Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORIA INFORMATICA
CURSO BASICO
Barquisimeto
AUDITORIA INFORMATICA
INTRODUCCIN
Un Auditor Informtico debe tener los conocimientos tcnicos para comprender el tema
que vaya a examinar .1
Esto implica que un Auditor Informtico debe:
a) Conocer de Hardware, Software y sistemas que utilice la organizacin en la cual
se va a efectuar la auditora.
b) Estar familiarizado con los estndares vigentes en la misma.
c) Utilizar paquetes de auditora para examinar los datos almacenados en soportes
magnticos.
d) Ser capaz de codificar consultas en, al menos, un lenguaje de programacin o un
paquete, de acuerdo al sistema del cual se trate.
e) Tener conocimientos de lenguajes de control de tareas, sistemas operativos,
anlisis y programacin de sistemas.
L.Thomas., a.J y Douglas, I.J Auditora Informtica. Edit. Paraninfo. Madrid, 1988.p.
Fabregas, J.Llorns. Sistemas de Informacin. Tomo II. (Calidad de Sistemas). Edit Reverte Venezolana
S.A. Caracas. 1988.p.
Aun cuando pareciese que existen repeticiones o conflictos de competencia entre ambas
funciones no es as, la unidad o las personas que ejercen y desarrollan las funciones de
calidad del sistema colaboran con la gerencia de Sistemas, Informtica o Procesamiento
Electrnico de Datos, para identificar: los mtodos, normas, procedimientos, herramientas y
fijar los estndares que contribuiran a desarrollar sistemas con una calidad acorde con los
parmetros de la organizacin. Tambin ayudan o auxilian al lder, analistas y
programadores, de cada proyecto para que puedan aplicar los elementos mencionados.
La Auditoria se encarga de verificar que los procedimientos, estndares, mtodos, normas,
etc. Sean aplicados en forma conveniente y consistente. Elaborar los informes de auditora
y reportar a la autoridad correspondiente,
Auditora revisa y evala los detalles actuales. Calidad lo hace con visin de futuro, para
incorporar mejoras tcnicas, tecnologas o productos nuevos que aparezcan el mercado.
Es evidente entonces que la Auditora Informtica no se opone ni compite con la Calidad de
Sistemas, son actividades que se complementan para tratar de lograr sistemas de alta
calidad tanto en el momento de la implantacin como durante su vida til.
Para que la Auditora Informtica y Calidad de Sistemas, puedan llevar adelante sus
funciones en una forma eficiente, es necesario que los profesionales encargados del
anlisis, diseo, programacin, implantacin, administracin y gerencia de los mismos,
internalicen la necesidad de documentar adecuadamente los sistemas en cada una de las
fases, ya que a la hora de auditar (en especial la Auditora Externa), debe hacerse sobre algo
tangible, examinable, establecido en forma normativa o procedimental. Sin la
documentacin adecuada se hace casi imposible ejecutar una auditora. De igual
forma, el control de la calidad de la calidad de cada una de las fases del sistema debe
hacerse con el apoyo de una documentacin adecuada.
Pero es tambin evidente que por las caractersticas del perfil que se esboz al principio de
la intervencin, al profesional de Auditora Informtica hay que formarlo, pues no es un
Contador con ligeros conocimientos de computacin, ni un Computista, ni un Ingeniero
de Sistemas, ni un Ingeniero en Informtica, es un profesional con un perfil bien
definido, que no se est formando en nuestras casas de estudio.
AUDITORIAS E INGENIERIAS
Existe una gran diferencia entre las Ingenieras tradicionales (Civil, Electrnica, Qumica,
etc.) y las nuevas ingenieras, tales como: Ingeniera de Software, Ingeniera de Sistemas,
Ingeniera Informtica. Para el desarrollo de los proyectos en cualquiera de las Ingeniera
tradicionales existe un conjunto de reglas, especificaciones, normas, etc., las cuales
permiten que los ingenieros, diseadores, calculistas, inspectores, residentes, etc. puedan
ejercer sus funciones. Los Ingenieros Inspectores ejercen funciones equivalentes a las
de los Auditores dentro de los proyectos desarrollados en el campo de sus respectivas
especialidades. Sin embargo dentro del campo de las nuevas ingenieras, las normas,
especificaciones, etc. deben ser escritas para cada proyectos, no existen especificaciones
oficiales, ni normativa, ni nada similar, por lo tanto el parecido entre la Auditora
contable y la Auditoria de Sistemas o informtica es solo una utopa. Se homologaron las
funciones pero dentro de marcos de referencia diferentes. Es de esperar que las
Asociaciones de Profesionales de la Informtica, la de Auditores Informticos, el
Colegio de Ingenieros y el Gobierno a travs de quien le competa, subsanen en un plazo
ms breve que largo, esta deficiencia. De esta forma se facilitara el trabajo de los
Auditores, las relaciones con los clientes y usuarios, se aclararan muchos problemas
legales que se presentan por carencia de una normativa y los cuales se hacen evidentes
dentro de las labores de Auditora.
Para empeorar las cosas, ahora aparece en el escenario la figura del delito informtico.
Figura que aumenta de proporcin peligrosamente, de acuerdo a lo divulgado por las
agencias internacionales de noticias y los informes presentados en las jornadas anuales del
Colegio de Contadores de Venezuela. Las prdidas anunciadas son de miles de millones de
dlares y en nuestro modesto universo, cientos de millones de bolvares. Y sigue en
ascenso. De seguir su expansin, dentro de poco, las prdidas causadas por esa figura tan
indeseable, igualarn las prdidas ocasionadas por la improductividad de la mayora de los
centros de computacin. Se dice que se roban ms de dentro de las organizaciones
bancarias con los computadores, que los asaltantes desde afuera.
Y aqu, qu sabemos sobre ese tipo de delito?.
Si nos guiamos por las noticias divulgadas, ese virus nos ha contagiado hasta ahora en
pequeas proporciones. Cuando atacar de nuevo, no se sabe. Lo que s se sabe, es que la
mayora de nuestras instalaciones estn indefensas y muy poco o casi nada se ha hecho
en materia de prevencin.
Los informes presentados en las ltimas reuniones realizadas hace poco en Caracas, sobre
medidas de seguridad y de contingencias, as lo demuestran.
Qu precauciones tomar?.
Daniel Seligmanh, en un artculo publicado por Fortune e intitulado Macnamaras
Managment Revolution, dijo La base de la revolucin Macnamarist no es su apoyo en
los computadores, sino la insistencia por ser racional y sistemtico.
Bajo esa premisa surgen la NASA y los proyectos espaciales.
Segn Seligman, en la administracin MacNamara, nada era aceptado por un simple acto
de buena fe. Las normas tradicionales no eran aceptadas sin ser verificadas y
comprobadas. Todas las interrogantes eran definidas rigurosamente y todas las posibles
soluciones eran analizadas a la luz de sus consecuencias. Los datos deban ser exactos,
deban ser precisos, y deban estar a tiempo. El cumplimiento de esos principios era
vigilado permanentemente. Adems, en forma sistemtica y recurrente, se someta a
una auditora peridica, cada uno de los componentes del sistema de informacin, con
el fin de determinar su confiabilidad como soporte de las funciones operacionales. De
esa forma haba una evaluacin permanente de todos los aspectos que envolvan esa
administracin.
Las auditoras internas por otro lado, se ocupan mayormente de la revisin de las
operaciones contables. Normalmente lo hacen con miras a facilitar la labor de los
auditores externos. Los que estn familiarizados con ese tipo de trabajo, saben que la
mayora de nuestras observaciones hacen todo lo posible para evitar las observaciones
negativas, en las certificaciones de los estados financieros.
Las labores realizadas por ambas auditoras, distintas de las mencionadas anteriormente,
son labores de excepcin. Por este motivo, la mayora de los componentes de un sistema de
informacin de la empresa no son auditados con la periodicidad requerida. Algunos
inclusive, nunca son auditados.
La informacin es un recurso valioso para toda organizacin. La mayor parte de las
empresas no podran sobrevivir s careciera de informacin formal. En muchas de ellas se
observa una tendencia cada vez mayor a ampliar la efectividad y la utilizacin de la
informacin ms all de la simple vigilancia de los aspectos legales y de la solucin
rutinaria de problemas. Para hacer frente a estas necesidades cada vez mayores se necesitan
fuertes inversiones. La cuestin es : Justificar la inversin los beneficios recibidos?.
La elaboracin de informacin formal cuesta dinero. Cunto debe gastar una empresa para
obtener informacin?.
EL COSTO DE LA INFORMACIN
En algunas empresas, el procesamiento de datos para hacer frente a las operaciones legales
y rutinarias y para obtener tambin informacin de alto nivel, representa entre 5 y 15% del
costo total de operacin de la empresa. En ciertas organizaciones financieras, el costo
puede elevarse hasta 50%. Los costos de operacin del sistema de informacin se
identifican del modo siguiente:
1.- Costo del equipo. Dentro de ciertos limites, en general este es un costo fijo o
perdido, que aumentar con los altos niveles de mecanizacin.
2.- Anlisis de sistemas, diseo e implantacin. Es un costo perdido que
aumentar normalmente con los altos niveles de mecanizacin. Esta funcin incluye
la formulacin de una metodologa para los procesamientos generales de datos. Si se
usa la computadora, ser necesario incluir tambin la preparacin de programas.
3.- Costo del espacio y del control de factores ambientales. Este es un costo
semivariable. Como ejemplos podemos mencionar el del espacio, el de los sistemas
de acondicionamiento del aire, el de las unidades de control de energa, el de las
medidas de seguridad, etc. Normalmente, estos costos aumentan con los altos
niveles de mecanizacin.
4.- Costo de conversin. Es un costo perdido o amortizable que incluye toda clase
de cambios, por ejemplo, del mtodo electromecnico a la computadora.
estructurada de arriba hacia abajo. Tambin debera contener un nmero de fases lgicas y
pasos dentro de dichas fases. Adems debera ser acompaada por puntos apropiados donde
la revisin gerencial y la aprobacin de trabajo adicional sean requeridos, basados en
resultados documentados de pasos previos. Tambin deber ser un proceso controlable,
sujeto a los mismos tipos de gerencia de proyectos y tcnicas de control que son
usualmente aplicadas en proyectos de desarrollo de sistemas. En resumen, deben ser
desarrollados aplicando las tcnicas y mtodo de sistemas.
Si el auditor de sistemas de informacin espera tener xito, un proyecto de Auditora deber
ser comenzado con:
(1) Un nivel apropiado de entendimiento de la metodologa a ser usada y
(2) Un sumario del campo de conocimiento que un auditor debe tener para realizar sus
decisiones, sobre todo el alcance a que puede llegar la Auditora.
Los pasos a dar en la metodologa pueden ser sumarizados como sigue:
1.- Establecer objetivos iniciales sobre toda la Auditora.
2.- Obtener un entendimiento inicial de los negocios y sus sistemas, en trminos de
sus operaciones, la industria a y as sucesivamente, a travs de la recopilacin de
informacin bsica.
3.- Desarrollar una forma de representacin que muestre el entendimiento de los
objetivos de la empresa.
4.- Expandir dicha comprensin para abarcar los riesgos del material inherente (o
exponerse) a la organizacin si aquellos objetivos no son cumplidos.
5.- Cuantificar la materialidad y dar prioridad a las exposiciones, en relacin a los
propsitos particulares de la Auditora, bien sea financieros, de control u
operacional.
6.- Obtener informacin adicional a travs de recopilaciones detalladas de
informacin, para entender los procesos y actividades por medio de las cuales la
empresa espera lograr sus objetivos, y la estructura de control que esta utiliza para
asegurar la obtencin de los mismos.
7.- Determinar como los aspectos del ambiente afectan el sistema, y si los controles
de dicho ambiente son confiables.
8.- Determinar las causas de los errores que puedan ocurrir con el sistema y las
transaccin dentro del sistema, las cuales pudieran causar dichos errores.
9.- Obtener suficiente informacin para identificar y evaluar los puntos fuertes y
dbiles de los controles, as como la efectividad y eficiencia en la prevencin o
deteccin y correccin de estos errores.
10.- Determinar los controles claves, los cules previenen o detectan y corrigen
errores que deberan ser confiables en base a su relativa efectividad y eficiencia.
11.- Disear pruebas apropiadas para los controles claves.
12.- Examinar el menor nmero prctico de controles primarios y secundarios
seleccionados para asegurarse que trabajen apropiadamente y hacer prevencin o
deteccin y correccin de las causas de errores.
13.- Evaluar los resultados de todos los controles de identificacin, evaluacin y
procesos de prueba, y reportar los resultados de la Auditora, incluyendo debilidades
determinadas y su relativa materialidad en trminos de exposiciones totales para la
organizacin.
Este proceso puede tomar considerable tiempo y esfuerzo, envolviendo muchos pasos
individuales, la recopilacin de muchos tipos de informacin y documentacin, y el
entendimiento de muchos sistemas y transacciones. Tambin incluye el desarrollar un
mtodo que habilite la estructuracin de los esfuerzos resultantes, evaluaciones y
documentacin de Auditora, en un conjunto racional de papeles de Auditora.
VALOR DE LA INFORMACIN
El valor de la informacin est basado en diez caractersticas, que se enumeran a
continuacin:
1.- Accesibilidad. Esta caracterstica se refiere a la facilidad y rapidez con que se
puede obtener la informacin resultante. Por ejemplo, la rapidez de acceso puede
medirse en trminos de un minuto contra veinticuatro horas. Pero, qu valor tiene
esa informacin para el usuario?. Valdr, por ejemplo, Bs. 10.00 ms por acceso
con respecto al viejo mtodo?.
2.- Comprensibilidad. Se refiere a la integridad del contenido de la informacin.
No se refiere necesariamente al volumen sino que el resultado sea completo. Esta
caracterstica es sumamente intangible y, por tanto difcil de cuantificar.
3.- Precisin. Se refiere a que no haya errores en la informacin obtenida. Cuando
se trata de un gran volumen de datos, en general se producen dos clases de errores:
de transcripcin y de clculo. Muchos aspectos de esta caracterstica pueden ser
cuantificados. Por ejemplo, cul es la proporcin de errores por cada mil facturas
elaboradas por mtodos manuales y por computadoras? Qu valor representa
reducir el nmero de errores?. Por ejemplo, aumentarn las ventas 0.5% si el
nmero de errores de facturacin se reduce a 10%?.
Los resultados de las decisiones gerenciales estn influenciados no slo por las
manipulaciones de factores sobre los cuales un gerente tiene control, sino adems, por una
gran variedad de factores incontrolables y muchas veces desconocidos. Fuerzas naturales,
gubernamentales, competitivas y consumidoras ofrecen pequeas oportunidades para su
manipulacin. Tambin, el xito de las decisiones es influenciado por estos factores.
Informacin Imperfecta.
Obviamente es poca la informacin perfecta. En contados casos somos precisos en nuestras
predicciones, o en nuestro entendimiento de cmo son las cosas. Podramos asumir que el
valor de la informacin se incrementar con aumentos en la precisin de la informacin.
CONTROL Y CONTROLES.
Palabras usadas con demasiada frecuencia en informtica, sin importar mucho el verdadero
significado de ambas.
Con el computador se han multiplicado los controles. Analistas y programadores han sido
prdigos en su creacin. Controles de todo tipo han aparecido. Necesarios e innecesarios.
Hay que crear controles, pareciera ser la consigna. Sin embargo, no son muchas las
mejoras proporcionadas por nuestros softwares en las funciones de control.
En todos los centros de computacin existen muestras palpables de la facilidad con que
analistas y programadores han confundido el significado de ambas palabras. Control de
Produccin. Control de Cuentas por Pagar. etc. Son los ttulos de las aplicaciones ms
comunes en todas las instalaciones. Todas registrando el pasado, creando historia, creando
controles. Pero con muy poco control.
Cunto control ejercen nuestros gerentes a travs del computador?.
Y cunto sobre el computador y sus procesos?.
Segn Drucker, para que un gerente pueda ejercer el control, los controles deben satisfacer
siete condiciones fundamentales:
-
perodo de dos aos antes de ser capacitado razonablemente para identificar las
implicaciones de sus controles. Esto no es un costo de Auditoria, pero s un costo de
mantenerse al da en la forma en la cual la compaa hace sus negocios.
La trayectoria de carrera, la posicin y materia de compensacin debe recibir gran atencin
con esta inversin de entrenamiento, porque la compaa necesita retener al auditor PED
por lo menos de tres a cuatro aos. Muchos proyectos futuros de sistemas pueden requerir
un tiempo de desarrollo quizs excediendo un ao, y usualmente alcanza de dos o tres aos.
Por lo tanto es crtico para la Auditoria que los auditores PED sean retenidos durante el
desarrollo de proyectos, donde sea prctico.
La falla de esto, es que existe una implicacin pesada sobre la calidad de la documentacin
de la Auditoria de desarrollo de sistemas, de forma tal que el auditor que llega al proyecto
hecho a medias tenga la habilidad de seguir lo que ya est hecho y determinar lo que aun
se necesita hacer.
CINCO GRANDES PELIGROS.
Los cinco grandes daos para un complejo de computacin son el fuego, el agua, el robo, el
fraude y el sabotaje. De stos, el fuego es probablemente el ms serio.
LOS INCENDIOS.
Son un problema critico en un centro de computacin por varias razones. Primero que todo,
las oficinas de computacin tpicamente contienen materiales inflamables como el papel,
cajas, tarjetas, diskettes, cintas, y mucho plstico, etc. El hardware, cables y otros tambin
pueden ser fuente de serios incendios. An ms, una vez que un pequeo incendio
comienza en un equipo de computacin, casi siempre es difcil de combatirlo porque los
cables, cintas y algunos componentes del hardware emiten humos densos y txicos, los
cuales inmediatamente fuerzan a que el incendio sea pequeo y pueda ser extinguido
rpidamente o que los empleados estn equipados con mscaras anti-gas, el humo los
sacar del sitio y an, pequeos incendios crecern al no ser chequeados.
Desafortunadamente, los sistemas contra incendio dejan mucho que desear. Los sistemas de
irrigacin constituyen un problema de tanto dao como el fuego causara, ya que ellos
constituyen un peligro especial a la biblioteca de cintas. Sistemas de dixido de carbono, la
alternativa a la irrigacin por agua, son peores que el agua, para los empleados que quedan
atrapados en el cuarto de computadoras.
La mayora de los centros de computacin estn atestados con equipos permanentes y un
gran complemento de carritos y carretillas. Hay frecuentemente una o dos salidas, y casi
siempre todas, excepto una, estn cerradas. Este tipo de situacin, a la par con el hecho de
que la mayora de los incendios repentinamente emiten humos fuertes y gases dentro de los
cuartos (como ocurre cuando se abre la puerta de una bveda o se hala un panel de piso),
significa que el cuarto de computadoras constituye un serio peligro para el personal. Los
operadores en estos grandes cuartos podran no alcanzar la salida antes de los 20 o 30
segundos que permiten los irrigadores de dixido de carbono (no aconsejables en centros de
computacin), de dejar salir a la gente de dejar caer la espuma.
El fuego es considerado la gran amenaza para las localidades de computadoras por el
peligro de destruccin a los archivos de datos y programas. El equipo en s, usualmente
est cubierto por un seguro, y los fabricantes de equipos tienden a responder rpidamente,
reemplazndolos o reparndolos, as que la restauracin fsica constituye un problema
menor. El reemplazo o reconstruccin de las cintas, discos y archivos de tarjetas es
frecuentemente ms difcil y algunas veces imposible. Los negocios que no hacen respaldo
(back up) de sus archivos computarizados ms importantes se arriesgan a la prdida
completa de todos sus registros, y ellos los arriesgan todos los das. Dicho respaldo fuera
de sitio (off-site) es el ms importante paso singular que una compaa puede hacer para
protegerse a si mismo.
Sumado a la prdida de registros o equipos, el incendio podra causar otras prdidas las
cuales podran no estar cubiertas por el seguro. La ms importante de estas sera la prdida
del mpetu del negocio (o momentum). Un retraso de semanas o meses crea prdida
irreparables a cualquier organizacin, an si es posible restaurar las oficinas y registros a su
condicin original. No solo una lnea area con su sistema de reservaciones o un banco que
posee cajeros automatizados, podran ser daados seriamente por un incendio en el cuarto
de computadoras, sino tambin cualquier organizacin que realmente dependen de su
procesamiento de computadoras.
LOS DAOS DEL AGUA.
En varios desastres en cuartos de computadoras, lo que el fuego no destruy, el agua de los
bomberos lo hizo. El agua puede entrar en una localidad de computadoras de varias formas.
Computadoras en los stanos o a nivel de tierra en reas bajas son vulnerables a las
inundaciones y varios centros de computacin han sido inundados. Centros de PED
tambin pueden ser inundados por el agua con la ruptura de tuberas, incluyendo las que
estn en pisos falsos y techos, o en las paredes.
En un caso, un cuarto de computadoras fue inundado con agua de una tubera que se
rompi en el piso de arriba. Durante la construccin, el techo del cuarto no fue sellado, y
cuando la tubera rompi, el agua penetr a travs de agujeros, a travs del cielo raso y
sobre el cuarto de computadoras.
Las inundaciones tambin pueden ser resultados de combatir incendios sobre pisos de
arriba del centro de computacin. Esto sugiere una solucin obvia: que todos los agujeros
del techo sean tapados. Los agujeros son inevitables durante la construccin y a menos que
procedimientos especiales sean tomados, los mismos no son tapados.
Los sistemas de irrigacin plantean otro dao de agua. En un gran centro de computacin se
encontraron recientemente de 4 a 6 pulgadas de agua, despus que la cabeza de un
irrigador accidentalmente se rompi. Analizando la situacin, se encontraron 4 violaciones
de seguridad.
(1) Las tuberas estaban llenas y listas para regar en el instante que la cabeza se
rompi. Una prctica mejor es el mtodo de la tubera seca donde un retraso
(30 segundos) est previsto, mientras las pipas de un reservorio, se llenan.
(2) No haba una llave para cerrar la tubera en el cuarto. L a llave correcta estaba
varios pisos abajo.
(3) No haban desages debajo del piso falso. Desages y contornos de nivel son
mandatarios en una edificacin bien diseada.
(4) Ni siquiera haban sido provistos con forros e impermeables, los cules
hubieran protegido fcilmente los equipos de computacin. Como resultado, las
computadoras fueron desmanteladas, sus partes secadas o cambiadas, probadas,
reemsambladas y vueltas a probar.
Mientras que el agua en s es una amenaza para los componentes computarizados y cables,
la misma no constituye un peligro a cintas magnticas. Las pruebas han demostrado que
las cintas que han sido sumergidas en agua por varias horas pueden ser ledas sin
errores despus que han sido secadas enteramente (por lo menos dos das) y
rebobinadas. La capa de xido que cubre la cinta magntica tiene una base de agua y, sin
embargo, si dichas cintas retienen humedad por un periodo extenso, lo ms probable es que
haya expansin de xido y su eventual destruccin.
ROBOS.
Un sistema de computacin es un recurso corporativo de valor y puede ser robado en el
mismo sentido que los inventarios o dinero cuando el personal de computacin usa el
tiempo del computador de la compaa para correr trabajos o procesar programas para
ajenos. El problema existe a escala pequea en casi todas las instalaciones computarizadas.
Probablemente no exista una corporacin en este pas que no haya tenido su sistema de
computacin apropiado para usos ajenos al negocio en un tiempo dado. El mismo problema
ocurre con el mal uso de las fotocopiadoras, solo que a una escala ms grande.
Desafortunadamente, ha habido varios casos publicados donde este abuso alcanz el punto,
donde un operador de computadoras o varios de ellos manejaban un buro de servicios
privados computarizados, usando el equipo del patrn. El potencial de ganancias puede ser
deslumbrador; el patrn cubre todos los gastos inconscientemente (renta de los equipos,
reparacin y material) y en un caso, fue an forzado a expandir su computadora para
satisfacer el aumento de trabajo.
Datos o sensibles en forma legible de computadora fcilmente pueden ser robados. Muchas
compaas invierten millones de dlares en archivos de datos y programas, y luego les
proveen con la misma proteccin que le daran a una mquina de escribir o calculadora.
todas las operaciones y no despertaba sospecha al estar en la oficina durante las horas
extras.
En un complicado esquema de dos bancos y tres compaas, 4 hombres robaron $ 1.3
millones al alterar los datos de entrada en este caso memorndums de depsitos antes de
su procesamiento por las computadoras del banco.
El desarrollo de programas de computacin fraudulentos. Es considerablemente ms
difcil que manipular datos de entrada, no porque la programacin en si sea ms difcil, sino
porque la mayora de las grandes compaas poseen procedimientos controlados de pruebas
para nuevos programas y cambios de los mismos. Sin embargo, muchos problemas an
surgen.
En una casa de corredores de bolsa, el gerente de procesamiento de datos robo $ 81.000
durante un periodo de 4 aos con un plan basado principalmente sobre cambios no
autorizados. El pudo emitir cheques sobre su compaa y enviarlos a cuentas falsas las
cuales el haba construido.
Alteracin o creacin de archivos de datos ficticios tales como aquellos mantenidos en
cinta magntica o disco a menudo requieren manipulacin de datos de entrada o el maltrato
de programas para computadoras limpios, fraudulentos o ambos.
Durante un periodo de 5 aos, el contador de una gran firma empacadora de frutas y
vegetales de California, desfalco ms de 1 milln de dlares al inflar cuidadosamente los
recibos. Realizando toda la contabilidad de la compaa en un buro de servicios (el cual el
posea), el pudo mantener juegos mltiples de archivos; y esencialmente simulando los
efectos de varias transacciones, el pudo robar cantidades, las cuales no distorsionaban los
resultados reportados. Este robo envolvi la manipulacin de datos de entrada y programas
de computacin, a la vez que los archivos principales.
La transmisin ilegal, intercepcin o desvo de informacin teleprocesada se ha vuelto ms
importante en los ltimos 2 aos. As como el volumen de transmisin contina
incrementndose y los negocios transmiten informacin crecientemente sensitiva a
menudo, a travs de redes transmisoras comunes las oportunidades para la interrupcin,
alteracin o creacin de mensajes ficticios han incrementado.
En Marzo, en Oakland, la polica de California arrest un empleado de un buro de
servicios y se acuso con el robo de programas de un competidor; el ladrn aludido marcaba
el nmero del computador de su competidor desde un terminal remoto, eludia el sistema de
seguridad, copiaba la informacin deseada y luego la introduca en los archivos de su
propia computadora.
En muchos de estos casos, la ms enervante caracterstica es la simplicidad del esquema.
Mientras que el fraude y el desfalco siempre han sido problemas potenciales para una
compaa, el uso incrementado de sistemas de computacin ha tenido a aumentar los
riesgos en muchos casos. En este ambiente, las oportunidades para el fraude son ampliadas
SABOTAJE.
Quizs el riesgo ms espantoso para un complejo PED es el sabotaje. Por muchas razones,
los centros de computacin en la educacin y los negocios han sido blancos para los
radicales y los descontentos. En la Universidad Sir George Williams en Montreal, los
estudiantes ocuparon el centro de computacin y cuando atacaron, destrozaron dos grandes
computadoras con hachas. Lo que no pudieron cortar, los quemaron. En la Universidad de
Boston, vagos destruyeron una computadora con pinzas de cortar alambre y cido. En
Londres, dos computadoras compartidoras de tiempo en un buro de servicio fueron
saboteadas por un empleado que saba que cortar para prevenir un fcil diagnstico.
Durante el pasado ao, bombas destruyeron o daaron las computadoras en las
Universidades de Kansas, Wisconsin y el Colegio Estatal de Fresno en California.
Los negocios que han intentado establecer programa apretados de seguridad han encontrado
que la proteccin contra un saboteador es uno de los retos ms difciles. La Dow Chemicals
recientemente fue atacada por un grupo radical asistido por un empleado. Con la ayuda de
dicha persona, ellos pudieron entrar al cuarto de computadoras en un fin de semana y
borraron todas las cintas magnticas en la bveda usando imanes de mano. Ms de 1.000
cintas fueron borradas. Ellos tambin botaron cajones de tarjetas en pilas y escondieron los
imanes en varias partes del cuarto.
Los imanes son armas populares para saboteador desde que un electroimn rpidamente
borra una cinta cuando se le acerca. Las cintas no se necesitan sacar de sus estuches, as que
un imn pasado cuidadosamente sobre un armario de cintas sera suficientes para borrarlos
a todos.
Como es virtualmente imposible detectar la presencia de un imn en una instalacin
computarizada sin equipos costosos ($ 25 mil - $ 40 mil por instalacin ) la nica solucin
factible es tener controles muy cerrados sobre las cintas. Esto significa que una persona
debe estar presente todo el tiempo cuando la bveda se abra. Muchas compaas tienen un
bibliotecario en guardia durante el primer horario, pero luego la bveda se mantiene abierta
y desatendida el resto del tiempo.
Los centros de PED pueden ser destinados sin ganar acceso a las instalaciones o ni siquiera
al edificio. El Palacio de vidrio o el centro PED es un blanco invitador para bombas
incendiarias y otros proyectiles. El sucio, partculas de metal o aun gasolina, pueden ser
echados en las entradas a nivel de tierra de los aires acondicionados. Lneas de
comunicaciones o elctricas pueden ser cortadas o hacer corto circuitos. Las bombas
pueden ser ubicadas adyacentes al centro o si el computador es localizado en un edificio de
multipisos, sobre el piso de arriba o debajo del centro de computacin.
Empleados descontentos pueden ser particularmente peligrosos. El ao pasado, un
fabricante de productos farmaceticos de New Jersey descubri que sus archivos
computarizados en lnea haban sido alterados por un empleado cesanteado a quien se le
haban dado sus ltimas dos semanas. La compaa ahora practica la terminacin
inmediata dentro de su centro de computacin. La liquidacin es an pagada pero a la vez
MEDIDAS DE SEGURIDAD
Si los datos a ser respaldados son actualizados sobre una base peridica, el viejo archivo
maestro y los cambios pueden ser guardados sin costo adicional. Los cambios son
frecuentemente ubicados primero en cinta y luego ordenados, antes de correr la
actualizacin. La cinta no ordenada de cambio es una buena candidata para almacenarla
fuera de sitio mientras que el archivo actualizado y ordenado puede ser dejado en el centro
de datos.
De esta manera. La duplicacin puede ser lograda sin procesamiento adicional, el cual
puede ser particularmente importante para las organizaciones con grandes archivos o
archivos que son frecuentes actualizados.
Las caractersticas ms importante acerca de la ubicacin fuera de sitio, es que sea remota
del centro de datos. Servicios comerciales existen en muchas ciudades para proveer dicho
almacenamiento o puede ser cumplido a travs de la cooperacin con una firma basada en
intercambios. Muchas compaas con mltiples centros de PED intercambian archivos
duplicados entre los centros.
Es importante que dichos arreglos sean seguidos rutinariamente. Un mtodo de chequeo
debera ser desarrollados para asegurar que el sistema de duplicacin est operando como
fue planeado y que los viajes al sitio de almacenamiento sean hechos como se plane.
Ejercicios de emergencia deberan ser conducidos sobre una base continua para validar el
funcionamiento y condicin del plan de respaldo.
Ejemplo de motivacin
Visin
Foco
Investigacin
Inventario
Desarrollo
Concentracin
Documentacin
Mercadeo
Crear
- El producto
Implementar
- En una base alternada gradual
Evaluar
- Los xitos y fracasos
Repetir
- El proceso debe ser un lazo continuo
Miremos esto en ms detalle
Sentido de negocio
Creatividad
Conocimiento de Auditora
Control orientado I.S.
Conocimiento del programa
Habilidad de escritura / Presentacin
Habilidad eficaces tcnicas
Flexibilidad
Noticias rpidas
Persistencia
Sofisticado
Pensamiento hacia delante
Mercadeo orientado
5.- Investigacin
Una vez usted sabe lo que le gustara. Determine justo lo que es factible y lo que
no es.
- Coloque los artculos que usted estime factibles en su plan
- Catalogue otras ideas para el archivo de maana
La investigacin no es derecho hacia delante y una mente abierta
La informacin esta disponible en muchos lugares
- Otros departamentos de Auditora
- Las bibliotecas y universidades
- El instituto de auditores EDP
ACL
FOCAUDIT
PANAUDIT
ETC.
Mantener el inventario actual de tal manera que usted pueda tener solucin
empacada para requerimientos de la gerencia.
Recuerde que una vez desarrollado el programa tendr que ser sustentado.
Para que el auditor del siglo XXI llegue a ser una realidad. La idea debe
venderse.
Usted necesitar un plan de mercadeo y estrategia .
La experiencia pasada muestra que es mejor tener un modelo demostrable antes
de solicitar la aprobacin de la gerencia.
- Trabajar en casa creando un ejemplo del producto
- Rastrear sus horas para varios productos
- Asegrese de documentar la curva de tiempo de aprendizaje separadamente.
Una vez usted tenga varios programas de muestra.
Construya un programa de mercadeo.
- Donde las nuevas tcnicas sean apropiadas
- Ahorros de personal potencial
Antecedentes, evolucin.
Momento o situacin actual y previsible.
Dimensiones (actividades, recursos, etc.).
2.- Ambiente:
Usuarios.
Grupos de inters
Relaciones con el entorno
3.- Gerencia:
Liderazgo.
Estilo gerencial dominante
Estilos de decisin.
Formas de participacin.
4.- Estrategia:
Misin de la organizacin.
Objetivos.
Estrategias.
Polticas.
Planes de largo, mediano y corto plazo.
Presupuestos.
Restricciones.
5.- Procesos:
Principales procesos.
Insumos.
Servicios y/o productos.
Tecnologas.
6.- Estructura:
Criterios de estructuracin.
Funciones, responsabilidad principales.
Divisin del trabajo, especializacin, diferenciacin.
Jerarqua y autoridad.
Tramo de control.
Mecanismos de integracin.
Usos de organizaciones ad-hoc y comits.
Relaciones funcionales.
Posiciones claves.
Descripcin de puestos.
7.- Sistemas:
de planificacin.
De decisin.
De administracin.
De control.
De informacin.
Ciclos de actividades.
Procedimientos.
8.- Personal:
Aspectos cuantitativos.
Aspectos cualitativos.
Aspectos demogrficos.
Adiestramiento.
Desarrollo de carrera.
Clima organizacional.
** Identificacin con la organizacin.
** Motivacin.
9.
Valores:
Valores de la organizacin
Smbolos.
Rituales.
Modelos.
10.- Infraestructura:
11.- METODOLOGIA.
a) Relevamiento de informacin. Se utilizar la tcnica de la entrevista (especialmente
en los niveles gerenciales) para relevar la informacin exigida por algunos de los
elementos a ser estudiados. La aplicacin de encuestas e instrumentos de diagnostico,
en todos los niveles y la revisin documental que se considere necesaria.
b) Anlisis de la informacin. A medida que se vaya relevando la informacin. Se
proceder a efectuar los anlisis correspondientes y preparar el informe sobre cada uno
de los tpicos, que conformarn ms tarde el informe final.
c) Informe y recomendaciones. El informe final contendr los resultados del anlisis y
las recomendaciones para un plan de accin en funcin de los mismos.
III.
DURACIN.
COSTO.
Reclut. Personal y
preparacin instrum.
Anlisis de Resultados
Preparacin de
conclusiones
Imprevistos
8 das
10 das
10 das
\\\\\\\\\\\\\
QU ES UNA AMENAZA?
Una amenaza se define como un peligro potencial o un evento no buscado que puede
causar dao al sistema o a una organizacin. En otras palabras, una amenaza son actos que
la organizacin busca prevenir para evitar perdida de sus activos.
QU ES UN COMPONENTE?
Un componente se puede definir como una parte especfica del sistema. Los componentes
son los elementos sobre los cuales deseamos mantener controles.
Los componentes son piezas del sistema. La mayora de la veces, los componentes son de
naturaleza fsica.
Acceso Fraudes
ilegal al o Robos
sistema
6.7
Prdidas o Desastres
corrupcin
del
mensaje
1.2
3.7
7.9
11
3.7
3.7
11
3.7
12.13
12.13
12.11
13
4.8
5.6.10
3.5.6.10
5.6.7
5.6.7
1.2.7.13
11
3
3
Los controles se toman del libro sobre matrices de control de Fitzgerald, Jerry. Tambin se
pueden ir generando otros controles para complementar estas matrices, a medida que se
tienen experiencias con diferentes sistemas.
Como puede verse la matriz de control est construida en funcin de las amenazas y los
componentes del sistema.
Los controles contenidos en la matriz deben disminuir o detener las amenazas y
salvaguardar o restringir los componentes identificados en el paso uno.
Violacin
de
Privacidad
Errores y
Omisiones
3
Violacin
de
Privacidad
18
1 Errores y
4
Omisiones
Acceso
Ilegal
al
Sistema
4.5
Fraude y
Robo
3.5
0.5
1
1.5
2
Prdida y
corrupcin
de Mens. 5
4 Acceso
Ilegal
al
Sistema
13
3
2.5 Fraude
Robo
2.5
4
4
1
0
12
1
3
1
0
y
9
4 Prdida y
corrupcin
de Mens.
1
1
Desastres
20
Desastres
Reportes Reportes
Micros o
Terminal
es
2
Main o
Mini
0
Operado
r de
Terminal 3
Circuito
Comunic
acin
4.5
Archivo
Base de
Datos 5
Program
as
4
75
3 Micros o
Terminal
es
6
1
140
Main o
Mini
4
2
2.5
2.5
0.5
1
0
5
0
2
0
5
1
4
2
95
4 Operado
r de
Terminal
105
3
1 Circuito
Comunic
4
acin
25
1
1
2 Archivo
Base de
4
3
Datos
19
2
1
1
4 Program
as
4
4
1
Observe que los valores colocados en las casillas son valores promedio
obtenidos en las votaciones, de all la aparicin de nmeros decimales.
Prdidas
del
mensaje
Violacion
de
privacidad
Circuitos de
comunicacin
Main
o
minicomputa
dores
Reportes
Operadores
de terminales
Microcomput
adores
o
terminales
Paso 3.- Realizar un anlisis de riesgos
Para realizar el mismo se procede a vaciar los valores de resumen obtenidos en las dos
matrices anteriores, en los rubros identificados tanto en componentes como en riesgos. (Ver
valores colocados en amenazas y componentes).
Observe que tanto las amenazas como los componentes se ha reordenado en forma
decreciente de acuerdo a esos valores.
Luego se multiplican los valores de amenazas y componentes y los resultados se colocan
en las casillas correspondientes.
Se obtiene una nueva matriz como la se muestra a continuacin.
Acceso
ilegal al
sistema
(12.0)
Prdidas
del
mensaje
(9.0)
Violacin
de
privacidad
(3.0)
300
225
75
228
171
57
222
166.5
55.5
168
138
126
103.5
42
34.5
114
85.5
28.5
90
67.5
22.5
1
2
500
450
3 ALTO 5
380
342
4
6
370
333
9
10
230
252
13
17
230
207
18
20
190
171
23
26
150
135
Prdidas
Acceso
ilegal
al del
mensaje
sistema
8
11
14
247
228
12
16
240.5
222
19
21
182 MEDIO
24
25
149.5
138
28
29
123.5
114
31
32
975
90
Violacin
de
privacidad
15
225
20
171
22
166.5
27
126
30
103.5
33
85.5 BAJO
35
34
75
36
57
37
55.5
38
42
39
34.5
40
41
22.5
Paso No. 1
AMENAZAS
VIOLACIN DE PRIVACIDAD
Acceso no autorizado a datos confidenciales.
ERRORES Y OMISIONES
Errores que ocurren durante la preparacin de los documentos, procesamiento o salidas del
sistema.
ACCESO ILEGAL AL SISTEMA
Desautorizado acceso a las bases de datos, redes, programas de computacin, documentos
sensitivos y otros.
FRAUDES O ROBOS
El robo de los datos de organizacin o de otros documentos, tanto manuales o
computarizados o de la red de la organizacin.
DESASTRES Y DESTRUCCIONES
Desastres fsicos, incluyendo incendios, inundaciones, fallas elctricas, terremotos y otros
de la misma naturaleza.
COMPONENTES
REPORTES
Reportes y archivos manuales, documentos, etc.
MICROCOMPUTADORES O TERMINALES
Microcomputadores centrales, discos y unidades de cintas, y otros dispositivos relacionados
con el hardware.
OPERADORES DE TERMINALES
Operadores de terminales, empleados temporales, otros empleados o personas de otros
lugares quienes tienen acceso a terminales de la organizacin.
CIRCUITOS DE COMUNICACIN
Circuitos de comunicacin que conectan a la organizacin a amplias reas de redes
(WANs) o la redes locales (LANs).
AMENAZAS
ITEM
VOTO TOTAL
Desastre
20
Error u omisin
18
Fraude y robo
13
Acceso ilegal
12
Violacin de privacidad
COMPONENTES
ITEM
VOTO TOTAL
Base de datos
25
Programas
19
Circuito de comunicacin
18,5
Main y Mini
14
Reportes
11,5
Operadores de terminal
9,5
Micros y terminales
7,5
luego se procede a llenar las matrices como se explico anteriormente para determinar las
zonas de alto medio y bajo riesgo.
BIBLIOGRAFIA