y presupuestos perfectamente definido. la función de Auditoría es un elemento de control interno. El Auditor deberá analizar y evaluar la estructura conceptual del sistema de control interno. teniendo en cuenta para ello los controles preventivos. desde un punto de vista sistémico total. comprende por lo menos los siguientes elementos: Objetivos. Esto quiere decir que deberá entender el control interno como sistema y no como un conjunto de controles distribuidos de cualquier manera en las organizaciones. En la era de la informática. estructura de organización sólida. personal competente. un sistema de control interno. detectivos y correctivos. efectivos y documentados. solo que goza de un privilegio muy especial y es el de monitorear . debe estar en capacidad de diagnosticar su validez técnica. en relación con el grado de seguridad y de confiabilidad del sistema de control vigente en el área de informática. el auditor informático. sistema de auditoría efectivo. en consecuencia. articulando ordenadamente los objetivos del área informática con la misión y los objetivos de la organización. con una mentalidad de hombre de negocios y dentro de las modernas teorías de la Planeación Estratégica. En materia de Control Interno. para el área de informática. y la calidad total. en su conjunto. debe visualizar la empresa y su futuro en forma sistémicoestructural. sistema de seguridad de todos los recursos. Como puede observarse. En esencia.

crítico y buen oidor.permanentemente los otros controles y operaciones del ente auditado. De otra parte. con habilidad y capacidad para trabajar bajo presión. en términos de conceptos. cómo funcionan los computadores. respetuoso de la opinión de los demás. de espíritu científico. debe ser una persona de muy buenas relaciones humanas. el auditor informático. exige del auditor una formación avanzada en administración de recursos informáticos. debe conocer y manejar deseablemente la teoría básica de la auditoría. las potencialidades y la calidad de los componentes de hardware y de software. La temática del concepto de control interno. técnicas. Amable. metodología. papeles de trabajo e informes. En general el Auditor de Sistemas debe estar al día en los avances científico-tecnológicos sobre la materia. procedimientos. En informática. ENFOQUES DE LA AUDITORIA DE SISTEMAS . cuáles son sus reales capacidades y limitaciones. sobre la base de que no se puede diagnosticar una determinada realidad sin estar en condiciones de conocerla y entenderla plenamente. Las marcas. normatividad. las tecnologías de almacenamiento y la metodología para la generación y mantenimiento de sistemas de información. Los ambientes de procesamiento. analítico. los riesgos posibles. los sistemas de seguridad. ética. filosofía. el auditor informático. los sistemas operacionales. que goce de un comportamiento ético a toda prueba. objetivo. con un amplio sentido de responsabilidad social y por sobre todo. los principales lenguajes de programación. En el campo de la auditoría. el auditor debe conocer por lo menos.

los programas y los archivos de datos no se auditan. Verificar la existencia de una adecuada segregación funcional. Naturalmente que se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo que atente contra la integridad. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de los datos. La auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de información. La auditoría alrededor del computador no es tan simple como aparentemente puede presentarse. pues tiene objetivos muy importantes como: 1. por cuanto únicamente se verifica la efectividad del sistema de control interno en el ambiente externo de la máquina. 5. 6. Comprobar la existencia de controles para asegurar que todos los datos enviados sean procesados. 2.Auditoria Alrededor del Computador: En este enfoque de auditoría. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso estén autorizados. Cerciorarse que los procesos se hacen con exactitud. 3. Es el más cómodo para los auditores de sistemas. Comprobar que los datos sean sometidos a validación antes de ordenar su proceso. 4. . completitud. exactitud y legalidad.

Este enfoque es más exigente que el anterior. Examinar los controles de salida de la información para asegurar que se eviten los riesgos entre sistemas y el usuario. Asegurar que los programas procesan los datos. En materia de los informes recibidos. con el objeto de facilitar el proceso de auditaje. Auditoria A Través Del Computador: Este enfoque está orientado a examinar y evaluar los recursos del software. de acuerdo con las necesidades del usuario o dentro de los parámetros de precisión previstos. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los . Verificar la satisfacción del usuario.7. y surge como complemento del enfoque de auditoría alrededor del computador. 9. Comprobar la existencia y efectividad de un plan de contingencias. 2. por cuanto es necesario saber con cierto rigor. lenguajes de programación o desarrollo de sistemas en general. 10. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior realimentación de los datos corregidos al proceso. Objetivos de esta auditoría 1. en el sentido de que su acción va dirigida a evaluar el sistema de controles diseñados para minimizar los fraudes y los errores que normalmente tienen origen en los programas. para asegurar la continuidad de los procesos y la recuperación de los datos en caso de desastres. 8.

Comprobar que los programas utilizados en producción son los debidamente autorizados por el administrador.programas. en grandes volúmenes de transacciones. Cerciorarse que todos los datos son sometidos a validación antes de ordenar su proceso correspondiente. con el auxilio del computador y de software de auditoría generalizado y /o a la medida. la integridad y la exactitud de los datos. La auditoría con el computador es relativamente fácil de desarrollar porque los programas de auditoría vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicación. Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientos de informática. al examen y evaluación de los archivos de datos en medios magnéticos. Este enfoque es relativamente completo para verificar la existencia. para proteger los datos en su proceso de conversión en información. 6. Auditoria Con El Computador: Este enfoque va dirigido especialmente. Verificar la existencia de controles eficientes para evitar que los programas sean modificados con fines ilícitos o que se utilicen programas no autorizados para los procesos corrientes. Verificar que los programadores modifiquen los programas solamente en los aspectos autorizados. en este caso de software. 4. Informe de Auditoría: deberá orientarse a opinar sobre la validez de los controles. 3. Los paquetes de auditoría permiten desarrollar operaciones y . 5.

JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORÍA DE SISTEMAS • Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos). 2. pues ninguno de los tres. montos de depreciación y acumulación de intereses. tales como: 1. es suficiente para auditar aplicaciones en funcionamiento. • Descubrimiento de fraudes efectuados con el computador • Falta de una planificación informática.Selección de muestras estadísticas. 3. 4. son complementarios. • Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal. relaciones sobre nómina. • Desconocimiento en el nivel directivo de la situación informática de la empresa.recálculos y verificación de información. Informe de Auditoría: Este informe deberá versar sobre la confiabilidad del sistema de control interno para proteger los datos sometidos a proceso y la información contenida en los archivos maestros. como por ejemplo. entre otros.Preparación de análisis de cartera por antigüedad. . equipos e información. Los tres (3) enfoque de auditoría.prueba.Demostración gráfica de datos seleccionados.

Control de modificación a las aplicaciones existentes. OBJETIVO GENERAL DE LA AUDITORIA DE SISTEMAS El objetivo general de la auditoria de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa. • fraudes • control a las modificaciones de los programas. falta de políticas. normas. metodología. Participación en la negociación de contratos con los proveedores. • resguardo y protección de activos. 5. . • Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción. Participación en el desarrollo de nuevos sistemas: • evaluación de controles • cumplimiento de la metodología. Evaluación de suficiencia en los planes de contingencia. • respaldos. • Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados. 6. 4.• Organización que no funciona correctamente. OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS: 1. 3. • control sobre la utilización de los sistemas operativos • programas utilitarios. asignación de tareas y adecuada administración del Recurso Humano. 7. preveer qué va a pasar si se presentan fallas. Revisión de la utilización del sistema operativo y los programas • utilitarios. 2. objetivos. Opinión de la utilización de los recursos informáticos. Evaluación de la seguridad en el área informática.

• Hay diferencias en las técnicas destinadas a mantener un adecuado control. Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los sistemas de información.8. la adecuada segregación de funciones.. 9. (Tecnología de la información). por ejemplo. • Los elementos básicos de un buen sistema de control siguen siendo los mismos.. • Los propósitos principales del estudio y la evaluación del control son la obtención de evidencia para respaldar una opinión y determinar la base. Diferencias: • Se establecen algunos nuevos procedimientos de auditoría. Auditoría de la red de teleprocesos. •a • Una diferencia significativa es que en algunos procesos se usan programas. son las mismas. 2. Es el objetivo final de una auditoría de sistemas bien implementada. Auditoría de la base de datos. FINES DE LA AUDITORIA DE SISTEMAS: 1. Desarrollo de software de auditoría. • Hay alguna diferencia en la manera de estudiar y evaluar el control. desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos. 10. • estructura sobre la cual se desarrollan las aplicaciones. Similitudes y diferencias con la auditoría tradicional: Similitudes: • No se requieren nuevas normas de auditoría. • El énfasis en la evaluación de los sistemas manuales esta en la evaluación . oportunidad y extensión de las pruebas futuras de auditoría. Expresar la opinión sobre la eficiencia de las operaciones en el área de TI.

debido a: • Pérdida de información . 3. • Almacenamiento en medios que deben acceder a través del computador mismo. • Controles del computador. • Debilidades de las máquinas y tecnología.de transacciones. está en la evaluación del control. La información es un recurso clave en la empresa para: • Planear el futuro. Las operaciones de la empresa dependen cada vez más de la sistematización. mientras que el énfasis en los sistemas informáticos. hoy automatizados (procedimientos programados). RAZONES PARA LA EXISTENCIA DE LA FUNCION DE AUDITORIA DE SISTEMAS. • Transmisión y registro de la información en medios magnéticos. Los riesgos tienden a aumentar. controlar el presente y evaluar el pasado. • Uso de lenguajes. Controles manuales. • Metodologías. • Centros externos de procesamiento de datos. • Complejidad de los sistemas. óptico y otros. • Dependencia externa. • Departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas. • Confiabilidad electrónica. ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA Y SUS PROCEDIMIENTOS. • Centralización. 1. 2. son parte de las personas y su experiencia.

6.uso o acceso. 4. . 2. REQUERIMIENTOS DEL AUDITOR DE SISTEMAS 1. áreas críticas. RIESGOS ASOCIADOS AL AREA DE T. entorno económico. .I. • Pérdida de servicios/ventas. . Conocimiento de los proyectos de sistemas. software y personal. . Los problemas se identifican sólo al final. de sus puntos claves. Entendimiento del efecto de los sistemas en la organización. Software: . Conocimiento de los recursos de computación de la empresa. 5. El permanente avance tecnológico. . mal manejo.destrucción. (TECNOLOGÍA DE LA INFORMACIÓN): Hardware .Destrucción. . Entendimiento global e integral del negocio.errores u omisiones.modificación. 3. social y político. 5.• Pérdida de activos.copia. 4. no observancia de las normas. La sistematización representa un costo significativo para • la empresa en cuanto a: hardware.Descuido o falta de protección: Condiciones inapropiadas.hurto. Entendimiento de los objetivos de la auditoría. .

incompetente y descontento. cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones. órdenes impartidas y principios admitidos. permitiendo cierto margen de violaciones.copia. Usuarios: . falta de autorización.Enmascaramiento. . Sistemas de claves de acceso.Archivos: . hurto.Deshonesto.AREA DE SISTEMAS • Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo. Organización: .Usos o acceso. Personal: . destrucción. CLASIFICACIÓN GENERAL DE LOS CONTROLES . sin división de funciones. modificación. .Falta de seguridad. . CONTROLES AREA DE SISTEMAS Conjunto de disposiciones metódicas. .Falta de políticas y planes. falta de conocimiento de su función.Inadecuada: no funcional.

CONTROLES ESPECIFICOS . La corrección adecuada puede resultar difícil e ineficiente. debido a que la corrección de errores es en si una actividad altamente propensa a errores.• Controles detectivos •a Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. siendo necesaria la implantación de controles detectivos sobre los controles correctivos. Son los más importantes para el auditor.AREA DE SISTEMAS PRINCIPALES CONTROLES FÍSICOS Y LÓGICOS Controles particulares tanto en la parte física como en la lógica se detallan a continuación: Autenticidad Permiten verificar la identidad Passwords Firmas digitales . En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Procedimientos de validación. • Controles Correctivos •a Ayudan a la investigación y corrección de las causas del riesgo. Ejemplo: Archivos y procesos que sirvan como pistas de auditoría.

Cifras de control. Conteo de registros. Verificación de secuencias. Privacidad Aseguran la protección de los datos. Compactación Encriptación Existencia . Redundancia Evitan la duplicidad de datos Cancelación de lotes.Exactitud Aseguran la coherencia de los datos Validación de campos Validación de excesos Totalidad Evitan la omisión de registros así como garantizan la conclusión de un proceso de envió.

Aseguran la disponibilidad de los datos. Bitácora de estados Mantenimiento de activos Protección de Activos Destrucción o corrupción de información o del hardware. Extintores Passwords Efectividad Aseguran el logro de los objetivos Encuestas de satisfacción Medición de niveles de servicio Eficiencia Aseguran el uso óptimo de los recursos Programas monitores Análisis costo-beneficio CONTROLES AUTOMÁTICOS O LÓGICOS • Periodicidad de cambio de claves de acceso .

. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente.Confidenciales De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves.No significativas . Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio. Para redefinir claves es necesario considerar los tipos de claves que existen: . por tanto es individual y personal. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente. • Combinación de alfanuméricos en claves de acceso No es conveniente que la clave este compuesta por códigos de empleados.Individuales Pertenecen a un solo usuario. El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación.Los cambios de las claves de acceso a los programas se deben realizar periódicamente. ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave. .

esta verificación debe hacerse mediante . tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango. cifras de control. . .Verificación de secuencias En ciertos procesos los registros deben observar cierta secuencia numérica o alfabética. .Conteo de registros Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados. códigos.Totales de Control Se realiza mediante la creación de totales de linea. . y automáticamente verificar con un campo en el cual se van acumulando los registros. etc.Las claves no deben corresponder a números secuenciales ni a nombres o fechas. ascendente o descendente. • Verificación de datos de entrada Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión. cantidad de formularios. separando solo aquellos formularios o registros con diferencias.Verificación de limites Consiste en la verificación automática de tablas. columnas. . límites mínimos y máximos o bajo determinadas condiciones dadas previamente.

este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan acceder solo a los programas y datos para los que están autorizados. LATTICE.. Programas de este tipo son: WACHDOG. Adicionalmente..Controles de Procesamiento 5.rutinas independientes del programa en sí.. de tal modo que solo el personal autorizado pueda utilizarlo.SECRET DISK.Controles de Sistemas en Desarrollo y Producción 4.. • Utilizar software de seguridad en los computadores El software de seguridad permite restringir el acceso al computador. entre otros.Controles de Preinstalación 2.Controles de Operación .Controles de Organización y Planificación 3.. CONTROLES ADMINISTRATIVOS EN AMBIENTE DE PROCESAMIENTO DE DATOS La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma: 1.

. bajo una relación costo-beneficio que proporcionen oportuna y efectiva información. linea de autoridad y responsabilidad de las diferentes unidades del área PAD. * Garantizar la selección adecuada de equipos y sistemas de computación * Asegurar la elaboración de un plan de actividades previo a la instalación Controles de organización y Planificación Se refiere a la definición clara de funciones. en labores tales como: Diseñar un sistema Elaborar los programas Operar el sistema Control de calidad Se debe evitar que una misma persona tenga el control de toda una operación. - Controles de Sistema en Desarrollo y Producción Se debe justificar que los sistemas han sido la mejor opción para la empresa. que los sistemas se han desarrollado bajo un proceso planificado . Objetivos: * Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.Controles de Preinstalación Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.

- Controles de Operación Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento. - Controles de Procesamiento Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información.y se encuentren debidamente documentados. * Asegurar la utilización adecuada de equipos acorde a planes y objetivos. Los controles tienen como fin: * Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso * Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD * Garantizar la integridad de los recursos informáticos. lo que conlleva al establecimiento de una serie de seguridades para: * Asegurar que todos los datos sean procesados * Garantizar la exactitud de los datos procesados * Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría * Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. DETERMINACIÓN RECURSOS A UTILIZAR EN LA AUDITORÍA DE . la administración de la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas.

Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria. por cuanto la mayoría de ellos son proporcionados por el cliente.SISTEMAS Se debe determinar los recursos humanos y materiales que han de emplearse en la auditoría. Perfiles de los Profesionales que brindan apoyo para la realización de la auditoria de sistemas: |Profesión deseables |Ingeniero de Sistemas distintas. Recursos materiales Software b. Recursos materiales Hardware Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Los recursos materiales del auditor son de dos tipos: a. por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente. Deseable que su labor se haya | | | |Con experiencia amplia en ramas |Actividades y conocimientos |desarrollado en Explotación y en Desarrollo . etc. impresoras ocupadas. Para lo cuál habrá de convenir. Recursos materiales: Es muy importante su determinación. tiempo de maquina. Recursos Humanos: La cantidad de recursos depende del volumen auditable. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado. espacio de disco. Las características y perfiles del personal seleccionado dependen de la materia auditable.

Muy experto en ELABORACIÓN DEL PLAN Y DE LOS PROGRAMAS DE TRABAJO Una vez asignados los recursos. Buenos conocimientos de explotación | |Experto en Software de Comunicación de la técnica de sistemas. Decidido éste. o parcial. porque se manejan recursos genéricos y no específicos. se procede a la programación del mismo. |productos compatibles y equivalentes. El volumen determina no solamente el número de auditores necesarios. b) Si la auditoría es global. Conocedor de | | |Técnico de Sistemas | |Sistemas. Conocimiento de |mismas. entre otros criterios.de Proyectos. • En el plan no se consideran calendarios. |Experto en Sistemas Operativos y Software Básico. los siguientes: a) Si la Revisión debe realizarse por áreas generales o áreas específicas. El plan se elabora teniendo en cuenta. la elaboración es más compleja y costosa. Amplios | |Con experiencia en el | |Experto en Bases de Datos y Administración de las mantenimiento de Bases de Datos. |equivalentes en el mercado. Conocimientos | Subsistemas de teleproceso. de toda la Informática. el responsable de la auditoría y sus colaboradores establecen un plan de trabajo. | | |Alta especialización dentro |profundos de redes. En el primer caso. • En el Plan se establecen los recursos y esfuerzos globales que van a ser . sino las especialidades necesarias del personal. Conocedor de los productos| | conocimientos de Explotación.

OBJETIVOS (Anotar el objetivo de la Auditoria). ANTECEDENTES (Anotar los antecedentes específicos del proyecto de Auditoria). de acuerdo siempre con las prioridades del cliente. El alcance del proyecto comprende: 1. III. se procede a la Programación de actividades.necesarios. ALCANCES DEL PROYECTO. • En el Plan se establecen las prioridades de materias auditables. Evaluación de los Sistemas: . • El Plan establece disponibilidad futura de los recursos durante la revisión. • El Plan estructura las tareas a realizar por cada integrante del grupo. II. • En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto. EJEMPLO DE PROPUESTA DE SERVICIOS DE AUDITORIA EN INFORMÁTICA I. Evaluación de la Dirección de Informática en lo que corresponde a: ▪ Capacitación ▪ Planes de trabajo ▪ Controles ▪ Estándares 2. Una vez elaborado el Plan.

a. Evaluación de los diferentes sistemas en operación (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas)

b. Evaluación del avance de los sistemas en desarrollo y congruencia con el diseño general

c. Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo)

d. Seguridad física y lógica de los sistemas, su confidencialidad y respaldos 3. Evaluación de los equipos:

▪ Capacidades ▪ Utilización ▪ Nuevos Proyectos ▪ Seguridad física y lógica ▪ Evaluación física y lógica IV. METODOLOGIA

La metodología de investigación a utilizar en el proyecto se presenta a continuación:

1. Para la evaluación de la Dirección de Informática se llevarán a cabo las siguientes actividades:

▪ Solicitud de los estándares utilizados y programa de trabajo ▪ Aplicación del cuestionario al personal ▪ Análisis y evaluación del a información ▪ Elaboración del informe

2. Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo las siguientes actividades:

▪ Solicitud del análisis y diseño del os sistemas en desarrollo y en operación. ▪ Solicitud de la documentación de los sistemas en operación (manuales técnicos, de operación del usuario, diseño de archivos y programas). ▪ Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de información, formatos, reportes y consultas). ▪ Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos ▪ Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado ▪ Entrevista con los usuarios de los sistemas ▪ Evaluación directa de la información obtenida contra las necesidades y requerimientos del usuario ▪ Análisis objetivo de la estructuración y flujo de los programas ▪ Análisis y evaluación de la información recopilada ▪ Elaboración del informe 3. Para la evaluación de los equipos se levarán a cabo las siguientes actividades:

▪ Solicitud de los estudios de viabilidad y características de los equipos actuales, proyectos sobre ampliación de equipo, su actualización ▪ Solicitud de contratos de compra y mantenimientos de equipo y sistemas ▪ Solicitud de contratos y convenios de respaldo ▪ Solicitud de contratos de Seguros ▪ Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos, unidades de entrada/salida, equipos periféricos y su seguridad ▪ Visita técnica de comprobación de seguridad física y lógica de la instalaciones de la Dirección de Informática ▪ Evaluación técnica del sistema electrónico y ambiental de los equipos y del

local utilizado ▪ Evaluación de la información recopilada, obtención de gráficas, porcentaje de utilización de los equipos y su justificación 4. Elaboración y presentación del informe final ( conclusiones y recomendaciones)

V. TIEMPO Y COSTO

(Poner el tiempo en que se llevará a cabo el proyecto, de preferencia indicando el tiempo de cada una de las etapas, costo del proyecto).

|PROGRAMA DE AUDITORIA EN SISTEMAS |

|INSTITUCION________________________ HOJA No.__________________ DE_____________ |FECHA DE FORMULACION____________ | |FASE |DESCRIPCION |ACTIVIDAD |DIAS | |NUMERO DE |DIAS | |HAB |

PERSONAL | | |HOM. | |EST. | | | | |

|PERIODO ESTIMADO | |

|

|

|

|EST.

|INSTITUCION_______________________ NUMERO___________ HOJA No._______ DE_______ |PERIODO QUE REPORTA____________________________ |

|DIAS REALES |PERIODO REAL DE |GRADO DE |DIAS HOM. Cuando la auditoría se realiza por áreas específicas.| |FASE |SITUACION DE LA AUDITORIA LA | CE | | | |EST. Si se examina por grandes temas. de forma que el resultado se obtiene más rápidamente y con menor calidad. FASES DE UNA AUDITORIA DE SISTEMAS Las fases de una auditoria de sistemas son: Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones . se abarcan de una vez todas las peculiaridades que afectan a la misma. |EXPLICACION DE LAS| |AUDITORIA |UTILIZADOS |AVAN |VARIACIONES EN | | | | | |REL ACION CON LO | | | | | | | | |PRO GRAMADO |NO INICIADA |EN PROCESO |TERMINADA |INICIADA |TERMINADA | | | | | | | | | | | | | | | | |ACTIVIDADES DE LA AUDITORÍA DE SISTEMAS Auditoría por temas generales o por áreas específicas: La auditoría Informática general se realiza por áreas generales o por áreas específicas. resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos.

Características de la aplicación de computadora • Manual técnico de la aplicación del sistema • Funcionarios (usuarios) autorizados para administrar la aplicación • Equipos utilizados en la aplicación de computadora. FASE II: ANÁLISIS DE TRANSACCIONES Y RECURSOS 2.1. La importancia de las transacciones deberá ser asignada con los administradores.3. Características del Sistema Operativo. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. Análisis de las transacciones • Establecer el flujo de los documentos. Dependiendo del tamaño del sistema.2.FASE I: CONOCIMIENTOS DEL SISTEMA 1. ya que facilita la visualización del funcionamiento y recorrido de los procesos. 2. En esta etapa se hace uso de los flujogramas. • Organigrama del área que participa en el sistema • Manual de funciones de las personas que participan en los procesos del sistema • Informes de auditoría realizadas anteriormente 1.1. . • Seguridad de la aplicación (claves de acceso) • Procedimientos para generación y almacenamiento de los archivos de la aplicación. Aspectos Legales y Políticas Internas. las transacciones se dividen en procesos y estos en subprocesos.2. Definición de las transacciones. 1.

4.1.2. Identificación de riesgos • Daños físicos o destrucción de los recursos • Pérdida por fraude o desfalco • Extravío de documentos fuente. Relación entre recursos/amenazas/riesgos La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento. archivos o informes • Robo de dispositivos o medios de almacenamiento • Interrupción de las operaciones del negocio • Pérdida de integridad de los datos • Ineficiencia de operaciones • Errores 3.3. Codificación de controles .1.3.2. Identificación de las amenazas • Amenazas sobre los equipos: • Amenazas sobre documentos fuente • Amenazas sobre programas de aplicaciones 3. FASE IV: ANÁLISIS DE CONTROLES 4. Relación entre transacciones y recursos FASE III: ANÁLISIS DE RIESGOS Y AMENAZAS 3. Análisis de los recursos • Identificar y codificar los recursos que participan en los sistemas 2.

4. FASE V: EVALUACIÓN DE CONTROLES 5. Objetivos de la evaluación • Verificar la existencia de los controles requeridos • Determinar la operatividad y suficiencia de los controles existentes 5. luego la identificación de los controles debe contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido. todos los elementos necesarios de prueba. Pruebas de controles 5.2. Plan de pruebas de los controles • Incluye la selección del tipo de prueba a realizar.1.Los controles se aplican a los diferentes grupos utilizadores de recursos. 4. Análisis de resultados de las pruebas FASE VI: INFORME DE AUDITORIA . 5. Para cada tema debe establecerse uno o más controles.3. Relación entre recursos/amenazas/riesgos La relación con los controles debe establecerse para cada tema identificado. Análisis de cobertura de los controles requeridos Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos. • Debe solicitarse al área respectiva.3.2. 4.

1. aún y cuando esta sea confidencial. • Introducción: objetivo y contenido del informe de auditoria • Objetivos de la auditoría • Alcance: cobertura de la evaluación realizada • Opinión: con relación a la suficiencia del control interno del sistema evaluado • Hallazgos • Recomendaciones FASE VII: SEGUIMIENTO DE RECOMENDACIONES 7.2. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas. Evaluación de las respuestas 6. Informes del seguimiento 7.2.3. El auditor deberá ganarse la confianza gracias a su experiencia y conocimientos además a su pericia en el desarrollo de sus trabajos.6. Evaluación de los controles implantados NORMAS ÉTICAS Y PROFESIONALES QUE DEBE TENER EN CUENTA UN AUDITOR DE SISTEMAS El trabajo que desempeña un auditor es de una gran responsabilidad ante la empresa auditada y ante la sociedad misma. Pero sin duda alguna lo mas importante para ganar esa confianza es su valor ético como profesional de la materia y como persona moral lo cual de da validez a su dictamen. . Además el auditor emite un dictamen basado en su evaluación y dicho documento contiene su opinión la cual es de suma importancia. El desempeño del auditor debe ser totalmente de confianza ya que se le permite conocer la información que se maneja en la empresa. Informe detallado de recomendaciones 6.1.

leyes y reglamentos del país en donde se desempeñe.Las palabra ética tienen un origen griego. ético : eethikos: costumbre. A continuación se mencionan algunos de ellos. Los principios y valores morales aseguran un comportamiento ético en las personas y en los profesionales. La experiencia y actitudes así como los conocimientos del auditor harán más fácil el cumplimiento de estos criterios y responsabilidades. Se reconoce que el comportamiento ético es básico para el ejercicio de las actividades de un profesional en el área de auditoria. • Regulaciones de asociaciones y colegios de profesionales de auditoria. • Regulaciones de códigos. carácter éthicos trata de la moral y las obligaciones de los hombres La palabra moral tiene su origen en el latín moralis: reglas que deben seguirse para hacer el bien y evitar el mal Los principios éticos forman el comportamiento moral y la actitud de la conducta de las personas y de los profesionistas. . A continuación se listan los principios y valores éticos que un auditor debe tener: • Honestidad • Integridad • Cumplimiento • Lealtad • Imparcialidad • Respeto a los demás • Responsable • Atento • Búsqueda de la excelencia • Responsabilidad • Confiable • Veraz El comportamiento del auditor deberá también caracterizarse por diferentes criterios y responsabilidades que la misma empresa en donde se desempeña deberá regular.

dictámenes e informes de acuerdo a normas y lineamientos • Acatar las normas de conducta y de disciplina correspondientes • Capacitar al personal subalterno Criterios relacionados con el aspecto de juicio • Verificar la autenticidad de las evidencias encontradas. • Ética profesional y moral del auditor • Ética de profesión de auditoria. aptitud y experiencia • Manejo adecuado en las relaciones personales con el auditado • Seguimiento de una metodología y procedimientos de evaluación • No modificar. Existen criterios que tienen que ver con el aspecto profesional y personal del auditor y que en caso de incumplimiento no tendrá un castigo legal. técnicas y herramientas para evaluación. • Evaluar libre de presiones e influencias. razonables y profesionales También es importante listar los criterios relacionados con el aspecto laboral • Elaborar evaluaciones. • Seguir los lineamientos de auditoría emitidos por asociaciones o por la empresa que se audite. ocultar ni destruir evidencias • Manejo de discreción con la información • Ser imparcial y razonable • Emitir dictámenes independientes. El auditor deberá seguir normas de carácter profesional para conservar el . • Independencia mental y profesional • Contar con la habilidad. sin embargo el auditor que no los cumpla será señalado por sus colegas y por la empresa acarreando con esto el desprestigio profesional. • Aplicar de manera uniforme los métodos. lineamientos y políticas de la empresa auditada.• Regulaciones entre la empresa auditada y la empresa auditora • Normas.

MÉTODOS.prestigio y credibilidad de la función de auditoria • Mantener una disciplina profesional: Esta actitud profesional debe extenderse a su vida personal. • Planea la auditoria y los programas de evaluación. Para poder cumplir con la recolección y evaluación de evidencia hará uso de diferentes métodos. permanente capacitación. • Guardar el secreto profesional: Los resultados de la evaluación y la información de la empresa. A continuación se listan las principales técnicas. herramientas y procedimientos. La utilización adecuada de dichas técnica marcara un punto importante para que el resultado de la auditoria sea satisfactorio. técnicas. TÉCNICAS Y HERRAMIENTAS DE AUDITORIA DE SISTEMAS El auditor deberá hacer la recolección y evaluación de evidencia que le permita establecer si un sistema de información cumple de manera eficiente con los objetivos organizacionales y salvaguarda información y mantiene la integridad de los sistemas. herramientas y procedimientos de auditoría aplicables al área de sistemas de información: Para la recolección de datos el auditor podrá utilizar: • Entrevista • Encuesta • Cuestionario • Observación • Muestreo . • Responsabilidad profesional. • Presentación por escrito del dictamen e informe de auditoría. • Opinión respaldada con evidencia comprobada. • Tener independencia mental: Libre de influencias y sustentada por conocimientos y habilidades.

así como analizar que la entrada. El examen también inspecciona las actividades y funciones del personal de informática y de los usuarios. También se le conoce como prueba y podemos citar algunas de las pruebas que se aplican en el área de sistemas • Prueba de los resultados del sistema: Se revisa la entrada. • AS • Pruebas de implantación: Se hacen con anterioridad a la implantación del sistema y principalmente se enfocan a revisar que el diseño esté de acuerdo al comportamiento del sistema. el desarrollo de proyectos. Inspecciona la seguridad del sistema y del área de informática. periféricos y equipos asociados. procesamiento y salida de datos sea correcta. a los programas y a las bases de datos. También examina los controles de accesos físicos y lógicos al sistema.• Inventarios Para la evaluación de evidencia el auditor podrá utilizar: EXAMEN: Es utilizado para analizar la correcta operación de un sistema. procesamiento y salida de datos evaluando velocidad. Pruebas al Sistema: Se pueden realizar por medio del sistema operativo utilizando paquetería o programas de cómputo que ayude a verificar el funcionamiento del sistema. Las pruebas de implantación pueden hacerse de tres formas: Pruebas piloto: Su objetivo es identificar todos los posibles problemas que se pueden presentar antes de implementar el sistema Pruebas de aproximaciones sucesivas: Aquí los exámenes se van realizando por partes primero se dan las pruebas básicas y así se avanza a pruebas más complejas. • Pruebas al sistema operativo: estas pruebas ayudan a verificar las rutinas de verificación que el procesador sigue en el momento del arranque de sistema . Se revisan componentes del sistema. Se pueden realizar operaciones de forma manual para comprobar los resultados. comportamiento exactitud.

• AS • Pruebas a los programas de aplicación: El diseñador del proyecto simula el comportamiento del sistema. dispositivos de seguridad contra incendios e inundaciones. Confirmación: El auditor deberá estar plenamente seguro de que los datos y hechos que sustentan su dictamen son verídicos y confiables. planes de contingencia y demás sistemas de seguridad INSPECCIÓN: Es similar al concepto de pruebas o exámenes solo que la inspección da un veredicto o en otras palabras su propósito es juzgar. Esta prueba es conocida con el nombre de prueba de escritorio. revisión de mobiliario. Juzgar el cumplimiento de las funciones. Algunos ejemplos de confirmaciones son: . calefacción. Estas utilerías son diseñadas por los fabricantes de hardware y software y reportan de manera automática un mal funcionamiento e inclusive pueden llegar a repararlas. funcionamiento de periféricos.además se verifican los componentes. aire acondicionado. conexiones. anticipando de esta forma las posibles fallas. sistemas eléctricos. Las bitácoras que son arrojadas por algunos sistemas pueden servir para la verificación del comportamiento del sistema operativo. Algunos ejemplos de inspecciones en la auditoria de sistemas son: La inspección a los sistemas de seguridad y protección del equipo. a fin de opinar sobre su actuación. conexiones entre los diversos componentes. personal con el propósito de dictaminar sobre su eficiencia y confiabilidad. por lo que deberá confirmar que hayan sido obtenidos con técnicas de auditoría validas. • AS • Exámenes al centro de cómputo: Consiste en la revisión que se hace a las instalaciones del centro de computo para evaluar el estado de las comunicaciones. actividades y responsabilidades del personal del área de sistemas y usuarios del sistema.

Revisar las licencias del software instalado en los sistemas de cómputo con el objetivo de confirmar que no hay software pirata Confirmar la confiabilidad de los accesos. Algunos ejemplos de comparación en el área de sistemas son: Comparar las similitudes y diferencias en la aplicación de una metodología para análisis y diseño de sistemas entre diferentes proyectos de sistemas Determinar la eficiencia y efectividad de una instalación computacional comparando las actividades desarrolladas en dos centros de cómputo similares. COMPARACIÓN: Se utiliza para validar la confiabilidad de los sistemas y procedimientos. También se puede realizar una comparación de datos procesados por el sistema con datos procesados de forma manual. videos. En el área de auditoria se pueden hacer revisión de documentos tales como Diagramas de Flujo. Consiste en procesar los mismos datos en dos sistemas similares para medir la veracidad la oportunidad y la confiabilidad de dichos sistemas. procesamiento y salida de datos. mapas. MATRIZ DE EVALUACIÓN: Esta consiste en colocar en la primera columna la descripción del elemento que está siendo evaluado y en las columnas . cintas magnéticas CD-ROM. Un ejemplo de revisión de documentos seria: Revisión de documentos de pruebas. boletines. microfilminas. REVISIÓN DE DOCUMENTOS: Esta es una herramienta muy socorrida por las auditorias fiscales y financieras y consiste en revisar los documentos que sustenten los registros de las operaciones y actividades. resultados de operación seguimiento. password y medidas de seguridad establecidas para el acceso a los sistemas y a las bases de datos con el fin de confirmar que no son vulnerables. protecciones. DVD etc. estadísticas de aprovechamiento con el fin de evaluar la efectividad y eficiencia en la entrada. Apuntes y programas de cómputo. discos duros.

Además se les puede asignar un peso a cada elemento para obtener una calificación total. Debilidades y Amenazas. MODELOS DE SIMULACIÓN: Consiste en simular una situación para observar como se comporta el sistema. Se simulan ciertas situaciones que pudieran ocurrir o situaciones que suponemos se dieron en un momento dado con el fin de estudiar el comportamiento y evaluar si el funcionamiento es correcto. GUÍAS DE AUDITORIA: Como su nombre lo dice representa una ayuda para el seguimiento de una auditoria. estructura organizacional y aspectos externos tanto nacionales como internacionales todo esto aplicado al área de sistemas. Se realiza una revisión de los aspectos que tienen que ver con cuestiones Internas a la empresa como La cultura organizacional. . La simulación es una herramienta utilizada para evaluar el funcionamiento de las medidas de contingencia en caso de algún siniestro como un terremoto. Oportunidades. Para completar esta lista podemos mencionar otras técnicas de evaluación mas especializadas como • Diagramas de sistemas • Programas de verificación • Seguimiento de programación TECNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR “TAAC”. esto ayuda a la de capacitación del personal para que actúen de manera correcta. Regular. técnica o procedimiento a seguir. Estos elementos a auditar son calificados. esto ayuda a visualizar que es lo que se tiene que hacer cuando esa situación se presente. siendo posible colocar número del 10 como Excelente y así ir bajando a Muy Bueno. estrategias. Malo. Bueno.siguientes la calificación con que se está evaluando. MATRIZ FODA: Sirve para evaluar las Fortalezas. en este documento se registra lo que se va a auditar y el método.

aplicada al sistema en producción. por tanto. lo cual permite disponer de los mismos archivos maestros. los programas utilizados para digitar los datos de prueba deben ser los mismos que se encuentran en producción y que se utilizan para procesar los movimientos diarios.PRUEBAS INTEGRALES: Permite examinar el proceso de la aplicación en su ambiente normal de producción. en tal caso. entre un sistema nuevo que sustituye a uno ya auditado. la prueba es más completa y requiere de un alto grado de cooperación entres usuarios.EVALUACIÓN DE UN SISTEMA CON DATOS DE PRUEBA: Comúnmente llamada lotes de prueba. 2. Los resultados de la prueba se comparan contra resultados precalculados o predeterminados para examinar la lógica y precisión de los procesos. . Cuando esta técnica se mantiene en el tiempo para ser.1. Se ensaya la aplicación con datos de prueba contra resultados obtenidos inicialmente en las pruebas del programa para detectar resultados no válidos. mediante el proceso de los mismos datos reales. Esta técnica se utiliza en la fase de prueba del programa. Se presenta un proceso de información simultáneo para comparar contra resultados predeterminados. 3. pues se procesan datos de prueba en la misma aplicación en producción junto con los datos reales. toma el nombre de EVALUACION DEL SISTEMA DEL CASO BASE ⿿ ESCB. auditores y personal de sistemas.OPERACIONES EN PARALELO: Confrontación de resultados. Los programas y procedimientos actuales no se abandonarán hasta cuando los nuevos arrojen los resultados esperados. Los datos de prueba deben representar la aplicación que se examina con todas las posibles combinaciones de transacciones que se lleven a cabo en situaciones reales. antes de ser enviada a producción y cuando se llevan a cabo modificaciones a un programa. consistente y cotidianamente. para lo cual se crea una compañía de prueba con fines de auditoría dentro de la aplicación.

SELECCIÓN DE DETERMINADO TIPO DE TRANSACCIONES COMO AUXILIAR EN EL ANÁLISIS DE UN ARCHIVO HISTORICO: Con el fin de analizar en forma parcial el archivo histórico de un sistema. La TAAC anteriormente descritas. el cual sería casi imposible verificar en forma total .RESULTADOS DE CIERTOS CÁLCULOS PARA COMPARACIONES POSTERIORES: Con el fin de comparar en el futuro los totales en diferentes fechas .REVISIONES DE ACCESO: Consiste en conservar un registro computarizado de todos los accesos a determinados archivos (información del usuario y terminal) ⿿ Software de Auditoría.SIMULACIÓN: Se desarrolla un programa de aplicación para determinada prueba y se compara el resultado con los arrojados por la aplicación real. 7. 5. 8. 9. 6. para verificar su exactitud en forma parcial .Software de Auditoría.Software de Auditoría. El COMPUTADOR le facilita al AUDITOR realizar tareas como: .TOTALES ALEATORIOS DE CIERTOS PROGRAMAS: Consiste en obtener totales de datos en alguna parte del sistema.Software de Auditoría.REGISTROS EXTENDIDOS: Agregar un campo de control a un registro Software de Auditoría.4. ayudan al AUDITOR a establecer una metodología para la revisión de los sistemas de aplicación de una institución. empleando como herramienta EL MISMO EQUIPO DE COMPUTO.

Hacer muestreo estadístico. f. . d. 4. nombre de los campos y descripción (longitud. Lo anterior implica una metodología que garantiza una revisión más extensa e independiente. e. tipo).Ordenamiento de la información. codificación empleada.Producción de reportes e histogramas.Verificar la exactitud de los datos.Trasladar el archivo de datos a un PC con gran capacidad de almacenamiento. 3. c.Llevar a cabo con un software de auditoría las verificaciones que se mencionan anteriormente.Trasladar los datos del sistema a un ambiente de control del auditor.Obtención de la documentación de los archivos que incluye: Nombre del archivo y descripción.Llevar a cabo la selección de datos. g.Selección del sistema de información a revisar. etc. b. que podría consistir en los siguientes pasos: 1. 2.a.Visualización de datos.

su proceso y salida de información. .Verificar los controles y procedimientos de autorización de la utilización y captura de los datos.Revisar todos los cambios hechos a los programas y sistemas para verificar la integridad de las aplicaciones. fraudes. perjuicios. falsificaciones. Es importante revisar los procedimientos para el mantenimiento de los programas y las modificaciones a los sistemas. rastrean y a veces.Asegurarse de que las aplicaciones cumplan con los objetivos definidos en la planeación. estafa. d. husmean. e. Las personas que comenten estos delitos son auténticos genios de la informática. c. entran sin permiso en ordenadores y redes ajenas.5. En resumen: El Auditor debe tener la habilidad para revisar y probar la integridad de los sistemas y sus ACTIVIDADES PRINCIPALES SERÁN: a. tales como robos o hurto. DELITOS INFORMÁTICOS Los delitos informáticos implican actividades criminales. b. debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha propiciado a su vez la necesidad de regulación por parte del derecho. sabotaje.Revisar las transacciones y los archivos para detectar posibles desviaciones de las normas establecidas.Participación del Auditor en el desarrollo de sistemas. así como los programas que las generan. Sin embargo.Revisar las transacciones realizadas para asegurarse de que los archivos reflejan la situación actual. etc.

son la ultima avanzada de la delincuencia informática de este final de siglo. esto es. Las personas que cometen los "Delitos Informáticos" son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes. características que pudieran encontrarse en un empleado del sector de procesamiento de datos. Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. motivadas y dispuestas a aceptar un reto tecnológico. en muchos de los casos. otro reciente estudio realizado en América del Norte y Europa indicó que el 73% de las intrusiones cometidas eran atribuibles a fuentes interiores y solo el 27% a la actividad delictiva externa. Sin embargo.dejan sus peculiares tarjetas de visita. teniendo en cuenta las características ya mencionadas de las . Al respecto. los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible. Asimismo. la persona que "ingresa" en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes. Los Hackers posmodernos corsarios de la red. aún cuando. decididas. el 90% de los delitos realizados mediante la computadora fueron ejecutados por empleados de la propia empresa afectada. El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los posibles delincuentes informáticos son personas listas. no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos. De esta forma. 43 y 44). según un estudio publicado en el Manual de las Naciones Unidas en la prevención y control de delitos informáticos (Nros. o bien son hábiles en el uso de los sistemas informatizados.

y dentro de las cuales cabe destacar las "violaciones a las leyes de patentes y fábrica de derechos de autor. se lanzan automáticamente desde equipos infectados (a través de virus. troyanos. programa de software o sistema del usuario) con propósitos desconocidos por el operador del sistema y que. entre otros". En su mayoría.) sin que el propietario sepa lo que está ocurriendo. los estudiosos en la materia los han catalogado como "delitos de cuello blanco" término introducido por primera vez por el criminólogo norteamericano Edwin Sutherland en el año de 1943. a razón de varios ataques por minuto en cada equipo conectado. etc. son ejecutados por piratas informáticos. este criminólogo estadounidense dice que tanto la definición de los "delitos informáticos" como la de los "delitos de cuello blanco" no es de acuerdo al interés protegido.personas que cometen los "delitos informáticos". Un "ataque" consiste en aprovechar una vulnerabilidad de un sistema informático (sistema operativo. Los ataques siempre se producen en Internet. gusanos. este conocido criminólogo señala un sinnúmero de conductas que considera como "delitos de cuello blanco". por lo general. corrupción de altos funcionarios. la evasión de impuestos. ATAQUES O ROBOS INFORMATICOS Cualquier equipo conectado a una red informática puede ser vulnerable a un ataque. causan un daño. Los ataques pueden ejecutarse por diversos motivos: • para obtener acceso al sistema. aún cuando muchas de estas conductas no están tipificadas en los ordenamientos jurídicos como delitos. las quiebras fraudulentas. En casos atípicos. Asimismo. es importante estar familiarizado con los principales tipos y tomar medidas preventivas. el contrabando en las empresas. el mercado negro. . Efectivamente. como sucede en los delitos convencionales sino de acuerdo al sujeto activo que los comete. Para bloquear estos ataques.

• para usar los recursos del sistema del usuario. o Monitoreo del tráfico de red. • para utilizar el sistema de un usuario como un "rebote" para un ataque. o Vandalismo. • para obtener información acerca de una organización (la compañía del usuario. El esquema que figura a continuación repasa brevemente los distintos niveles que revisten un riesgo para la seguridad: [pic] Los riesgos se pueden clasificar de la siguiente manera: • Acceso físico: en este caso. desde electricidad para suministrar alimentación a los equipos hasta el programa de software ejecutado mediante el sistema operativo que usa la red. Los ataques se pueden producir en cada eslabón de esta cadena. . o Falsificación de identidad. como secretos industriales o propiedad intelectual. etc. • para recopilar información personal acerca de un usuario. • Intercepción de comunicaciones: o Secuestro de sesión. o Apagado manual del equipo. siempre y cuando exista una vulnerabilidad que pueda aprovecharse. • para obtener información de cuentas bancarias.). en particular cuando la red en la que está ubicado tiene un ancho de banda considerable. o Apertura de la carcasa del equipo y robo del disco duro. el atacante tiene acceso a las instalaciones e incluso a los equipos: o Interrupción del suministro eléctrico. Tipos de ataques Los sistemas informáticos usan una diversidad de componentes. • para afectar el funcionamiento normal de un servicio.• para robar información.

o • Denegaciones de servicio: el objetivo de estos ataques reside en interrumpir el funcionamiento normal de un servicio. Muchas veces es él quien. las denegaciones de servicio se dividen de la siguiente manera: o Explotación de las debilidades del protocolo TCP/IP. En ciertos casos. o Ataques malintencionados (virus. Es por ello que los errores de programación de los programas son corregidos con bastante rapidez por su diseñador apenas se publica la vulnerabilidad. o Elevación de privilegios: este tipo de ataque consiste en aprovechar una vulnerabilidad en una aplicación al enviar una solicitud específica (no planeada por su diseñador). troyanos). la razón y el conocimiento básico acerca de las prácticas utilizadas pueden ayudar a evitar este tipo de errores. el eslabón más débil es el mismo usuario. En consecuencia. Por lo general. •s • Puertas trampa: son puertas traseras ocultas en un programa de software que brindan acceso a su diseñador en todo momento. genera una vulnerabilidad en el sistema al brindar información (la contraseña. d • Ingeniería social: en la mayoría de los casos. • Intrusiones: o Análisis de puertos. gusanos. o Explotación de las vulnerabilidades del software del servidor.o Redireccionamiento o alteración de mensajes. Cuando ello sucede. queda en manos de los administradores (o usuarios privados con un buen conocimiento) mantenerse informados acerca de las . Los ataques de desbordamiento de la memoria intermedia (búfer) usan este principio. esto genera comportamientos atípicos que permiten acceder al sistema con derechos de aplicación. ningún dispositivo puede proteger al usuario contra la falsificación: sólo el sentido común. por ejemplo) al pirata informático o al abrir un archivo adjunto. por ignorancia o a causa de un engaño.

el pirata informático siempre sabe que puede ser descubierto. Esto comprueba la importancia de proteger su red o PC. Esfuerzo de protección La seguridad del sistema de un equipo generalmente se denomina "asimétrica" porque el pirata informático debe encontrar sólo una vulnerabilidad para poner en peligro el sistema. Ataque por rebote Cuando se ejecuta un ataque. Los primeros consisten en atacar un equipo a través de otro para ocultar los rastros que podrían revelar la identidad del pirata (como su dirección IP) con el objetivo de utilizar los recursos del equipo atacado. Además. la primera persona cuestionada será el propietario del equipo que se utilizó como rebote.actualizaciones de los programas que usan a fin de limitar los riesgos de ataques. corregir todas sus fallas. por lo que generalmente privilegia los ataques por rebote (en oposición a los ataques directos). antivirus) que brindan la posibilidad de aumentar el nivel de seguridad. por su propio bien. existen ciertos dispositivos (firewalls. Con el desarrollo de las redes inalámbricas. este tipo de situación podría ser cada vez más común ya que estas redes no son demasiado seguras y los piratas ubicados en sus inmediaciones podrían usarlas para ejecutar un ataque. ¿Qué es un hacker? El término "hacker" se usa con frecuencia para referirse a un pirata informático. mientras que el administrador debe. si las víctimas realizan una denuncia. ya que podría terminar siendo "cómplice" de un ataque y. A las víctimas de piratería de redes informáticas les gusta pensar que han sido atacadas por piratas con experiencia quienes han estudiado en detalle sus sistemas y desarrollaron herramientas específicas para sacar provecho de sus . sistemas de detección de intrusiones.

•d • "Los "hackers de sombrero negro". llegar a conocer el funcionamiento de cualquier sistema informático mejor que quiénes lo inventaron.vulnerabilidades. Es una persona muy interesada en el funcionamiento de sistemas operativos. Por otra parte. son casi siempre los responsables de los protocolos informáticos y las herramientas más importantes usadas actualmente. Ellos son capaces de crear sus propios softwares para entrar a los sistemas. por ejemplo el correo electrónico. Los diferentes tipos de piratas En realidad existen varios tipos de "atacantes" divididos en categorías de acuerdo a sus experiencias y motivaciones. • "Los "hackers de sombrero blanco". La palabra es un término ingles que caracteriza al delincuente silencioso o tecnológico. En la actualidad. •d • "Los "hacktivistas" (contracción de hackers y activistas) son hackers con motivaciones principalmente ideológicas. no pretende producir daños. Toma su actividad como un reto intelectual. más comúnmente llamados piratas. hackers en el sentido noble de la palabra y cuyo objetivo es ayudar a mejorar los sistemas y las tecnologías informáticas. existen diversos tipos de delito que pueden ser cometidos y que se encuentran ligados directamente a acciones efectuadas contra los propios sistemas y las Naciones Unidas los clasifican así: ARTICULO Uno de los mayores ataques informáticos afectó a empresas de 196 países . aquel curioso que simplemente le gusta husmear por todas partes. con frecuencia se le usa para referirse a personas que irrumpen en sistemas informáticos. son personas que irrumpen en los sistemas informáticos con propósitos maliciosos.

El ejecutivo jefe de NetWitness. En total. y a sus datos personales. Arabia Saudita. el 26 de enero el ingeniero Alex Cox. los ataques comenzaron a fines de 2008 e iban dirigidos a captar la información de los usuarios para acceder a sus cuentas de correos. Amit Yoran. dijo a la prensa estadounidense que los ataques más recientes no parecen estar vinculados con la intrusión en los sistemas de Google. por primera vez.Febrero 18. Se trata. de NetWitness. La intrusión la detectó. 2010 [pic] Una firma de seguridad informática enfrentó recientemente uno de los mayores ataques de la historia: 75.000 computadoras de 2. además de a sus cuentas en facebook. se aproximan a los de naciones como China y Rusia”. Pero. tecnología y medios. pero principalmente de los EEUU. de uno de los mayores ataques que ha tenido lugar hasta el momento.500 empresas en 196 países. Turquía y México. defensa. Según informa NetWitness en su página web. La información sobre estos ataques se producen semanas después de saberse que piratas cibernéticos habían penetrado en las redes de computadoras de Google y más de otras 30 grandes empresas financieras. a sus cuentas bancarias. cuando descubrió la presencia de un programa bautizado como . Yahoo! y Hotmail. hay afectadas empresas de 196 países. según la empresa NetWitness. La mayor parte de las empresas afectadas pertenecen a la industria tecnológica y del cuidado de la salud. Google indicó entonces que el ataque contra sus sistemas provenía de China. añadió: “Es significativo que por su magnitud y su demostración del avanzado conocimiento de los grupos criminales acerca de ataques cibernéticos. de energía. Egipto. Una empresa especializada en la investigación de ciberataques reveló un asalto masivo que tuvo lugar hace unos meses.

dijo Yoran. precisa el comunicado.000 dólares a varias compañías farmacéuticas en Estados Unidos. Los intrusos atraían a empleados poco precavidos en las empresas atacadas para que descargaran programas infectados de sitios controlados por los piratas cibernéticos. Constanta (sur) y Timisoara (oeste). operado por un grupo ubicado en Europa oriental y activo en por lo menos 20 servidores de mando y control en todo el mundo. “El número de sistemas penetrados creció de manera exponencial”. Los cinco acusados entraron ilegalmente. dijo Yoran. intercepción de datos informáticos. inadecuados para enfrentarse a Kneber o la mayoría de amenazas avanzadas”.Kneber. a partir de noviembre de 2007. por definición. Los servicios de policía se incautaron de nueve ordenadores portátiles. Cinco personas de entre 20 y 32 años fueron detenidas y están siendo investigadas por "acceso no autorizado a un sistema informático. así como de dinero en efectivo (123. “La protección convencional contra malware y sistemas de detección de intrusos basados en la firma son. discos duros. Una red de piratas informáticos ('hackers') rumanos. Los bots permitieron que los atacantes tomaran control de las computadoras invadidas de donde extrajeron credenciales y contraseñas de acceso -incluidos datos de bancos y redes sociales. informó la . tarjetas de memoria. indicaron fuentes oficiales en Bucarest. en varios ordenadores que pertenecían a compañías farmacéuticas norteamericanas.que luego se usaron para penetrar los sistemas de otros usuarios. explicó Yoran.640 euros) y joyas durante la investigación llevada a cabo el 9 de abril en las ciudades de Bucarest. o les inducían a abrir correos electrónicos que contenían los anexos infectados. fraude y blanqueo de dinero".470 dólares y 34. fue desmantelada por las autoridades rumanas en colaboración con el FBI. según un comunicado de los fiscales rumanos a cargo de los casos de crimen organizado y terrorismo. que causó perjuicios por valor de 800.

se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría. Cuerpo expositivo: . los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. CONCLUSIÓN Para que no se presenten estos delitos informáticos las empresa deben aplicar muy bien los diferentes controles Preventivos (estos reducen la frecuencia con que ocurren las causas del riesgo. responsabilidad y puesto de trabajo que ostente. INFORME FINAL DE LA AUDITORIA DE SISTEMAS La función de la auditoría se materializa exclusivamente por escrito. permitiendo cierto margen de violaciones). controles detectivos (estos no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Definición de objetivos y alcance de la auditoría. Por lo tanto la elaboración final es el exponente de su calidad. con indicación de la jefatura. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas.agencia Mediafax. son los más importantes para el auditor porque sirven para evaluar la eficiencia de los controles preventivos y los controles Correctivos ( estos que ayudan a la investigación y corrección de las causas del riesgo). Enumeración de temas considerados: Antes de tratarlos con profundidad. Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final.

en la que se analiza no solamente una situación sino además su evolución en el tiempo. . La inclusión de hechos poco relevantes o accesorios desvía la atención del lector. el verdadero objetivo de la auditoría informática.El informe debe incluir solamente hechos importantes. La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida.Para cada tema. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. 2. La consolidación de los hechos debe satisfacer.El Informe debe consolidar los hechos que se describen en el mismo. d) Recomendaciones y planes de acción. Flujo del hecho o debilidad: . Constituyen junto con la exposición de puntos débiles. No deben existir alternativas viables que superen al cambio propuesto. c) Puntos débiles y amenazas. 3. se expondrá la situación prevista y la situación real b) Tendencias. El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. al menos los siguientes criterios: 1. Modelo conceptual de la exposición del informe final: . 4. se seguirá el siguiente orden a saber: a) Situación actual. e) Redacción posterior de la Carta de Introducción o Presentación. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación. Cuando se trate de una revisión periódica. El hecho debe poder ser sometido a cambios.

Se destina exclusivamente al responsable máximo de la empresa. . 2 – Consecuencias del hecho . .Deberá entenderse por sí sola. Así como pueden existir tantas copias del informe Final como solicite el cliente. 3 – Repercusión del hecho .Deberá estar suficientemente soportada en el propio texto. la auditoría no hará copias de la citada carta de Introducción. .Ha de ser exacto. y además convincente. 4 – Conclusión del hecho . .Deberá ser concreta y exacta en el tiempo. por simple lectura.Ha de ser relevante para el auditor y pera el cliente. 5 – Recomendación del auditor informático . .Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa.La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja. o a la persona concreta que encargo o contrato la auditoría. .1 – Hecho encontrado. .No deben existir hechos repetidos. o Carta de introducción o presentación del informe final: La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. para que pueda ser verificada su implementación. La carta de introducción poseerá los siguientes atributos: • Tendrá como máximo 4 folios.

No sólo incluye elementos internos como el disco duro. teclado. SEGURIDAD FÍSICA: Dentro de la seguridad informática. Un sistema es un conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. SISTEMA: (system). E incluso hace referencia a elementos externos como la impresora. HARDWARE: En computación. término inglés que hace referencia a cualquier componente físico tecnológico. Los sistemas reciben (entrada) datos. el mouse. el monitor y demás periféricos. dispositivos electrónicos y sistemas informáticos. etc. CDROM. • En la carta de Introducción no se escribirán nunca recomendaciones. • Cuantificará la importancia de las áreas analizadas. La informática se basa en múltiples ciencias como la matemática. objetivos y alcance. • Proporcionará una conclusión general. circuitos. la física. energía o materia. que trabaja o interactúa de algún modo con la computadora. ANEXOS TERMINOLOGIA UTILIZADA EN EL AREA DE SISTEMAS INFORMÁTICA: Ciencia que estudia el tratamiento automático de la información en computadoras. el teclado. etc. gabinete. energía o materia del ambiente y proveen (salida) información.• Incluirá fecha. concretando las áreas de gran debilidad. naturaleza. • Presentará las debilidades en orden de importancia y gravedad. El hardware no es frecuentemente cambiado. disquetera. la electrónica. sino que también hace referencia al cableado. para proteger el hardware de amenazas físicas. La seguridad física . Un sistema puede ser físico o concreto (una computadora) o puede ser abstracto o conceptual (un software). la seguridad física hace referencia a las barreras físicas y mecanismos de control en el entorno de un sistema informático.

En tanto el software puede ser creado.se complementa con la seguridad lógica. El programa debe ser compilado o interpretado para poder ser ejecutado y así cumplir su objetivo. especialmente una computadora. LENGUAJE DE PROGRAMACIÓN: Lenguaje artificial que puede ser usado para controlar el comportamiento de una máquina. pero buenas medidas de seguridad evitan daños y problemas que pueden ocasionar intrusos. Técnicamente es imposible lograr un sistema informático ciento por ciento seguro. que es intangible y le da lógica al hardware (además de ejecutarse dentro de éste). El software. el software -en sentido estricto. puesto estos incluyen otros lenguajes como son el HTML o PDF que dan formato a . (Excepto el firmware. SEGURIDAD LÓGICA Dentro de la seguridad informática. Estos se componen de un conjunto de reglas sintácticas y semánticas que permiten expresar instrucciones que luego serán interpretadas. Debe distinguirse de “lenguaje informático”. SEGURIDAD INFORMÁTICA La seguridad informática es una disciplina que se relaciona a diversas técnicas. SOFTWARE: En computación. PROGRAMA: Es un conjunto de instrucciones escritas en algún lenguaje de programación. aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. que es un tipo de software que raramente es alterado). borrado y modificado sencillamente.es todo programa o aplicación programado para realizar tareas específicas. la seguridad lógica hace referencia a la aplicación de mecanismos y barreras para mantener el resguardo y la integridad de la información dentro de un sistema informático. que es una definición más amplia. La seguridad lógica se complementa seguridad física.

orientados a objetos. python. si conocen o no conocen la contraseña. prolog. se concede o se niega el acceso a la información según sea el caso. La información una vez encriptada sólo puede leerse aplicándole una clave.un texto y no es programación en sí misma. El programador es el encargado de utilizar un lenguaje de programación para crear un conjunto de instrucciones que. nros. basic. ASP. Los lenguajes de programación pueden clasificarse según el paradigma que usan en: procedimentales. ada. JavaScript. literalmente «escritura oculta») es el arte o ciencia de cifrar y descifrar información . «oculto». codificación). El texto plano que está encriptado o cifrado se llama criptograma. y γράφω graphos. conversaciones privadas. se debe usar una clave como parámetro para esas fórmulas. ActionScript. ENCRIPTACIÓN: (Cifrado. c. etc. Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar. etc. La contraseña normalmente debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. PASSWORDS: Una contraseña o clave (en inglés password) es una forma de autentificación que utiliza información secreta para controlar el acceso hacia algún recurso. pascal. En la lengua inglesa se tienen dos denominaciones distintivas para las contraseñas: password (palabra de acceso) y pass code (código de acceso). La criptografía (del griego κρύπτω krypto. JAVA. de tarjetas de crédito. Pueden ser contraseñas. Son ejemplos de lenguajes de programación: php. constituirá un programa o subprograma informático. La encriptación es el proceso para volver ilegible información considera importante. «escribir». etc. Aquellos que desean acceder a la información se les solicita una clave. lógicos. híbridos. al final. Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros. funcionales.

desarrollan su trabajo. porque la mayoría de las informaciones se intercambian entre los Computadores. La Comunicación de datos es de vital Importancia hoy día en el Mundo de los Negocios. que permite difundir la señal (radio en el aire. A la Comunicación de Datos se le llama también Comunicación entre Ordenadores. BITÁCORA: El término es usado para nombrar un registro escrito de las acciones que se llevaron a cabo en cierto trabajo o tarea. la validación de datos es una de las áreas más importantes a tener en cuenta. aunque es aplicable a todas las áreas en general. anotan cualquier información que consideren que puede resultar útil para su trabajo. Esta bitácora incluye todos los sucesos que tuvieron lugar durante la realización de dicha tarea. múltiples computadoras se conectan a un medio común. O sea. VALIDACIÓN DE DATOS: En seguridad informática. La bitácora de trabajo es donde los trabajadores de empresas en general. Las redes locales típicamente se organizan en base a un esquema de red de broadcast (difusión). RED DE TELEPROCESOS: Es el Proceso de Comunicar Información en forma Binaria entre dos puntos. El modelo es simple: un medio compartido donde todos pueden escribir y leer. Si dos o más computadoras transmiten al mismo tiempo se produce un encuentro. principalmente los que se dedican a la parte de manejo Financiero y Bancario.). los cambios que se introdujeron y los costos que ocasionaron. etc. que es detectable. las fallas que se produjeron. especialmente en el desarrollo de .mediante técnicas especiales y se emplea frecuentemente para permitir un intercambio de mensajes que sólo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos. entre otros.

DELITO INFORMÁTICO: El delito informático implica cualquier actividad ilegal que encuadra en figuras tradicionales ya conocidas como robo. aquellos que le interesan al diseñador. nombres. de la que dispone en el PC hasta este momento. Almacén de datos relacionados con diferentes modos de organización. un conjunto de archivos o la totalidad de los datos considerados lo suficientemente importantes para ser conservados. realizará una copia de seguridad de tal manera. BACKUPS O COPIA DE SEGURIDAD: En informática es un archivo digital. Una base de datos representa algunos aspectos del mundo real. Validar datos hace referencia a verificar. Base. BASE DE DATOS: (database). Las bases de datos almacenan datos. fraude. estafa y sabotaje. perjuicio. Con la palabra "datos" se hace referencia a hechos conocidos que pueden registrarse. es decir. direcciones. como ser números telefónicos. hurto. PAD: (Packet Assembler/Disassembler). etc. o parte de la información. pero siempre que involucre la informática de por medio para cometer la ilegalidad. Las copias de seguridad son un proceso que se utiliza para salvar toda la información. controlar o filtrar cada una de las entradas de datos que provienen desde el exterior del sistema. que lo almacenará en algún medio de almacenamiento tecnológicamente . ensamblador de los paquetes de datos en la operación. permitiendo manipularlos fácilmente y mostrarlos de diversas formas. Se diseña y almacena datos con un propósito específico. falsificación. quiere guardar toda la información.sistemas conectados a redes como internet. un usuario.

Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos. para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Normalmente las copias de seguridad se suelen hacer en cintas magnéticas. • ¿Cuáles servicios se implementarán? • ¿Cuándo se pondrán a disposición de los usuarios? • ¿Qué características tendrán? • ¿Cuántos recursos se requerirán? • ¿Qué aplicaciones serán desarrolladas y cuando? • ¿Qué tipo de archivos se utilizarán y cuando? • ¿Qué bases de datos se utilizarán y cuando? • ¿Qué lenguajes se utilizarán y en que software? • ¿Qué tecnología será utilizada y cuando se implementará? • ¿Cuantos recursos se requerirán aproximadamente? • ¿Cuál es aproximadamente el monto de la inversión en hardware y software? • ¿Qué estudios van a ser realizados al respecto? • ¿Qué metodología se utilizará para dichos estudios? • ¿Quién administrará y realizará dichos estudios? • ¿Contempla el plan estratégico las ventajas de la nueva tecnología? .disponible hasta el momento como por ejemplo cinta. CUESTIONARIOS APLICABLES EN UNA AUDITORIA DE SISTEMAS EVALUACIÓN DE SISTEMAS La elaboración de sistemas debe ser evaluada con mucho detalle. poder restaurar el sistema. (proporcionados por Internet) o simplemente en otro Disco Duro. para posteriormente si pierde la información. DVD. DVD. si bien dependiendo de lo que se trate podrían usarse disquetes. CD.

su seguridad y control. la descripción de las actividades de flujo de la información y de procedimientos. . Con la información obtenida podemos contestar a las siguientes preguntas: • ¿Se está ejecutando en forma correcta y eficiente el proceso de información? • ¿Puede ser simplificado para mejorar su aprovechamiento? • ¿Se debe tener una mayor interacción con otros sistemas? • ¿Se tiene propuesto un adecuado control y seguridad sobre el sistema? • ¿Está en el análisis la documentación adecuada? EVALUACIÓN DEL DISEÑO LÓGICO DEL SISTEMA En esta se deberán analizar las especificaciones del sistema. su frecuencia de acceso. procedimientos y normas que se tienen para llevar a cabo el análisis. ¿Qué deberá hacer?. La auditoría en sistemas debe evaluar los documentos y registros usados en la elaboración del sistema. su uso y su relación con otros archivos y sistemas. así como todas las salidas y reportes. la documentación propuesta. los archivos almacenados. su conservación. las entradas y salidas del sistema y los documentos fuentes a usarse. desarrollo y consulta a los usuarios? EVALUACIÓN DEL ANÁLISIS En esta se evaluarán las políticas.• ¿Cuál es la inversión requerida en servicios.

cuando y como? • ¿Qué formas se utilizan en el sistema? • ¿Son necesarias. ¿Secuencia y ocurrencia de los datos? ¿Secuencia del proceso y salida de reportes? Lo que se debe determinar en el sistema: En el procedimiento: • ¿Quién hace. se usan.¿Cómo lo deberá hacer?. están duplicadas? • ¿El número de copias es el adecuado? • ¿Existen puntos de control o faltan? En la gráfica de flujo de información: • ¿Es fácil de usar? • ¿Es lógica? • ¿Se encontraron lagunas? • ¿Hay faltas de control? En el diseño: • ¿Cómo se usará la herramienta de diseño si existe? • ¿Qué también se ajusta la herramienta al procedimiento? EVALUACIÓN .

su diseño. • ¿Modulares? (facilidad para ser expandidos o reducidos). • ¿Necesarios? (que se pruebe su utilización). • ¿Estándar? (que la información tenga la misma interpretación en los distintos niveles). • ¿Únicos? (que no duplique información). • ¿Accesibles? (que estén disponibles). En él habrá sistemas que puedan ser interrelacionados y no programas aislados. • ¿Seguros? (que sólo las personas autorizadas tengan acceso). • ¿Oportunos? (que esté la información en el momento que se requiere). el leguaje utilizado. • ¿Estructurados? (las interacciones de sus componentes o subsistemas deben actuar como un todo) • ¿Integrados? (un solo objetivo).DEL DESARROLLO DEL SISTEMA En esta se deberán auditar los programas. • ¿Jerárquicos? (por niveles funcionales). • Adicionar Datos. CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL La mayoría de los Delitos por computadora son cometidos por modificaciones de datos fuente al: • Suprimir u omitir datos. Las características que deben evaluarse en los sistemas son: • ¿Dinámicos? (susceptibles de modificarse). . • ¿Comprensibles? (que contengan todos los atributos). interconexión entre los programas y características del hardware empleado (total o parcial) para el desarrollo del sistema. • ¿Funcionales? (que proporcionen la información adecuada a cada nivel).

Esto es de suma importancia en caso de equipos de cómputo que cuentan con sistemas en línea. • Duplicar procesos. ¿Indique el contenido de la orden de trabajo que se recibe en el área de captación de datos: Número de folio ( ) Número(s) de formato(s) ( ) Fecha y hora de Nombre. digitalizadora). en el presente trabajo se le denominará captura o captación considerándola como sinónimo de digitalizar (capturista. ¿Indique el porcentaje de datos que se reciben en el área de captación? 2. Depto. NOTA: Debido a que se denomina de diferentes formas la actividad de transcribir la información del dato fuente a la computadora.• Alterar datos. con claves de acceso de acuerdo a niveles. en los que los usuarios son los responsables de la captura y modificación de la información al tener un adecuado control con señalamiento de responsables de los datos(uno de los usuarios debe ser el único responsable de determinado dato). para lo cual se puede utilizar el siguiente cuestionario: 1. ( ) Recepción ( ) Usuario ( ) Nombre del documento ( ) Nombre responsable ( ) Volumen aproximado Clave de cargo de registro ( ) (Número de cuenta) ( ) Número de registros ( ) Fecha y hora de entrega de Clave del capturista ( ) documentos y registros captados ( ) . Lo primero que se debe evaluar es la entrada de la información y que se tengan las cifras de control necesarias para determinar la veracidad de la información.

¿Quién controla las entradas de documentos fuente? . etc.Fecha estimada de entrega ( ) 3. ( ) 4. verificación de datos completos. ¿Existe un programa de trabajo de captación de datos? a) ¿Se elabora ese programa para cada turno? Diariamente ( ) Semanalmente ( ) Mensualmente ( ) b) La elaboración del programa de trabajos se hace: Internamente ( ) Se les señalan a los usuarios las prioridades ( ) c) ¿Que acción(es) se toma(n) si el trabajo programado no se recibe a tiempo? 5.) ( ) Prioridades de captación ( ) Errores por trabajo ( ) Producción de trabajo ( ) Corrección de errores ( ) Producción de cada operador ( ) Entrega de trabajos ( ) Verificación de cifras Costo Mensual por trabajo ( ) de control de entrada con las de salida. ¿Indique cuál(es) control(es) interno(s) existe(n) en el área de captación de datos: Firmas de autorización ( ) Recepción de trabajos ( ) Control de trabajos atrasados ( ) Revisión del documento ( ) Avance de trabajos ( ) fuente(legibilidad.

¿Que documento de entrada se tienen? Sistemas Documentos Depto.6. ¿Para aquellos procesos que no traigan cifras de control se ha establecido criterios a fin de asegurar que la información es completa y valida? SI NO 14. no corresponden las cifras de control)? . ¿Existe un procedimiento escrito que indique como tratar la información inválida (sin firma ilegible. el volumen y la hora? SI NO 11. que periodicidad Observaciones proporciona el documento 9. ¿Se anota que persona recibe la información y su volumen? SI NO 10. ¿En que forma las controla? 7. ¿Se verifica la cantidad de la información recibida para su captura? SI NO 12. ¿Se revisan las cifras de control antes de enviarlas a captura? SI NO 13. ¿Que cifras de control se obtienen? Sistema Cifras que se Observaciones Obtienen 8. ¿Se anota a que capturista se entrega la información.

15. En caso de resguardo de información de entrada en sistemas, ¿Se custodian en un lugar seguro?

16. Si se queda en el departamento de sistemas, ¿Por cuanto tiempo se guarda?

17. ¿Existe un registro de anomalías en la información debido a mala codificación?

18. ¿Existe una relación completa de distribución de listados, en la cual se indiquen personas, secuencia y sistemas a los que pertenecen?

19. ¿Se verifica que las cifras de las validaciones concuerden con los documentos de entrada?

20. ¿Se hace una relación de cuando y a quién fueron distribuidos los listados? ____________________________________________________________

______

21. ¿Se controlan separadamente los documentos confidenciales? ____________________________________________________________

______

22. ¿Se aprovecha adecuadamente el papel de los listados inservibles? ____________________________________________________________

______

23. ¿Existe un registro de los documentos que entran a capturar? ____________________________________________________________

______

24. ¿Se hace un reporte diario, semanal o mensual de captura? ____________________________________________________________

______

25. ¿Se hace un reporte diario, semanal o mensual de anomalías en la información de entrada?

26. ¿Se lleva un control de la producción por persona?

27. ¿Quién revisa este control?

28. ¿Existen instrucciones escritas para capturar cada aplicación o, en su defecto existe una relación de programas?

CONTROL DE OPERACIÓN

La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente afectados por la calidad e integridad de la documentación requerida para el proceso en la computadora.

El objetivo del presente ejemplo de cuestionario es señalar los procedimientos e instructivos formales de operación, analizar su estandarización y evaluar el cumplimiento de los mismos.

1. ¿Existen procedimientos formales para la operación del sistema de computo? SI ( ) NO ( )

2. ¿Están actualizados los procedimientos? SI ( ) NO ( )

3. Indique la periodicidad de la actualización de los procedimientos:

Semestral ( ) Anual ( ) Cada vez que haya cambio de equipo ( )

4. Indique el contenido de los instructivos de operación para cada aplicación:

Identificación del sistema ( ) Identificación del programa ( ) Periodicidad y duración de la corrida ( ) Especificación de formas especiales ( ) Especificación de cintas de impresoras ( ) Etiquetas de archivos de salida, nombre, ( ) archivo lógico, y fechas de creación y expiración Instructivo sobre materiales de entrada y salida ( ) Altos programados y la acciones requeridas ( ) Instructivos específicos a los operadores en caso de falla del equipo ( ) Instructivos de reinicio ( ) Procedimientos de recuperación para proceso de

primero que sale ( ) se respetan las prioridades. ( ) Otra (especifique) ( ) 10. ¿Existen órdenes de proceso para cada corrida en la computadora (incluyendo pruebas. ¿Existe una estandarización de las ordenes de proceso? SI ( ) NO ( ) 8. registros de salida por archivo. ¿Cómo programan los operadores los trabajos dentro del departamento de cómputo? Primero que entra. SI ( ) NO ( ) 9. ¿Son suficientemente claras para los operadores estas órdenes? SI ( ) NO ( ) 7. se revisa y analiza? SI ( ) NO ( ) . ¿Los retrasos o incumplimiento con el programa de operación diaria. compilaciones y producción)? SI ( ) NO ( ) 6. etc. ) ( ) 5.gran duración o criterios ( ) Identificación de todos los dispositivos de la máquina a ser usados ( ) Especificaciones de resultados (cifras de control. ¿Existe un control que asegure la justificación de los procesos en el computador? (Que los procesos que se están autorizados y tengan una razón de ser procesados.

¿Puede el operador modificar los datos de entrada? 18. ¿Existen instrucciones especificas para cada proceso. con las indicaciones pertinentes? 16. Analice la eficiencia con que se ejecutan los trabajos dentro del departamento de cómputo. ¿Existen procedimientos escritos para la recuperación del sistema en caso de falla? 14. tomando en cuenta equipo y operador. y describa sus observaciones. ¿Las intervenciones de los operadores: . a través de inspección visual. ¿Se prohibe a analistas y programadores la operación del sistema que programo o analizo? 19.11. ¿Cómo se actúa en caso de errores? 15. ¿Quién revisa este reporte en su caso? 12. ¿Se tienen procedimientos específicos que indiquen al operador que hacer cuando un programa interrumpe su ejecución u otras dificultades en proceso? 17. 13. ¿El operador realiza funciones de mantenimiento diario en dispositivos que así lo requieran? 21. ¿Se prohibe al operador modificar información de archivos o bibliotecas de programas? 20.

Son muy numerosas? SI ( ) NO ( ) Se limitan los mensajes esenciales? SI ( ) NO ( ) Otras (especifique)_____________________________________________________ _ 22. ¿Se rota al personal de control de información con los operadores procurando un entrenamiento cruzado y evitando la manipulación fraudulenta de datos? SI ( ) NO ( ) 25. ¿Existe . ¿Se tiene un control adecuado sobre los sistemas y programas que están en operación? SI ( ) NO ( ) 23.¿Existen procedimientos para evitar las corridas de programas no autorizados? SI ( ) NO ( ) 28. 27. ¿Cuentan los operadores con una bitácora para mantener registros de cualquier evento y acción tomada por ellos? Si ( ) por máquina ( ) escrita manualmente ( ) NO ( ) 26. Verificar que exista un registro de funcionamiento que muestre el tiempo de paros y mantenimiento o instalaciones de software. ¿Cómo controlan los trabajos dentro del departamento de cómputo? 24.

29. Verificar que sea razonable el plan para coordinar el cambio de turno.un plan definido para el cambio de turno de operaciones que evite el descontrol y discontinuidad de la operación. etc. 35. ¿Se hacen inspecciones periódicas de muestreo? SI ( ) NO ( ) 31. ¿Existen procedimientos formales que se deban observar antes de que sean aceptados en operación. Enuncie los procedimientos mencionados en el inciso anterior: 32. ¿Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anteriores? SI ( ) NO ( ) . Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la clasificación de seguridad de operador. fuera del departamento de cómputo? SI ( ) NO ( ) 33. sistemas nuevos o modificaciones a los mismos? SI ( ) NO ( ) 36. ¿Se controla estrictamente el acceso a la documentación de programas o de aplicaciones rutinarias? SI ( ) NO ( ) ¿Cómo?________________________________________________________ ___ 34. 30. ¿Se permite a los operadores el acceso a los diagramas de flujo. programas fuente.

¿Que precauciones se toman durante el periodo de implantación? 39. ¿Existe un lugar para archivar las bitácoras del sistema del equipo de cómputo? SI ( ) NO ( ) 44. ¿Se catalogan los programas liberados para producción rutinaria? SI ( ) NO ( ) 41. que aseguren la utilización de los datos precisos en los procesos correspondientes. ¿Durante cuanto tiempo? 38. • Por fecha ( ) • por fecha y hora ( ) • por turno de operación ( ) • Otros ( ) . Indique como está organizado este archivo de bitácora. 43. Mencione que instructivos se proporcionan a las personas que intervienen en la operación rutinaria de un sistema. 40. Indique que tipo de controles tiene sobre los archivos magnéticos de los archivos de datos.37. ¿Quién da la aprobación formal cuando las corridas de prueba de un sistema modificado o nuevo están acordes con los instructivos de operación. 42.

Verifique que se lleve un registro de utilización del equipo diario. ¿Cuál es la utilización sistemática de las bitácoras? 46. ¿Se tienen copias de los archivos en otros locales? 2. ¿Dónde se encuentran esos locales? 3. ¿Conque compañía? Solicitar pólizas de seguros y verificar tipo de seguro y montos.45. CONTROLES DE SALIDA 1. que otras funciones o áreas se encuentran en el departamento de cómputo actualmente? 47. 52. ¿Se tienen seguros sobre todos los equipos? SI ( ) NO ( ) 51. de tal manera que se pueda medir la eficiencia del uso de equipo. ¿Cómo se controlan los procesos en línea? 50. ¿Cómo se controlan las llaves de acceso (Password)?. ¿Además de las mencionadas anteriormente. 48. sistemas en línea y batch. ¿Que seguridad física se tiene en esos locales? . ¿Se tiene inventario actualizado de los equipos y terminales con su localización? SI ( ) NO ( ) 49.

¿Que documentos? 8. ¿En que forma se entregan? 7. ¿Que confidencialidad se tiene en esos locales? 5. ¿Que controles se tienen? 9. sino en la dependencia de la cual se presta servicio. ¿Se destruye la información utilizada. de modo que sirvan de base a los programas de limpieza (borrado de información). archivos extremadamente importantes cuya pérdida parcial o total podría tener repercusiones muy serias. o bien que se hace con ella? Destruye ( ) Vende ( ) Tira ( ) Otro ______________________________ CONTROL DE MEDIOS DE ALMACENAMIENTO MASIVO Los dispositivos de almacenamiento representan. . de modo que servirán de base a registros sistemáticos de la utilización de estos archivos. Una dirección de informática bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento. ¿Quién entrega los documentos de salida? 6. para cualquier centro de cómputo. principalmente en el caso de las cintas. además de mantener registros sistemáticos de la utilización de estos archivos. no sólo en la unidad de informática.4. ¿Se tiene un responsable (usuario) de la información de cada sistema? ¿Cómo se atienden solicitudes de información a otros usuarios del mismo sistema? 10.

1. ¿Se verifican con frecuencia la validez de los inventarios de los archivos .OBJETIVOS El objetivo de este cuestionario es evaluar la forma como se administran los dispositivos de almacenamiento básico de la dirección. ¿Que información mínima contiene el inventario de la cintoteca y la discoteca? Número de serie o carrete ( ) Número o clave del usuario ( ) Número del archivo lógico ( ) Nombre del sistema que lo genera ( ) Fecha de expiración del archivo ( ) Fecha de expiración del archivo ( ) Número de volumen ( ) Otros 4. Los locales asignados a la cintoteca y discoteca tienen: • Aire acondicionado ( ) • Protección contra el fuego ( ) • (señalar que tipo de protección )__________________________________ • Cerradura especial ( ) • Otra 2. ¿Tienen la cintoteca y discoteca protección automática contra el fuego? SI ( ) NO ( ) (señalar de que tipo)_______________________________________________ 3.

En caso de existir discrepancia entre las cintas o discos y su contenido. ¿Que medio se utiliza para almacenarlos? Mueble con cerradura ( ) Bóveda ( ) Otro(especifique)_________________________________________________ . ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de acceso? SI ( ) NO ( ) ¿Cómo?________________________________________________________ ___ 9.magnéticos? SI ( ) NO ( ) 5. ¿Existe un control estricto de las copias de estos archivos? SI ( ) NO ( ) 10. ¿Se tienen procedimientos que permitan la reconstrucción de un archivo en cinta a disco. el cual fue inadvertidamente destruido? SI ( ) NO ( ) 8. se resuelven y explican satisfactoriamente las discrepancias? SI ( ) NO ( ) 6. ¿Que tan frecuentes son estas discrepancias? ____________________________________________________________ ______ 7.

¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento. por turno. ¿Se borran los archivos de los dispositivos de almacenamiento. de la cintoteca y discoteca? SI ( ) NO ( ) 16.___ 11. Este almacén esta situado: En el mismo edificio del departamento ( ) En otro lugar ( ) ¿Cual?_________________________________________________________ ___ 12. ¿Se realizan auditorías periódicas a los medios de almacenamiento? SI ( ) NO ( ) 17. cuando se desechan estos? SI ( ) NO ( ) 13. al personal autorizado? SI ( ) NO ( ) . ¿Se registran como parte del inventario las nuevas cintas que recibe la biblioteca? SI ( ) NO ( ) 15 ¿Se tiene un responsable. ¿Que medidas se toman en el caso de extravío de algún dispositivo de almacenamiento? 18. ¿Se certifica la destrucción o baja de los archivos defectuosos? SI ( ) NO ( ) 14.

¿Se conserva la cinta maestra anterior hasta después de la nueva cinta? SI ( ) NO ( ) 25. ¿Se tiene relación del personal autorizado para firmar la salida de archivos confidenciales? SI ( ) NO ( ) 20. ¿El cintotecario controla la cinta maestra anterior previendo su uso .19. ¿Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolverán? SI ( ) NO ( ) 21. ¿Se lleva control sobre los archivos prestados por la instalación? SI ( ) NO ( ) 22. • fecha de recepción ( ) • fecha en que se debe devolver ( ) • archivos que contiene ( ) • formatos ( ) • cifras de control ( ) • código de grabación ( ) • nombre del responsable que los presto ( ) • otros 23. Indique qué procedimiento se sigue en el reemplazo de las cintas que contienen los archivos maestros: 24. En caso de préstamo ¿Conque información se documentan? Nombre de la institución a quién se hace el préstamo.

incorrecto o su eliminación prematura? SI ( ) NO ( ) 26. ¿Existe un responsable en caso de falla? SI ( ) NO ( ) 32. ¿La operación de reemplazo es controlada por el cintotecario? SI ( ) NO ( ) 27. ¿Lo conoce y lo sigue el cintotecario? SI ( ) NO ( ) . ¿Estos procedimientos los conocen los operadores? SI ( ) NO ( ) 30. ¿Existe un procedimiento para el manejo de la información de la cintoteca? SI ( ) NO ( ) 34. En los procesos que manejan archivos en línea. ¿Se utiliza la política de conservación de archivos hijo-padre-abuelo? SI ( ) NO ( ) 28. ¿Explique que políticas se siguen para la obtención de archivos de respaldo? 33. ¿Existen procedimientos para recuperar los archivos? SI ( ) NO ( ) 29. ¿Con que periodicidad se revisan estos procedimientos? MENSUAL ( ) ANUAL ( ) SEMESTRAL ( ) OTRA ( ) 31.

Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del contrato). ¿Se distribuyen en forma periódica entre los jefes de sistemas y programación informes de archivos para que liberen los dispositivos de almacenamiento? SI ( ) NO ( ) ¿Con qué frecuencia? CONTROL DE MANTENIMIENTO 1. ¿Existen tiempos de respuesta y de compostura estipulados en los contratos? SI ( ) NO ( ) 5. ¿Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de computo? SI ( ) NO ( ) 3. Si los tiempos de reparación son superiores a los estipulados en el contrato. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor. ¿Qué acciones correctivas se toman para ajustarlos a lo convenido? SI ( ) NO ( ) 6. ¿Se lleva a cabo tal programa? SI ( ) NO ( ) 4.35. 2.- .

¿Cómo se notifican las fallas? 9. Existe un lugar asignado a las cintas y discos magnéticos? SI ( ) NO ( ) . Indique la periodicidad con que se hace la limpieza del departamento de cómputo y de la cámara de aire que se encuentra abajo del piso falso si existe y los ductos de aire: Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( ) No hay programa ( ) Otra (especifique) ( ) 2.SI ( ) NO ( ) ¿Cual? 8. pueden ser dañados si se manejan en forma inadecuada y eso puede traducirse en pérdidas irreparables de información o en costos muy elevados en la reconstrucción de archivos. los archivos magnéticos. 1. Se deben revisar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cómputo. Los dispositivos del sistema de cómputo. ¿Cómo se les da seguimiento? ORDEN EN EL CENTRO DE CÓMPUTO Una dirección de Sistemas de Información bien administrada debe tener y observar reglas relativas al orden y cuidado del departamento de cómputo.

tomar alimentos y refrescos en el departamento de cómputo? SI ( ) NO ( ) 8.3. etc. Mencione los casos en que personal ajeno al departamento de operación opera el sistema de cómputo: .? SI ( ) NO ( ) 6. Indique la periodicidad con que se limpian las unidades de cinta: Al cambio de turno ( ) cada semana ( ) cada día ( ) otra (especificar) ( ) 7. los discos magnéticos. ¿Son funcionales los muebles asignados para la cintoteca y discoteca? SI ( ) NO ( ) 5. la papelería. después de su uso. ¿Existen prohibiciones para fumar. ¿Se tienen disposiciones para que se acomoden en su lugar correspondiente. las cintas. ¿Se tiene asignado un lugar especifico para papelería y utensilios de trabajo? SI ( ) NO ( ) 4. ¿Se tiene restringida la operación del sistema de cómputo al personal especializado de la Dirección de Informática? SI ( ) NO ( ) 10. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición? SI ( ) NO ( ) 9.

1. evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalación y revisar las políticas seguidas por la unidad de informática en la conservación de su programoteca. c) Evaluar la utilización de los diferentes dispositivos periféricos. Esta sección esta orientada a: a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cómputo con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y lago plazo. b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso.EVALUACIÓN DE LA CONFIGURACIÓN DEL SISTEMA DE CÓMPUTO Los objetivos son evaluar la configuración actual tomando en consideración las aplicaciones y el nivel de uso del sistema. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo. ¿existe equipo? ¿Con poco uso? SI ( ) NO ( ) ¿Ocioso? SI ( ) NO ( ) ¿Con capacidad superior a la necesaria? SI ( ) NO ( ) Describa cual es ____________________________________________________ .

explique las causas por las que no puede ser cancelado o cambiado. la cual puede ser confidencial para individuos. ____________________________________________________________ ____ 8. fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. Un método eficaz para proteger sistemas de computación es el software de . ¿La capacidad de memoria y de almacenamiento máximo del sistema de cómputo es suficiente para atender el proceso por lotes y el proceso remoto? SI ( ) NO ( ) SEGURIDAD LÓGICA Y CONFIDENCIAL La computadora es un instrumento que estructura gran cantidad de información. Si la respuesta al inciso anterior es negativa.2. ¿Cuantas terminales se tienen conectadas al sistema de cómputo? 9. ¿El equipo mencionado en el inciso anterior puede reemplazarse por otro mas lento y de menor costo? SI ( ) NO ( ) 3. También puede ocurrir robos. y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. De ser negativa la respuesta al inciso anterior. ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios? SI ( ) NO ( ) 10. ¿el equipo puede ser cancelado? SI ( ) NO ( ) 4. empresas o instituciones.

• Aplicación de los sistemas de seguridad.control de acceso. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes. Se debe evaluar el nivel de riesgo que puede tener la información para poder hacer un adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de un sistema de seguridad. terremotos. esto nos sitúa en . incluyendo datos y archivos • El papel de los auditores. Dicho simplemente. El sistema integral de seguridad debe comprender: • Elementos administrativos • Definición de una política de seguridad • Organización y división de responsabilidades • Seguridad física y contra catástrofes (incendio. los paquetes de control de acceso protegen contra el acceso no autorizado. pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. tanto internos como externos • Planeación de programas de desastre y su prueba. etc. para lo cual se debe considerar lo siguiente: o Que sucedería si no se puede usar el sistema? oa o Si la contestación es que no se podría seguir trabajando.) • Prácticas de seguridad del personal • Elementos técnicos y procedimientos • Sistemas de seguridad (de equipos y de sistemas. y los principales proveedores ponen a disposición de clientes algunos de estos paquetes. incluyendo todos los elementos. tanto redes como terminales.

¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad? SI ( ) NO ( ) . ¿Se han adoptado medidas de seguridad en el departamento de sistemas de información? SI ( ) NO ( ) 2. inundaciones. se puede elaborar el siguiente cuestionario: 1. ¿Existen una persona responsable de la seguridad? SI ( ) NO ( ) 3. procedimientos y prácticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos. oa o ¿Que implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podríamos estar sin utilizarlo? oa o ¿Existe un procedimiento alterno y que problemas nos ocasionaría? oa o ¿Que se ha hecho para un caso de emergencia? SEGURIDAD FÍSICA El objetivo es establecer políticas. y continuar en medio de emergencia hasta que sea restaurado el servicio completo. sabotaje. disturbios. etc. huelgas.un sistema de alto riego. información debido a contingencias como incendio.

¿Existe vigilancia en el departamento de cómputo las 24 horas? SI ( ) NO ( ) 11. ¿Se controla el trabajo fuera de horario? SI ( ) NO ( ) 9.4. ¿Se investiga a los vigilantes cuando son contratados directamente? SI ( ) NO ( ) 8. ¿Existe una clara definición de funciones entre los puestos clave? SI ( ) NO ( ) 7. ¿La vigilancia se contrata? a) Directamente ( ) b) Por medio de empresas que venden ese servicio ( ) 6. ¿Existe personal de vigilancia en la institución? SI ( ) NO ( ) 5. ¿Se permite el acceso a los archivos y programas a los programadores. ¿Existe vigilancia a la entrada del departamento de cómputo las 24 horas? a) Vigilante ? ( ) b) Recepcionista? ( ) c) Tarjeta de control de acceso ? ( ) d) Nadie? ( ) 12. SI ( ) NO ( ) 10. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan dañar los sistemas?. analistas y operadores? .

Describa brevemente la construcción del centro de cómputo. El edificio donde se encuentra la computadora esta situado a salvo de: a) Inundación? ( ) b) Terremoto? ( ) c) Fuego? ( ) d) Sabotaje? ( ) 15. de preferencia proporcionando planos y material con que construido y equipo (muebles.) dentro del centro. sillas etc.SI ( ) NO ( ) 13. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de informática? . ¿Existe control en el acceso a este cuarto? a) Por identificación personal? ( ) b) Por tarjeta magnética? ( ) c) por claves verbales? ( ) d) Otras? ( ) 18. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorización? SI ( ) NO ( ) 14. El centro de cómputo tiene salida al exterior al exterior? SI ( ) NO ( ) 16. 17. ¿Son controladas las visitas y demostraciones en el centro de cómputo? SI ( ) NO ( ) 19.

¿Existe alarma para detectar condiciones anormales del ambiente? a) En el departamento de cómputo? ( ) b) En la cíntoteca y discoteca? ( ) c) En otros lados ( ) 24. ¿La alarma es perfectamente audible? SI ( ) NO ( ) 25. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con el fin de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( ) 21.¿Esta alarma también está conectada a) Al puesto de guardias? ( ) b) A la estación de Bomberos? ( ) c) A ningún otro lado? ( ) Otro_________________________________________ . ¿Estas alarmas están a) En el departamento de cómputo? ( ) b) En la cintoteca y discoteca? ( ) 23.SI ( ) NO ( ) 20. ¿Existe alarma para a) Detectar fuego(calor o humo) en forma automática? ( ) b) Avisar en forma manual la presencia del fuego? ( ) c) Detectar una fuga de agua? ( ) d) Detectar magnéticos? ( ) e) No existe ( ) 22.

¿Si los extintores automáticos son a base de gas. ¿Existe un lapso de tiempo suficiente. ¿Los extintores. ¿Se ha tomado medidas para evitar que el gas cause mas daño que el fuego? SI ( ) NO ( ) 33. ¿Se ha adiestrado el personal en el manejo de los extintores? SI ( ) NO ( ) 28. ( ) ( ) b) Gas? ( ) ( ) c) Otros ( ) ( ) 29. ¿Si los extintores automáticos son a base de agua ¿Se han tomado medidas para evitar que el agua cause mas daño que el fuego? SI ( ) NO ( ) 32. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI ( ) NO ( ) 30.26. manuales o automáticos a base de TIPO SI NO a) Agua. antes de que funcionen los extintores . ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego? SI ( ) NO ( ) 31. Existen extintores de fuego a) Manuales? ( ) b) Automáticos? ( ) c) No existen ( ) 27.

etiquetados y sin obstáculos para alcanzarlos? SI ( ) NO ( ) 35. ¿Los interruptores de energía están debidamente protegidos. si es que existen? SI ( ) NO ( ) . ¿Existe salida de emergencia? SI ( ) NO ( ) 38.automáticos para que el personal a) Corte la acción de los extintores por tratarse de falsas alarmas? SI ( ) NO ( ) b) Pueda cortar la energía Eléctrica SI ( ) NO ( ) c) Pueda abandonar el local sin peligro de intoxicación SI ( ) NO ( ) d) Es inmediata su acción? SI ( ) NO ( ) 34. en caso de que ocurra una emergencia ocasionado por fuego? SI ( ) NO ( ) 36. ¿Esta puerta solo es posible abrirla: a) Desde el interior? ( ) b) Desde el exterior? ( ) c) Ambos Lados ( ) 39. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)? SI ( ) NO ( ) 37. ¿Saben que hacer los operadores del departamento de cómputo. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las ventanas.

¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cómputo para evitar daños al equipo? SI ( ) NO ( ) 43. no esencial etc. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( ) 44. . Explique la forma como se ha clasificado la información vital. ¿Se ha tomado medidas para minimizar la posibilidad de fuego: a) Evitando artículos inflamables en el departamento de cómputo? ( ) b) Prohibiendo fumar a los operadores en el interior? ( ) c) Vigilando y manteniendo el sistema eléctrico? ( ) d) No se ha previsto ( ) 42.40. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI ( ) NO ( ) 41. ¿Se controla el acceso y préstamo en la a) Discoteca? ( ) b) Cintoteca? ( ) c) Programoteca? ( ) 45. esencial.

etc. ¿Se auditan los sistemas en operación? SI ( ) NO ( ) . ¿Se cumplen? SI ( ) NO ( ) 54. terremotos. ¿Existe departamento de auditoria interna en la institución? SI ( ) NO ( ) 51. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI ( ) NO ( ) 47.) que garantice su integridad en caso de incendio. Explique la forma en que están protegidas físicamente estas copias (bóveda. 48. Indique el número de copias que se mantienen. de acuerdo con la forma en que se clasifique la información: 0123 50. ¿Que tipos de controles ha propuesto? 53. inundación. cajas de seguridad etc. ¿Se tienen establecidos procedimientos de actualización a estas copias? SI ( ) NO ( ) 49. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas? SI ( ) NO ( ) 52.46.

¿Se revisa que tengan la fecha de las modificaciones cuando se hayan . 58. a iniciativa de quién es? a) Usuario ( ) b) Director de informática ( ) c) Jefe de análisis y programación ( ) d) Programador ( ) e) Otras ( especifique) ____________________________________________________________ _____ 57. ¿se presentan las pruebas a los interesados? SI ( ) NO ( ) 59.¿Cuándo se efectúan modificaciones a los programas.55.¿Existe control estricto en las modificaciones? SI ( ) NO ( ) 60.¿Con que frecuencia? a) Cada seis meses ( ) b) Cada año ( ) c) Otra (especifique) ( ) 56.Una vez efectuadas las modificaciones.¿La solicitud de modificaciones a los programas se hacen en forma? a) Oral? ( ) b) Escrita? ( ) En caso de ser escrita solicite formatos.

¿Se ha establecido un número máximo de violaciones en sucesión para que la computadora cierre esa terminal y se de aviso al responsable de ella? SI ( ) NO ( ) 65. ¿se ha establecido procedimientos de operación? SI ( ) NO ( ) 62.efectuado? SI ( ) NO ( ) 61.¿Se ha establecido que información puede ser acezada y por qué persona? SI ( ) NO ( ) 64.¿Si se tienen terminales conectadas.¿Existen controles y medidas de seguridad sobre las siguientes operaciones? ¿Cuales son? ( )Recepción de documentos___________________________________________ ( )Información Confidencial____________________________________________ ( )Captación de documentos__________________________________________________ .Se verifica identificación: a) De la terminal ( ) b) Del Usuario ( ) c) No se pide identificación ( ) 63.¿Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las tendencias mayores? SI ( ) NO ( ) 66.

______ ( )Cómputo Electrónico_______________________________________________ ( )Programas___________________________________________________ ____ ( )Discotecas y Cintotecas_____________________________________________ ( )Documentos de Salida______________________________________________ ( )Archivos Magnéticos_______________________________________________ ( )Operación del equipo de computación__________________________________ ( )En cuanto al acceso de personal____________________________________________________ _______ ( )Identificación del personal___________________________________________ ( )Policia_____________________________________________________ ______ ( )Seguros contra robo e incendio_______________________________________ ( )Cajas de seguridad_________________________________________________ ( )Otras (especifique)_________________________________________________ .

• Serán fácilmente modificables. cuando menos será preciso considerar la siguiente información. • No exceder las estimaciones del presupuesto inicial. • Reporte periódico del uso y concepto del usuario sobre el servicio. así como la difusión de las aplicaciones de la computadora y de los sistemas en operación. tanto de los más importantes como de los de menor importancia. Su objeto es conocer la opinión que tienen los usuarios sobre los servicios proporcionados. . en caso de ser posible. Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y se están proporcionando en forma adecuada.ENTREVISTA A USUARIOS APLICABLES EN UNA AUDITORIA DE SISTEMAS La entrevista se deberá llevar a cabo para comprobar datos proporcionados y la situación de la dependencia en el departamento de Sistemas de Información. Desde el punto de vista del usuario los sistemas deben: • Cumplir con los requerimientos totales del usuario. • Descripción de los servicios prestados. a todos los usuarios o bien en forma aleatoria a algunos de los usuarios. en cuanto al uso del equipo. • Registro de los requerimientos planteados por el usuario. • Cubrir todos los controles necesarios. Las entrevistas se deberán hacer. • Criterios de evaluación que utilizan los usuarios para evaluar el nivel del servicio prestado.

el servicio proporcionado por el Departamento de Sistemas de Información? Deficiente ( ) Aceptable ( ) Satisfactorio ( ) Excelente ( ) ¿Por que? 3. ¿Considera que el Departamento de Sistemas de Información de los resultados esperados?. ¿Cómo considera usted. en general.1. ¿Son entregados con puntualidad los trabajos? Nunca ( ) Rara vez ( ) .Si ( ) No ( ) ¿Por que? 2. ¿Hay disponibilidad del departamento de cómputo para sus requerimientos? Generalmente no existe ( ) Hay ocasionalmente ( ) Regularmente ( ) Siempre ( ) ¿Por que? 5. ¿Cubre sus necesidades el sistema que utiliza el departamento de cómputo? No las cubre ( ) Parcialmente ( ) La mayor parte ( ) Todas ( ) ¿Por que? 4.

Ocasionalmente ( ) Generalmente ( ) Siempre ( ) ¿Por que? 6. ¿Que piensa de la presentación de los trabajadores solicitados al departamento de cómputo? Deficiente ( ) Aceptable ( ) Satisfactorio ( ) Excelente ( ) ¿Por que? 7. ¿Que piensa de la asesoría que se imparte sobre informática? No se proporciona ( ) Es insuficiente ( ) Satisfactoria ( ) Excelente ( ) ¿Por que? 8. ¿Que piensa de la seguridad en el manejo de la información proporcionada por el sistema que utiliza? Nula ( ) Riesgosa ( ) Satisfactoria ( ) Excelente ( ) Lo desconoce ( ) ¿Por que? 9. ¿Existen fallas de exactitud en los procesos de información? ¿Cuáles? .

fusión. Observaciones: REFERENCIAS BIBLIOGRÁFICAS o HERNÁNDEZ HERNÁNDEZ. ¿Quién interviene de su departamento en el diseño de sistemas? 18. ¿Que sistemas desearía que se incluyeran? 19. Enrique. ¿Cómo utiliza los reportes que se le proporcionan? 11. 17. ¿Que opinión tiene el manual? NOTA: Pida el manual del usuario para evaluarlo. ¿Que sugerencias presenta en cuanto a la eliminación de reportes modificación. Auditoria en Informática – Un enfoque metodológico. Editorial CECSA. De aquellos que no utiliza ¿por que razón los recibe? 13. . ¿Es claro y objetivo el manual del usuario? SI ( ) NO ( ) 16. ¿Cuáles no Utiliza? 12. ¿Se cuenta con un manual de usuario por Sistema? SI ( ) NO ( ) 15.10. división de reporte? 14.

Editorial ECOE. Grandes estafas por computador. Editorial Circulo de Lectores. Auditoria informática – Un enfoque operacional.com/Main/FasesAuditoriaInformatica o Publicacion por JORGE ALBERTO RESTREPO GOMEZ en Guia del profesor. AUDISIS. o PINILLA FORERO. Buck.mitecnologico. Editorial MacGraw-Hill. o http://es. Centro de Formación Técnica. o BLOOMBECKER. José Dagoberto. OTOROC[arroba]LYCOS.net/s/ataque+pirata+informatico .COM. Auditoria en informática. Seguridad de la información en sistemas de computo. El Manejo de las organizaciones. o ECHENIQUE. Editorial ECOE. o http://www. Luis Ángel. su auditoria y su control. José Dagoberto. o Oscar Toro. Auditoria de sistemas en funcionamiento. Juan Manuel. Diego Portales o Manual de Auditoria Informática. o PINILLA FORERO. José Antonio.kioskea. Ventura Ediciones.o LAZCANO SERES. Editorial ECOE. o RODRÍGUEZ.

o Fuente: Infobae o http://www.estereofonica.us/uno-de-los-mayores-ataques-informatico .

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->