AUDITORÍA DE SISTEMAS Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa

para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.

Es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de computo, su utilización y seguridad; que permitan medir la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes. Esta se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.

A continuación se detallan algunos conceptos recogidos de algunos expertos en la materia:

Auditoría de Sistemas es:

• La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.

• La actividad dirigida a verificar y juzgar el tratamiento de la información.

• El examen y evaluación de los procesos del Área de Procesamiento Automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

• Es el proceso de recolección y evaluación de evidencia de un sistema automatizado para determinar: Daños Salvaguarda activos Destrucción Uso no autorizado Robo Mantiene Integridad de Información Precisa, Los datos Completa Oportuna Confiable Alcanza metas Contribución de la organizacionales función informática Consume recursos Utiliza los recursos adecuadamente. Eficientemente en el procesamiento de la información.

• Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a:

Eficiencia en el uso de los recursos informáticos Validez de la información Efectividad de los controles establecidos

LA AUDITORIA TRADICIONAL

La palabra auditoría se ha empleado incorrectamente y se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a acuñar la frase “tiene auditoría” como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se está haciendo auditoría. El concepto de auditoría es más amplio: no solo detecta errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficacia y eficiencia de una sección o de un organismo con miras a corregir o mejorar la forma de actuación.

LA AUDITORIA MODERNA - EL AUDITOR DE SISTEMAS

Los profesionales responsables del auditaje en ambientes computarizados, deben poseer una sólida formación en Administración, Control interno, Informática y Auditoría.

En Administración deben manejar con habilidad y destreza las funciones básicas del proceso administrativo, tales como: planeación, organización,

en su conjunto.dirección y control. detectivos y correctivos. procedimientos operativos y de control. para el área de informática. Esto quiere decir que deberá entender el control interno como sistema y no como un conjunto de controles distribuidos de cualquier manera en las organizaciones. sistema de auditoría efectivo. sistema de información confiable y oportuno. teniendo en cuenta para ello los controles preventivos. personal competente. comprende por lo menos los siguientes elementos: Objetivos. debe estar en capacidad de diagnosticar su validez técnica. sistema de seguridad de todos los recursos. articulando ordenadamente los objetivos del área informática con la misión y los objetivos de la organización. y la calidad total. la función de Auditoría es un elemento de control interno. El Auditor deberá analizar y evaluar la estructura conceptual del sistema de control interno. solo que goza de un privilegio muy especial y es el de monitorear . En esencia. efectivos y documentados. políticas y presupuestos perfectamente definido. con una mentalidad de hombre de negocios y dentro de las modernas teorías de la Planeación Estratégica. el auditor informático. el auditor debe entender que su papel profesional debe ser el de Asesor Gerencial para asegurar el éxito de la función y. Comprometerse con una opinión objetiva e independiente. Como puede observarse. desde un punto de vista sistémico total. debe visualizar la empresa y su futuro en forma sistémicoestructural. En materia de Control Interno. En la era de la informática. en consecuencia. en relación con el grado de seguridad y de confiabilidad del sistema de control vigente en el área de informática. estructura de organización sólida. un sistema de control interno.

exige del auditor una formación avanzada en administración de recursos informáticos. papeles de trabajo e informes. los riesgos posibles. con un amplio sentido de responsabilidad social y por sobre todo. De otra parte. metodología. el auditor informático. debe ser una persona de muy buenas relaciones humanas. el auditor debe conocer por lo menos. normatividad. objetivo. el auditor informático. Amable. cómo funcionan los computadores. los principales lenguajes de programación. ENFOQUES DE LA AUDITORIA DE SISTEMAS . de espíritu científico. analítico. los sistemas operacionales. filosofía. respetuoso de la opinión de los demás. ética. las potencialidades y la calidad de los componentes de hardware y de software.permanentemente los otros controles y operaciones del ente auditado. que goce de un comportamiento ético a toda prueba. crítico y buen oidor. sobre la base de que no se puede diagnosticar una determinada realidad sin estar en condiciones de conocerla y entenderla plenamente. los sistemas de seguridad. en términos de conceptos. técnicas. Los ambientes de procesamiento. En general el Auditor de Sistemas debe estar al día en los avances científico-tecnológicos sobre la materia. En el campo de la auditoría. La temática del concepto de control interno. las tecnologías de almacenamiento y la metodología para la generación y mantenimiento de sistemas de información. procedimientos. En informática. con habilidad y capacidad para trabajar bajo presión. cuáles son sus reales capacidades y limitaciones. debe conocer y manejar deseablemente la teoría básica de la auditoría. Las marcas.

Es el más cómodo para los auditores de sistemas. Naturalmente que se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo que atente contra la integridad. exactitud y legalidad. pues tiene objetivos muy importantes como: 1. 3. por cuanto únicamente se verifica la efectividad del sistema de control interno en el ambiente externo de la máquina. 2.Auditoria Alrededor del Computador: En este enfoque de auditoría. . completitud. 4. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de los datos. Comprobar la existencia de controles para asegurar que todos los datos enviados sean procesados. Cerciorarse que los procesos se hacen con exactitud. 6. 5. Verificar la existencia de una adecuada segregación funcional. los programas y los archivos de datos no se auditan. La auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de información. La auditoría alrededor del computador no es tan simple como aparentemente puede presentarse. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso estén autorizados. Comprobar que los datos sean sometidos a validación antes de ordenar su proceso.

8. de acuerdo con las necesidades del usuario o dentro de los parámetros de precisión previstos.7. Este enfoque es más exigente que el anterior. Objetivos de esta auditoría 1. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los . Comprobar la existencia y efectividad de un plan de contingencias. para asegurar la continuidad de los procesos y la recuperación de los datos en caso de desastres. Auditoria A Través Del Computador: Este enfoque está orientado a examinar y evaluar los recursos del software. En materia de los informes recibidos. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior realimentación de los datos corregidos al proceso. y surge como complemento del enfoque de auditoría alrededor del computador. Asegurar que los programas procesan los datos. por cuanto es necesario saber con cierto rigor. 2. con el objeto de facilitar el proceso de auditaje. 10. Examinar los controles de salida de la información para asegurar que se eviten los riesgos entre sistemas y el usuario. en el sentido de que su acción va dirigida a evaluar el sistema de controles diseñados para minimizar los fraudes y los errores que normalmente tienen origen en los programas. 9. lenguajes de programación o desarrollo de sistemas en general. Verificar la satisfacción del usuario.

Cerciorarse que todos los datos son sometidos a validación antes de ordenar su proceso correspondiente. con el auxilio del computador y de software de auditoría generalizado y /o a la medida. en este caso de software. 5. Verificar la existencia de controles eficientes para evitar que los programas sean modificados con fines ilícitos o que se utilicen programas no autorizados para los procesos corrientes. Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientos de informática. Comprobar que los programas utilizados en producción son los debidamente autorizados por el administrador. Este enfoque es relativamente completo para verificar la existencia. 3. en grandes volúmenes de transacciones. 4. Informe de Auditoría: deberá orientarse a opinar sobre la validez de los controles. Los paquetes de auditoría permiten desarrollar operaciones y . Auditoria Con El Computador: Este enfoque va dirigido especialmente. Verificar que los programadores modifiquen los programas solamente en los aspectos autorizados.programas. al examen y evaluación de los archivos de datos en medios magnéticos. 6. La auditoría con el computador es relativamente fácil de desarrollar porque los programas de auditoría vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicación. la integridad y la exactitud de los datos. para proteger los datos en su proceso de conversión en información.

recálculos y verificación de información. 3. • Descubrimiento de fraudes efectuados con el computador • Falta de una planificación informática. JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORÍA DE SISTEMAS • Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos). • Desconocimiento en el nivel directivo de la situación informática de la empresa.Demostración gráfica de datos seleccionados. 4. relaciones sobre nómina. son complementarios. montos de depreciación y acumulación de intereses. como por ejemplo. 2. equipos e información. • Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal. pues ninguno de los tres. Informe de Auditoría: Este informe deberá versar sobre la confiabilidad del sistema de control interno para proteger los datos sometidos a proceso y la información contenida en los archivos maestros.Selección de muestras estadísticas. es suficiente para auditar aplicaciones en funcionamiento. tales como: 1.Preparación de análisis de cartera por antigüedad.prueba. entre otros. Los tres (3) enfoque de auditoría. .

3. 4. . Control de modificación a las aplicaciones existentes. Evaluación de la seguridad en el área informática. Evaluación de suficiencia en los planes de contingencia. 6. normas.• Organización que no funciona correctamente. 5. OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS: 1. • resguardo y protección de activos. • Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción. • fraudes • control a las modificaciones de los programas. falta de políticas. metodología. preveer qué va a pasar si se presentan fallas. asignación de tareas y adecuada administración del Recurso Humano. Participación en la negociación de contratos con los proveedores. Opinión de la utilización de los recursos informáticos. Revisión de la utilización del sistema operativo y los programas • utilitarios. • control sobre la utilización de los sistemas operativos • programas utilitarios. Participación en el desarrollo de nuevos sistemas: • evaluación de controles • cumplimiento de la metodología. 7. • Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados. 2. • respaldos. OBJETIVO GENERAL DE LA AUDITORIA DE SISTEMAS El objetivo general de la auditoria de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa. objetivos.

oportunidad y extensión de las pruebas futuras de auditoría. (Tecnología de la información). 10. desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos. • Hay alguna diferencia en la manera de estudiar y evaluar el control. • El énfasis en la evaluación de los sistemas manuales esta en la evaluación . • estructura sobre la cual se desarrollan las aplicaciones. son las mismas. Auditoría de la base de datos.. 2. Diferencias: • Se establecen algunos nuevos procedimientos de auditoría. • Los elementos básicos de un buen sistema de control siguen siendo los mismos. Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los sistemas de información. Desarrollo de software de auditoría. Expresar la opinión sobre la eficiencia de las operaciones en el área de TI. 9. Auditoría de la red de teleprocesos.8. FINES DE LA AUDITORIA DE SISTEMAS: 1. •a • Una diferencia significativa es que en algunos procesos se usan programas. Es el objetivo final de una auditoría de sistemas bien implementada. Similitudes y diferencias con la auditoría tradicional: Similitudes: • No se requieren nuevas normas de auditoría. • Los propósitos principales del estudio y la evaluación del control son la obtención de evidencia para respaldar una opinión y determinar la base. la adecuada segregación de funciones. por ejemplo.. • Hay diferencias en las técnicas destinadas a mantener un adecuado control.

de transacciones. Los riesgos tienden a aumentar. Controles manuales. • Uso de lenguajes. 3. debido a: • Pérdida de información . óptico y otros. • Almacenamiento en medios que deben acceder a través del computador mismo. • Controles del computador. hoy automatizados (procedimientos programados). • Centros externos de procesamiento de datos. mientras que el énfasis en los sistemas informáticos. • Complejidad de los sistemas. • Transmisión y registro de la información en medios magnéticos. • Debilidades de las máquinas y tecnología. está en la evaluación del control. 1. • Centralización. • Confiabilidad electrónica. ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITORIA Y SUS PROCEDIMIENTOS. • Departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas. RAZONES PARA LA EXISTENCIA DE LA FUNCION DE AUDITORIA DE SISTEMAS. 2. • Metodologías. • Dependencia externa. controlar el presente y evaluar el pasado. La información es un recurso clave en la empresa para: • Planear el futuro. son parte de las personas y su experiencia. Las operaciones de la empresa dependen cada vez más de la sistematización.

software y personal. Entendimiento del efecto de los sistemas en la organización. 2. Entendimiento global e integral del negocio. . social y político.I. Conocimiento de los recursos de computación de la empresa. . 5. Entendimiento de los objetivos de la auditoría. áreas críticas. 6. REQUERIMIENTOS DEL AUDITOR DE SISTEMAS 1. entorno económico. no observancia de las normas.• Pérdida de activos.modificación. . 4.hurto. Los problemas se identifican sólo al final. RIESGOS ASOCIADOS AL AREA DE T.Destrucción. Conocimiento de los proyectos de sistemas. .copia. de sus puntos claves. 3.destrucción. . 5. Software: . El permanente avance tecnológico. (TECNOLOGÍA DE LA INFORMACIÓN): Hardware .Descuido o falta de protección: Condiciones inapropiadas. . La sistematización representa un costo significativo para • la empresa en cuanto a: hardware.uso o acceso. mal manejo. . 4.errores u omisiones. • Pérdida de servicios/ventas.

Personal: . .Inadecuada: no funcional. Sistemas de claves de acceso. incompetente y descontento. sin división de funciones.copia.Deshonesto.Enmascaramiento. CONTROLES AREA DE SISTEMAS Conjunto de disposiciones metódicas. Ejemplos: Letrero "No fumar" para salvaguardar las instalaciones. destrucción.Falta de seguridad. . cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados. CLASIFICACIÓN GENERAL DE LOS CONTROLES . hurto.Archivos: . falta de autorización.AREA DE SISTEMAS • Controles Preventivos Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo. modificación. falta de conocimiento de su función. permitiendo cierto margen de violaciones.Usos o acceso. órdenes impartidas y principios admitidos. Organización: . . .Falta de políticas y planes. Usuarios: .

Procedimientos de validación.AREA DE SISTEMAS PRINCIPALES CONTROLES FÍSICOS Y LÓGICOS Controles particulares tanto en la parte física como en la lógica se detallan a continuación: Autenticidad Permiten verificar la identidad Passwords Firmas digitales . CONTROLES ESPECIFICOS . Son los más importantes para el auditor. debido a que la corrección de errores es en si una actividad altamente propensa a errores. Ejemplo: Archivos y procesos que sirvan como pistas de auditoría. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.• Controles detectivos •a Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. • Controles Correctivos •a Ayudan a la investigación y corrección de las causas del riesgo. siendo necesaria la implantación de controles detectivos sobre los controles correctivos. La corrección adecuada puede resultar difícil e ineficiente.

Verificación de secuencias. Privacidad Aseguran la protección de los datos. Cifras de control.Exactitud Aseguran la coherencia de los datos Validación de campos Validación de excesos Totalidad Evitan la omisión de registros así como garantizan la conclusión de un proceso de envió. Conteo de registros. Compactación Encriptación Existencia . Redundancia Evitan la duplicidad de datos Cancelación de lotes.

Extintores Passwords Efectividad Aseguran el logro de los objetivos Encuestas de satisfacción Medición de niveles de servicio Eficiencia Aseguran el uso óptimo de los recursos Programas monitores Análisis costo-beneficio CONTROLES AUTOMÁTICOS O LÓGICOS • Periodicidad de cambio de claves de acceso . Bitácora de estados Mantenimiento de activos Protección de Activos Destrucción o corrupción de información o del hardware.Aseguran la disponibilidad de los datos.

por tanto es individual y personal. .Individuales Pertenecen a un solo usuario. . • Combinación de alfanuméricos en claves de acceso No es conveniente que la clave este compuesta por códigos de empleados. ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave. El no cambiar las claves periódicamente aumenta la posibilidad de que personas no autorizadas conozcan y utilicen claves de usuarios del sistema de computación. Normalmente los usuarios se acostumbran a conservar la misma clave que le asignaron inicialmente.Los cambios de las claves de acceso a los programas se deben realizar periódicamente.Confidenciales De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves. Por lo tanto se recomienda cambiar claves por lo menos trimestralmente. Para redefinir claves es necesario considerar los tipos de claves que existen: .No significativas . Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.

Las claves no deben corresponder a números secuenciales ni a nombres o fechas. tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango. . límites mínimos y máximos o bajo determinadas condiciones dadas previamente. etc.Conteo de registros Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.Verificación de secuencias En ciertos procesos los registros deben observar cierta secuencia numérica o alfabética. • Verificación de datos de entrada Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión.Totales de Control Se realiza mediante la creación de totales de linea. . esta verificación debe hacerse mediante . . . códigos. separando solo aquellos formularios o registros con diferencias.Verificación de limites Consiste en la verificación automática de tablas. ascendente o descendente. cantidad de formularios. cifras de control. columnas. y automáticamente verificar con un campo en el cual se van acumulando los registros. .

Controles de Operación .Controles de Procesamiento 5. LATTICE.. de tal modo que solo el personal autorizado pueda utilizarlo..Controles de Preinstalación 2.SECRET DISK. este software permite reforzar la segregación de funciones y la confidencialidad de la información mediante controles para que los usuarios puedan acceder solo a los programas y datos para los que están autorizados. Programas de este tipo son: WACHDOG.. Adicionalmente.. CONTROLES ADMINISTRATIVOS EN AMBIENTE DE PROCESAMIENTO DE DATOS La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma: 1. • Utilizar software de seguridad en los computadores El software de seguridad permite restringir el acceso al computador.. entre otros.Controles de Sistemas en Desarrollo y Producción 4.rutinas independientes del programa en sí.Controles de Organización y Planificación 3.

* Garantizar la selección adecuada de equipos y sistemas de computación * Asegurar la elaboración de un plan de actividades previo a la instalación Controles de organización y Planificación Se refiere a la definición clara de funciones. bajo una relación costo-beneficio que proporcionen oportuna y efectiva información.. - Controles de Sistema en Desarrollo y Producción Se debe justificar que los sistemas han sido la mejor opción para la empresa.Controles de Preinstalación Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes. que los sistemas se han desarrollado bajo un proceso planificado . en labores tales como: Diseñar un sistema Elaborar los programas Operar el sistema Control de calidad Se debe evitar que una misma persona tenga el control de toda una operación. linea de autoridad y responsabilidad de las diferentes unidades del área PAD. Objetivos: * Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.

y se encuentren debidamente documentados. * Asegurar la utilización adecuada de equipos acorde a planes y objetivos. - Controles de Operación Abarcan todo el ambiente de la operación del equipo central de computación y dispositivos de almacenamiento. lo que conlleva al establecimiento de una serie de seguridades para: * Asegurar que todos los datos sean procesados * Garantizar la exactitud de los datos procesados * Garantizar que se grabe un archivo para uso de la gerencia y con fines de auditoría * Asegurar que los resultados sean entregados a los usuarios en forma oportuna y en las mejores condiciones. Los controles tienen como fin: * Prevenir o detectar errores accidentales que puedan ocurrir en el Centro de Cómputo durante un proceso * Evitar o detectar el manejo de datos con fines fraudulentos por parte de funcionarios del PAD * Garantizar la integridad de los recursos informáticos. la administración de la operación de terminales y equipos de comunicación por parte de los usuarios de sistemas. DETERMINACIÓN RECURSOS A UTILIZAR EN LA AUDITORÍA DE . - Controles de Procesamiento Los controles de procesamiento se refieren al ciclo que sigue la información desde la entrada hasta la salida de la información.

Para lo cuál habrá de convenir. Recursos materiales: Es muy importante su determinación. Deseable que su labor se haya | | | |Con experiencia amplia en ramas |Actividades y conocimientos |desarrollado en Explotación y en Desarrollo . tiempo de maquina. espacio de disco. Recursos materiales Hardware Los recursos hardware que el auditor necesita son proporcionados por el cliente. Recursos materiales Software b. Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria. Las características y perfiles del personal seleccionado dependen de la materia auditable. por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado.SISTEMAS Se debe determinar los recursos humanos y materiales que han de emplearse en la auditoría. Perfiles de los Profesionales que brindan apoyo para la realización de la auditoria de sistemas: |Profesión deseables |Ingeniero de Sistemas distintas. etc. Los recursos materiales del auditor son de dos tipos: a. por cuanto la mayoría de ellos son proporcionados por el cliente. Recursos Humanos: La cantidad de recursos depende del volumen auditable. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado. impresoras ocupadas.

los siguientes: a) Si la Revisión debe realizarse por áreas generales o áreas específicas. Conocimientos | Subsistemas de teleproceso. se procede a la programación del mismo. |productos compatibles y equivalentes. Amplios | |Con experiencia en el | |Experto en Bases de Datos y Administración de las mantenimiento de Bases de Datos. • En el Plan se establecen los recursos y esfuerzos globales que van a ser . Conocedor de | | |Técnico de Sistemas | |Sistemas. el responsable de la auditoría y sus colaboradores establecen un plan de trabajo. Conocimiento de |mismas. o parcial. b) Si la auditoría es global. En el primer caso. sino las especialidades necesarias del personal. Decidido éste. entre otros criterios. • En el plan no se consideran calendarios. El plan se elabora teniendo en cuenta. Buenos conocimientos de explotación | |Experto en Software de Comunicación de la técnica de sistemas. |equivalentes en el mercado. Conocedor de los productos| | conocimientos de Explotación. la elaboración es más compleja y costosa. |Experto en Sistemas Operativos y Software Básico. porque se manejan recursos genéricos y no específicos. Muy experto en ELABORACIÓN DEL PLAN Y DE LOS PROGRAMAS DE TRABAJO Una vez asignados los recursos. El volumen determina no solamente el número de auditores necesarios.de Proyectos. de toda la Informática. | | |Alta especialización dentro |profundos de redes.

• En el Plan se establecen las prioridades de materias auditables. El alcance del proyecto comprende: 1. ALCANCES DEL PROYECTO. II. ANTECEDENTES (Anotar los antecedentes específicos del proyecto de Auditoria). Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto.necesarios. III. de acuerdo siempre con las prioridades del cliente. se procede a la Programación de actividades. Evaluación de los Sistemas: . • El Plan estructura las tareas a realizar por cada integrante del grupo. OBJETIVOS (Anotar el objetivo de la Auditoria). EJEMPLO DE PROPUESTA DE SERVICIOS DE AUDITORIA EN INFORMÁTICA I. Una vez elaborado el Plan. • El Plan establece disponibilidad futura de los recursos durante la revisión. • En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Evaluación de la Dirección de Informática en lo que corresponde a: ▪ Capacitación ▪ Planes de trabajo ▪ Controles ▪ Estándares 2.

a. Evaluación de los diferentes sistemas en operación (flujo de información, procedimientos, documentación, redundancia, organización de archivos, estándares de programación, controles, utilización de los sistemas)

b. Evaluación del avance de los sistemas en desarrollo y congruencia con el diseño general

c. Evaluación de prioridades y recursos asignados (humanos y equipos de cómputo)

d. Seguridad física y lógica de los sistemas, su confidencialidad y respaldos 3. Evaluación de los equipos:

▪ Capacidades ▪ Utilización ▪ Nuevos Proyectos ▪ Seguridad física y lógica ▪ Evaluación física y lógica IV. METODOLOGIA

La metodología de investigación a utilizar en el proyecto se presenta a continuación:

1. Para la evaluación de la Dirección de Informática se llevarán a cabo las siguientes actividades:

▪ Solicitud de los estándares utilizados y programa de trabajo ▪ Aplicación del cuestionario al personal ▪ Análisis y evaluación del a información ▪ Elaboración del informe

2. Para la evaluación de los sistemas tanto en operación como en desarrollo se llevarán a cabo las siguientes actividades:

▪ Solicitud del análisis y diseño del os sistemas en desarrollo y en operación. ▪ Solicitud de la documentación de los sistemas en operación (manuales técnicos, de operación del usuario, diseño de archivos y programas). ▪ Recopilación y análisis de los procedimientos administrativos de cada sistema (flujo de información, formatos, reportes y consultas). ▪ Análisis de llaves, redundancia, control, seguridad, confidencial y respaldos ▪ Análisis del avance de los proyectos en desarrollo, prioridades y personal asignado ▪ Entrevista con los usuarios de los sistemas ▪ Evaluación directa de la información obtenida contra las necesidades y requerimientos del usuario ▪ Análisis objetivo de la estructuración y flujo de los programas ▪ Análisis y evaluación de la información recopilada ▪ Elaboración del informe 3. Para la evaluación de los equipos se levarán a cabo las siguientes actividades:

▪ Solicitud de los estudios de viabilidad y características de los equipos actuales, proyectos sobre ampliación de equipo, su actualización ▪ Solicitud de contratos de compra y mantenimientos de equipo y sistemas ▪ Solicitud de contratos y convenios de respaldo ▪ Solicitud de contratos de Seguros ▪ Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos, unidades de entrada/salida, equipos periféricos y su seguridad ▪ Visita técnica de comprobación de seguridad física y lógica de la instalaciones de la Dirección de Informática ▪ Evaluación técnica del sistema electrónico y ambiental de los equipos y del

local utilizado ▪ Evaluación de la información recopilada, obtención de gráficas, porcentaje de utilización de los equipos y su justificación 4. Elaboración y presentación del informe final ( conclusiones y recomendaciones)

V. TIEMPO Y COSTO

(Poner el tiempo en que se llevará a cabo el proyecto, de preferencia indicando el tiempo de cada una de las etapas, costo del proyecto).

|PROGRAMA DE AUDITORIA EN SISTEMAS |

|INSTITUCION________________________ HOJA No.__________________ DE_____________ |FECHA DE FORMULACION____________ | |FASE |DESCRIPCION |ACTIVIDAD |DIAS | |NUMERO DE |DIAS | |HAB |

PERSONAL | | |HOM. | |EST. | | | | |

|PERIODO ESTIMADO | |

|

|

|

|EST.

|INSTITUCION_______________________ NUMERO___________ HOJA No._______ DE_______ |PERIODO QUE REPORTA____________________________ |

se abarcan de una vez todas las peculiaridades que afectan a la misma.| |FASE |SITUACION DE LA AUDITORIA LA | CE | | | |EST. FASES DE UNA AUDITORIA DE SISTEMAS Las fases de una auditoria de sistemas son: Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones . Cuando la auditoría se realiza por áreas específicas. |DIAS REALES |PERIODO REAL DE |GRADO DE |DIAS HOM. de forma que el resultado se obtiene más rápidamente y con menor calidad. |EXPLICACION DE LAS| |AUDITORIA |UTILIZADOS |AVAN |VARIACIONES EN | | | | | |REL ACION CON LO | | | | | | | | |PRO GRAMADO |NO INICIADA |EN PROCESO |TERMINADA |INICIADA |TERMINADA | | | | | | | | | | | | | | | | |ACTIVIDADES DE LA AUDITORÍA DE SISTEMAS Auditoría por temas generales o por áreas específicas: La auditoría Informática general se realiza por áreas generales o por áreas específicas. resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos. Si se examina por grandes temas.

Características de la aplicación de computadora • Manual técnico de la aplicación del sistema • Funcionarios (usuarios) autorizados para administrar la aplicación • Equipos utilizados en la aplicación de computadora. Definición de las transacciones. .2. ya que facilita la visualización del funcionamiento y recorrido de los procesos. Aspectos Legales y Políticas Internas. En esta etapa se hace uso de los flujogramas. La importancia de las transacciones deberá ser asignada con los administradores.FASE I: CONOCIMIENTOS DEL SISTEMA 1. las transacciones se dividen en procesos y estos en subprocesos.1. Características del Sistema Operativo.3. 1.2. • Seguridad de la aplicación (claves de acceso) • Procedimientos para generación y almacenamiento de los archivos de la aplicación.1. FASE II: ANÁLISIS DE TRANSACCIONES Y RECURSOS 2. 2. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. Análisis de las transacciones • Establecer el flujo de los documentos. Dependiendo del tamaño del sistema. • Organigrama del área que participa en el sistema • Manual de funciones de las personas que participan en los procesos del sistema • Informes de auditoría realizadas anteriormente 1.

Codificación de controles . Relación entre transacciones y recursos FASE III: ANÁLISIS DE RIESGOS Y AMENAZAS 3.1.2.3. Identificación de las amenazas • Amenazas sobre los equipos: • Amenazas sobre documentos fuente • Amenazas sobre programas de aplicaciones 3.1. Identificación de riesgos • Daños físicos o destrucción de los recursos • Pérdida por fraude o desfalco • Extravío de documentos fuente. Análisis de los recursos • Identificar y codificar los recursos que participan en los sistemas 2.3. FASE IV: ANÁLISIS DE CONTROLES 4.4. Relación entre recursos/amenazas/riesgos La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.2. archivos o informes • Robo de dispositivos o medios de almacenamiento • Interrupción de las operaciones del negocio • Pérdida de integridad de los datos • Ineficiencia de operaciones • Errores 3.

Los controles se aplican a los diferentes grupos utilizadores de recursos. Pruebas de controles 5. Análisis de resultados de las pruebas FASE VI: INFORME DE AUDITORIA . FASE V: EVALUACIÓN DE CONTROLES 5.4.3. 4. Análisis de cobertura de los controles requeridos Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos. Relación entre recursos/amenazas/riesgos La relación con los controles debe establecerse para cada tema identificado.2. Para cada tema debe establecerse uno o más controles.3. Plan de pruebas de los controles • Incluye la selección del tipo de prueba a realizar. • Debe solicitarse al área respectiva. 4. Objetivos de la evaluación • Verificar la existencia de los controles requeridos • Determinar la operatividad y suficiencia de los controles existentes 5. todos los elementos necesarios de prueba.1.2. 5. luego la identificación de los controles debe contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido.

1.6. Informe detallado de recomendaciones 6.1. Pero sin duda alguna lo mas importante para ganar esa confianza es su valor ético como profesional de la materia y como persona moral lo cual de da validez a su dictamen.2. Además el auditor emite un dictamen basado en su evaluación y dicho documento contiene su opinión la cual es de suma importancia. El desempeño del auditor debe ser totalmente de confianza ya que se le permite conocer la información que se maneja en la empresa. Evaluación de los controles implantados NORMAS ÉTICAS Y PROFESIONALES QUE DEBE TENER EN CUENTA UN AUDITOR DE SISTEMAS El trabajo que desempeña un auditor es de una gran responsabilidad ante la empresa auditada y ante la sociedad misma.3. .2. aún y cuando esta sea confidencial. Informes del seguimiento 7. Evaluación de las respuestas 6. El auditor deberá ganarse la confianza gracias a su experiencia y conocimientos además a su pericia en el desarrollo de sus trabajos. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas. • Introducción: objetivo y contenido del informe de auditoria • Objetivos de la auditoría • Alcance: cobertura de la evaluación realizada • Opinión: con relación a la suficiencia del control interno del sistema evaluado • Hallazgos • Recomendaciones FASE VII: SEGUIMIENTO DE RECOMENDACIONES 7.

ético : eethikos: costumbre. carácter éthicos trata de la moral y las obligaciones de los hombres La palabra moral tiene su origen en el latín moralis: reglas que deben seguirse para hacer el bien y evitar el mal Los principios éticos forman el comportamiento moral y la actitud de la conducta de las personas y de los profesionistas. La experiencia y actitudes así como los conocimientos del auditor harán más fácil el cumplimiento de estos criterios y responsabilidades. A continuación se listan los principios y valores éticos que un auditor debe tener: • Honestidad • Integridad • Cumplimiento • Lealtad • Imparcialidad • Respeto a los demás • Responsable • Atento • Búsqueda de la excelencia • Responsabilidad • Confiable • Veraz El comportamiento del auditor deberá también caracterizarse por diferentes criterios y responsabilidades que la misma empresa en donde se desempeña deberá regular. A continuación se mencionan algunos de ellos. . Los principios y valores morales aseguran un comportamiento ético en las personas y en los profesionales. • Regulaciones de asociaciones y colegios de profesionales de auditoria. Se reconoce que el comportamiento ético es básico para el ejercicio de las actividades de un profesional en el área de auditoria. • Regulaciones de códigos. leyes y reglamentos del país en donde se desempeñe.Las palabra ética tienen un origen griego.

Existen criterios que tienen que ver con el aspecto profesional y personal del auditor y que en caso de incumplimiento no tendrá un castigo legal. • Aplicar de manera uniforme los métodos. • Ética profesional y moral del auditor • Ética de profesión de auditoria. técnicas y herramientas para evaluación. sin embargo el auditor que no los cumpla será señalado por sus colegas y por la empresa acarreando con esto el desprestigio profesional. • Evaluar libre de presiones e influencias. El auditor deberá seguir normas de carácter profesional para conservar el .• Regulaciones entre la empresa auditada y la empresa auditora • Normas. lineamientos y políticas de la empresa auditada. ocultar ni destruir evidencias • Manejo de discreción con la información • Ser imparcial y razonable • Emitir dictámenes independientes. dictámenes e informes de acuerdo a normas y lineamientos • Acatar las normas de conducta y de disciplina correspondientes • Capacitar al personal subalterno Criterios relacionados con el aspecto de juicio • Verificar la autenticidad de las evidencias encontradas. • Seguir los lineamientos de auditoría emitidos por asociaciones o por la empresa que se audite. • Independencia mental y profesional • Contar con la habilidad. razonables y profesionales También es importante listar los criterios relacionados con el aspecto laboral • Elaborar evaluaciones. aptitud y experiencia • Manejo adecuado en las relaciones personales con el auditado • Seguimiento de una metodología y procedimientos de evaluación • No modificar.

MÉTODOS. permanente capacitación. • Tener independencia mental: Libre de influencias y sustentada por conocimientos y habilidades. La utilización adecuada de dichas técnica marcara un punto importante para que el resultado de la auditoria sea satisfactorio. herramientas y procedimientos de auditoría aplicables al área de sistemas de información: Para la recolección de datos el auditor podrá utilizar: • Entrevista • Encuesta • Cuestionario • Observación • Muestreo . • Opinión respaldada con evidencia comprobada. TÉCNICAS Y HERRAMIENTAS DE AUDITORIA DE SISTEMAS El auditor deberá hacer la recolección y evaluación de evidencia que le permita establecer si un sistema de información cumple de manera eficiente con los objetivos organizacionales y salvaguarda información y mantiene la integridad de los sistemas. técnicas. • Planea la auditoria y los programas de evaluación.prestigio y credibilidad de la función de auditoria • Mantener una disciplina profesional: Esta actitud profesional debe extenderse a su vida personal. • Responsabilidad profesional. herramientas y procedimientos. A continuación se listan las principales técnicas. Para poder cumplir con la recolección y evaluación de evidencia hará uso de diferentes métodos. • Guardar el secreto profesional: Los resultados de la evaluación y la información de la empresa. • Presentación por escrito del dictamen e informe de auditoría.

Se pueden realizar operaciones de forma manual para comprobar los resultados. También se le conoce como prueba y podemos citar algunas de las pruebas que se aplican en el área de sistemas • Prueba de los resultados del sistema: Se revisa la entrada. a los programas y a las bases de datos. así como analizar que la entrada. periféricos y equipos asociados. procesamiento y salida de datos sea correcta. • Pruebas al sistema operativo: estas pruebas ayudan a verificar las rutinas de verificación que el procesador sigue en el momento del arranque de sistema . Inspecciona la seguridad del sistema y del área de informática. procesamiento y salida de datos evaluando velocidad. El examen también inspecciona las actividades y funciones del personal de informática y de los usuarios. Pruebas al Sistema: Se pueden realizar por medio del sistema operativo utilizando paquetería o programas de cómputo que ayude a verificar el funcionamiento del sistema.• Inventarios Para la evaluación de evidencia el auditor podrá utilizar: EXAMEN: Es utilizado para analizar la correcta operación de un sistema. comportamiento exactitud. el desarrollo de proyectos. Se revisan componentes del sistema. • AS • Pruebas de implantación: Se hacen con anterioridad a la implantación del sistema y principalmente se enfocan a revisar que el diseño esté de acuerdo al comportamiento del sistema. También examina los controles de accesos físicos y lógicos al sistema. Las pruebas de implantación pueden hacerse de tres formas: Pruebas piloto: Su objetivo es identificar todos los posibles problemas que se pueden presentar antes de implementar el sistema Pruebas de aproximaciones sucesivas: Aquí los exámenes se van realizando por partes primero se dan las pruebas básicas y así se avanza a pruebas más complejas.

conexiones entre los diversos componentes. conexiones. sistemas eléctricos. Algunos ejemplos de inspecciones en la auditoria de sistemas son: La inspección a los sistemas de seguridad y protección del equipo. anticipando de esta forma las posibles fallas. Esta prueba es conocida con el nombre de prueba de escritorio. Las bitácoras que son arrojadas por algunos sistemas pueden servir para la verificación del comportamiento del sistema operativo.además se verifican los componentes. Confirmación: El auditor deberá estar plenamente seguro de que los datos y hechos que sustentan su dictamen son verídicos y confiables. Algunos ejemplos de confirmaciones son: . revisión de mobiliario. • AS • Pruebas a los programas de aplicación: El diseñador del proyecto simula el comportamiento del sistema. aire acondicionado. • AS • Exámenes al centro de cómputo: Consiste en la revisión que se hace a las instalaciones del centro de computo para evaluar el estado de las comunicaciones. planes de contingencia y demás sistemas de seguridad INSPECCIÓN: Es similar al concepto de pruebas o exámenes solo que la inspección da un veredicto o en otras palabras su propósito es juzgar. a fin de opinar sobre su actuación. personal con el propósito de dictaminar sobre su eficiencia y confiabilidad. calefacción. dispositivos de seguridad contra incendios e inundaciones. Juzgar el cumplimiento de las funciones. por lo que deberá confirmar que hayan sido obtenidos con técnicas de auditoría validas. actividades y responsabilidades del personal del área de sistemas y usuarios del sistema. funcionamiento de periféricos. Estas utilerías son diseñadas por los fabricantes de hardware y software y reportan de manera automática un mal funcionamiento e inclusive pueden llegar a repararlas.

estadísticas de aprovechamiento con el fin de evaluar la efectividad y eficiencia en la entrada. cintas magnéticas CD-ROM. También se puede realizar una comparación de datos procesados por el sistema con datos procesados de forma manual. REVISIÓN DE DOCUMENTOS: Esta es una herramienta muy socorrida por las auditorias fiscales y financieras y consiste en revisar los documentos que sustenten los registros de las operaciones y actividades. procesamiento y salida de datos. Un ejemplo de revisión de documentos seria: Revisión de documentos de pruebas.Revisar las licencias del software instalado en los sistemas de cómputo con el objetivo de confirmar que no hay software pirata Confirmar la confiabilidad de los accesos. boletines. discos duros. DVD etc. videos. mapas. COMPARACIÓN: Se utiliza para validar la confiabilidad de los sistemas y procedimientos. Consiste en procesar los mismos datos en dos sistemas similares para medir la veracidad la oportunidad y la confiabilidad de dichos sistemas. resultados de operación seguimiento. protecciones. password y medidas de seguridad establecidas para el acceso a los sistemas y a las bases de datos con el fin de confirmar que no son vulnerables. En el área de auditoria se pueden hacer revisión de documentos tales como Diagramas de Flujo. Algunos ejemplos de comparación en el área de sistemas son: Comparar las similitudes y diferencias en la aplicación de una metodología para análisis y diseño de sistemas entre diferentes proyectos de sistemas Determinar la eficiencia y efectividad de una instalación computacional comparando las actividades desarrolladas en dos centros de cómputo similares. microfilminas. Apuntes y programas de cómputo. MATRIZ DE EVALUACIÓN: Esta consiste en colocar en la primera columna la descripción del elemento que está siendo evaluado y en las columnas .

técnica o procedimiento a seguir. siendo posible colocar número del 10 como Excelente y así ir bajando a Muy Bueno. Además se les puede asignar un peso a cada elemento para obtener una calificación total. . Regular. MATRIZ FODA: Sirve para evaluar las Fortalezas. Se simulan ciertas situaciones que pudieran ocurrir o situaciones que suponemos se dieron en un momento dado con el fin de estudiar el comportamiento y evaluar si el funcionamiento es correcto. estructura organizacional y aspectos externos tanto nacionales como internacionales todo esto aplicado al área de sistemas. Malo. Estos elementos a auditar son calificados. estrategias. GUÍAS DE AUDITORIA: Como su nombre lo dice representa una ayuda para el seguimiento de una auditoria. esto ayuda a visualizar que es lo que se tiene que hacer cuando esa situación se presente. en este documento se registra lo que se va a auditar y el método. MODELOS DE SIMULACIÓN: Consiste en simular una situación para observar como se comporta el sistema. Debilidades y Amenazas. La simulación es una herramienta utilizada para evaluar el funcionamiento de las medidas de contingencia en caso de algún siniestro como un terremoto. esto ayuda a la de capacitación del personal para que actúen de manera correcta. Bueno. Se realiza una revisión de los aspectos que tienen que ver con cuestiones Internas a la empresa como La cultura organizacional.siguientes la calificación con que se está evaluando. Para completar esta lista podemos mencionar otras técnicas de evaluación mas especializadas como • Diagramas de sistemas • Programas de verificación • Seguimiento de programación TECNICAS DE AUDITORÍA ASISTIDAS POR COMPUTADOR “TAAC”. Oportunidades.

Los datos de prueba deben representar la aplicación que se examina con todas las posibles combinaciones de transacciones que se lleven a cabo en situaciones reales. 3. para lo cual se crea una compañía de prueba con fines de auditoría dentro de la aplicación. consistente y cotidianamente. Esta técnica se utiliza en la fase de prueba del programa.EVALUACIÓN DE UN SISTEMA CON DATOS DE PRUEBA: Comúnmente llamada lotes de prueba. . Los resultados de la prueba se comparan contra resultados precalculados o predeterminados para examinar la lógica y precisión de los procesos. entre un sistema nuevo que sustituye a uno ya auditado. los programas utilizados para digitar los datos de prueba deben ser los mismos que se encuentran en producción y que se utilizan para procesar los movimientos diarios.PRUEBAS INTEGRALES: Permite examinar el proceso de la aplicación en su ambiente normal de producción. mediante el proceso de los mismos datos reales. por tanto. antes de ser enviada a producción y cuando se llevan a cabo modificaciones a un programa. pues se procesan datos de prueba en la misma aplicación en producción junto con los datos reales. Cuando esta técnica se mantiene en el tiempo para ser. aplicada al sistema en producción. toma el nombre de EVALUACION DEL SISTEMA DEL CASO BASE ⿿ ESCB. auditores y personal de sistemas. la prueba es más completa y requiere de un alto grado de cooperación entres usuarios. Los programas y procedimientos actuales no se abandonarán hasta cuando los nuevos arrojen los resultados esperados. lo cual permite disponer de los mismos archivos maestros.1. Se presenta un proceso de información simultáneo para comparar contra resultados predeterminados. en tal caso. 2.OPERACIONES EN PARALELO: Confrontación de resultados. Se ensaya la aplicación con datos de prueba contra resultados obtenidos inicialmente en las pruebas del programa para detectar resultados no válidos.

SELECCIÓN DE DETERMINADO TIPO DE TRANSACCIONES COMO AUXILIAR EN EL ANÁLISIS DE UN ARCHIVO HISTORICO: Con el fin de analizar en forma parcial el archivo histórico de un sistema. 7. 9.Software de Auditoría.4.TOTALES ALEATORIOS DE CIERTOS PROGRAMAS: Consiste en obtener totales de datos en alguna parte del sistema.REVISIONES DE ACCESO: Consiste en conservar un registro computarizado de todos los accesos a determinados archivos (información del usuario y terminal) ⿿ Software de Auditoría. 8.RESULTADOS DE CIERTOS CÁLCULOS PARA COMPARACIONES POSTERIORES: Con el fin de comparar en el futuro los totales en diferentes fechas . 5. El COMPUTADOR le facilita al AUDITOR realizar tareas como: . el cual sería casi imposible verificar en forma total . 6.SIMULACIÓN: Se desarrolla un programa de aplicación para determinada prueba y se compara el resultado con los arrojados por la aplicación real. ayudan al AUDITOR a establecer una metodología para la revisión de los sistemas de aplicación de una institución. La TAAC anteriormente descritas.Software de Auditoría. para verificar su exactitud en forma parcial . empleando como herramienta EL MISMO EQUIPO DE COMPUTO.REGISTROS EXTENDIDOS: Agregar un campo de control a un registro Software de Auditoría.Software de Auditoría.

3.Llevar a cabo la selección de datos. c.Trasladar los datos del sistema a un ambiente de control del auditor.Verificar la exactitud de los datos.Visualización de datos.Ordenamiento de la información. e.Trasladar el archivo de datos a un PC con gran capacidad de almacenamiento. 2.Llevar a cabo con un software de auditoría las verificaciones que se mencionan anteriormente. d.Hacer muestreo estadístico. g. tipo). etc. . 4.a. Lo anterior implica una metodología que garantiza una revisión más extensa e independiente. f. codificación empleada.Obtención de la documentación de los archivos que incluye: Nombre del archivo y descripción. que podría consistir en los siguientes pasos: 1. nombre de los campos y descripción (longitud. b.Producción de reportes e histogramas.Selección del sistema de información a revisar.

d.Revisar todos los cambios hechos a los programas y sistemas para verificar la integridad de las aplicaciones. Sin embargo. tales como robos o hurto. perjuicios. Es importante revisar los procedimientos para el mantenimiento de los programas y las modificaciones a los sistemas. En resumen: El Auditor debe tener la habilidad para revisar y probar la integridad de los sistemas y sus ACTIVIDADES PRINCIPALES SERÁN: a.Participación del Auditor en el desarrollo de sistemas. entran sin permiso en ordenadores y redes ajenas.Verificar los controles y procedimientos de autorización de la utilización y captura de los datos. . Las personas que comenten estos delitos son auténticos genios de la informática. DELITOS INFORMÁTICOS Los delitos informáticos implican actividades criminales.5.Asegurarse de que las aplicaciones cumplan con los objetivos definidos en la planeación. husmean. estafa. fraudes. rastrean y a veces. e. etc. sabotaje. debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha propiciado a su vez la necesidad de regulación por parte del derecho.Revisar las transacciones y los archivos para detectar posibles desviaciones de las normas establecidas. su proceso y salida de información. así como los programas que las generan.Revisar las transacciones realizadas para asegurarse de que los archivos reflejan la situación actual. falsificaciones. b. c.

la persona que "ingresa" en un sistema informático sin intenciones delictivas es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes. 43 y 44). De esta forma. Sin embargo. o bien son hábiles en el uso de los sistemas informatizados. otro reciente estudio realizado en América del Norte y Europa indicó que el 73% de las intrusiones cometidas eran atribuibles a fuentes interiores y solo el 27% a la actividad delictiva externa. Asimismo. según un estudio publicado en el Manual de las Naciones Unidas en la prevención y control de delitos informáticos (Nros. aún cuando. no desarrollen actividades laborales que faciliten la comisión de este tipo de delitos. Las personas que cometen los "Delitos Informáticos" son aquellas que poseen ciertas características que no presentan el denominador común de los delincuentes. motivadas y dispuestas a aceptar un reto tecnológico. Los Hackers posmodernos corsarios de la red. teniendo en cuenta las características ya mencionadas de las . son la ultima avanzada de la delincuencia informática de este final de siglo. el 90% de los delitos realizados mediante la computadora fueron ejecutados por empleados de la propia empresa afectada. esto es. Al respecto. El nivel típico de aptitudes del delincuente informático es tema de controversia ya que para algunos el nivel de aptitudes no es indicador de delincuencia informática en tanto que otros aducen que los posibles delincuentes informáticos son personas listas. características que pudieran encontrarse en un empleado del sector de procesamiento de datos. en muchos de los casos.dejan sus peculiares tarjetas de visita. Con el tiempo se ha podido comprobar que los autores de los delitos informáticos son muy diversos y que lo que los diferencia entre sí es la naturaleza de los delitos cometidos. los sujetos activos tienen habilidades para el manejo de los sistemas informáticos y generalmente por su situación laboral se encuentran en lugares estratégicos donde se maneja información de carácter sensible. decididas.

) sin que el propietario sepa lo que está ocurriendo. Los ataques siempre se producen en Internet. a razón de varios ataques por minuto en cada equipo conectado. la evasión de impuestos.personas que cometen los "delitos informáticos". corrupción de altos funcionarios. se lanzan automáticamente desde equipos infectados (a través de virus. los estudiosos en la materia los han catalogado como "delitos de cuello blanco" término introducido por primera vez por el criminólogo norteamericano Edwin Sutherland en el año de 1943. Asimismo. programa de software o sistema del usuario) con propósitos desconocidos por el operador del sistema y que. . son ejecutados por piratas informáticos. por lo general. gusanos. etc. En su mayoría. Efectivamente. el contrabando en las empresas. aún cuando muchas de estas conductas no están tipificadas en los ordenamientos jurídicos como delitos. las quiebras fraudulentas. este conocido criminólogo señala un sinnúmero de conductas que considera como "delitos de cuello blanco". como sucede en los delitos convencionales sino de acuerdo al sujeto activo que los comete. este criminólogo estadounidense dice que tanto la definición de los "delitos informáticos" como la de los "delitos de cuello blanco" no es de acuerdo al interés protegido. ATAQUES O ROBOS INFORMATICOS Cualquier equipo conectado a una red informática puede ser vulnerable a un ataque. troyanos. Para bloquear estos ataques. Los ataques pueden ejecutarse por diversos motivos: • para obtener acceso al sistema. causan un daño. entre otros". Un "ataque" consiste en aprovechar una vulnerabilidad de un sistema informático (sistema operativo. y dentro de las cuales cabe destacar las "violaciones a las leyes de patentes y fábrica de derechos de autor. En casos atípicos. es importante estar familiarizado con los principales tipos y tomar medidas preventivas. el mercado negro.

El esquema que figura a continuación repasa brevemente los distintos niveles que revisten un riesgo para la seguridad: [pic] Los riesgos se pueden clasificar de la siguiente manera: • Acceso físico: en este caso. el atacante tiene acceso a las instalaciones e incluso a los equipos: o Interrupción del suministro eléctrico. o Apertura de la carcasa del equipo y robo del disco duro. o Falsificación de identidad. • para recopilar información personal acerca de un usuario. • para usar los recursos del sistema del usuario. . • para obtener información de cuentas bancarias. Los ataques se pueden producir en cada eslabón de esta cadena. Tipos de ataques Los sistemas informáticos usan una diversidad de componentes. o Monitoreo del tráfico de red. desde electricidad para suministrar alimentación a los equipos hasta el programa de software ejecutado mediante el sistema operativo que usa la red. siempre y cuando exista una vulnerabilidad que pueda aprovecharse. en particular cuando la red en la que está ubicado tiene un ancho de banda considerable. etc. o Apagado manual del equipo.). • para afectar el funcionamiento normal de un servicio. o Vandalismo. • para utilizar el sistema de un usuario como un "rebote" para un ataque. • para obtener información acerca de una organización (la compañía del usuario. como secretos industriales o propiedad intelectual. • Intercepción de comunicaciones: o Secuestro de sesión.• para robar información.

En ciertos casos. o Elevación de privilegios: este tipo de ataque consiste en aprovechar una vulnerabilidad en una aplicación al enviar una solicitud específica (no planeada por su diseñador).o Redireccionamiento o alteración de mensajes. o • Denegaciones de servicio: el objetivo de estos ataques reside en interrumpir el funcionamiento normal de un servicio. por ejemplo) al pirata informático o al abrir un archivo adjunto. la razón y el conocimiento básico acerca de las prácticas utilizadas pueden ayudar a evitar este tipo de errores. Es por ello que los errores de programación de los programas son corregidos con bastante rapidez por su diseñador apenas se publica la vulnerabilidad. Muchas veces es él quien. Los ataques de desbordamiento de la memoria intermedia (búfer) usan este principio. o Ataques malintencionados (virus. •s • Puertas trampa: son puertas traseras ocultas en un programa de software que brindan acceso a su diseñador en todo momento. el eslabón más débil es el mismo usuario. d • Ingeniería social: en la mayoría de los casos. las denegaciones de servicio se dividen de la siguiente manera: o Explotación de las debilidades del protocolo TCP/IP. Por lo general. o Explotación de las vulnerabilidades del software del servidor. esto genera comportamientos atípicos que permiten acceder al sistema con derechos de aplicación. queda en manos de los administradores (o usuarios privados con un buen conocimiento) mantenerse informados acerca de las . genera una vulnerabilidad en el sistema al brindar información (la contraseña. por ignorancia o a causa de un engaño. Cuando ello sucede. troyanos). ningún dispositivo puede proteger al usuario contra la falsificación: sólo el sentido común. En consecuencia. • Intrusiones: o Análisis de puertos. gusanos.

existen ciertos dispositivos (firewalls. por su propio bien.actualizaciones de los programas que usan a fin de limitar los riesgos de ataques. mientras que el administrador debe. Esfuerzo de protección La seguridad del sistema de un equipo generalmente se denomina "asimétrica" porque el pirata informático debe encontrar sólo una vulnerabilidad para poner en peligro el sistema. ¿Qué es un hacker? El término "hacker" se usa con frecuencia para referirse a un pirata informático. Además. Los primeros consisten en atacar un equipo a través de otro para ocultar los rastros que podrían revelar la identidad del pirata (como su dirección IP) con el objetivo de utilizar los recursos del equipo atacado. por lo que generalmente privilegia los ataques por rebote (en oposición a los ataques directos). Ataque por rebote Cuando se ejecuta un ataque. ya que podría terminar siendo "cómplice" de un ataque y. el pirata informático siempre sabe que puede ser descubierto. Con el desarrollo de las redes inalámbricas. Esto comprueba la importancia de proteger su red o PC. si las víctimas realizan una denuncia. sistemas de detección de intrusiones. antivirus) que brindan la posibilidad de aumentar el nivel de seguridad. este tipo de situación podría ser cada vez más común ya que estas redes no son demasiado seguras y los piratas ubicados en sus inmediaciones podrían usarlas para ejecutar un ataque. la primera persona cuestionada será el propietario del equipo que se utilizó como rebote. corregir todas sus fallas. A las víctimas de piratería de redes informáticas les gusta pensar que han sido atacadas por piratas con experiencia quienes han estudiado en detalle sus sistemas y desarrollaron herramientas específicas para sacar provecho de sus .

• "Los "hackers de sombrero blanco".vulnerabilidades. •d • "Los "hacktivistas" (contracción de hackers y activistas) son hackers con motivaciones principalmente ideológicas. Los diferentes tipos de piratas En realidad existen varios tipos de "atacantes" divididos en categorías de acuerdo a sus experiencias y motivaciones. son casi siempre los responsables de los protocolos informáticos y las herramientas más importantes usadas actualmente. por ejemplo el correo electrónico. no pretende producir daños. con frecuencia se le usa para referirse a personas que irrumpen en sistemas informáticos. Por otra parte. son personas que irrumpen en los sistemas informáticos con propósitos maliciosos. aquel curioso que simplemente le gusta husmear por todas partes. Ellos son capaces de crear sus propios softwares para entrar a los sistemas. existen diversos tipos de delito que pueden ser cometidos y que se encuentran ligados directamente a acciones efectuadas contra los propios sistemas y las Naciones Unidas los clasifican así: ARTICULO Uno de los mayores ataques informáticos afectó a empresas de 196 países . La palabra es un término ingles que caracteriza al delincuente silencioso o tecnológico. Es una persona muy interesada en el funcionamiento de sistemas operativos. llegar a conocer el funcionamiento de cualquier sistema informático mejor que quiénes lo inventaron. hackers en el sentido noble de la palabra y cuyo objetivo es ayudar a mejorar los sistemas y las tecnologías informáticas. En la actualidad. más comúnmente llamados piratas. Toma su actividad como un reto intelectual. •d • "Los "hackers de sombrero negro".

dijo a la prensa estadounidense que los ataques más recientes no parecen estar vinculados con la intrusión en los sistemas de Google. Se trata. Google indicó entonces que el ataque contra sus sistemas provenía de China. defensa. a sus cuentas bancarias. añadió: “Es significativo que por su magnitud y su demostración del avanzado conocimiento de los grupos criminales acerca de ataques cibernéticos. La información sobre estos ataques se producen semanas después de saberse que piratas cibernéticos habían penetrado en las redes de computadoras de Google y más de otras 30 grandes empresas financieras. Una empresa especializada en la investigación de ciberataques reveló un asalto masivo que tuvo lugar hace unos meses. y a sus datos personales. Turquía y México. Arabia Saudita. cuando descubrió la presencia de un programa bautizado como . El ejecutivo jefe de NetWitness. Yahoo! y Hotmail. además de a sus cuentas en facebook. por primera vez.Febrero 18. La mayor parte de las empresas afectadas pertenecen a la industria tecnológica y del cuidado de la salud. de NetWitness. La intrusión la detectó. 2010 [pic] Una firma de seguridad informática enfrentó recientemente uno de los mayores ataques de la historia: 75.000 computadoras de 2. hay afectadas empresas de 196 países. Pero. según la empresa NetWitness. se aproximan a los de naciones como China y Rusia”. Egipto. de energía. pero principalmente de los EEUU. el 26 de enero el ingeniero Alex Cox.500 empresas en 196 países. de uno de los mayores ataques que ha tenido lugar hasta el momento. tecnología y medios. los ataques comenzaron a fines de 2008 e iban dirigidos a captar la información de los usuarios para acceder a sus cuentas de correos. En total. Amit Yoran. Según informa NetWitness en su página web.

Los bots permitieron que los atacantes tomaran control de las computadoras invadidas de donde extrajeron credenciales y contraseñas de acceso -incluidos datos de bancos y redes sociales.Kneber. dijo Yoran. fraude y blanqueo de dinero". por definición. o les inducían a abrir correos electrónicos que contenían los anexos infectados. “El número de sistemas penetrados creció de manera exponencial”. Constanta (sur) y Timisoara (oeste). así como de dinero en efectivo (123. dijo Yoran. intercepción de datos informáticos. operado por un grupo ubicado en Europa oriental y activo en por lo menos 20 servidores de mando y control en todo el mundo.640 euros) y joyas durante la investigación llevada a cabo el 9 de abril en las ciudades de Bucarest. inadecuados para enfrentarse a Kneber o la mayoría de amenazas avanzadas”. Los intrusos atraían a empleados poco precavidos en las empresas atacadas para que descargaran programas infectados de sitios controlados por los piratas cibernéticos. que causó perjuicios por valor de 800. “La protección convencional contra malware y sistemas de detección de intrusos basados en la firma son. Una red de piratas informáticos ('hackers') rumanos. fue desmantelada por las autoridades rumanas en colaboración con el FBI. en varios ordenadores que pertenecían a compañías farmacéuticas norteamericanas. a partir de noviembre de 2007. Cinco personas de entre 20 y 32 años fueron detenidas y están siendo investigadas por "acceso no autorizado a un sistema informático.que luego se usaron para penetrar los sistemas de otros usuarios.470 dólares y 34. informó la . precisa el comunicado. explicó Yoran. según un comunicado de los fiscales rumanos a cargo de los casos de crimen organizado y terrorismo. Los cinco acusados entraron ilegalmente. Los servicios de policía se incautaron de nueve ordenadores portátiles. tarjetas de memoria. indicaron fuentes oficiales en Bucarest. discos duros.000 dólares a varias compañías farmacéuticas en Estados Unidos.

Definición de objetivos y alcance de la auditoría. Cuerpo expositivo: . con indicación de la jefatura. permitiendo cierto margen de violaciones). controles detectivos (estos no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría. los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas. CONCLUSIÓN Para que no se presenten estos delitos informáticos las empresa deben aplicar muy bien los diferentes controles Preventivos (estos reducen la frecuencia con que ocurren las causas del riesgo. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final. son los más importantes para el auditor porque sirven para evaluar la eficiencia de los controles preventivos y los controles Correctivos ( estos que ayudan a la investigación y corrección de las causas del riesgo).agencia Mediafax. responsabilidad y puesto de trabajo que ostente. Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Por lo tanto la elaboración final es el exponente de su calidad. INFORME FINAL DE LA AUDITORIA DE SISTEMAS La función de la auditoría se materializa exclusivamente por escrito. Enumeración de temas considerados: Antes de tratarlos con profundidad.

el verdadero objetivo de la auditoría informática. El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. e) Redacción posterior de la Carta de Introducción o Presentación. Se tratarán de hallar parámetros que permitan establecer tendencias futuras.El informe debe incluir solamente hechos importantes. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. c) Puntos débiles y amenazas. La inclusión de hechos poco relevantes o accesorios desvía la atención del lector. en la que se analiza no solamente una situación sino además su evolución en el tiempo. d) Recomendaciones y planes de acción. La consolidación de los hechos debe satisfacer.Para cada tema.El Informe debe consolidar los hechos que se describen en el mismo. No deben existir alternativas viables que superen al cambio propuesto. . Cuando se trate de una revisión periódica. Modelo conceptual de la exposición del informe final: . 3. La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida. Constituyen junto con la exposición de puntos débiles. se seguirá el siguiente orden a saber: a) Situación actual. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación. 2. Flujo del hecho o debilidad: . se expondrá la situación prevista y la situación real b) Tendencias. 4. El hecho debe poder ser sometido a cambios. al menos los siguientes criterios: 1.

Así como pueden existir tantas copias del informe Final como solicite el cliente. Se destina exclusivamente al responsable máximo de la empresa.Ha de ser relevante para el auditor y pera el cliente.No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja. para que pueda ser verificada su implementación. por simple lectura. 3 – Repercusión del hecho . .Deberá ser concreta y exacta en el tiempo.La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.Deberá estar suficientemente soportada en el propio texto. 5 – Recomendación del auditor informático .Ha de ser exacto.Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa. . 2 – Consecuencias del hecho . o a la persona concreta que encargo o contrato la auditoría. . .Deberá entenderse por sí sola.1 – Hecho encontrado. . la auditoría no hará copias de la citada carta de Introducción. La carta de introducción poseerá los siguientes atributos: • Tendrá como máximo 4 folios. 4 – Conclusión del hecho . y además convincente. o Carta de introducción o presentación del informe final: La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada.No deben existir hechos repetidos. .Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. .

• Incluirá fecha. • Cuantificará la importancia de las áreas analizadas. energía o materia. teclado. • Presentará las debilidades en orden de importancia y gravedad. CDROM. Un sistema es un conjunto de partes o elementos organizados y relacionados que interactúan entre sí para lograr un objetivo. la física. El hardware no es frecuentemente cambiado. ANEXOS TERMINOLOGIA UTILIZADA EN EL AREA DE SISTEMAS INFORMÁTICA: Ciencia que estudia el tratamiento automático de la información en computadoras. término inglés que hace referencia a cualquier componente físico tecnológico. No sólo incluye elementos internos como el disco duro. SISTEMA: (system). disquetera. circuitos. etc. que trabaja o interactúa de algún modo con la computadora. HARDWARE: En computación. objetivos y alcance. sino que también hace referencia al cableado. energía o materia del ambiente y proveen (salida) información. gabinete. • En la carta de Introducción no se escribirán nunca recomendaciones. SEGURIDAD FÍSICA: Dentro de la seguridad informática. La seguridad física . naturaleza. Un sistema puede ser físico o concreto (una computadora) o puede ser abstracto o conceptual (un software). el teclado. etc. La informática se basa en múltiples ciencias como la matemática. dispositivos electrónicos y sistemas informáticos. el mouse. concretando las áreas de gran debilidad. la seguridad física hace referencia a las barreras físicas y mecanismos de control en el entorno de un sistema informático. Los sistemas reciben (entrada) datos. E incluso hace referencia a elementos externos como la impresora. para proteger el hardware de amenazas físicas. • Proporcionará una conclusión general. la electrónica. el monitor y demás periféricos.

LENGUAJE DE PROGRAMACIÓN: Lenguaje artificial que puede ser usado para controlar el comportamiento de una máquina. El programa debe ser compilado o interpretado para poder ser ejecutado y así cumplir su objetivo. (Excepto el firmware. la seguridad lógica hace referencia a la aplicación de mecanismos y barreras para mantener el resguardo y la integridad de la información dentro de un sistema informático. que es un tipo de software que raramente es alterado). puesto estos incluyen otros lenguajes como son el HTML o PDF que dan formato a . El software. pero buenas medidas de seguridad evitan daños y problemas que pueden ocasionar intrusos.se complementa con la seguridad lógica. Debe distinguirse de “lenguaje informático”.es todo programa o aplicación programado para realizar tareas específicas. que es intangible y le da lógica al hardware (además de ejecutarse dentro de éste). La seguridad lógica se complementa seguridad física. SEGURIDAD INFORMÁTICA La seguridad informática es una disciplina que se relaciona a diversas técnicas. Estos se componen de un conjunto de reglas sintácticas y semánticas que permiten expresar instrucciones que luego serán interpretadas. el software -en sentido estricto. SOFTWARE: En computación. PROGRAMA: Es un conjunto de instrucciones escritas en algún lenguaje de programación. aplicaciones y dispositivos encargados de asegurar la integridad y privacidad de la información de un sistema informático y sus usuarios. En tanto el software puede ser creado. Técnicamente es imposible lograr un sistema informático ciento por ciento seguro. especialmente una computadora. que es una definición más amplia. SEGURIDAD LÓGICA Dentro de la seguridad informática. borrado y modificado sencillamente.

se debe usar una clave como parámetro para esas fórmulas. python. «oculto». funcionales. Se trata de una medida de seguridad que es usada para almacenar o transferir información delicada que no debería ser accesible a terceros. «escribir». y γράφω graphos.un texto y no es programación en sí misma. pascal. ENCRIPTACIÓN: (Cifrado. Los lenguajes de programación pueden clasificarse según el paradigma que usan en: procedimentales. La criptografía (del griego κρύπτω krypto. etc. lógicos. Para encriptar información se utilizan complejas fórmulas matemáticas y para desencriptar. etc. JAVA. Son ejemplos de lenguajes de programación: php. basic. codificación). se concede o se niega el acceso a la información según sea el caso. nros. constituirá un programa o subprograma informático. al final. conversaciones privadas. El programador es el encargado de utilizar un lenguaje de programación para crear un conjunto de instrucciones que. de tarjetas de crédito. híbridos. orientados a objetos. El texto plano que está encriptado o cifrado se llama criptograma. c. La contraseña normalmente debe mantenerse en secreto ante aquellos a quien no se les permite el acceso. La información una vez encriptada sólo puede leerse aplicándole una clave. PASSWORDS: Una contraseña o clave (en inglés password) es una forma de autentificación que utiliza información secreta para controlar el acceso hacia algún recurso. si conocen o no conocen la contraseña. prolog. La encriptación es el proceso para volver ilegible información considera importante. En la lengua inglesa se tienen dos denominaciones distintivas para las contraseñas: password (palabra de acceso) y pass code (código de acceso). Aquellos que desean acceder a la información se les solicita una clave. etc. JavaScript. ada. ActionScript. literalmente «escritura oculta») es el arte o ciencia de cifrar y descifrar información . ASP. Pueden ser contraseñas.

múltiples computadoras se conectan a un medio común. O sea. La bitácora de trabajo es donde los trabajadores de empresas en general. El modelo es simple: un medio compartido donde todos pueden escribir y leer.mediante técnicas especiales y se emplea frecuentemente para permitir un intercambio de mensajes que sólo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos. Esta bitácora incluye todos los sucesos que tuvieron lugar durante la realización de dicha tarea. los cambios que se introdujeron y los costos que ocasionaron. anotan cualquier información que consideren que puede resultar útil para su trabajo. BITÁCORA: El término es usado para nombrar un registro escrito de las acciones que se llevaron a cabo en cierto trabajo o tarea. RED DE TELEPROCESOS: Es el Proceso de Comunicar Información en forma Binaria entre dos puntos. especialmente en el desarrollo de . aunque es aplicable a todas las áreas en general. que es detectable. principalmente los que se dedican a la parte de manejo Financiero y Bancario. desarrollan su trabajo. etc. entre otros. las fallas que se produjeron. Las redes locales típicamente se organizan en base a un esquema de red de broadcast (difusión). Si dos o más computadoras transmiten al mismo tiempo se produce un encuentro. A la Comunicación de Datos se le llama también Comunicación entre Ordenadores.). la validación de datos es una de las áreas más importantes a tener en cuenta. porque la mayoría de las informaciones se intercambian entre los Computadores. La Comunicación de datos es de vital Importancia hoy día en el Mundo de los Negocios. que permite difundir la señal (radio en el aire. VALIDACIÓN DE DATOS: En seguridad informática.

fraude. quiere guardar toda la información. realizará una copia de seguridad de tal manera. direcciones. pero siempre que involucre la informática de por medio para cometer la ilegalidad. BASE DE DATOS: (database). Base. Validar datos hace referencia a verificar. un usuario. Con la palabra "datos" se hace referencia a hechos conocidos que pueden registrarse. controlar o filtrar cada una de las entradas de datos que provienen desde el exterior del sistema. es decir. de la que dispone en el PC hasta este momento. nombres. etc. PAD: (Packet Assembler/Disassembler). BACKUPS O COPIA DE SEGURIDAD: En informática es un archivo digital. Las bases de datos almacenan datos. perjuicio. como ser números telefónicos. estafa y sabotaje. falsificación. DELITO INFORMÁTICO: El delito informático implica cualquier actividad ilegal que encuadra en figuras tradicionales ya conocidas como robo. hurto. Se diseña y almacena datos con un propósito específico. o parte de la información. permitiendo manipularlos fácilmente y mostrarlos de diversas formas. Una base de datos representa algunos aspectos del mundo real. que lo almacenará en algún medio de almacenamiento tecnológicamente . un conjunto de archivos o la totalidad de los datos considerados lo suficientemente importantes para ser conservados. ensamblador de los paquetes de datos en la operación. Las copias de seguridad son un proceso que se utiliza para salvar toda la información. aquellos que le interesan al diseñador. Almacén de datos relacionados con diferentes modos de organización.sistemas conectados a redes como internet.

DVD. • ¿Cuáles servicios se implementarán? • ¿Cuándo se pondrán a disposición de los usuarios? • ¿Qué características tendrán? • ¿Cuántos recursos se requerirán? • ¿Qué aplicaciones serán desarrolladas y cuando? • ¿Qué tipo de archivos se utilizarán y cuando? • ¿Qué bases de datos se utilizarán y cuando? • ¿Qué lenguajes se utilizarán y en que software? • ¿Qué tecnología será utilizada y cuando se implementará? • ¿Cuantos recursos se requerirán aproximadamente? • ¿Cuál es aproximadamente el monto de la inversión en hardware y software? • ¿Qué estudios van a ser realizados al respecto? • ¿Qué metodología se utilizará para dichos estudios? • ¿Quién administrará y realizará dichos estudios? • ¿Contempla el plan estratégico las ventajas de la nueva tecnología? . para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. (proporcionados por Internet) o simplemente en otro Disco Duro. poder restaurar el sistema.disponible hasta el momento como por ejemplo cinta. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos. CUESTIONARIOS APLICABLES EN UNA AUDITORIA DE SISTEMAS EVALUACIÓN DE SISTEMAS La elaboración de sistemas debe ser evaluada con mucho detalle. si bien dependiendo de lo que se trate podrían usarse disquetes. Normalmente las copias de seguridad se suelen hacer en cintas magnéticas. para posteriormente si pierde la información. CD. DVD.

Con la información obtenida podemos contestar a las siguientes preguntas: • ¿Se está ejecutando en forma correcta y eficiente el proceso de información? • ¿Puede ser simplificado para mejorar su aprovechamiento? • ¿Se debe tener una mayor interacción con otros sistemas? • ¿Se tiene propuesto un adecuado control y seguridad sobre el sistema? • ¿Está en el análisis la documentación adecuada? EVALUACIÓN DEL DISEÑO LÓGICO DEL SISTEMA En esta se deberán analizar las especificaciones del sistema. su seguridad y control. así como todas las salidas y reportes. la documentación propuesta.• ¿Cuál es la inversión requerida en servicios. La auditoría en sistemas debe evaluar los documentos y registros usados en la elaboración del sistema. la descripción de las actividades de flujo de la información y de procedimientos. su uso y su relación con otros archivos y sistemas. su conservación. procedimientos y normas que se tienen para llevar a cabo el análisis. ¿Qué deberá hacer?. . los archivos almacenados. su frecuencia de acceso. desarrollo y consulta a los usuarios? EVALUACIÓN DEL ANÁLISIS En esta se evaluarán las políticas. las entradas y salidas del sistema y los documentos fuentes a usarse.

cuando y como? • ¿Qué formas se utilizan en el sistema? • ¿Son necesarias. están duplicadas? • ¿El número de copias es el adecuado? • ¿Existen puntos de control o faltan? En la gráfica de flujo de información: • ¿Es fácil de usar? • ¿Es lógica? • ¿Se encontraron lagunas? • ¿Hay faltas de control? En el diseño: • ¿Cómo se usará la herramienta de diseño si existe? • ¿Qué también se ajusta la herramienta al procedimiento? EVALUACIÓN . se usan.¿Cómo lo deberá hacer?. ¿Secuencia y ocurrencia de los datos? ¿Secuencia del proceso y salida de reportes? Lo que se debe determinar en el sistema: En el procedimiento: • ¿Quién hace.

• ¿Accesibles? (que estén disponibles). En él habrá sistemas que puedan ser interrelacionados y no programas aislados. su diseño. • ¿Funcionales? (que proporcionen la información adecuada a cada nivel). . Las características que deben evaluarse en los sistemas son: • ¿Dinámicos? (susceptibles de modificarse). • ¿Jerárquicos? (por niveles funcionales). • ¿Necesarios? (que se pruebe su utilización). • ¿Seguros? (que sólo las personas autorizadas tengan acceso). • ¿Estándar? (que la información tenga la misma interpretación en los distintos niveles). • ¿Comprensibles? (que contengan todos los atributos). • ¿Modulares? (facilidad para ser expandidos o reducidos). • Adicionar Datos. interconexión entre los programas y características del hardware empleado (total o parcial) para el desarrollo del sistema. • ¿Únicos? (que no duplique información). CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL La mayoría de los Delitos por computadora son cometidos por modificaciones de datos fuente al: • Suprimir u omitir datos. el leguaje utilizado. • ¿Estructurados? (las interacciones de sus componentes o subsistemas deben actuar como un todo) • ¿Integrados? (un solo objetivo).DEL DESARROLLO DEL SISTEMA En esta se deberán auditar los programas. • ¿Oportunos? (que esté la información en el momento que se requiere).

en los que los usuarios son los responsables de la captura y modificación de la información al tener un adecuado control con señalamiento de responsables de los datos(uno de los usuarios debe ser el único responsable de determinado dato). Esto es de suma importancia en caso de equipos de cómputo que cuentan con sistemas en línea. ( ) Recepción ( ) Usuario ( ) Nombre del documento ( ) Nombre responsable ( ) Volumen aproximado Clave de cargo de registro ( ) (Número de cuenta) ( ) Número de registros ( ) Fecha y hora de entrega de Clave del capturista ( ) documentos y registros captados ( ) . en el presente trabajo se le denominará captura o captación considerándola como sinónimo de digitalizar (capturista. • Duplicar procesos. ¿Indique el contenido de la orden de trabajo que se recibe en el área de captación de datos: Número de folio ( ) Número(s) de formato(s) ( ) Fecha y hora de Nombre. NOTA: Debido a que se denomina de diferentes formas la actividad de transcribir la información del dato fuente a la computadora. para lo cual se puede utilizar el siguiente cuestionario: 1. digitalizadora). ¿Indique el porcentaje de datos que se reciben en el área de captación? 2. con claves de acceso de acuerdo a niveles. Lo primero que se debe evaluar es la entrada de la información y que se tengan las cifras de control necesarias para determinar la veracidad de la información. Depto.• Alterar datos.

¿Indique cuál(es) control(es) interno(s) existe(n) en el área de captación de datos: Firmas de autorización ( ) Recepción de trabajos ( ) Control de trabajos atrasados ( ) Revisión del documento ( ) Avance de trabajos ( ) fuente(legibilidad. ¿Existe un programa de trabajo de captación de datos? a) ¿Se elabora ese programa para cada turno? Diariamente ( ) Semanalmente ( ) Mensualmente ( ) b) La elaboración del programa de trabajos se hace: Internamente ( ) Se les señalan a los usuarios las prioridades ( ) c) ¿Que acción(es) se toma(n) si el trabajo programado no se recibe a tiempo? 5. ( ) 4. ¿Quién controla las entradas de documentos fuente? . verificación de datos completos. etc.) ( ) Prioridades de captación ( ) Errores por trabajo ( ) Producción de trabajo ( ) Corrección de errores ( ) Producción de cada operador ( ) Entrega de trabajos ( ) Verificación de cifras Costo Mensual por trabajo ( ) de control de entrada con las de salida.Fecha estimada de entrega ( ) 3.

¿En que forma las controla? 7. ¿Que documento de entrada se tienen? Sistemas Documentos Depto. ¿Que cifras de control se obtienen? Sistema Cifras que se Observaciones Obtienen 8. que periodicidad Observaciones proporciona el documento 9. ¿Se anota que persona recibe la información y su volumen? SI NO 10. ¿Se revisan las cifras de control antes de enviarlas a captura? SI NO 13. ¿Se anota a que capturista se entrega la información.6. ¿Existe un procedimiento escrito que indique como tratar la información inválida (sin firma ilegible. ¿Se verifica la cantidad de la información recibida para su captura? SI NO 12. ¿Para aquellos procesos que no traigan cifras de control se ha establecido criterios a fin de asegurar que la información es completa y valida? SI NO 14. el volumen y la hora? SI NO 11. no corresponden las cifras de control)? .

15. En caso de resguardo de información de entrada en sistemas, ¿Se custodian en un lugar seguro?

16. Si se queda en el departamento de sistemas, ¿Por cuanto tiempo se guarda?

17. ¿Existe un registro de anomalías en la información debido a mala codificación?

18. ¿Existe una relación completa de distribución de listados, en la cual se indiquen personas, secuencia y sistemas a los que pertenecen?

19. ¿Se verifica que las cifras de las validaciones concuerden con los documentos de entrada?

20. ¿Se hace una relación de cuando y a quién fueron distribuidos los listados? ____________________________________________________________

______

21. ¿Se controlan separadamente los documentos confidenciales? ____________________________________________________________

______

22. ¿Se aprovecha adecuadamente el papel de los listados inservibles? ____________________________________________________________

______

23. ¿Existe un registro de los documentos que entran a capturar? ____________________________________________________________

______

24. ¿Se hace un reporte diario, semanal o mensual de captura? ____________________________________________________________

______

25. ¿Se hace un reporte diario, semanal o mensual de anomalías en la información de entrada?

26. ¿Se lleva un control de la producción por persona?

27. ¿Quién revisa este control?

28. ¿Existen instrucciones escritas para capturar cada aplicación o, en su defecto existe una relación de programas?

CONTROL DE OPERACIÓN

La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente afectados por la calidad e integridad de la documentación requerida para el proceso en la computadora.

El objetivo del presente ejemplo de cuestionario es señalar los procedimientos e instructivos formales de operación, analizar su estandarización y evaluar el cumplimiento de los mismos.

1. ¿Existen procedimientos formales para la operación del sistema de computo? SI ( ) NO ( )

2. ¿Están actualizados los procedimientos? SI ( ) NO ( )

3. Indique la periodicidad de la actualización de los procedimientos:

Semestral ( ) Anual ( ) Cada vez que haya cambio de equipo ( )

4. Indique el contenido de los instructivos de operación para cada aplicación:

Identificación del sistema ( ) Identificación del programa ( ) Periodicidad y duración de la corrida ( ) Especificación de formas especiales ( ) Especificación de cintas de impresoras ( ) Etiquetas de archivos de salida, nombre, ( ) archivo lógico, y fechas de creación y expiración Instructivo sobre materiales de entrada y salida ( ) Altos programados y la acciones requeridas ( ) Instructivos específicos a los operadores en caso de falla del equipo ( ) Instructivos de reinicio ( ) Procedimientos de recuperación para proceso de

primero que sale ( ) se respetan las prioridades. ( ) Otra (especifique) ( ) 10. ¿Cómo programan los operadores los trabajos dentro del departamento de cómputo? Primero que entra. ¿Son suficientemente claras para los operadores estas órdenes? SI ( ) NO ( ) 7. ¿Los retrasos o incumplimiento con el programa de operación diaria. SI ( ) NO ( ) 9. se revisa y analiza? SI ( ) NO ( ) . ) ( ) 5. ¿Existe un control que asegure la justificación de los procesos en el computador? (Que los procesos que se están autorizados y tengan una razón de ser procesados. ¿Existe una estandarización de las ordenes de proceso? SI ( ) NO ( ) 8.gran duración o criterios ( ) Identificación de todos los dispositivos de la máquina a ser usados ( ) Especificaciones de resultados (cifras de control. compilaciones y producción)? SI ( ) NO ( ) 6. registros de salida por archivo. ¿Existen órdenes de proceso para cada corrida en la computadora (incluyendo pruebas. etc.

tomando en cuenta equipo y operador. ¿Las intervenciones de los operadores: . ¿Se tienen procedimientos específicos que indiquen al operador que hacer cuando un programa interrumpe su ejecución u otras dificultades en proceso? 17. y describa sus observaciones. ¿El operador realiza funciones de mantenimiento diario en dispositivos que así lo requieran? 21. Analice la eficiencia con que se ejecutan los trabajos dentro del departamento de cómputo. ¿Existen procedimientos escritos para la recuperación del sistema en caso de falla? 14. ¿Quién revisa este reporte en su caso? 12.11. a través de inspección visual. ¿Se prohibe a analistas y programadores la operación del sistema que programo o analizo? 19. ¿Puede el operador modificar los datos de entrada? 18. ¿Cómo se actúa en caso de errores? 15. con las indicaciones pertinentes? 16. ¿Se prohibe al operador modificar información de archivos o bibliotecas de programas? 20. ¿Existen instrucciones especificas para cada proceso. 13.

¿Cuentan los operadores con una bitácora para mantener registros de cualquier evento y acción tomada por ellos? Si ( ) por máquina ( ) escrita manualmente ( ) NO ( ) 26. ¿Se rota al personal de control de información con los operadores procurando un entrenamiento cruzado y evitando la manipulación fraudulenta de datos? SI ( ) NO ( ) 25. ¿Cómo controlan los trabajos dentro del departamento de cómputo? 24. Verificar que exista un registro de funcionamiento que muestre el tiempo de paros y mantenimiento o instalaciones de software. ¿Se tiene un control adecuado sobre los sistemas y programas que están en operación? SI ( ) NO ( ) 23. ¿Existe . 27.¿Existen procedimientos para evitar las corridas de programas no autorizados? SI ( ) NO ( ) 28.Son muy numerosas? SI ( ) NO ( ) Se limitan los mensajes esenciales? SI ( ) NO ( ) Otras (especifique)_____________________________________________________ _ 22.

etc. ¿Se controla estrictamente el acceso a la documentación de programas o de aplicaciones rutinarias? SI ( ) NO ( ) ¿Cómo?________________________________________________________ ___ 34. ¿Se permite a los operadores el acceso a los diagramas de flujo. fuera del departamento de cómputo? SI ( ) NO ( ) 33. Enuncie los procedimientos mencionados en el inciso anterior: 32. ¿Se hacen inspecciones periódicas de muestreo? SI ( ) NO ( ) 31. ¿Estos procedimientos incluyen corridas en paralelo de los sistemas modificados con las versiones anteriores? SI ( ) NO ( ) . Verifique que los privilegios del operador se restrinjan a aquellos que le son asignados a la clasificación de seguridad de operador. ¿Existen procedimientos formales que se deban observar antes de que sean aceptados en operación. programas fuente. 35.un plan definido para el cambio de turno de operaciones que evite el descontrol y discontinuidad de la operación. Verificar que sea razonable el plan para coordinar el cambio de turno. 30. 29. sistemas nuevos o modificaciones a los mismos? SI ( ) NO ( ) 36.

¿Durante cuanto tiempo? 38. Indique como está organizado este archivo de bitácora. ¿Quién da la aprobación formal cuando las corridas de prueba de un sistema modificado o nuevo están acordes con los instructivos de operación. • Por fecha ( ) • por fecha y hora ( ) • por turno de operación ( ) • Otros ( ) . ¿Que precauciones se toman durante el periodo de implantación? 39. que aseguren la utilización de los datos precisos en los procesos correspondientes. 40.37. Indique que tipo de controles tiene sobre los archivos magnéticos de los archivos de datos. 43. 42. Mencione que instructivos se proporcionan a las personas que intervienen en la operación rutinaria de un sistema. ¿Existe un lugar para archivar las bitácoras del sistema del equipo de cómputo? SI ( ) NO ( ) 44. ¿Se catalogan los programas liberados para producción rutinaria? SI ( ) NO ( ) 41.

¿Cómo se controlan los procesos en línea? 50. 48. de tal manera que se pueda medir la eficiencia del uso de equipo. ¿Se tienen seguros sobre todos los equipos? SI ( ) NO ( ) 51. 52. ¿Que seguridad física se tiene en esos locales? . ¿Se tiene inventario actualizado de los equipos y terminales con su localización? SI ( ) NO ( ) 49. Verifique que se lleve un registro de utilización del equipo diario. sistemas en línea y batch. ¿Dónde se encuentran esos locales? 3. ¿Cómo se controlan las llaves de acceso (Password)?. que otras funciones o áreas se encuentran en el departamento de cómputo actualmente? 47. ¿Cuál es la utilización sistemática de las bitácoras? 46. ¿Además de las mencionadas anteriormente. ¿Conque compañía? Solicitar pólizas de seguros y verificar tipo de seguro y montos. CONTROLES DE SALIDA 1. ¿Se tienen copias de los archivos en otros locales? 2.45.

de modo que servirán de base a registros sistemáticos de la utilización de estos archivos. principalmente en el caso de las cintas. de modo que sirvan de base a los programas de limpieza (borrado de información). .4. ¿En que forma se entregan? 7. ¿Que controles se tienen? 9. Una dirección de informática bien administrada debe tener perfectamente protegidos estos dispositivos de almacenamiento. ¿Quién entrega los documentos de salida? 6. además de mantener registros sistemáticos de la utilización de estos archivos. ¿Que documentos? 8. para cualquier centro de cómputo. ¿Se tiene un responsable (usuario) de la información de cada sistema? ¿Cómo se atienden solicitudes de información a otros usuarios del mismo sistema? 10. sino en la dependencia de la cual se presta servicio. archivos extremadamente importantes cuya pérdida parcial o total podría tener repercusiones muy serias. ¿Que confidencialidad se tiene en esos locales? 5. o bien que se hace con ella? Destruye ( ) Vende ( ) Tira ( ) Otro ______________________________ CONTROL DE MEDIOS DE ALMACENAMIENTO MASIVO Los dispositivos de almacenamiento representan. no sólo en la unidad de informática. ¿Se destruye la información utilizada.

¿Tienen la cintoteca y discoteca protección automática contra el fuego? SI ( ) NO ( ) (señalar de que tipo)_______________________________________________ 3. ¿Se verifican con frecuencia la validez de los inventarios de los archivos . 1.OBJETIVOS El objetivo de este cuestionario es evaluar la forma como se administran los dispositivos de almacenamiento básico de la dirección. ¿Que información mínima contiene el inventario de la cintoteca y la discoteca? Número de serie o carrete ( ) Número o clave del usuario ( ) Número del archivo lógico ( ) Nombre del sistema que lo genera ( ) Fecha de expiración del archivo ( ) Fecha de expiración del archivo ( ) Número de volumen ( ) Otros 4. Los locales asignados a la cintoteca y discoteca tienen: • Aire acondicionado ( ) • Protección contra el fuego ( ) • (señalar que tipo de protección )__________________________________ • Cerradura especial ( ) • Otra 2.

¿Que tan frecuentes son estas discrepancias? ____________________________________________________________ ______ 7.magnéticos? SI ( ) NO ( ) 5. ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de acceso? SI ( ) NO ( ) ¿Cómo?________________________________________________________ ___ 9. En caso de existir discrepancia entre las cintas o discos y su contenido. ¿Existe un control estricto de las copias de estos archivos? SI ( ) NO ( ) 10. el cual fue inadvertidamente destruido? SI ( ) NO ( ) 8. se resuelven y explican satisfactoriamente las discrepancias? SI ( ) NO ( ) 6. ¿Se tienen procedimientos que permitan la reconstrucción de un archivo en cinta a disco. ¿Que medio se utiliza para almacenarlos? Mueble con cerradura ( ) Bóveda ( ) Otro(especifique)_________________________________________________ .

¿Se borran los archivos de los dispositivos de almacenamiento. ¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento. cuando se desechan estos? SI ( ) NO ( ) 13. ¿Que medidas se toman en el caso de extravío de algún dispositivo de almacenamiento? 18. al personal autorizado? SI ( ) NO ( ) . de la cintoteca y discoteca? SI ( ) NO ( ) 16. ¿Se realizan auditorías periódicas a los medios de almacenamiento? SI ( ) NO ( ) 17.___ 11. ¿Se registran como parte del inventario las nuevas cintas que recibe la biblioteca? SI ( ) NO ( ) 15 ¿Se tiene un responsable. ¿Se certifica la destrucción o baja de los archivos defectuosos? SI ( ) NO ( ) 14. Este almacén esta situado: En el mismo edificio del departamento ( ) En otro lugar ( ) ¿Cual?_________________________________________________________ ___ 12. por turno.

¿El cintotecario controla la cinta maestra anterior previendo su uso .19. ¿Se conserva la cinta maestra anterior hasta después de la nueva cinta? SI ( ) NO ( ) 25. En caso de préstamo ¿Conque información se documentan? Nombre de la institución a quién se hace el préstamo. • fecha de recepción ( ) • fecha en que se debe devolver ( ) • archivos que contiene ( ) • formatos ( ) • cifras de control ( ) • código de grabación ( ) • nombre del responsable que los presto ( ) • otros 23. ¿Se lleva control sobre los archivos prestados por la instalación? SI ( ) NO ( ) 22. ¿Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolverán? SI ( ) NO ( ) 21. Indique qué procedimiento se sigue en el reemplazo de las cintas que contienen los archivos maestros: 24. ¿Se tiene relación del personal autorizado para firmar la salida de archivos confidenciales? SI ( ) NO ( ) 20.

incorrecto o su eliminación prematura? SI ( ) NO ( ) 26. ¿Existe un procedimiento para el manejo de la información de la cintoteca? SI ( ) NO ( ) 34. ¿Existen procedimientos para recuperar los archivos? SI ( ) NO ( ) 29. En los procesos que manejan archivos en línea. ¿La operación de reemplazo es controlada por el cintotecario? SI ( ) NO ( ) 27. ¿Lo conoce y lo sigue el cintotecario? SI ( ) NO ( ) . ¿Con que periodicidad se revisan estos procedimientos? MENSUAL ( ) ANUAL ( ) SEMESTRAL ( ) OTRA ( ) 31. ¿Se utiliza la política de conservación de archivos hijo-padre-abuelo? SI ( ) NO ( ) 28. ¿Existe un responsable en caso de falla? SI ( ) NO ( ) 32. ¿Estos procedimientos los conocen los operadores? SI ( ) NO ( ) 30. ¿Explique que políticas se siguen para la obtención de archivos de respaldo? 33.

2. Especifique el tipo de contrato de mantenimiento que se tiene (solicitar copia del contrato).- . ¿Se distribuyen en forma periódica entre los jefes de sistemas y programación informes de archivos para que liberen los dispositivos de almacenamiento? SI ( ) NO ( ) ¿Con qué frecuencia? CONTROL DE MANTENIMIENTO 1. Si los tiempos de reparación son superiores a los estipulados en el contrato. Solicite el plan de mantenimiento preventivo que debe ser proporcionado por el proveedor. ¿Se lleva a cabo tal programa? SI ( ) NO ( ) 4.35. ¿Existen tiempos de respuesta y de compostura estipulados en los contratos? SI ( ) NO ( ) 5. ¿Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de computo? SI ( ) NO ( ) 3. ¿Qué acciones correctivas se toman para ajustarlos a lo convenido? SI ( ) NO ( ) 6.

pueden ser dañados si se manejan en forma inadecuada y eso puede traducirse en pérdidas irreparables de información o en costos muy elevados en la reconstrucción de archivos. los archivos magnéticos.SI ( ) NO ( ) ¿Cual? 8. ¿Cómo se notifican las fallas? 9. Indique la periodicidad con que se hace la limpieza del departamento de cómputo y de la cámara de aire que se encuentra abajo del piso falso si existe y los ductos de aire: Semanalmente ( ) Quincenalmente ( ) Mensualmente ( ) Bimestralmente ( ) No hay programa ( ) Otra (especifique) ( ) 2. 1. Los dispositivos del sistema de cómputo. Existe un lugar asignado a las cintas y discos magnéticos? SI ( ) NO ( ) . Se deben revisar las disposiciones y reglamentos que coadyuven al mantenimiento del orden dentro del departamento de cómputo. ¿Cómo se les da seguimiento? ORDEN EN EL CENTRO DE CÓMPUTO Una dirección de Sistemas de Información bien administrada debe tener y observar reglas relativas al orden y cuidado del departamento de cómputo.

etc. los discos magnéticos. ¿Se tienen disposiciones para que se acomoden en su lugar correspondiente. ¿Se tiene restringida la operación del sistema de cómputo al personal especializado de la Dirección de Informática? SI ( ) NO ( ) 10. ¿Existen prohibiciones para fumar. la papelería. las cintas. ¿Son funcionales los muebles asignados para la cintoteca y discoteca? SI ( ) NO ( ) 5. Mencione los casos en que personal ajeno al departamento de operación opera el sistema de cómputo: .3. tomar alimentos y refrescos en el departamento de cómputo? SI ( ) NO ( ) 8.? SI ( ) NO ( ) 6. ¿Se tiene asignado un lugar especifico para papelería y utensilios de trabajo? SI ( ) NO ( ) 4. ¿Se cuenta con carteles en lugares visibles que recuerdan dicha prohibición? SI ( ) NO ( ) 9. Indique la periodicidad con que se limpian las unidades de cinta: Al cambio de turno ( ) cada semana ( ) cada día ( ) otra (especificar) ( ) 7. después de su uso.

c) Evaluar la utilización de los diferentes dispositivos periféricos. 1. evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalación y revisar las políticas seguidas por la unidad de informática en la conservación de su programoteca. ¿existe equipo? ¿Con poco uso? SI ( ) NO ( ) ¿Ocioso? SI ( ) NO ( ) ¿Con capacidad superior a la necesaria? SI ( ) NO ( ) Describa cual es ____________________________________________________ . b) Evaluar las posibilidades de modificar el equipo para reducir el costo o bien el tiempo de proceso. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo. Esta sección esta orientada a: a) Evaluar posibles cambios en el hardware a fin de nivelar el sistema de cómputo con la carga de trabajo actual o de comparar la capacidad instalada con los planes de desarrollo a mediano y lago plazo.EVALUACIÓN DE LA CONFIGURACIÓN DEL SISTEMA DE CÓMPUTO Los objetivos son evaluar la configuración actual tomando en consideración las aplicaciones y el nivel de uso del sistema.

Un método eficaz para proteger sistemas de computación es el software de . ¿La capacidad de memoria y de almacenamiento máximo del sistema de cómputo es suficiente para atender el proceso por lotes y el proceso remoto? SI ( ) NO ( ) SEGURIDAD LÓGICA Y CONFIDENCIAL La computadora es un instrumento que estructura gran cantidad de información.2. De ser negativa la respuesta al inciso anterior. empresas o instituciones. ¿el equipo puede ser cancelado? SI ( ) NO ( ) 4. ¿Cuantas terminales se tienen conectadas al sistema de cómputo? 9. ____________________________________________________________ ____ 8. y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. Si la respuesta al inciso anterior es negativa. fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional. explique las causas por las que no puede ser cancelado o cambiado. la cual puede ser confidencial para individuos. ¿El equipo mencionado en el inciso anterior puede reemplazarse por otro mas lento y de menor costo? SI ( ) NO ( ) 3. También puede ocurrir robos. ¿Se ha investigado si ese tiempo de respuesta satisface a los usuarios? SI ( ) NO ( ) 10.

Se debe evaluar el nivel de riesgo que puede tener la información para poder hacer un adecuado estudio costo/beneficio entre el costo por pérdida de información y el costo de un sistema de seguridad. incluyendo todos los elementos. para lo cual se debe considerar lo siguiente: o Que sucedería si no se puede usar el sistema? oa o Si la contestación es que no se podría seguir trabajando. Dicho simplemente.control de acceso. terremotos. pues piden del usuario una contraseña antes de permitirle el acceso a información confidencial. • Aplicación de los sistemas de seguridad. y los principales proveedores ponen a disposición de clientes algunos de estos paquetes. Dichos paquetes han sido populares desde hace muchos años en el mundo de las computadoras grandes. etc. tanto redes como terminales.) • Prácticas de seguridad del personal • Elementos técnicos y procedimientos • Sistemas de seguridad (de equipos y de sistemas. los paquetes de control de acceso protegen contra el acceso no autorizado. El sistema integral de seguridad debe comprender: • Elementos administrativos • Definición de una política de seguridad • Organización y división de responsabilidades • Seguridad física y contra catástrofes (incendio. esto nos sitúa en . incluyendo datos y archivos • El papel de los auditores. tanto internos como externos • Planeación de programas de desastre y su prueba.

se puede elaborar el siguiente cuestionario: 1. etc. oa o ¿Que implicaciones tiene el que no se obtenga el sistema y cuanto tiempo podríamos estar sin utilizarlo? oa o ¿Existe un procedimiento alterno y que problemas nos ocasionaría? oa o ¿Que se ha hecho para un caso de emergencia? SEGURIDAD FÍSICA El objetivo es establecer políticas. y continuar en medio de emergencia hasta que sea restaurado el servicio completo. inundaciones. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad? SI ( ) NO ( ) . huelgas. información debido a contingencias como incendio. ¿Existen una persona responsable de la seguridad? SI ( ) NO ( ) 3.un sistema de alto riego. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de información? SI ( ) NO ( ) 2. sabotaje. procedimientos y prácticas para evitar las interrupciones prolongadas del servicio de procesamiento de datos. disturbios.

¿Se permite el acceso a los archivos y programas a los programadores. ¿Se controla el trabajo fuera de horario? SI ( ) NO ( ) 9. ¿La vigilancia se contrata? a) Directamente ( ) b) Por medio de empresas que venden ese servicio ( ) 6. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan dañar los sistemas?. ¿Existe vigilancia a la entrada del departamento de cómputo las 24 horas? a) Vigilante ? ( ) b) Recepcionista? ( ) c) Tarjeta de control de acceso ? ( ) d) Nadie? ( ) 12. ¿Existe vigilancia en el departamento de cómputo las 24 horas? SI ( ) NO ( ) 11. analistas y operadores? . ¿Existe una clara definición de funciones entre los puestos clave? SI ( ) NO ( ) 7. ¿Existe personal de vigilancia en la institución? SI ( ) NO ( ) 5.4. SI ( ) NO ( ) 10. ¿Se investiga a los vigilantes cuando son contratados directamente? SI ( ) NO ( ) 8.

El centro de cómputo tiene salida al exterior al exterior? SI ( ) NO ( ) 16. sillas etc. El edificio donde se encuentra la computadora esta situado a salvo de: a) Inundación? ( ) b) Terremoto? ( ) c) Fuego? ( ) d) Sabotaje? ( ) 15. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de informática? . Describa brevemente la construcción del centro de cómputo.) dentro del centro.SI ( ) NO ( ) 13. de preferencia proporcionando planos y material con que construido y equipo (muebles. ¿Existe control en el acceso a este cuarto? a) Por identificación personal? ( ) b) Por tarjeta magnética? ( ) c) por claves verbales? ( ) d) Otras? ( ) 18. 17. ¿Son controladas las visitas y demostraciones en el centro de cómputo? SI ( ) NO ( ) 19. Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda entrar sin autorización? SI ( ) NO ( ) 14.

¿Estas alarmas están a) En el departamento de cómputo? ( ) b) En la cintoteca y discoteca? ( ) 23. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con el fin de mantener una buena imagen y evitar un posible fraude? SI ( ) NO ( ) 21. ¿Existe alarma para a) Detectar fuego(calor o humo) en forma automática? ( ) b) Avisar en forma manual la presencia del fuego? ( ) c) Detectar una fuga de agua? ( ) d) Detectar magnéticos? ( ) e) No existe ( ) 22.SI ( ) NO ( ) 20. ¿Existe alarma para detectar condiciones anormales del ambiente? a) En el departamento de cómputo? ( ) b) En la cíntoteca y discoteca? ( ) c) En otros lados ( ) 24. ¿La alarma es perfectamente audible? SI ( ) NO ( ) 25.¿Esta alarma también está conectada a) Al puesto de guardias? ( ) b) A la estación de Bomberos? ( ) c) A ningún otro lado? ( ) Otro_________________________________________ .

¿Existe un lapso de tiempo suficiente. Existen extintores de fuego a) Manuales? ( ) b) Automáticos? ( ) c) No existen ( ) 27. ¿Si los extintores automáticos son a base de gas. ¿Los extintores. ¿Si los extintores automáticos son a base de agua ¿Se han tomado medidas para evitar que el agua cause mas daño que el fuego? SI ( ) NO ( ) 32. ¿Se ha adiestrado el personal en el manejo de los extintores? SI ( ) NO ( ) 28. ¿Se ha tomado medidas para evitar que el gas cause mas daño que el fuego? SI ( ) NO ( ) 33. manuales o automáticos a base de TIPO SI NO a) Agua. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores? SI ( ) NO ( ) 30. antes de que funcionen los extintores . ( ) ( ) b) Gas? ( ) ( ) c) Otros ( ) ( ) 29.26. ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego? SI ( ) NO ( ) 31.

si es que existen? SI ( ) NO ( ) . ¿Los interruptores de energía están debidamente protegidos. ¿Saben que hacer los operadores del departamento de cómputo. ¿Esta puerta solo es posible abrirla: a) Desde el interior? ( ) b) Desde el exterior? ( ) c) Ambos Lados ( ) 39. en caso de que ocurra una emergencia ocasionado por fuego? SI ( ) NO ( ) 36. etiquetados y sin obstáculos para alcanzarlos? SI ( ) NO ( ) 35. ¿Existe salida de emergencia? SI ( ) NO ( ) 38.automáticos para que el personal a) Corte la acción de los extintores por tratarse de falsas alarmas? SI ( ) NO ( ) b) Pueda cortar la energía Eléctrica SI ( ) NO ( ) c) Pueda abandonar el local sin peligro de intoxicación SI ( ) NO ( ) d) Es inmediata su acción? SI ( ) NO ( ) 34. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)? SI ( ) NO ( ) 37. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las ventanas.

¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en caso de emergencia? SI ( ) NO ( ) 41. no esencial etc. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe? SI ( ) NO ( ) 44. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento de cómputo para evitar daños al equipo? SI ( ) NO ( ) 43. esencial. ¿Se controla el acceso y préstamo en la a) Discoteca? ( ) b) Cintoteca? ( ) c) Programoteca? ( ) 45. Explique la forma como se ha clasificado la información vital.40. ¿Se ha tomado medidas para minimizar la posibilidad de fuego: a) Evitando artículos inflamables en el departamento de cómputo? ( ) b) Prohibiendo fumar a los operadores en el interior? ( ) c) Vigilando y manteniendo el sistema eléctrico? ( ) d) No se ha previsto ( ) 42. .

inundación. ¿Se tienen establecidos procedimientos de actualización a estas copias? SI ( ) NO ( ) 49. 48. ¿Se auditan los sistemas en operación? SI ( ) NO ( ) . etc. terremotos. cajas de seguridad etc. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas? SI ( ) NO ( ) 52. ¿Se cumplen? SI ( ) NO ( ) 54. ¿Que tipos de controles ha propuesto? 53. de acuerdo con la forma en que se clasifique la información: 0123 50. ¿Existe departamento de auditoria interna en la institución? SI ( ) NO ( ) 51. Explique la forma en que están protegidas físicamente estas copias (bóveda. Indique el número de copias que se mantienen.46.) que garantice su integridad en caso de incendio. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora? SI ( ) NO ( ) 47.

¿Con que frecuencia? a) Cada seis meses ( ) b) Cada año ( ) c) Otra (especifique) ( ) 56. ¿se presentan las pruebas a los interesados? SI ( ) NO ( ) 59.55.Una vez efectuadas las modificaciones.¿La solicitud de modificaciones a los programas se hacen en forma? a) Oral? ( ) b) Escrita? ( ) En caso de ser escrita solicite formatos.¿Existe control estricto en las modificaciones? SI ( ) NO ( ) 60. 58.¿Cuándo se efectúan modificaciones a los programas. a iniciativa de quién es? a) Usuario ( ) b) Director de informática ( ) c) Jefe de análisis y programación ( ) d) Programador ( ) e) Otras ( especifique) ____________________________________________________________ _____ 57.¿Se revisa que tengan la fecha de las modificaciones cuando se hayan .

¿Se ha establecido que información puede ser acezada y por qué persona? SI ( ) NO ( ) 64.¿Existen controles y medidas de seguridad sobre las siguientes operaciones? ¿Cuales son? ( )Recepción de documentos___________________________________________ ( )Información Confidencial____________________________________________ ( )Captación de documentos__________________________________________________ .¿Se ha establecido un número máximo de violaciones en sucesión para que la computadora cierre esa terminal y se de aviso al responsable de ella? SI ( ) NO ( ) 65.Se verifica identificación: a) De la terminal ( ) b) Del Usuario ( ) c) No se pide identificación ( ) 63.¿Si se tienen terminales conectadas.efectuado? SI ( ) NO ( ) 61.¿Se registra cada violación a los procedimientos con el fin de llevar estadísticas y frenar las tendencias mayores? SI ( ) NO ( ) 66. ¿se ha establecido procedimientos de operación? SI ( ) NO ( ) 62.

______ ( )Cómputo Electrónico_______________________________________________ ( )Programas___________________________________________________ ____ ( )Discotecas y Cintotecas_____________________________________________ ( )Documentos de Salida______________________________________________ ( )Archivos Magnéticos_______________________________________________ ( )Operación del equipo de computación__________________________________ ( )En cuanto al acceso de personal____________________________________________________ _______ ( )Identificación del personal___________________________________________ ( )Policia_____________________________________________________ ______ ( )Seguros contra robo e incendio_______________________________________ ( )Cajas de seguridad_________________________________________________ ( )Otras (especifique)_________________________________________________ .

Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y se están proporcionando en forma adecuada.ENTREVISTA A USUARIOS APLICABLES EN UNA AUDITORIA DE SISTEMAS La entrevista se deberá llevar a cabo para comprobar datos proporcionados y la situación de la dependencia en el departamento de Sistemas de Información. en cuanto al uso del equipo. • Descripción de los servicios prestados. • No exceder las estimaciones del presupuesto inicial. • Cubrir todos los controles necesarios. • Registro de los requerimientos planteados por el usuario. . Su objeto es conocer la opinión que tienen los usuarios sobre los servicios proporcionados. • Serán fácilmente modificables. Desde el punto de vista del usuario los sistemas deben: • Cumplir con los requerimientos totales del usuario. cuando menos será preciso considerar la siguiente información. así como la difusión de las aplicaciones de la computadora y de los sistemas en operación. en caso de ser posible. • Criterios de evaluación que utilizan los usuarios para evaluar el nivel del servicio prestado. Las entrevistas se deberán hacer. tanto de los más importantes como de los de menor importancia. • Reporte periódico del uso y concepto del usuario sobre el servicio. a todos los usuarios o bien en forma aleatoria a algunos de los usuarios.

¿Cómo considera usted.1.Si ( ) No ( ) ¿Por que? 2. en general. ¿Son entregados con puntualidad los trabajos? Nunca ( ) Rara vez ( ) . el servicio proporcionado por el Departamento de Sistemas de Información? Deficiente ( ) Aceptable ( ) Satisfactorio ( ) Excelente ( ) ¿Por que? 3. ¿Considera que el Departamento de Sistemas de Información de los resultados esperados?. ¿Cubre sus necesidades el sistema que utiliza el departamento de cómputo? No las cubre ( ) Parcialmente ( ) La mayor parte ( ) Todas ( ) ¿Por que? 4. ¿Hay disponibilidad del departamento de cómputo para sus requerimientos? Generalmente no existe ( ) Hay ocasionalmente ( ) Regularmente ( ) Siempre ( ) ¿Por que? 5.

¿Que piensa de la presentación de los trabajadores solicitados al departamento de cómputo? Deficiente ( ) Aceptable ( ) Satisfactorio ( ) Excelente ( ) ¿Por que? 7. ¿Existen fallas de exactitud en los procesos de información? ¿Cuáles? . ¿Que piensa de la asesoría que se imparte sobre informática? No se proporciona ( ) Es insuficiente ( ) Satisfactoria ( ) Excelente ( ) ¿Por que? 8.Ocasionalmente ( ) Generalmente ( ) Siempre ( ) ¿Por que? 6. ¿Que piensa de la seguridad en el manejo de la información proporcionada por el sistema que utiliza? Nula ( ) Riesgosa ( ) Satisfactoria ( ) Excelente ( ) Lo desconoce ( ) ¿Por que? 9.

fusión. ¿Que opinión tiene el manual? NOTA: Pida el manual del usuario para evaluarlo. . ¿Quién interviene de su departamento en el diseño de sistemas? 18. 17. ¿Cómo utiliza los reportes que se le proporcionan? 11. Observaciones: REFERENCIAS BIBLIOGRÁFICAS o HERNÁNDEZ HERNÁNDEZ. ¿Que sistemas desearía que se incluyeran? 19. división de reporte? 14. Editorial CECSA. De aquellos que no utiliza ¿por que razón los recibe? 13. ¿Cuáles no Utiliza? 12. ¿Se cuenta con un manual de usuario por Sistema? SI ( ) NO ( ) 15. ¿Es claro y objetivo el manual del usuario? SI ( ) NO ( ) 16. ¿Que sugerencias presenta en cuanto a la eliminación de reportes modificación.10. Enrique. Auditoria en Informática – Un enfoque metodológico.

o ECHENIQUE.o LAZCANO SERES. Juan Manuel. OTOROC[arroba]LYCOS.com/Main/FasesAuditoriaInformatica o Publicacion por JORGE ALBERTO RESTREPO GOMEZ en Guia del profesor. Seguridad de la información en sistemas de computo.COM.net/s/ataque+pirata+informatico . Luis Ángel. Buck. El Manejo de las organizaciones. Editorial ECOE. o RODRÍGUEZ. Ventura Ediciones. Editorial MacGraw-Hill.mitecnologico. José Dagoberto. o BLOOMBECKER. Editorial ECOE. Centro de Formación Técnica. Editorial Circulo de Lectores. o PINILLA FORERO.kioskea. Auditoria en informática. o PINILLA FORERO. o Oscar Toro. Editorial ECOE. Diego Portales o Manual de Auditoria Informática. o http://www. su auditoria y su control. José Antonio. José Dagoberto. Auditoria informática – Un enfoque operacional. AUDISIS. Auditoria de sistemas en funcionamiento. o http://es. Grandes estafas por computador.

us/uno-de-los-mayores-ataques-informatico .estereofonica.o Fuente: Infobae o http://www.

Sign up to vote on this title
UsefulNot useful