P. 1
Auditoría informática

Auditoría informática

|Views: 1.490|Likes:
Publicado porJECAZAGU

More info:

Published by: JECAZAGU on Mar 28, 2011
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOCX, PDF, TXT or read online from Scribd
See more
See less

06/05/2013

pdf

text

original

Auditoría informática

La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia. Los objetivos de la auditoría Informática son:
• •

El control de la función informática El análisis de la eficiencia de los Sistemas Informáticos La verificación del cumplimiento de la Normativa en este ámbito La revisión de la eficaz gestión de los recursos informáticos. Desempeño Fiabilidad Eficacia Rentabilidad Seguridad Privacidad Gobierno corporativo Administración del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Protección y Seguridad Planes de continuidad y Recuperación de desastres

• • • • • • • • • • • • •

La auditoría informática sirve para mejorar ciertas características en la empresa como:

Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL. Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que

el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

[editar] Tipos de Auditoría informática
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
• •

Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc. Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

• • • •

• • •

la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.

[editar] Principales pruebas y herramientas para efectuar una auditoría informatica
En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información. Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente. Observación

Las principales herramientas de las que dispone un auditor informático son: •

• • • • • • Realización de cuestionarios Entrevistas a auditados y no auditados Muestreo estadístico Flujogramas Listas de chequeo Mapas conceptuales Fases Auditoria Informatica Principio del formulario w w w .mitecnolog Final del formulario Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos .mitecnolog w w w .

3. 2.1.3. • Organigrama del área que participa en el sistema • Manual de funciones de las personas que participan en los procesos del sistema • Informes de auditoría realizadas anteriormente 1.Identificación de riesgos • Daños físicos o destrucción de los recursos • Pérdida por fraude o desfalco • Extravío de documentos fuente. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación.Análisis de las transacciones • Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos.1.Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones Fase I: Conocimientos del Sistema 1.2. Fase II: Análisis de transacciones y recursos 2. La importancia de las transacciones deberá ser asignada con los administradores. las transacciones se dividen en procesos y estos en subprocesos. 1.2.1. Aspectos Legales y Políticas Internas. archivos o informes .Relación entre transacciones y recursos Fase III: Análisis de riesgos y amenazas 3.4.Definición de las transacciones.Características de la aplicación de computadora • Manual técnico de la aplicación del sistema • Funcionarios (usuarios) autorizados para administrar la aplicación • Equipos utilizados en la aplicación de computadora • Seguridad de la aplicación (claves de acceso) • Procedimientos para generación y almacenamiento de los archivos de la aplicación.Características del Sistema Operativo.Análisis de los recursos • Identificar y codificar los recursos que participan en el sistemas 2. Dependiendo del tamaño del sistema. 2.

Relación entre recursos/amenazas/riesgos La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.3. Para cada tema debe establecerse uno o más controles. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de la áreas.2.3. Fase IV: Análisis de controles 4.1.2. Evaluación de las respuestas 6.Análisis de resultados de las pruebas Fase VI: Informe de Auditoria 6.3. luego la identificación de los controles deben contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido.Objetivos de la evaluación • Verificar la existencia de los controles requeridos • Determinar la operatividad y suficiencia de los controles existentes 5.2.Análisis de cobertura de los controles requeridos Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos.• Robo de dispositivos o medios de almacenamiento • Interrupción de las operaciones del negocio • Pérdida de integridad de los datos • Ineficiencia de operaciones • Errores 3. 4.2.1.3.Plan de pruebas de los controles • Incluye la selección del tipo de prueba a realizar.Pruebas de controles 5. • Debe solicitarse al área respectiva.Codificación de controles Los controles se aplican a los diferentes grupos utilizadores de recursos.4. todos los elementos necesarios de prueba.Identificación de las amenazas • Amenazas sobre los equipos: • Amenazas sobre documentos fuente • Amenazas sobre programas de aplicaciones 3. Fase V: Evaluación de Controles 5.1. 4. 5. Informe detallado de recomendaciones 6.Relación entre recursos/amenazas/riesgos La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. .

• Determinar si la información que brindan los Sistemas de Informáticos es útil. Decanato de Administración y Contaduría Auditoría Informática Revisión Evaluación Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Información Informática II.2. Decanato de Administración y Contaduría Tipos Interna: Aplicada con el personal que labora en la empresa. Decanato de Administración y Contaduría Auditoría Informática Objetivos • Presentar recomendaciones en función de las fallas detectadas. Informática II.• Introducción: objetivo y contenido del informe de auditoria • Objetivos de la auditoría • Alcance: cobertura de la evaluación realizada • Opinión: con relación a la suficiencia del control interno del sistema evaluado • Hallazgos • Recomendaciones Fase VII: Seguimiento de Recomendaciones 7.1. Informes del seguimiento 7.zada para realizar la misma. • Inspeccionar el Desarrollo de los Nuevos Sistemas. Evaluación de los controles implantados Fin de la sesión. Auditoría Informática Informática II. Externa: Se contrata a una firma especiali. Auditoría Informática Externa Las empresas recurren a la auditoría externa cuando existen: • Síntomas de Descoordinación • Síntomas de Mala Imagen . • Verificar que se cumplan las normas y políticas de los procedimientos.

como por ejemplo reportes impresos. la correcta transmisión de datos entre entornos diferentes. Informática II. • Transacciones Erróneas Informática II. . así como también insatisfacción de los usuarios. Informática II. Entre los datos que se deben incluir en una prueba se tienen: • Datos de Excepción. La Planta Baja y el Sótano son lugares propensos a las inundaciones. Informática II. Mediante esta técnica. se detectan equipos sobre y subutilizados. Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas establecidas. • Comunicaciones: Verificar que el uso y el rendimiento de la red sea el más adecuado . Decanato de Administración y Contaduría Técnicas de Auditoría …(Continuación) • Auditoría para el Computador: Permite determinar si el uso de los equipos de computación es el idóneo. cintas. Decanato de Administración y Contaduría • Síntomas de Debilidades Económicas • Síntomas de Inseguridad Aspectos Fundamentales en la Auditoría de los Sistemas de Información Informática II. • Inundaciones: Se recomienda que el Departamento de computación se encuentre en un nivel alto. Decanato de Administración y Contaduría Auditoría Informática de Sistemas Se audita: Informática II. a fin de evitar un aumento significativo de los costos. el cumplimiento de plazos y calendarios de tratamientos y entrega de datos. Decanato de Administración y Contaduría Auditoría Informática de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de las nuevas aplicaciones informáticas deben ser sometidas a un minucioso control. • Prueba de Minicompañía: Revisiones periódicas que se realizan a los Sistemas a fin de determinar nuevas necesidades. Decanato de Administración y Contaduría Peligros Informáticos • Incendios: Los recursos informáticos son muy sensibles a los incendios. Decanato de Administración y Contaduría • Sistema Operativo: Verificar si la versión instalada permite el total funcionamiento del software que sobre ella se instala.Informática II. • Datos Ilógicos. entre las cuales se mencionan: • Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo. discos. si no es así determinar la causa • Software de Aplicación: Determinar el uso de las aplicaciones instaladas. Decanato de Administración y Contaduría Auditoría de los Datos de Entrada Se analizará la captura de la información en soporte compatible con los Sistemas. Técnicas de Auditoría Existen varias técnicas de Auditoría Informática de Sistemas. • Robos: Fuga de la información confidencial de la empresa.

Si bien es cierto que la Auditoría es un proceso que permite detectar fallas. La más utilizada es la Copia de Seguridad (Backup). pues simplemente para abordar problemas más específicos y para aprovechar los recursos del personal. el objetivo principal de la auditoría informática es garantizar la operatividad de los procesos informáticos. en la cual se respalda la informa.ción generada en la empresa . Decanato de Administración y Contaduría Copias de Seguridad Las copias pueden ser totales o parciales y la fre. Decanato de Administración y Contaduría Medidas de Protección Medidas utilizadas para garantizar la Seguridad Física de los Datos. Sin embargo. Decanato de Administración y Contaduría Medidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad Lógica de los Datos. bien sea intencionales o accidentales. uno dentro de la empresa y otro fuera de ésta (preferiblemente en un Banco en Caja Fuerte). uso y respaldo de información dentro de las organizaciones. Informática II. Tecnológicos. ofrecer la continuidad los procesos de generación. Se preguntará por que se estudia por separado. La auditoría Informática va mucho más allá de la simple detección de errores. Procedimientos. b). Del mismo modo. el presentar algunas sugerencias que puedan ser aplicadas para evitar de esta manera la repetición de las mismas en un futuro. Backup Se recomienda tener como mínimo dos (2) respaldos de la información. De igual forma. debe ser independiente del resto de las áreas. Decanato de Administración y Contaduría Medidas de Contingencia Mecanismos utilizados para contrarrestar la pérdida o daños de la información. Informática II. Software d).• Fraudes: Modificaciones de los datos dependiendo de intereses particulares. Informática II. Básicamente. Informática II. es menester de la auditoría. c). diremos entonces que la Auditoría Informática es el proceso de revisión y evaluación de los controles y medidas de seguridad que se aplican a los recursos: a). que se utilizan en los Sistemas de Información manejados en la empresa. mediante un nombre de usuario (login) y una contraseña (password). Decanato de Administración y Contaduría La Auditoría Informática es una parte integrante de la auditoría. deben tener un UPS. el suministro de corriente eléctrica para el área informática. Aquellos equipos en donde se genera información crítica. se deben revisar y evaluar si se han desarrollado e implementados controles apropiados y adecuados en los sistemas de información. En los Sistemas Multiusuarios se deben restringir el acceso a la Información.cuencia varía dependiendo de la importancia de la información que se genere. es bueno acotar que debe realizarse dentro de un marco de auditoría general. . En otras palabras. Personal. Informática II. se debe restringir el acceso a los Sistemas en horas no laborables salvo casos excepcionales. En este sentido. distribución. Para clarificar aún más la lámina.

conocidos como: Auditoria Alrededor del Computador y Auditoria a través del Computador. Del mismo modo existe poco margen de encubrimiento. Existen quejas de que los programas no funcionan. ya que mediante la auditoría. Si bien es cierto que la Auditoría Interna es menos costosa. Tales razones son las mostradas en la lámina. Hasta estos momentos se ha mencionado un poco lo que es la Auditoría Informática. incorporando nuevas técnicas y tecnologías. no hace el seguimiento de las transacciones ni la exactitud ni integridad del . entre las cuales se mencionan: la poca especialización que tienen los integrantes en la materia conlleva al hecho de que se escapen algunos detalles dentro del proceso (omisión de detección de errores) y por otro lado se corre el riesgo de que se “encubran” deficiencias. Aunque es muy sencillo. las personas no informen de alguna anomalía a fin “de no perjudicar al amigo”. ¿le parece poco el hecho de que permita mantener operativo todos los procesos relacionados con el manejo de la información?). se buscan implantar mejoras en busca del perfeccionamiento de los procesos. Auditoria Alrededor del Computador: La cual comprende la verificación tanto de los datos de entrada como de salida. Tal como lo pudo apreciar. problemas con la red informática.Ya puede ir formándose una idea entonces de la importancia que tiene la Auditoría Informática (si no es así. se contrata un servicio externo para estudiar la factibilidad de invertir una fuerte suma de dinero en el área. Entonces. Auditoría Externa Con este tipo de auditoría existe menor margen de error. Existen dos enfoques básicos para la Auditoria de Sistemas de Información. puesto que se realiza con el mismo personal. Importancia de la Auditoría Informática Tal como se mencionó anteriormente su importancia radica en el hecho de garantizar la operatividad de los procesos informáticos. las cuales explicaremos con más detalle a continuación: Síntomas de Descoordinación: No coincide el objetivo informático con el de la empresa. Sin embargo. no se corre el riesgo de que personas extrañas conozcan la información generada dentro de la firma. y por otro lado. Síntomas de Inseguridad: Cuando no existe seguridad ni física ni lógica de la información manejada en la empresa. Auditoría Interna La auditoría Interna ofrece algunas ventajas en relación a la externa. tiene sus limitaciones. desconfiguración de equipos. Del mismo modo. Síntomas de Mala Imagen: Existe una percepción poco idónea de los usuarios finales de computadoras en relación a la Gestión actual del personal de Informática. entre otros. Síntomas de Debilidad Económica: Cuando existe un crecimiento indiscriminado de los costos informáticos. las definiciones anteriores son muy sencillas y no dejan lugar a ninguna duda. en primer lugar es menos costosa. deben ser pocos los errores que se detecten y las sugerencias aportadas son muy valiosas. sin evaluar el software que procesó los datos. consideramos prudente ampliar nuestra exposición y ofrecerle algo más que una mera definición. es recomendable revisar la gestión de la informática a fin de que la misma esté en función de apoyar al logro de los objetivos. puesto que las personas que se encargan de realizarla son especialistas en el área. la Auditoría es compatible con la calidad. Sin embargo. ya que son personas ajenas a la firma. Consideramos que ya tiene la base suficiente para adentrarnos entonces en el estudio de la Auditoria Informática. es una buena práctica para las empresas. realizar Auditorías Externas periódicamente. En este sentido. existen algunas razones por las cuales una firma debería contratar los servicios de gente especializada. Es factible que dentro del proceso de auditoría. cuales son sus objetivos y su importancia dentro de las organizaciones. De igual forma. Sin embargo.

es por ello que todo proceso de auditoria informática debe contemplar el estudio de los mismos. a fin de verificar que se adecuen a las necesidades del negocio.software utilizado. por el contrario: entorpecerá los mismos. una deficiente prueba del sistema y la premura con la que se implanta el mismo. que se recomienda como un complemento de otros métodos de auditoria. la auditoría debe verificar que se cumplan a cabalidad cada una de las fases del desarrollo del sistema. Toda empresa debe poseer software actualizado y con licencia de uso. es conveniente que se cuente con una versión que permita la evolución de las aplicaciones. es inusual que se labore con . En este sentido. ¿el cambio de calificaciones de un estudiante?. es importante llevar un control del origen de los datos que se introducen al sistema y en la medida de lo posible. evaluar el prototipo que va a ser mostrado a los usuarios y verificar que se hagan las pruebas al sistema antes de ser implantado. las herramientas que se utilizan para la construcción del sistema. se deben revisar periódicamente las herramientas informáticas que se utilizan dentro de la firma. Una de las actividades que más dolores de cabeza trae a las organizaciones es el desarrollo de los nuevos sistemas informáticos. entre las que se destaca: una pobre determinación de los requerimientos (tanto los analistas como los usuarios. la auditoria a través del computador requiere de un conocimiento tanto de las redes como del desarrollo de software. Dicho proceso permite entonces detectar errores de trascripción de datos al Sistema. el Sistema Operativo no escapa de dicha situación. Sin embargo. el responsable de la introducción de los mismos. Auditoria a Través del Computador: Comprende la verificación de la integridad del software utilizado. Por ejemplo en el caso específico del Sistema Operativo Windows. Por ejemplo. (¿Cuantas veces no le han dicho en la calle como excusa “tenemos problemas con el sistema”?). para un banco el origen de los datos lo representan las planillas de depósito. Se deben chequear los instrumentos y métodos empleados para la determinación de los requerimientos. de no ser así determinar las causas de ello. Al igual que ocurre con los datos de entrada. así como también los datos de entrada y la salida generada tanto por las redes y sistemas computacionales. ¿Cómo cree usted que se puede determinar un retiro no autorizado de una cuenta bancaria?. Es por ello. por el contrario. carencia de un prototipo adecuado. En este sentido. retiro.de los sistemas informáticos. es que puede ser utilizado como un mecanismo para determinar fraudes informáticos. Bajo esta premisa. que en muchas oportunidades asumen cosas que el otro no ha dicho). Es por ello que todas las organizaciones deben contar con mecanismos apropiados que permitan auditar los datos de entrada. Otro hecho importante de la Auditoria de los datos de entrada. entre otras. se debe incluir también la revisión tanto del software instalado como la red informática existente. Si se lleva un control de dichos documentos es fácil auditar lo que tiene el sistema contra el soporte físico (las planillas). Es importante señalar que dicha revisión no debe limitarse únicamente al hardware. Existen muchas razones para tantos inconvenientes. Recuerde: es preferible esperar un poco más por un sistema probado y ajustado a las necesidades que querer implantar “en dos días” un software que no ayudará en nada a los procesos empresariales. La materia prima para la generación de la información son los datos de entrada.

. de todos modos si no lo logra determinar. e inconscientemente introducirán datos que no harán fallar a la aplicación. Por supuesto los resultados de dichos datos se deben conocer con antelación a fin de que puedan ser cotejados contra los que arroja el sistema. por supuesto. La prueba de un Sistema es una tarea un poco más compleja de lo que realmente parece ser. Va mucho más allá. es decir. ¿Y la Auditoría de las aplicaciones?. La misma no se limita exclusivamente a introducir algunos datos al Sistema a fin de verificar que arroje el resultado esperado. es fácil deducir que no se está aprovechando al máximo las bondades del equipo. Se incluyen dentro de la prueba a fin de determinar si el sistema posee los mecanismo de validación adecuados que impidan el procesamiento de los mismos. Piense un poco. ¿Está subutilizado?. Dicho equipo debe diseñar una “Batería de Prueba”. la seguridad que ofrece (gran parte de los fraudes obedecen a la carencia de seguridad tanto de los Sistemas como de las Redes Informáticas) y verificar que se cumplan con las políticas y estándares establecidos para la red. Se deben incluir dichos datos a fin de determinar si el sistema contempla las excepciones. la prueba del Sistema no debe ser efectuada por los programadores. que exista un equipo con mediana capacidad en donde se manejen todas las aplicaciones Office (Word. ofrece un mecanismo para una futura de reasignación de equipos de acuerdo a las necesidades existentes. Datos Ilógicos: Son datos que no tienen ningún sentido. como mínimo Windows 98 o Windows NT 4.la versión 3. ya que éstos conocen los “trucos del sistema”. razón por la cual se recomienda la designación de un equipo responsable para las misma. Por ejemplo. En toda batería de prueba aparte de las transacciones comunes. El sistema no está en capacidad de determinar si un dato esta correcto o no. Esto a fin de verificar que no existan computadores sobre o subutilizados. ¿Que problema coyuntural cree usted que pueda ocurrir al aplicar dicha técnica?.11 para grupos de trabajo. entre otras cosas para observar su rendimiento (velocidad). se determinan los equipos candidatos a ser sustituidos o repotenciados y segundo. a fin de determinar si tal configuración está acorde con lo que se realiza en él. lo que se hace es anotar la configuración del equipo y las actividades que se realizan en él. Excel y Power Point) y se ejecuten algunos Sistemas Informáticos propios de la empresa. se debe contar con: Datos de Excepción: Aquellos que rompen con la regla establecida. Ahora suponga la contrario. Auditoría para el Computador Es importante determinar el uso de las computadoras. se introducen este tipo de datos a fin de verificar si el sistema posee los mecanismos que permitan revertir la transacción. en tal caso. Pues la exposición se detallará en las láminas subsiguientes. La aplicación de dicha técnica no reviste de mayor complicación. Sencillamente. Datos Erróneos: Son aquellos que no están acordes con la realidad. suponga el caso de un computador con la configuración más actualizada que esté siendo empleado únicamente como terminal del sistema de facturación de la empresa. la cual consiste en un conjunto de datos a ser introducidos en el sistema para observar su comportamiento. Con esto se logran varias cosas: primero. en dos láminas más encontrarás la respuesta. En primer lugar. Del mismo modo se debe auditar la red informática instalada.0.

No importa cual sea la causa. las copias de seguridad ofrecen una contingencia en caso de pérdidas de información. se recurre entonces al respaldo el cual contiene la información libre de errores. Respuesta a la Pregunta Anterior: Puede ocasionar molestias a las personas en la reubicación de equipos (una persona con un equipo muy potente pero subutilizado. Un edificio se recupera. Dentro de la informática tal aspecto no debe variar. Aquí no le vamos a decir como evitar incendios o inundaciones. pero no para todas.Usted pensará “perfecto. una permanecerá dentro de la empresa y la otra fuera de ella. usted puede decir que es suficiente realizar las copias de seguridad diariamente. se perdería el original y una copia. Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar la continuidad de los procesos que en ella se realizan. las inundaciones. es recomendable tener como mínimo dos (2) copias de seguridad. caso contrario ocurre en una organización donde la información no varíe con tanta frecuencia. Suponga que dicho edificio sea de la Sucursal de un Banco. pero se tendrá acceso a la que está fuera de la empresa. En caso de que se incendie el edificio. es muy simple: lo que se busca es crear conciencia. los incendios. Sino más bien de que tome conciencia de las cosas que puede pasar dentro de una empresa. Por ejemplo. La frecuencia con la cual deben hacerse dichas copias va a depender de acuerdo a la volatilidad de la misma. no estará muy conforme que le reasignen un equipo de menor potencia). no veo como”. lo más seguro que al día siguiente. lo importante en este momento (claro. ¿Nota la importancia de la información sobre otros activos?. es importante determinar a que obedeció el problema) es disponer algún mecanismo que nos permita obtener la información sin errores. la información puede tener daños. para un banco sería catastrófico perder la información de todas las transacciones de un día. que ninguna organización está exenta de ellos y que por lo tanto es necesario que existan mecanismos que contrarresten los mismos. ejecución de procesos inadecuados) o intencionales (cuando se busca cometer algún fraude). A lo mejor usted dirá: “¿qué gracia tiene tener otro respaldo si se quemó el edificio de la empresa?”. la información de toda la empresa no. ¿Y para qué la otra copia?. los cuales pueden obedecer a causas accidentales (tales como errores en la trascripción de datos. ya que en caso de que se dañe la información original. es decir. Pero “sigo sin entender que tiene que ver todo esto”. ¿Ahora si le encuentra sentido?. se perderá tan solo un día de trabajo. Al igual que otras cosas. Las copias de seguridad nos ofrecen una alternativa para ello. Así en caso de que se pierda la información se pueda acceder a la copia que está dentro de la empresa. . Recuerde los peligros informáticos. en la cual no tendría mucho sentido respaldarla diariamente. Si esa es su manera de pensar. por lo que he leído creo que la Auditoria pude ayudar a evitar los robos y fraudes informático. pues le diremos que está en lo cierto. como realizar un proceso manualmente en caso de que falle el automatizado). de los peligros que existen. así en caso de ocurrir algún imprevisto. los clientes estarán preguntando qué pasará con sus ahorros. Como se mencionó anteriormente. estos son los peligros que existen. deben estar especificados dichos mecanismos (por ejemplo. pero ¿un incendio o una inundación?. En este módulo nos compete exclusivamente la contingencia de la información. Esto es precisamente lo próximo que se va a exponer a continuación. Independientemente de la frecuencia con la cual se haga. Tal concepción puede funcionar para muchas organizaciones.

Un UPS es un dispositivo (parecido a un regulador de voltaje) que ofrece corriente alterna por un período de tiempo (depende de las especificaciones del equipo. En dichos sistemas no todas las personas pueden acceder a la misma información (no todos pueden manipular la nómina de la empresa). De acuerdo a lo anterior. Yahoo!. porque “necesita hacer algunas cosas con su módulo”. Una de las principales causales de pérdida de información. entre otros. De igual forma a fin de disminuir las fallas de energía. ¿Las inundaciones?. suponga que Marta González tiene asignado el nombre de usuario mgonz128a y su amigo Marcelo Alvarez le pide por favor su nombre de usuario. NASA. Es por ello que deben estar conectados a un UPS todos los equipos en donde se genere información crítica. En tal caso le disminuye le riesgo.Deben existir medidas que impidan la pérdida de información. . Uno de los mayores peligros dentro de las empresas son los Fraudes Informáticos (muy comunes hoy en día). es por ello que el Departamento de Computación debe estar ubicados en las zonas más altas del edificio. en este caso mgonz128a que pertenece a Marta González. puesto que pueden se manejados por varias personas concurrentemente. No. es por ello que no se debe divulgar el nombre de usuario a otras personas. Si bien es cierto que los computadores no están exentos de sufrir algún desperfecto (es por ello que existen las copias de seguridad). se debe tener un control de los usuarios que entran al sistema (existen muchos sistemas operativos que lo hacen de manera automática). nadie está exento de sufrir un fraude informático. ocasionada por averías en los equipos (Seguridad Física). ya que el mayor número intento de fraudes ocurre durante dicho período (por lo general en horas de la madrugada). En este sentido. malv287s). De igual forma. Sencillo. por lo tanto se recomienda revisar las medidas de seguridad constantemente. es por ello que se diseñan medidas que permitan garantizar la integridad de la información y que la misma esté acorde con la realidad (Seguridad Lógica). para ello se restringe el uso de los Sistemas a través de nombres de usuarios y contraseñas. El mayor riesgo existe en los Sistemas Multiusuarios. pues resulta que ocurrió un problema con dicha información ¿a quién reporta el sistema como responsable?. debe existir una toma independiente de corriente para el área informática. son las bajas de energía. permite completar transacciones inconclusas en el momento del fallo de energía y segundo permite guardar la información y apagar el equipo con normalidad. con decirle que han violado la seguridad del Pentágono. ¿Recuerda los peligros que existen?. se deduce entonces su importancia: primero. ¿Con estas medidas estoy 100% seguro que no existirán fraudes informáticos?. (Marcelo tiene su usuario asignado. así cuando una persona desea utilizar el Sistema debe identificarse (con su nombre de usuario) y podrá manipular únicamente lo que tenga autorizado. Por ejemplo. los hay de 5 minutos hasta casi dos horas). es recomendable diseñar normas para disminuir tales amenazas. se debe restringir el acceso al Sistema en horas no laborables. al usuario que accedió al Sistema. puesto que tanto los sótanos como los primeros pisos son los más propensos a inundarse.

Características de la Auditoría Informática. Debido a su importancia en el funcionamiento de una empresa. La Informática hoy. Alcance de la Auditoría Informática. El formato permite distribuir contenido sin necesidad de un navegador. Fuente externa: monografias. Hemos seleccionado los siguientes articulos para usted: • • El servicio de auditoría en la Ley Orgánica de Protección de Datos.es Auditoría Informática. Auditoría • • • Casos reales de problemas solucionados por nosotros Clientes representativos de auditorias informáticas. Fuente externa: belt.Auditoría Informática RSS es un sencillo formato de datos que es utilizado para redifundir contenidos a suscriptores de un sitio web. Planes de Contingencia. existe la Auditoría Informática. y por eso las normas y estándares propiamente informáticos deben estar sometidos a los generales de la misma. * la revisión de la gestión de los recursos informáticos.com Ya no hay excusa para perder archivos. utilizando un software disenado para leer estos contenidos RSS (agregador). Control interno según los objetivos empresariales.com • El servicio de auditoría en la Ley Orgánica de Protección de Datos . Fuente externa: monografias. * el análisis de la eficacia del Sistema Informático. Los principales objetivos que constituyen a la Auditoría Informática son: * el control de la función informática. está integrando en la gestión de la empresa. * la verificación de la implantación de la Normativa. La Auditoría Informática es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una empresa al nivel del tecnologias de la información.

tanto el Responsable del Fichero como el Encargado del Tratamiento. deberá acreditarse mediante una auditoría y la remisión del informe final de la misma a la Agencia de Protección de Datos. Los pasos de una auditoría son principalmente: • Fijación del calendario y de los interlocutores. Sin embargo. . Sin embargo. relativa a Prestación de Servicios de Información sobre Solvencia Patrimonial y Crédito. • Análisis de la documentación y de la información previamente recogida. una interna y otra externa. tanto de la empresa auditada como de la empresa que audita. por lo que el único requisito radica en su calificación y experiencia en diferentes proyectos. Concretamente. Una vez realizado el análisis de todo lo anterior y detectadas las anomalías. que podría calificarse como de incompleto y considerar que debe ser completada con la auditoria informática. Pero ¿cuál es el principal cometido en una auditoria? Es verificar la adecuación de procedimientos. se queda en el plano de la simple auditoría sobre el cumplimiento de las medidas de seguridad. de 11 de junio. • Recogida de la documentación e información oportuna. medidas. Pero ¿qué sucede con la figura del Auditor?El problema principal radica en que no se haya regulada en ningún manual y no existe ningún registro al respecto. de los procedimientos e instrucciones vigentes en materia de seguridad de datos. idoneidad y eficacia de las medidas de seguridad. que verifique el cumplimiento del presente Reglamento. su artículo 17 establece que “Los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa. la auditoria puede presentarse en dos figuras diferentes. las dudas acerca de una efectiva independencia son amplias. al ser realizada por personal interno de la propia organización. Pero este artículo goza de su propio desarrollo reglamentario materializado en el Real Decreto 994/1999. por el que se aprueba el Reglamento de Medidas de Seguridad. el auditor procederá a proponer las medidas correctoras necesarias. deberán adoptar las medidas no sólo de índole técnico sino también de índole organizativo para garantizar la seguridad y evitar la pérdida. esta no fue la primera ley que habla de ello. cada dos años”. • Entrevistas con los usuarios. al establecer que la implantación. alteración y destrucción de ficheros con datos de carácter personal. En lo que respecta a la auditoría interna. estándares de seguridad establecidos por el responsable del tratamiento y el Reglamento de Medidas de Seguridad. tal y como establece la LOPD al hablar de medidas de índole técnica y organizativa. decir que es realizada por una empresa externa y que nada tiene que ver con la organización auditada. De la auditoría externa.El artículo 9 de la Ley Orgánica de Protección de Datos de Carácter Personal (en adelante LOPD) establece que. de la Agencia de Protección de Datos. se habla de la realización de una auditoría en lo que al tema de protección de datos se refiere. • Entrega del Informe de Auditoría y del Reglamento de Medidas de seguridad. sino que ya en la Instrucción 1/1995. de 1 de marzo. al menos. Aunque la visión que tenemos hoy en día sobre una buena auditoría de seguridad de protección de datos de carácter personal.

variación de los ficheros que deben ponerse diariamente a su disposición. de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado. en caso contrario. etc. sino cuales materias fronterizas han sido omitidas. o en una reestructuración fallida de alguna área o en la modificación de alguna Norma importante] * Síntomas de mala imagen e insatisfacción de los usuarios: . se complementa con los objetivos de ésta. Características de la Auditoría Informática La información de la empresa y para la empresa. o de seguridad. como pudieran ser Desarrollo o Técnica de Sistemas.Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente. se quede desfasado y fuera del mercado laboral.Cuando se producen cambios estructurales en la Informática.No se reparan las averías de Hardware ni se . además de ineficiencias. se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática. refrescamiento de paneles. siempre importante.Síntomas de Necesidad de una Auditoría Informática:Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. se ha convertido en un Activo Real de la misma. o de inversiones.Del mismo modo. por lo tanto.Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. *Control de integridad de registros: Hay Aplicaciones que comparten registros. como sus Stocks o materias primas si las hay. cuando lo necesite utilizar no lo va encontrar y. Por ende. Ejemplos: cambios de Software en los terminales de usuario.Lo que sí debemos tener claro es que el Auditor debe ser una persona en constante formación debido a que la rapidez con la que progresan las nuevas tecnologías hace que. Auditoría Informática Alcance de la Auditoría Informática El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo*? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes*? La indefinición de los alcances de la auditoría compromete el éxito de la misma. han de realizarse inversiones informáticas. El alcance ha de figurar expresamente en el Informe Final. es porque en ese Desarrollo existen. los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general. o alguna mezcla de ellas. son registros comunes. o a la auditoría de Seguridad de alguna de sus áreas. Estos síntomas pueden agruparse en clases: * Síntomas de descoordinación y desorganización: . debilidades de organización.No se atienden las peticiones de cambios de los usuarios..No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía.*Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa. Si una Aplicación no tiene integrado un registro común. materia de la que se ocupa la Auditoría de Inversión Informática. [Puede ocurrir con algún cambio masivo de personal. la aplicación no funcionaría como debería.

Planes de Contingencia: Por ejemplo. teléfono. es decir.No se cumplen en todos los casos los plazos de entrega de resultados periódicos. para tener un Backup en la empresa y otro afuera de ésta. dependiendo del método que se utilice. todos sabemos que hay que hacer.Seguridad Física – Confidencialidad[Los datos son propiedad inicialmente de la organización que los genera.Centro de Proceso de Datos fuera de control. Los Backups se pueden acumular durante dos meses. agua) distintos de los de la empresa principal. como alimentarnos bien o cambiar el aceite del auto.resuelven incidencias en plazos razonables. Una empresa puede tener unas oficinas paralelas que posean servicios básicos (luz. en especial en los resultados de Aplicaciones críticas y sensibles. en este caso. El usuario percibe que está abandonado y desatendido permanentemente. pero la mayoría no hemos hecho caso. sería prácticamente inútil la auditoría. * Síntomas de debilidades económico-financiero: .Continuidad del Servicio. tuve que lidiar con drives de cintas voluminosos y softwares complicados para crear la copia de seguridad.. Establece las estrategias de continuidad entre fallos mediante Planes de Contingencia* Totales y Locales. si se produce la inoperancia de Sistemas en la empresa principal. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario. y después se van reciclando. ¿Cómo sigo operando en otro lugar? Lo que generalmente se pide es que se hagan Backups de la información diariamente y que aparte. Telefónica. En este caso. * Síntomas de Inseguridad: Evaluación de nivel de riesgos . Los datos de personal son especialmente confidenciales]. Durante años los expertos en computadoras nos han advertido que debemos hacer una versión de respaldo de nuestro disco duro regularmente. sea doble. la empresa sufre un corte total de energía o explota. o el tiempo que estipule la empresa. Esto ocurre porque tradicionalmente se ha creído que esta tarea es tediosa. Ya no hay excusa para perder archivos Crear una copia de seguridad del contenido de nuestro PC es una de esas cosas que.Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). se utilizaría el Backup para seguir operando en las oficinas paralelas.Incremento desmesurado de costes. . . Si tal situación llegara a percibirse. cuando empezaba a hacer uso del ordenador. . pero que pocos llevamos a cabo. Es un concepto aún más importante que la Seguridad. si a la empresa principal le proveía teléfono Telecom. a las oficinas paralelas. . el síntoma debe ser sustituido por el mínimo indicio. Más adelante.Desviaciones Presupuestarias significativas.Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).. me sentaba y pasaba largo rato metiendo y sacando docenas de disquetes en el PC para tener una copia del disco duro. Esa es la razón por la cual. Aún recuerdo cómo.Seguridad Lógica. laboriosa o cara.

o forzarnos a reformatear el disco duro.UU. suscribirse a un servicio que hace una copia automática a través de Internet. el método del disco duro externo ofrece suficiente espacio. Cada noche. Este producto consiste en un disco duro externo. El software puede activarse con sólo apretar un botón. que cuesta en ese país US$329. los servicios basados en la Web raramente ofrecen el espacio suficiente para copiar la mayor parte de la información que contienen los enormes discos duros de hoy. Hace poco probé un método más sencillo: un disco duro que incluye software. Para superar la resistencia habitual del usuario. Actualmente. y otro de .Pero salvaguardar nuestra información se ha vuelto más importante que nunca.95. Si en algún momento borro accidentalmente un documento o carpeta puedo recuperarlo fácilmente desde el disco de seguridad. pero requiere demasiados esfuerzos manuales y esto no lo hace un método eficaz para la mayoría de la gente. y los sistemas operativos actuales lo reconocen inmediatamente y cuesta aproximadamente menos de US$100. sujetos a descomponerse y fallar. a menos que uno esté dispuesto a pagar mucho. programadores de virus y otros delincuentes digitales. pero puede ser también costoso. lo que también borra toda nuestra información. Los ordenadores siempre han sido artefactos frágiles. Pero.0 o FireWire. Asimismo. siendo lo suficientemente fácil de usar como para que la gente lo use regularmente? Yo recomiendo comprar un disco duro externo y utilizar un software de respaldo automatizado para copiar la información del disco duro principal a este disco de seguridad de manera regular. o entrar en funcionamiento automáticamente en un horario determinado. a las 2 a. Lo mantengo conectado a mi pc.. Ahora también son el blanco de ataques masivos de piratas informáticos. cualquier método de crear copias de seguridad debe ser sencillo. de Maxtor Corp. Además. Esto descarta copiar los archivos manualmente a un CD. puede ser totalmente automático y sorprendentemente económico. tiene la ventaja de ser automático. llamado OneTouch II. Hoy en día es verdaderamente fácil adquirir un disco duro externo que se puede conectar a una máquina Windows o Macintosh mediante un cable USB 2. DVD u otro tipo de discos extraíbles. si se utiliza correctamente. Otro método. ¿qué sistema de respaldo puede protegernos contra tales pérdidas. deberá funcionar según un horario que le fijemos.0 o un puerto FireWire.m. Después de la primera vez solamente copia los archivos nuevos o modificados. es sumamente fácil quedarse sin espacio o discos suficientes para almacenar toda la información. Estas agresiones pueden corromper o destruir nuestros archivos. Además. Ni siquiera hay que abrir el pc o instalar ningún accesorio dentro de ella. con versiones tanto para Windows como para Mac. el OneTouch II está disponible en EE. listo para funcionar en cuanto se conecta con una máquina Windows o Macintosh a través de un cable USB 2. Incluye un software simple y eficaz para copias de seguridad. sin que tengamos que prestarle atención y sin que tengamos que realizar ninguna operación manual. en dos versiones relativamente grandes y caras: un modelo de 250 gigabytes. Así que. disponer del espacio suficiente y ser automático. Puede que ese sistema resulte útil para algunos. el software se activa y sincroniza las carpetas clave que designé en mi disco duro con carpetas idénticas en el disco duro externo.

Normas. sino con un número de personas desconocidas para él que van a utilizar el resultado de su trabajo como base para tomar decisiones. que incluye un software. técnicas y procedimientos de auditoría en informática. Borré un par de archivos y pude recuperarlos rápidamente utilizando la función de “restaurar” del programa. para comienzos del año próximo. Normas de ejecución del trabajo. Los respaldos subsiguientes. La clave del OneTouch II es el software que incluye. Para nuestro caso. Copiar unos 51 gigabytes de información tomó más de 12 horas. más impuestos locales. OneTouch II es un buen producto.300 gigabytes. un programa de Dantz Development Corp. una vez llevados a cabo son de de carácter indudable. para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos[37]. que vale allí US$379. que sólo copiaron los archivos nuevos o modificados. Es fundamental mencionar que para el auditor en informática conocer los productos de software que han sido creados para apoyar su función aparte de los componentes de la propia computadora resulta esencial. no solamente con la persona que directamente contratan sus servicios. a precios más reducidos. . una versión especial y simplificada de Retrospect. pero aunque uno elija este método. Ambos están disponibles en América Latina al precio base de EE. Estos modelos tienen una capacidad superior a la que el usuario promedio necesita. Normas personales. La auditoría no es una actividad meramente mecánica. Normas. estudiaremos aquellas enfocadas a la auditoría en informática. hecha con una Hewlett-Packard Pavilion. Éste puede copiar automáticamente toda la información de su disco duro o ciertos documentos y carpetas. o un disco duro externo que usa un software comprado por separado. La auditoría requiere el ejercicio de un juicio profesional. el OneTouch II se instaló rápida y fácilmente y el software funcionó bien. En mi prueba. b. El auditor desempeña sus labores mediante la aplicación de una serie de conocimientos especializados que vienen a formar el cuerpo técnico de su actividad. El desarrollo de una auditoría se basa en la aplicación de normas. Según se describe en [bib-imcp]. esto por razones económicas y para facilitar el manejo de la información.95. pero la compañía asegura que producirá versiones más pequeñas. técnicas y procedimientos de auditoría. Mi única queja es que la copia de seguridad inicial fue bastante lenta. Las normas de auditoría se clasifican en: a.. al trabajo que desempeña ya la información que rinde como resultado de este trabajo. las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor. El auditor adquiere responsabilidades.UU. sólido maduro. hacer una copia de seguridad de nuestros archivos en un disco duro externo tiene mucho sentido. que implique la aplicación de ciertos procedimientos cuyos resultados. fueron mucho más rápidos.

según las circunstancias”. Las técnicas procedimientos están estrechamente relacionados. Siguiendo esta clasificación las técnicas de auditoría se agrupan específicamente de la siguiente manera: • • • • • • • • • Estudio General Análisis Inspección Confirmación Investigación Declaración Certificación Observación Cálculo . podrá conocer los datos de la empresa u organización a ser auditada. Normas de ejecución del trabajo son la planificación de los métodos y procedimientos. su empleo se basa en su criterio o juicio. la auditoría no alcanzará las normas aceptadas de ejecución. tanto como papeles de trabajo a aplicar dentro de la auditoría. por lo cual las técnicas así como los procedimientos de auditoría tienen una gran importancia para el auditor. también es conocido como informe o dictamen. por escrito. Normas de información. Normas de información son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo. Técnicas. Según el IMCP en su libro Normas y procedimientos de auditoría las técnicas se clasifican generalmente con base en la acción que se va a efectuar. que le permita ser imparcial a la hora de dar sus sugerencias. por revisión del contenido de documentos y por examen físico. estas acciones pueden ser oculares. si las técnicas no son elegidas adecuadamente. Se define a las técnicas de auditoría como “los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones. Normas personales son cualidades que el auditor debe tener para ejercer sin dolo una auditoría.c. verbales. que pudieran nesecitar una mayor atención. basados en un sus conocimientos profesionales así como en un entrenamiento técnico. Al aplicar su conocimiento y experiencia el auditor.

así también tiene la misma importancia para el auditar ya que debe de utilizar diversas técnicas para el análisis de datos. derivan en programas de auditoría. de los cuales destacan el análisis de datos. Dentro de este trabajo. Mapeo y rastreo de programas esta técnica emplea un software especializado que permite analizar los programas en ejecución. las cuales se describen a continuación. objeto o comandos de proceso) entre la versión de un programa en ejecución y la versión de un programa piloto que ha sido modificado en forma indebida. Fundamentar conclusiones de la auditoría. es necesario examinar los hechos. se les dan el nombre de procedimientos de auditoría en informática. Al conjunto de técnicas de investigación aplicables a un grupo de hechos o circunstancias que nos sirven para fundamentar la opinión del auditor dentro de una auditoría. mediante varias técnicas de aplicación simultánea. La combinación de dos o más procedimientos. para encontrar diferencias. El auditor no puede obtener el conocimiento que necesita para sustentar su opinión en una sola prueba. Datos de prueba . Análisis de datos. En General los procedimientos de auditoría permiten: • • • • Obtener conocimientos del control interno. y al conjunto de programas de auditoría se le denomina plan de auditoría.Procedimientos. el cual servirá al auditor para llevar una estrategia y organización de la propia auditoría. Analizar loas características del control interno. desarrollaremos diversos tipos de técnicas y procedimientos de auditoría. ya que para las organizaciones el conjunto de datos o información son de tal importancia que es necesario verificarlos y comprobarlos. El análisis puede efectuarse en forma manual (en cuyo caso sólo se podría analizar el código ejecutable). basados en [bib-solis-2002]. Verificar los resultados de control interno. Comparación de programas esta técnica se emplea para efectuar una comparación de código (fuente. Análisis de código de programas Se emplea para analizar los programas de una aplicación. Por esta razón el auditor deberá aplicar su experiencia y decidir cuál técnica o procedimiento de auditoría serán los mas indicados par obtener su opinión. indicando el número de veces que cada línea de código es procesada y las de las variables de memoria que estuvieron presentes.

M4 Proveer auditoría independiente. falsa dentro de los sistemas de información. Simulación paralela Técnica muy utilizada que consiste en desarrollar programas o módulos que simulen a los programas de un sistema en producción. ya sea en forma manual o por medio de programas especializados. Los datos de prueba consisten en la preparación de una serie de transacciones que contienen tanto datos correctos como datos erróneos predeterminados. M1 Monitoreo del proceso Asegura el logro de los objetivos para los procesos de TI. acciones rutinarias. evaluar su efectividad y emitir reportes en forma regular[38]. integridad y confidencialidad. Dentro de las organizaciones todos los procesos necesitan ser evaluados a través del tiempo para verificar su calidad en cuanto a las necesidades de control. M2 Evaluar lo adecuado del control Interno. a continuación se muestran los procesos de monitoreo: • • • • M1 Monitoreo del proceso. Análisis de bitácoras Existen varios tipos de bitácoras que pueden ser analizadas por el auditor. de supervisión. lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos. este es precisamente el ámbito de esta técnica. bitácoras de procesos ejecutados. El objetivo es procesar los dos programas o módulos de forma paralela e identificar diferencias entre los resultados de ambos. con la diferencia de que en ésta se debe crear una entidad.Se emplea para verificar que los procedimientos de control incluidos los programas de una aplicación funcionen correctamente. Para ello la gerencia podrá definir indicadores claves de desempeño y factores críticos de éxito y compararlos con los niveles propuestos para evaluar el desempeño de los procesos de la organización. comparaciones. para ello se debe monitorear la efectividad de los controles internos a través de actividades administrativas. M2 Evaluar lo adecuado del control Interno Asegura el logro de los objetivos de control interno establecidos para los procesos de TI. Monitoreo. bitácoras de uso de recursos. . M3 Obtención de aseguramiento independiente. tales como bitácoras de fallas del equipo. Datos de prueba integrados Técnica muy similar a la anterior. bitácoras de accesos no autorizados.

al mismo tiempo que se hacen más complejos. Dirección IP que genera la bitácora. así como para trabajar con nuevos proveedores de servicios de tecnología de información. luego la gerencia deberá adoptar como trabajo rutinario tanto hacer evaluaciones periódicas sobre la efectividad de los servicios de tecnología de información. este proceso se lleva a cabo a intervalos regulares de tiempo. los sistemas de cómputo generan una gran cantidad de información. Hoy en día los sistemas de cómputo se encuentran expuestos a distintas amenazas. esta auditoría deberá respetar la ética y los estándares profesionales. Para ello la gerencia deberá establecer los estatutos para la función de auditoría.M3 Obtención de aseguramiento independiente Incrementa los niveles de confianza entre la organización. período de cobertura. naturaleza y trabajo de auditoría realizado. Direcciones IP origen y destino. M4 Proveer auditoría independiente. lo que se logra con el uso de auditorías independientes desarrolladas a intervalos regulares de tiempo. Para ello la gerencia deberá obtener una certificación o acreditación independiente de seguridad y control interno antes de implementar nuevos servicios de tecnología de información que resulten críticos. El auditor deberá ser independiente del auditado. por lo anterior las organizaciones deben reconocer la importancia y utilidad de la información contenida en las bitácoras de los sistemas de computo así como mostrar algunas herramientas que ayuden a automatizar el proceso de análisis de las mismas. autoridad y obligaciones de la auditoría. Una bitácora puede registrar mucha información acerca de eventos relacionados con el sistema que la genera los cuales pueden ser: • • • Fecha y hora. conclusión y recomendaciones relacionadas con el trabajo de auditoría informática llevado a cabo. El crecimiento de Internet enfatiza esta problemática. clientes y proveedores. así como también la organización. La función de la auditoría informática deberá proporcionar un reporte que muestre los objetivos. destacando en este documento la responsabilidad. que pueden ser de gran ayuda ante un incidente de seguridad. seleccionando para ello auditores que sean técnicamente competentes. esto significa que los auditores no deberán estar relacionados con la sección o departamento que esté siendo auditado y en lo posible deberá ser independiente de la propia empresa. así como para el auditor. Incrementa los niveles de confianza de recomendaciones basadas en mejores prácticas de su implementación. es decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditoría informática. . el número de ataques también aumenta. de los proveedores de estos servicios así como también asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnología de información y de los proveedores de dichos servicios. Análisis de bitácoras. conocidas como bitácoras o archivos logs. las vulnerabilidades de los sistemas aumentan.

sumar y clasificar la información. no sólo en lo que se refiere a los sistemas de información. Verificación matemática de sumas. al establecer comparaciones. evaluar las múltiples aplicaciones específicas del sistema que emplea la unidad auditada. llevando a cabo con más frecuencia los trabajos siguientes: • • • • • • Selección e impresión de muestras de auditorías sobre bases estadísticas o no estadísticas. etc. calcular razones. multiplicaciones y otros cálculos en los archivos del sistema auditado. la cual cumpla ciertos criterios. se hace indispensable el empleo de las CAAT que permiten al auditor. Logcheck. Las Herramientas de análisis de bitácoras mas conocidas son las siguientes: • • Para UNIX. detección de comportamiento inusual. Búsqueda de alguna información en particular. a la elaboración de evidencias plasmadas en los papeles de trabajo. información para resolver problemas. volver a ordenar en serie la información. sino también al uso de las computadoras en la auditoría. uno de ellos. ha tenido una repercusión importante en el trabajo del auditor. el . Consecuentemente. SWATCH. Errores. como evidencia en aspectos legales. Manipulación de la información al calcular subtotales. Para Windows. LogAgent Las bitácoras contienen información crítica es por ello que deben ser analizadas. Realización de funciones de revisión analítica. La utilización de paquetes de programas generalizados de auditoría ayuda en gran medida a la realización de pruebas de auditoría. el auditor se enfrenta a muchos problemas de muy diversa condición. a lo que agregamos. que se encuentra dentro de las bases de datos del sistema que se audita. La importancia de las bitácoras es la de recuperar información ante incidentes de seguridad. ya que están teniendo mucha relevancia. Según [bib-zavaro-martinez] las técnicas de auditoría Asistidas por Computadora (CAAT) son la utilización de determinados paquetes de programas que actúan sobre los datos. es de gran ayuda en las tareas de cómputo forense.• • Usuarios. Examen de registros de acuerdo con los criterios especificados. es importante registrar todas las bitácoras necesarias de todos los sistemas de cómputo para mantener un control de las mismas. El uso de herramientas automatizadas es de mucha utilidad para el análisis de bitácoras. sobre la base de los conocimientos adquiridos por los auditores. evidencia legal. es la revisión de los procedimientos administrativos de control interno establecidos en la empresa que es auditada. identificar fluctuaciones y llevar a cabo cálculos de regresión múltiple. Técnicas de auditoría asistida por computadora La utilización de equipos de computación en las organizaciones. Al llevar a cabo auditorías donde existen sistemas computarizados.

y en muchas organizaciones que el director de finanzas. abogados. pudiendo incluso. determinado por las actuales tendencias mundiales. sin especialistas de las restantes materias realizar análisis de esos temas. ya que benchmarking no sólo es un proceso que se hace una vez y se olvida. tales como. así como diseñar programas auditores. se deben incorporar especialistas informáticos. la corriente actual define al control como cualquier esfuerzo que se realice para aumentar las posibilidades de que se logren los objetivos de la organización. las cuales se centran en el plano económico soportadas por la evolución tecnológica. para poder ser competitivos. sino que es un proceso continuo y constante. más tarde se incluyó el concepto de lograr que las cosas se hagan. Evaluación del control interno. De esta forma los auditores adquieren más conocimientos de los diferentes temas. ingenieros industriales. especialistas de recursos humanos o de normalización del trabajo para obtener evidencia que le permita reunir elementos de juicio suficientes. En un ambiente de evolución permanente. contralor o al director de auditoría como los responsables principales del correcto diseño y adecuado funcionamiento de los controles internos. Existen varios autores que han estudiado el tema. Teniendo en cuenta que se hacía imprescindible auditar sistemas informáticos.[39] Esta definición presenta aspectos importantes tales como el concepto de continuidad. una de estas herramientas o fórmulas es el Benchmarking. facilitar la búsqueda de evidencias. independientemente de las contables. En este proceso evolutivo se considera actualmente. formando equipos multidisciplinarios capaces de incursionar en las auditorías informáticas y comerciales. Benchmarking Las empresas u organizaciones deben buscar formas o fórmulas que las dirijan hacia una mayor calidad. y de igual manera existen una gran cantidad de definiciones de lo que es benchmarking. la función de auditoría informática pretende mejorar la efectividad de su función y con ello ofrecer servicios más eficientes y con un valor agregado. identificar actividades no autorizadas. La práctica de nuevas técnicas para evaluar el control interno a través de las cuales. servicios y prácticas contra los competidores o aquellas compañías reconocidas como líderes en la industria.examinar un diverso número de operaciones específicas del sistema. surge la necesidad de que la función de auditoría pretenda el mejoramiento de su gestión. están en la obligación de documentarse sobre todos los temas auditados. Benchmarking es el proceso continuo de medir productos. reducir al mínimo el riesgo de la auditoría para que los resultados expresen la realidad objetiva de las deficiencias. La evolución de la teoría del control interno se definió en base a los principios de los controles como mecanismos o prácticas para prevenir. a continuación se presentan algunas definiciones. aunque en ocasiones es necesario que el auditor se asesore con expertos. así como de las violaciones detectadas y elevar notablemente la eficiencia en el trabajo. donde los auditores que cumplen la función de jefes de equipo. .

sino que es un proceso que se aplicará una y otra vez ya que dicho proceso está en búsqueda constante de las mejores prácticas de la industria. y la relación entre los bienes producidos y los recursos utilizados para su producción. y como sabemos la industria está en un cambio constante y para adaptarse a dicho cambio desarrolla nuevas practicas. en la calidad y en la productividad de las mismas. también debe contarse con facilidad con datos e información y no existir problemas de confidencialidad y los datos ser tan amplios y completos como se desee. También se vio en las diferentes definiciones que este proceso no sólo es aplicable a las operaciones de producción. también se presenta el término de comparación y por ende remarca la importancia de la medición dentro del benchmark.Según la definición anterior podemos deducir que se puede aplicar benchmarking a todas las facetas de las organizaciones. una de las investigaciones de benchmarking más fácil es comparar estas operaciones internas. considerando el valor que tienen dichas acciones en contra de los costos de su realización lo cual representa la calidad. por lo que benchmarking es una herramienta que nos ayuda a mejorar todos los aspectos y operaciones del negocio. lo cual se refiere a la productividad. sino que puede aplicarse a todas la fases de las organizaciones. calidad y prácticas con aquellas compañías y organizaciones que representan la excelencia”. y aunque difieren en algunos aspectos también se puede notar que concuerdan o presentan una serie de elementos comunes. Dentro del benchmarking existen los siguientes tipos:[40] Benchmarking interno en la mayor parte de las grandes organizaciones con múltiples divisiones o internacionales hay funciones similares en diferentes unidades de operación. Este primer paso en las investigaciones de benchmarking es una base excelente no sólo para descubrir diferencias de interés sino también centrar la atención en los . por lo que no se puede asegurar que las mejores prácticas de hoy lo serán también de mañana. Por lo que podemos ver existen varias definiciones sobre lo que es benchmarking. y finalmente la definición implica que el benchmarking se debe dirigir hacia aquellas organizaciones y funciones de negocios dentro de las organizaciones que son reconocidas como las mejores. Como vemos en esta definición se vuelve a mencionar el hecho de que benchmarking es un proceso continuo. De igual manera podemos concluir que es de suma importancia como una nueva forma de administrar ya que cambia la práctica de compararse sólo internamente a comparar nuestras operaciones en base a estándares impuestos externamente por las organizaciones conocidas como las de excelencia dentro de la industria. la cual es: “benchmarking es un proceso sistemático y continúo para comparar nuestra propia eficiencia en términos de productividad. Entre otras definiciones tenemos la extraída del libro Benchmarking de Bengt. a parte de la operaciones del negocio. Para empezar en la mayoría de ellas se resalta el hecho de que benchmarking es un proceso continuo que al aplicarla en nuestra empresa resuelva los problemas de la misma. Estos autores se centran. hasta el punto de ser los mejores en la industria. observando aspectos tales como la calidad y la productividad en el negocio.

Uno de los aspectos más importantes dentro de este tipo de investigación a considerar es el hecho que puede ser realmente difícil obtener información sobre las operaciones de los competidores. es que se pueden descubrir prácticas y métodos que no se implementan en la organización propia del investigador. el beneficio de esta forma de benchmarking.temas críticos a que se enfrentara o que sean de interés para comprender las practicas provenientes de investigaciones externas. en definitiva cualquier investigación de benchmarking debe mostrar cuales son las ventajas y desventajas comparativas entre los competidores directos. Benchmarking genérico algunas funciones o procesos en las organizaciones son las mismas. o deberían hacerlo. quizá sea imposible obtener información debido a que está patentada y es la base de la ventaja competitiva de la empresa. Este tipo de investigación tiene la posibilidad de revelar lo mejor de las mejores prácticas. Benchmarking competitivo los competidores directos de productos son contra quienes resulta más obvio llevar a cabo el benchmarking. Auditoria Informatica Principio del formulario . ellos cumplirían. pero con una comprensión cuidadosa del proceso genérico. el benchmarking genérico requiere de una amplia conceptualización. con todas las pruebas de comparabilidad. Que mejor prueba que la posibilidad de ponerlo en práctica si se pudiera obtener que el hecho de que la tecnología ya se ha probado y se encuentra en uso en todas partes. la necesidad de objetividad y receptividad por parte del investigador. también pueden ayudar a definir el alcance de un estudio externo.

Final del formulario En este sitio se encuentra el temario y material desarrollado.2 Tipos de Auditoria 1.1 Generalidades de Seguridad Area Fisica 4. tambien una invitacion a colaborar y aportar mas material.1 Planeacion Auditoria Informatica 2.3 Investigacion Preliminar Auditoria Informatica 2.4.6 Pruebas Sustantivas 2.2 Recursos Financieros y Materiales Auditoria Informatica Unidad 4 Evaluación de la seguridad 4.5 Pruebas Controles de Usuario 2.5 Modelos Control Utilizados en Auditoria Informatica 1.1.2 Revision Preliminar Auditoria Informatica 2.3 Seguridad Personal 4.1.1.2.5 Seguridad de Datos y Software de Aplicacion .4 Control Interno 1.7 Responsabilidades De Administradores Y Auditor Unidad 2 Planeación de la auditoria Informática 2.1 Presupuestos Auditoria Informatica 3.1 Recopilacion Informacion Organizacional 3.4 Situacion Presupuestal y Financiera Auditoria Informatica 3.1.4.4 Clasificacion Controles de Seguridad 4.1.2 Evaluacion Sistemas de Acuerdo al Riesgo 2.3 Entrevistas con Personal Informatica 3.4 Examen Evaluacion Informacion 2.3 Revision Detallada Auditoria Informatica 2.3 CampoAuditoriaInformatica 1.1 Conceptos Auditoria y Auditoria Informatica 1.4 Personal Participante Auditoria Informatica Unidad 3 Auditoria de la función informática 3.1 Fases Auditoria Informatica 2.2 Seguridad Logica y Confidencial 4.1.6 Principio Aplicados Auditores Informaticos 1.2 Evaluacion Recursos Humanos 3. Unidad 1 Introducción a la auditoria informática 1.1 Auditoria Interna y Externa 1.

3 Sintomas de Riesgo Teleinformatica 5.2 Objetivos Criterios de Auditoria Area Teleinformática 5.4.4 Tecnicas y Herramientas Auditoria Relacionadas con Seguridad Teleinformática Unidad 6 Informe de la auditoria informática 6.1 Generalidades de Seguridad Area Fisica 6.3 Estructura del informe 6.2 Caracteristicas del informe 6.4 Formato para el informe .6 Controles para Evaluar Software de Aplicacion 4.8 Plan de Contingencia Seguros procedimientos de recuperacion de desastres 4.9 Tecnicas Herramientas Relacionadas con Seguridad Fisica y del personal 4.7 Controles Para Prevenir Crímenes Y Fraudes Informaticos 4.10 Tacnicas y Herramientas Relacionadas con Seguridad de Datos y software de aplicacion Unidad 5 Auditoria de la seguridad en la teleinformática 5.1 Generalidades Seguridad Area Teleinformatica 5.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->