Está en la página 1de 43

DIRECCIN GENERAL DE EDUCACIN SUPERIOR

TECNOLGICA
INSTITUTO TECNOLGICO DEL VALLE DE OAXACA


ANTOLOGA DE LA MATERIA AUDITORA EN TECNOLOGAS DE
LA INFORMACIN
CARRERA: Ingeniera en Tecnologas de la Informacin y Comunicaciones
PROFESOR: Mtro. Miguel Santibez Miguel.







Agosto - Diciembre 2014

Auditoria en Tecnologas de la Informacin Pgina 1

Contenido
UNIDAD 1. INTRODUCCION A LA AUDITORA ........................................................................ 3
1.1. Caractersticas de un auditor ...................................................................................... 3
1.2. Definicin de auditora y tipos de auditora .......................................................... 10
1.3. Fases de la auditora: preparacin, planeacin, revisin de auditora in situ,
elaboracin del reporte ........................................................................................................... 14
UNIDAD 2. AUDITORA DE LA DIRECCIN INFORMTICA................................................ 18
2.1. Examen de organigrama ............................................................................................ 19
2.2. Revisin de la documentacin relacionada con la direccin ........................... 19
2.3. Entrevistas a directivos .............................................................................................. 20
2.4. Evaluacin ...................................................................................................................... 20
UNIDAD 3. AUDITORA DE LA SEGURIDAD FSICA ............................................................. 21
3.1. Concepto de seguridad fsica ................................................................................... 21
3.2. reas a revisar .............................................................................................................. 22
3.3. Evaluacin de riesgos ................................................................................................. 22
3.4. Fuentes a utilizar .......................................................................................................... 23
UNIDAD 4. AUDITORA DE SERVICIOS DE SUBCONTRATACIN ................................... 26
4.1. Subcontratacin de servicios en TI ......................................................................... 26
4.2. Contratos: caractersticas, alcance ......................................................................... 26
4.3. Acuerdos del nivel de servicio ................................................................................. 27
4.4. Programa de auditora al rea de servicios de subcontratacin ..................... 28
UNIDAD 5. AUTIDORA DE BASES DE DATOS ...................................................................... 30
5.1. Concepto de la auditora de la base de datos ...................................................... 30
5.2. Diseo y carga .............................................................................................................. 30
5.3. Explotacin y mantenimiento ................................................................................... 31
5.4. Revisin post-implantacin ....................................................................................... 31
5.5. SGBD ............................................................................................................................... 31
UNIDAD 6. AUDITORA DE SISTEMAS .................................................................................... 32
6.1. Concepto de la auditora de sistemas .................................................................... 32
6.2. Desarrollo de sistemas ............................................................................................... 32
6.3. Instalacin y puesta en servicio ............................................................................... 32
6.4. Mantenimiento y soporte ............................................................................................ 32
6.5. Resolucin de incidencias ......................................................................................... 33
6.6. Seguridad y control ..................................................................................................... 33
Auditoria en Tecnologas de la Informacin Pgina 2

UNIDAD 7. AUDITORA DE LA SEGURIDAD LOGICA ........................................................... 34
7.1. Concepto de la seguridad lgica ............................................................................. 34
7.2. Consecuencias y riesgos ........................................................................................... 35
7.3. Rutas de acceso ........................................................................................................... 35
7.4. Claves de acceso.......................................................................................................... 35
7.5. Software de control de acceso ................................................................................. 36
7.6. Tipos de seguridad lgica (encriptamiento, firmas, certificados, llaves y
otros) 36
UNIDAD 8. AUDITORA DE LAS TELECOMUNICACIONES ................................................. 37
8.1. Seguridad en telecomunicaciones .......................................................................... 37
8.2. Vulnerabilidades, amenazas y riesgos ................................................................... 37
8.3. Objetivos y criterios a evaluar: seguridad en Internet (derechos de acceso,
rectificacin, cancelacin y oposicin), transferencias de datos, servicios de
telefona ...................................................................................................................................... 39
8.4. Tcnicas y herramientas ............................................................................................ 40
BIBLIOGRAFIA .......................................................................................................................... 42
REFERENCIAS BIBLIOGRAFICAS ....................................................................................... 42













Auditoria en Tecnologas de la Informacin Pgina 3

UNIDAD 1. INTRODUCCION A LA AUDITORA
1.1. Caractersticas de un auditor
Un auditor tiene la virtud de or y revisar cuentas, pero debe de estar encaminado
a un objetivo especfico, que es el de evaluar la eficiencia y eficacia con que se
est operando para que, por medio del sealamiento de cursos alternativos de
accin, se tomen decisiones que permitan corregir los errores, en caso de que
existan, o bien mejorar la forma de actuacin.
1

El auditor de tecnologas de la informacin debe jugar un rol proactivo a travs de
todas las etapas del proceso de sistematizacin del negocio.
Los servicios de Auditora de Tecnologa de Informacin se encuentran orientados
al mercado pro-activo y preventivo, brindndole a los clientes evaluaciones de sus
controles, que sirvan para el fortalecimiento de su seguridad e infraestructura
tecnolgica.
El auditor informtico pasa a ser auditor y consultor del ente empresarial, en el que
va a ser analista, auditor y asesor en:
- Seguridad
- Control interno operativo
- Eficiencia y eficacia
- Tecnologa informtica
- Continuidad de operaciones
- Gestin de riesgos
No solamente de los sistemas informticos objeto de su estudio, sino de las
relaciones e implicaciones operativas que dichos sistemas tienen en el contexto
empresarial.
Principios deontolgicos
1) Principio de beneficio del auditado
El auditor deber ver cmo se puede conseguir la mxima eficacia y rentabilidad
de los medios informticos de la empresa auditada (cliente). Obligado a presentar
recomendaciones acerca del reforzamiento del sistema y el estudio de las
soluciones ms idneas segn los problemas detectados en el sistema informtico
de esta ltima, siempre y cuando las soluciones que se adopten no violen la ley ni
los principios ticos de las normas deontolgicas.
2) Principio de calidad
El auditor deber prestar sus servicios en base a las posibilidades de la ciencia y
medios a su alcance con absoluta libertad respecto a la utilizacin de dichos

1
Auditoria informtica Jos Antonio Echenique Garca, Mc Graw Hill, 2. Edicin
Auditoria en Tecnologas de la Informacin Pgina 4

medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de
su labor, asimismo debe negarse a realizar la auditora hasta que se garantice un
mnimo de condiciones tcnicas que no comprometan la calidad de sus servicios.
Puede pedir informe de otro tcnico ms cualificado en algn aspecto puntual para
reforzar la calidad y fiabilidad global de la auditora.
3) Principio de capacidad
El auditor debe estar plenamente capacitado para la realizacin de la auditora
encomendada, as mismo el auditor puede incidir en la toma de decisiones de la
mayora de sus clientes con un elevado grado de autonoma, dada la dificultad
prctica de los mismos de contrastar su capacidad profesional y el desequilibrio de
conocimientos tcnicos existentes entre el auditor y los auditados.

Debe, por tanto, ser plenamente consciente del alcance de sus conocimientos y de
su capacidad y aptitud para desarrollar la auditora evitando que una
sobreestimacin personal pudiera provocar el incumplimiento parcial o total de la
misma, aun en los casos en que dicho incumplimiento no pueda ser detectado por
las personas que le contraten dadas sus carencias cognitivas tcnicas al respecto.

4) Principio de cautela
El auditor debe en todo momento ser consciente de que sus recomendaciones
deben estar basadas en la experiencia contrastada que se le supone tiene
adquirida, evitando que el auditado se embarque en proyectos de futuro
fundamentados en simples intuiciones sobre la posible evolucin de las nuevas
tecnologas de la informacin.
El auditor debe actuar con humildad, evitando dar la impresin de estar al
corriente de una informacin privilegiada sobre el estado real de la evolucin de
las nuevas tecnologas y ponderar las dudas que le surjan en el transcurso de la
auditora a fin de poner de manifiesto las diferentes posibles lneas de actuacin
en funcin de previsiones reales y porcentajes de riesgo calculados de las
mismas, debidamente fundamentadas.
5) Principio de comportamiento profesional
El auditor, tanto en sus relaciones con el auditado como con terceras personas,
deber en todo momento actuar conforme a las normas, implcitas o explcitas, de
dignidad de la profesin y de correccin en el trato personal.
El comportamiento profesional exige del auditor una seguridad en sus
conocimientos tcnicos y una clara percepcin de sus carencias, debiendo eludir
las injerencias no solicitadas por l, de profesionales de otras reas, en temas
relacionados o que puedan incidir en el resultado de la auditora y, cuando
precisase del asesoramiento de otros expertos, acudir a ellos, dejando en dicho
Auditoria en Tecnologas de la Informacin Pgina 5

supuesto constancia de esa circunstancia y reflejando en forma diferenciada, en
sus informes y dictmenes, las opiniones y conclusiones propias y las emitidas por
los mismos.
6) Principio de concentracin en el trabajo
El auditor deber evitar que un exceso de trabajo supere sus posibilidades de
concentracin y precisin en cada una de las tareas a l encomendadas, ya que la
saturacin y dispersin de trabajos suele a menudo, si no est debidamente
controlada, provocar la conclusin de los mismos sin las debidas garantas de
seguridad.
Este comportamiento profesional permitir al auditor dedicar a su cliente la mayor
parte de los recursos posibles obtenidos de sus conocimientos y experiencias
previas con una completa atencin durante la ejecucin de la auditora sin
injerencias o desatenciones originadas por prestaciones ajenas a la misma.
7) Principio de confianza
El auditor deber facilitar e incrementar la confianza del auditado en base a una
actuacin de transparencia en su actividad profesional. Este principio requiere
asimismo, por parte del auditor, el mantener una confianza en las indicaciones del
auditado aceptndolas sin reservas como vlidas, a no ser que observe datos que
las contradigan y previa confirmacin personal de la inequvoca veracidad de los
mismos.
Para fortalecer esa confianza mutua se requiere por ambas partes una disposicin
de dilogo sin ambigedades que permita aclarar las dudas que, a lo largo de la
auditora, pudieran surgir sobre cualesquiera aspectos que pudieran resultar
conflictivos, todo ello con la garanta del secreto profesional que debe regir en su
relacin.
8) Principio de criterio propio
El auditor durante la ejecucin de la auditora deber actuar con criterio propio y
no permitir que ste subordinado al de otros profesionales, aun de reconocido
prestigio, que no coincidan con el mismo.
En los casos en que aprecie divergencias de criterio con dichos profesionales
sobre aspectos puntuales de su trabajo, deber reflejar dichas divergencias
dejando plenamente de manifiesto su propio criterio e indicando, cuando aqul
est sustentado en metodologas o experiencias que difieran de las corrientes
profesionales mayoritariamente asumidas, dicha circunstancia.



Auditoria en Tecnologas de la Informacin Pgina 6

9) Principio de discrecin
El auditor deber en todo momento mantener una cierta discrecin en la
divulgacin de datos, aparentemente inocuos, que se le hayan puesto de
manifiesto durante la ejecucin de la auditora.
Este cuidado deber extremarse cuando la divulgacin de dichos datos pudiera
afectar a derechos relacionados con la intimidad o profesionalidad de las personas
concernidas por los mismos o a intereses empresariales, y mantenerse tanto
durante la realizacin de la auditora como tras su finalizacin.
10) Principio de economa
El auditor deber proteger, en la medida de sus conocimientos, los derechos
econmicos del auditado evitando generar gastos innecesarios en el ejercicio de
su actividad.
En cumplimiento de este principio deber procurar evitar demoras innecesarias en
la realizacin de la auditora. Esta economa de tiempos permitir al auditado
reducir los plazos de actuacin tendentes a solventar los problemas detectados o
a la adecuacin a los nuevos mtodos propuestos aportando un determinado valor
aadido al trabajo del auditor.
11) Principio de respeto a la profesin
Este principio impone a los auditores el deber y la responsabilidad de mantener
una permanente actualizacin de sus conocimientos y mtodos a fin de
adecuarlos a las necesidades de la demanda y a las exigencias de la competencia
de la oferta.
12) Principio de independencia
Este principio, obliga al auditor exigir una total autonoma e independencia en su
trabajo, condicin sta imprescindible para permitirle actuar libremente segn su
leal saber y entender. La independencia del auditor constituye, en su esencia, la
garanta de que los intereses del auditado sern asumidos con objetividad; en
consecuencia el correcto ejercicio profesional de los auditores es antagnico con
la realizacin de su actividad bajo cualesquiera condiciones que no permitan
garantizarla.
13) Principio de informacin suficiente
Este principio de primordial inters para el auditado, obliga al auditor a ser
plenamente consciente de su obligacin de aportar, en forma
pormenorizadamente clara, precisa e inteligible para el auditado, informacin tanto
sobre todos y cada uno de los puntos relacionados con la auditora que puedan
tener algn inters para l, como sobre las conclusiones a las que ha llegado, e
Auditoria en Tecnologas de la Informacin Pgina 7

igualmente informarle sobre la actividad desarrollada durante la misma que ha
servido de base para llegar a dichas conclusiones.
Dicha informacin deber estar constituida por aquella que el auditor considere
conveniente o beneficiosa para los intereses o seguridad de su cliente y estar en
consonancia con la utilidad que pueda tener, en el presente o en el futuro, para el
mismo.
La labor informativa del auditor deber, por tanto, estar basada en la suficiencia,
autonoma y mximo aprovechamiento de la misma por parte de su cliente,
debiendo indicar junto a sus juicios de valor, la metodologa que le ha llevado a
establecerlos para, de esta forma, facilitar el que, en futuras auditoras, puedan
aprovecharse los conocimientos extrados de la as realizada, eludiendo
monopolios y dependencias generadas por oscurantismo en la transmisin de la
informacin.
14) Principio de integridad moral
Este principio obliga al auditor a ser honesto, leal y diligente en el desempeo de
su misin, a ajustarse a las normas morales, de justicia y probidad, y a evitar
participar, voluntaria o inconscientemente, en cualesquiera actos de corrupcin
personal o de terceras personas.
El auditor no deber bajo ninguna circunstancia, aprovechar los conocimientos
adquiridos durante la auditoria para utilizarlos en contra del auditado o terceras
personas relacionados con el mismo.
15) Principio de legalidad
En todo momento el auditor deber evitar utilizar sus conocimientos para facilitar,
a los auditados o a terceras personas, la contravencin de la legalidad vigente.
En ningn caso consentir ni colaborar en la desactivacin o eliminacin de
dispositivos de seguridad ni intentar obtener los cdigos o claves de acceso a
sectores restringidos de informacin generados para proteger los derechos,
obligaciones o intereses de terceros.
16) Principio de libre competencia
La actual economa de mercado exige que el ejercicio de la profesin se realice en
el marco de la libre competencia, siendo rechazables, por tanto, las prcticas
tendentes a impedir o limitar la legtima competencia de otros profesionales y las
prcticas abusivas consistentes en el aprovechamiento en beneficio propio, y en
contra de los intereses de los auditados, de posiciones predominantes.
17) Principio de no discriminacin
El auditor en su actuacin previa, durante y posterior a la auditora, deber evitar
inducir, participar o aceptar situaciones discriminatorias de ningn tipo, debiendo
Auditoria en Tecnologas de la Informacin Pgina 8

ejercer su actividad profesional sin prejuicios de ninguna clase y con
independencia de las caractersticas personales, sociales o econmicas de sus
clientes.
Su actuacin deber asimismo mantener una igualdad de trato profesional con
todas las personas con las que en virtud de su trabajo tenga que relacionarse con
independencia de categora, estatus empresarial o profesional, etc.
18) Principio de no injerencia
El auditor, dada la incidencia que puede derivarse de su tarea, deber evitar
injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer
comentarios que pudieran interpretarse como despreciativos de la misma o
provocar un cierto desprestigio de su cualificacin profesional, a no ser que, por
necesidades de la auditora, tuviera que explicitar determinadas incompetencias
que pudieran afectar a las conclusiones o el resultado de su dictamen.
Deber igualmente evitar aprovechar los datos obtenidos de la auditora para
entrar en competencia desleal con profesionales relacionados con ella de otras
reas del conocimiento. Esa injerencia es mayormente reprobable en los casos en
los que se incida en aquellos campos de actividad para los que el auditor no se
encuentre plenamente capacitado.
19) Principio de precisin
Este principio exige del auditor la no conclusin de su trabajo hasta estar
convencido, en la medida de lo posible, de la viabilidad de sus propuestas,
debiendo ampliar el estudio del sistema informtico cuanto considere necesario,
sin agobios de plazos siempre que se cuente con la aprobacin del auditado,
hasta obtener dicho convencimiento.
Es exigible asimismo del auditor que indique como evaluado nicamente aquello
que directamente, o por medio de sus colaboradores, haya comprobado u
observado de forma exhaustiva, eludiendo indicar como propias y contrastadas las
observaciones parciales o incompletas o las recabadas de terceras personas.
20) Principio de publicidad adecuada
La oferta y promocin de los servicios de auditora debern en todo momento
ajustarse a las caractersticas, condiciones y finalidad perseguidas, siendo
contraria a la tica profesional la difusin de publicidad falsa o engaosa que
tenga como objetivo confundir a los potenciales usuarios de dichos servicios.
La defensa del prestigio de la profesin obliga asimismo a los auditores
informticos a evitar las campaas publicitarias que, por su contenido, puedan
desvirtuar la realidad de sus servicios, enmascaren los lmites de los mismos,
oscurezcan sus objetivos o prometan resultados de imprevisible, cuando no
imposible, consecucin.
Auditoria en Tecnologas de la Informacin Pgina 9

21) Principio de responsabilidad
El auditor deber responsabilizarse de lo que haga, diga o aconseje, sirviendo
esta forma de actuar como barrera de injerencias extraprofesionales. Es
conveniente impulsar la formalizacin y suscripcin de seguros, adaptados a las
peculiares caractersticas de su actividad, que cubran la responsabilidad civil de
los auditores con una suficiente cobertura a fin de acrecentar la confianza y
solvencia de su actuacin profesional.
La responsabilidad del auditor conlleva la obligacin de resarcimiento de los daos
o perjuicios que pudieran derivarse de una actuacin negligente o culposa, si bien
debera probarse la conexin causa-efecto originaria del dao, siendo aconsejable
estipular a priori un tope mximo de responsabilidad sobre los posibles daos
acorde con la remuneracin acordada como contraprestacin por la realizacin de
la auditora.
22) Principio de secreto profesional
La confidencia y la confianza son caractersticas esenciales de las relaciones entre
el auditor y el auditado e imponen al primero la obligacin de guardar en secreto
los hechos e informaciones que conozca en el ejercicio de su actividad
profesional. Solamente por imperativo legal podr decaer esa obligacin.
Este principio obliga al primero a no difundir a terceras personas ningn dato que
haya visto, odo, o deducido durante el desarrollo de su trabajo que pudiera
perjudicar a su cliente, siendo nulos cualesquiera pactos contractuales que
pretendieran excluir dicha obligacin.
El mantenimiento del secreto profesional sobre la informacin obtenida durante la
auditora se extiende a aquellas personas que, bajo la potestad organizadora del
auditor, colaboren con l en cualquiera de las actividades relacionadas con la
misma.

23) Principio de servicio publico
La aplicacin de este principio debe incitar al auditor a hacer lo que est en su
mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales
como los que pueden producirse en los casos en que, durante la ejecucin de la
auditora, descubra elementos de software dainos (virus informticos) que
puedan propagarse a otros sistemas informticos diferentes del auditado. En estos
supuestos el auditor deber advertir, necesariamente en forma genrica, sobre la
existencia de dichos virus a fin de que se adopten las medidas sociales
informativas pertinentes para su prevencin, pero deber asimismo cuidar
escrupulosamente no dar indicios que permitan descubrir la procedencia de su
informacin.
Auditoria en Tecnologas de la Informacin Pgina 10

El auditor deber asimismo tener presente la ponderacin entre sus criterios ticos
personales y los criterios ticos subyacentes en la sociedad en la que presta sus
servicios, debiendo poner de manifiesto sus opciones personales cuando entren
en contradiccin con la tica social que el auditado pueda presumir que est
implcitamente aceptada por el auditor.
Este principio de adaptabilidad u oposicin constructiva tanto a los principios
ticos sociales, asumidos como vlidos por la comunidad, como a las costumbres
derivadas de los mismos, facilita la necesaria y permanente crtica social sobre
dichos principios y costumbres, permitiendo su adaptacin a las nuevas
necesidades) perspectivas abiertas con el progreso tecnolgico regional o
mundial.
La consideracin del ejercicio profesional de los auditores como servicio pblico
globalmente considerado, exige igualmente una continua elevacin del arte de la
ciencia en el campo de la auditora informtica, lo que nicamente puede lograrse
con la participacin activa de los profesionales de dicho sector en la definicin de
las caractersticas y exigencias de su actividad profesional y, por ende, en la
elaboracin de los cdigos deontolgicos reguladores del ejercicio responsable de
dicha actividad.
24) Principio de veracidad
El auditor en sus comunicaciones con el auditado deber tener siempre presente
la obligacin de asegurar la veracidad de sus manifestaciones con los lmites
impuestos por los deberes de respeto, correccin y secreto profesional.
La aplicacin de este principio exige que el auditor, en el marco de su obligacin
de informar al auditado sobre el trabajo realizado, comunique a este ltimo sus
conclusiones, diferenciando los hechos constatados de las opiniones, propuestas
y valoraciones personales, debiendo actuar en la comprobacin de los primeros y
en la fundamentacin de las restantes con una suficiente diligencia profesional
para garantizar el cumplimiento de su obligacin de informar verazmente.
1.2. Definicin de auditora y tipos de auditora
La palabra auditoria viene del latn auditorius, y de esta proviene auditor, el que
tiene la virtud de or, y revisar cuentas. La Informtica hoy, est integrando en la
gestin de la empresa, y por eso las normas y estndares propiamente
informticos deben estar, sometidos a los generales de la misma. Debido a su
importancia en el funcionamiento de una empresa, existe la Auditora Informtica.
La Auditora Informtica es un examen crtico que se realiza con el fin de evaluar
la eficacia y eficiencia de una empresa.
Los principales objetivos que constituyen a la auditora Informtica son:
o El control de la funcin informtica,
Auditoria en Tecnologas de la Informacin Pgina 11

o El anlisis de la eficiencia de los Sistemas Informticos,
o La verificacin del cumplimiento de la Normativa en este mbito
Y la revisin de la eficaz gestin de los recursos informticos.
Es el examen objetivo, crtico, metodolgico y selectivo de evidencia relacionada
con polticas, prcticas, procesos y procedimientos en materia de Tecnologas de
la Informacin y la Comunicacin, para expresar una opinin independiente
respecto:
2

1) A la confidencialidad, integridad, disponibilidad y confiabilidad de la
informacin.
2) Al uso eficaz de los recursos tecnolgicos.
3) A la efectividad del sistema de control interno asociado a las Tecnologas
de la Informacin y la Comunicacin.
La auditora de Tecnologas de la Informacin y la Comunicacin est definida
principalmente por sus objetivos y puede ser orientada hacia uno o varios de los
siguientes enfoques:
a) Enfoque a las Seguridades: Consiste en evaluar las seguridades
implementadas en los sistemas de informacin con la finalidad de mantener la
confidencialidad, integridad y disponibilidad de la informacin.
b) Enfoque a la Informacin: Consiste en evaluar la estructura, integridad y
confiabilidad de la informacin gestionada por el sistema de informacin.
c) Enfoque a la Infraestructura tecnolgica: Consiste en evaluar la
correspondencia de los recursos tecnolgicos en relacin a los objetivos
previstos.
d) Enfoque al Software de Aplicacin: Consiste en evaluar la eficacia de los
procesos y controles inmersos en el software de aplicacin, que el diseo
conceptual de ste cumpla con el ordenamiento jurdico administrativo vigente.
e) Enfoque a las Comunicaciones y Redes: Consiste en evaluar la confiabilidad y
desempeo del sistema de comunicacin para mantener la disponibilidad de la
informacin.
1.2 DEFINICIN DE AUDITORA Y TIPOS DE AUDITORIA
- Por su lugar de aplicacin
Se refiere a la forma en que se realiza este tipo de trabajos, y tambin a como
se establece la relacin laboral en las empresas donde se llevar a cabo la
auditoria; esto da un origen externo si el auditor no tiene relacin directa con la
empresa, o un origen interno si existe una relacin de dicho auditor con la
propia empresa.
a) Auditora Externa

2
http://www.contraloria.gob.bo/portal/Auditor%C3%ADa/Auditor%C3%ADasTIC.aspx
Auditoria en Tecnologas de la Informacin Pgina 12

Auditora realizada por auditores totalmente ajenos a la empresa, por lo menos
en el mbito profesional y laboral. Permitiendo as que el auditor externo utilice
su libre albedro en la aplicacin de los mtodos, tcnicas y herramientas de
auditora con las cuales har la evaluacin de las actividades y operaciones de
la empresa que audita, y por lo tanto, la emisin de resultados ser
absolutamente independiente.
3

Generalmente, estas auditoras externas son realizadas por grandes empresas
y despachos independientes de auditores.
b) Auditora Interna
Quien realiza este tipo de auditoria es una persona que labora dentro de la
empresa donde se realiza la misma y, por lo tanto, de alguna manera est
involucrado en su operacin normal. Para un mejor entendimiento se tiene la
siguiente definicin.
Revisin que realiza un profesional de la auditoria, cuya relacin de trabajo es
directa y subordinada a la institucin donde se aplicar la misma, con el
propsito de evaluar en forma interna el desempeo y cumplimiento de las
actividades, operaciones y funciones que se desarrollan en la empresa y sus
reas administrativas, as como evaluar la razonabilidad en la emisin de los
resultados. El objetivo final es contar con un dictamen interno sobre las
actividades de toda la empresa, que permitan diagnosticar la actuacin
administrativa, operacional y funcional de empleados y funcionarios de las
reas que se auditan. (Carlos Muoz Razo, auditoria en sistemas
computacionales).
- Por su rea de aplicacin
Se refiere al mbito especfico donde se llevan a cabo las actividades y
operaciones que sern auditadas, ubicando a cada tipo de auditoria de acuerdo
con el rea de trabajo e influencia de la rama o especialidad que ser evaluada.
1. Auditora financiera
Primer tipo de auditoria que existi en el mbito comercial, cuya principal
actividad del auditor consiste en revisar la correcta y oportuna aplicacin de los
registros contables y operaciones financieras de las empresas, con el propsito
de comprobar que la emisin de los resultados financieros de un ejercicio fiscal
cumpla con los principios contables que regulan las actividades del contador
pblico y as poder emitir su dictamen sobre sus resultados financieros.
En este tipo de auditoria se contempla con un anlisis financiero de los
resultados obtenidos durante dicho ejercicio, para lo cual se utilizan tcnicas de
la ingeniera financiera y el anlisis contable.

3
Auditoria en sistemas computacionales Carlos Muoz Razo, Pearson
Auditoria en Tecnologas de la Informacin Pgina 13

2. Auditora administrativa
Es la revisin sistemtica y exhaustiva que se realiza a la actividad
administrativa de la empresa, en cuanto a su organizacin, las relaciones entre
sus integrantes y el cumplimiento de las funciones y actividades que regulan
sus operaciones. Su propsito es evaluar tanto el desempeo administrativo de
las reas de la empresa, como la planeacin y control de los procedimientos de
operacin, y los mtodos y tcnicas de trabajo establecidos en la institucin.
3. Auditora operacional
Revisin exhaustiva, sistemtica y especifica que se realiza a las actividades de
una empresa, con el fin de evaluar su existencia, cualesquiera que estas sean,
tanto en el establecimiento y cumplimiento de los mtodos, tcnicas y
procedimientos de trabajo necesarios para el desarrollo de sus operaciones, en
coordinacin con los recursos disponibles, como en las normas, polticas,
lineamientos y capacitacin que regulan el buen funcionamiento de la empresa.
4. Auditora integral
Es la revisin exhaustiva, sistemtica y global que realiza un equipo
multidisciplinario de profesionales a todas las actividades y operaciones de una
empresa, con el propsito de evaluar, de manera integral, el correcto desarrollo
de las funciones en todas las reas administrativas, as como de evaluar sus
resultados conjuntos y relaciones de trabajo. Comunicaciones y procedimientos
interrelacionados que regulan la realizacin de las actividades compartidas para
alcanzar el objetivo institucional.
5. Auditora gubernamental
Revisin que se realiza a todas las actividades y operaciones de una entidad
gubernamental, cualquiera que sea la naturaleza de las dependencias y entidades
de la Administracin Pblica Federal. Su fin es evaluar el correcto desarrollo de las
funciones de todas las reas y unidades administrativas de dichas entidades, as
como los mtodos y procedimientos que regulan las actividades necesarias para
cumplir con los objetivos gubernamentales, estatales o municipales.
6. Auditora de sistemas
El propsito fundamental de esta auditoria es evaluar el uso adecuado de los
sistemas para el correcto ingreso de los datos, el procesamiento adecuando de la
informacin y la emisin oportuna de sus resultados en la institucin, incluyendo la
evaluacin en el cumplimiento de las funciones, actividades y operaciones de
funcionarios, empleados y usuarios involucrados con los servicios que
proporcionan los sistemas computacionales a la empresa.

Auditoria en Tecnologas de la Informacin Pgina 14

1.3. Fases de la auditora: preparacin, planeacin, revisin de auditora in
situ, elaboracin del reporte
PREPARACIN
Esta fase comienza con la decisin de realizar una auditora, comprende todas las
actividades desde la seleccin del equipo hasta la recogida de la informacin in
situ.
En el momento que es asignada la auditoria y al comienzo de esta, se debe sentar
las bases y la organizar el trabajo adecuadamente.
- Pasos
1. Definir el propsito de la auditoria.
2. Definir el mbito de la auditoria.
3. Determinar los recursos que se van a aplicar.
4. Identificar la autoridad de la auditoria.
5. Identificar los requisitos para la actividad auditada.
6. Adquirir conocimientos tcnicos de los procesos que se van a auditar.
7. Preparar un plan para la auditoria y ponerse en contacto con los que van a
ser auditados.
8. Realizar una evaluacin inicial, desde los documentos de nivel inferior hasta
los requisitos de ms alto nivel.
9. Preparar los papeles de trabajo para la recogida de datos.
PLANEACIN
Para la planeacin de la auditoria se siguen una serie de pasos previos que
permiten dimensionar el tamao y caractersticas del rea dentro de la
organizacin a auditar, sus sistemas, organizacin y equipo. Con ello es posible
determinar el nmero y las caractersticas del personal de auditora, las
herramientas necesarias, el tiempo y el costo.
El trabajo de la auditora debe incluir la planeacin de la auditora, el examen y la
evaluacin de la informacin, la comunicacin de los resultados y el seguimiento.
La planeacin debe ser documentada y debe incluir:
El establecimiento de los objetivos y el alcance del trabajo.
La obtencin de informacin de apoyo sobre las actividades que se
auditaran.
La determinacin de los recursos necesarios para realizar de la auditora.
El establecimiento de la comunicacin necesaria con todos los involucrados
en la auditora.
La realizacin, en la forma ms apropiada, de una inspeccin fsica para
familiarizarse con las actividades y controles a auditar, as como
Auditoria en Tecnologas de la Informacin Pgina 15

identificacin de las reas en las que se deber ser nfasis al realizar la
auditora y promover comentarios y la promocin de los auditados.
La preparacin por escrito del programa de auditora.
La determinacin de cmo, cundo y a quin se le comunicaran los
resultados de la auditora.
La obtencin de la aprobacin del plan de trabajo de la auditora.
Para lograr una adecuada planeacin, lo primero que se requiere es obtener
informacin general sobre la organizacin y sobre la funcin informtica a evaluar.
El proceso de planeacin comprende establecer:
- Metas: se debern establecer de tal manera que se pueda lograr su
cumplimiento, sobre la base de los planes especficos de operacin y de los
presupuestos, los que hasta donde sea posible deben ser cuantificables.
- Programa de trabajo de auditora debern incluir: las actividades que se
van a auditar, cuando sern auditadas, el tiempo estimado requerido.
- Planes de contratacin del personal y presupuesto financiero: estos
planes deben contemplarse al elaborar los programas de trabajo de
auditora, as como las actividades administrativas.
- Informe de actividades.
Plan del auditor
Esquema metodolgico ms importante del auditor informtico, en este documento
se debe describir todo sobre esta funcin y el trabajo que realiza en la entidad.
Partes del plan del auditor
Funciones: debe existir una clara segregacin de funciones con la informtica y
de control interno informtico, el cal debe ser auditado tambin. Deben describirse
las funciones de forma precisa, y la organizacin interna del departamento, con
todos sus recursos.
Procedimientos: para distintas las tareas de la auditoria. Se define el
procedimiento de apertura, el de entrega y discusin de debilidades, entrega de
informe preliminar, cierre de auditoria, redaccin de informe final, etc.
Sistemas de evaluacin: se debe de definir el sistema de evaluacin y los
distintos aspectos que evala.
REVISIN DE AUDITORIA IN SITU
La auditora in situ comienza con una reunin de apertura en la que est presente
la direccin de la organizacin y es presidida por el auditor jefe. En esta reunin se
proceder al cierre de las No Conformidades de la revisin de la documentacin,
si existiesen, despus de estudiar los cambios realizados a la documentacin
indicada en las acciones correctoras propuestas. Se confirmar el programa de
Auditoria en Tecnologas de la Informacin Pgina 16

auditora y el equipo auditor admitir, siempre que sea posible, las modificaciones
propuestas por el cliente relativo a la indisponibilidad de personal o de las
instalaciones.
Durante la auditora, los auditores observarn y consultarn al personal de la
organizacin para confirmar el nivel de comprensin y cumplimiento de los
procedimientos. Se examinarn las evidencias objetivas de los documentos y
registros para comprobar el cumplimiento, tanto de las polticas y procedimientos
como de la norma aplicable del Sistema de Gestin tica y Socialmente
Responsable.
La conformidad o no conformidad con los procedimientos del cliente y con la
norma aplicable ser registrada por los auditores as como las observaciones que
se pudieran detectar (errores insignificantes, aislados o potenciales).
Las no conformidades encontradas se comunicarn al representante de la
organizacin en el momento, para evitar posteriores imprevistos en caso de
abrirse Solicitudes de Acciones Correctoras. La organizacin dispondr, una vez
finalizada la auditora, de un plazo de tiempo determinado para solucionar las no
conformidades detectadas.
ELABORACIN DEL REPORTE
El informe o reporte de auditoria debe de ser claro, adecuado, suficiente y
comprensible. Los puntos esenciales, genricos y mnimos del informe de
auditora son los siguientes:
1. Identificacin del informe
Se debe de tener un ttulo para el informe con el fin de poderlo identificar
con otros informes.

2. Identificacin del cliente
Identificar a los destinatarios del informe as como de las personas que
elaboran el mismo.

3. Identificacin de la entidad auditada
Identificar a la entidad que fue objeto de la auditoria, es decir el rea que
fue evaluada.

4. Objetivos de la auditora
Se deben declara los objetivos de la auditoria para identificar su propsito
sealando tambin aquellos objetivos que no se pudieron cumplir.

5. Normatividad aplicada y excepciones
Auditoria en Tecnologas de la Informacin Pgina 17

Identificacin y explicacin de las normas legales y profesionales aplicadas
en la auditoria, as como las excepciones significativas de uso y el posible
impacto en los resultados de la auditoria.

6. Alcance de la auditoria
Concretar la naturaleza y extensin del trabajo realizado: rea organizativa,
periodo de la auditoria, sistemas de informacin, sealando limitaciones al
alcance y restricciones del auditado.

7. Conclusiones: informe corto de opinin
Se debe de redactar los resultados a travs del dictamen y opinin. Existen
diferentes tipos de opinin que puede llevar el informe:
- Opinin favorable: Debe de manifestarse de forma clara y precisa, es
el resultado de un trabajo realizado sin limitaciones de alcance y sin
incertidumbre, de acuerdo con la normatividad legal y profesional.
- Opinin con salvedades: Se utilizaran cuando sean significativas en
relacin con los objetivos de auditora, describindose con precisin la
naturaleza y razones.

Segn las circunstancias podran ser:

Limitaciones al alcance del trabajo realizado, es decir,
restricciones por parte del auditado.
Incertidumbre cuyo resultado no permita una previsin razonable.
Irregularidades significativas
Incumplimiento de la normatividad legal y profesional

- Opinin desfavorable: esta opinin es aplicable en caso de:

Identificacin de irregularidades
Incumplimiento de la normatividad legal y profesional

- Opinin denegada: la denegacin de la opinin puede tener origen en:

Las limitaciones al alcance de la auditoria
Incertidumbres significativas de un modo tal que impidan al
auditor formarse una opinin
Irregularidades
Incumplimiento de la normatividad legal y profesional.

8. Resultados: informe largo

9. Informes previos (no es necesario)
Auditoria en Tecnologas de la Informacin Pgina 18

10. Fecha del informe
Esta fecha es importante para conocer la magnitud del trabajo y sus
aplicaciones. Se debe precisar las fechas de inicio y conclusin del trabajo
de campo, incluyendo la del cierre del ejercicio en caso de que se est
realizando un informe de auditora como herramienta de apoyo a la
auditora de cuentas.

11. Identificacin y firma del auditor

12. Distribucin del informe
Se debe definir quin o quines podrn hacer uso del informe, as como
usos concretos que tendr.
UNIDAD 2. AUDITORA DE LA DIRECCIN INFORMTICA
Algunas de las actividades bsicas de todo proceso de direccin son:
Planificar
Se trata de prever la utilizacin de tecnologas de la informacin en la
empresa. Existen varios tipos de planes informticos. El principal lo
constituye el Plan Estratgico de Sistemas de Informacin.
Este plan es el marco bsico de la actuacin de los Sistemas de
Informacin en la empresa. El cual debe de asegurar los alineamientos de
los mismos con los objetivos de la propia empresa.
Independientemente de la metodologa, los plazos y las acciones concretas
llevadas a cabo, debe existir un proceso, con participacin activa de los
usuarios, que regularmente elabore planes estratgicos de sistemas de
informacin a largo plazo, cualquiera que sea ese largo, el auditor debe de
evaluar su adecuacin.

Organizar y Coordinar
El proceso de organizar sirve estructurar los recursos, flujos de informacin
y controles que permitan alcanzar los objetivos marcados durante la
planificacin.

Controlar
La tarea de dirigir no puede considerarse completa sin esta faceta que
forma parte de la responsabilidad.
En esta labor, es muy conveniente que existan estndares de rendimiento
con los que comparar las diversas tareas. Son aplicables a las diversas
facetas del Departamento: consumo de recursos del equipo, desarrollo,
operaciones, etc.

Auditoria en Tecnologas de la Informacin Pgina 19

2.1. Examen de organigrama
La organizacin debe estar estructurada de tal forma que permita lograr eficiente y
eficazmente los objetivos, y que esto se logre a travs de una adecuada toma de
decisiones.
a) Revisin de la estructura orgnica
Jerarquas ( definicin de la autoridad lineal, funcional y de
asesora)
Estructura orgnica
Funciones
Objetivos
Una forma de evaluar la forma en que la direccin informtica se est
desempeando es mediante la evaluacin de las funciones que la alta direccin
debe realizar.
2.2. Revisin de la documentacin relacionada con la direccin
La revisin de la documentacin de las empresas y la de los trabajadores, es un
elemento clave en las auditoras sociales.
En combinacin con las entrevistas a los trabajadores, la revisin ayudar a los
auditores a obtener una idea ms clara sobre las condiciones de trabajo y empleo
de la empresa auditada, incluyendo horas de trabajo, salarios y deducciones, y
cualquier queja levantada por los trabajadores.
Generalmente, los auditores revisan una variedad de documentos; incluyendo
comprobantes de pago, polticas y procedimientos empresariales, contratos
laborales, y otros documentos relevantes en el monitoreo de las condiciones de
empleo de los trabajadores de la empresa. Cuando una auditora cubrir los temas
de contratacin y reclutamiento justo, la revisin debera ser ms profunda y
extensa. Se profundiza la revisin de dicha documentacin, con el fin de examinar
a mayor nivel de detalle las condiciones de reclutamiento y empleo que enfrentan
los trabajadores migrantes. sta se lleva a cabo de una manera ms extensa; y su
alcance va ms all de la instalacin y su fuerza laboral, ya que incluye una
revisin de las operaciones de los intermediarios laborales, y los trabajadores
reclutados y manejados por dichos intermediarios.
Se deben revisar el grado de cumplimiento de documentos administrativos:
- Organizacin
- Normas y polticas
- Planes de trabajo
- Controles
- Estndares
- Procedimientos
Auditoria en Tecnologas de la Informacin Pgina 20


2.3. Entrevistas a directivos
El director de informtica o aquellas personas que tengan un cargo directivo deben
llenar los cuestionarios sobre estructura orgnica, funciones, objetivos y polticas.
Entrevista: El auditor entrevista al auditado con alguna finalidad concreta. Se
recaba mucha informacin que posiblemente no se obtendra por otros medios.
La entrevista se realizar sin tensin y de manera correcta. El auditor evitar dar
sensacin de interrogatorio y utilizar jergas que puedan dificultar el entendimiento
de la pregunta realizada. Igualmente, el entrevistado no usar jergas que el auditor
no comprenda.
El auditado ha de sentirse lo ms cmodo posible y el entrevistador debe inspirar
confianza. Adems, las preguntas que formule el entrevistador no deben conducir
a la respuesta. Los auditores deben tener la capacidad de captar informacin no
verbal, como gestos realizados por el entrevistado, las posturas, los silencios... y
reacciones del entrevistado ante determinadas preguntas.
El auditor selecciona a qu funciones entrevistar. Pueden ser: directivos, jefes de
proyecto, analistas, programadores, usuarios, tcnicos de sistemas,
administradores de bases de datos, auditores internos (si se trata de una auditora
externa), responsables de seguridad, responsables de desarrollo... o cualquier
funcin de la organizacin que le aporte informacin relevante.
Despus de elegir la persona (o personas) a entrevistar, se debe elegir la fecha,
hora y el lugar. El auditor evitar la hora de la comida, la primera hora o el final de
la jornada. Respecto al lugar, es preferible que el lugar donde se realice la
entrevista sea un despacho o una sala de reuniones aislados. Adems, es
deseable avisar con antelacin a la persona aunque, en ocasiones, es
imprescindible el factor sorpresa.
Finalmente, el auditor realizar un resumen de la entrevista y, en un futuro, podr
ampliar la entrevista al auditado.
2.4. Evaluacin
Para lograr la evaluacin de la direccin informtica se debe solicitar el manual de
la organizacin de la misma, el cual debe comprender:
Organigrama con jerarquas
Funciones
Objetivos y polticas
Anlisis, descripcin y evaluacin de puestos
Manual de procedimientos
Manual de normas
Auditoria en Tecnologas de la Informacin Pgina 21

Instructivos de trabajo o gua de actividad
Tambin se debe solicitar
- Objetivos de la direccin
- Polticas y normas de la direccin
- Planeacin
UNIDAD 3. AUDITORA DE LA SEGURIDAD FSICA
3.1. Concepto de seguridad fsica
La seguridad fsica garantiza la integridad de los activos humanos, lgicos y
materiales. Si se entiende la contingencia o proximidad del dao como la
definicin de riesgo a fallo, local o general, tres seran las medidas a preparar para
ser utilizadas en relacin con la cronologa del fallo:
- Antes
Obtener y mantener un nivel adecuado de seguridad fsica sobre los activos
de la organizacin, este nivel se refiere al conjunto de acciones utilizadas
para evitar el fallo, o en su caso, aminorar las consecuencias que de l
puedan derivar.
Ubicacin del edificio
Compartimentacin
Elementos de construccin
Potencia elctrica
Sistemas contra incendios
Control de accesos
Seleccin del personal
Seguridad de los medios
Medidas de proteccin
Duplicacin de medios

- Durante
Ejecutar un plan de contingencias adecuado.
Cabe definir que desastre es cualquier evento que, cuando ocurre, tiene la
capacidad de interrumpir el proceso normal de una empresa.

- Despus
Hacer un recuento de las prdidas, gastos y responsabilidades que se
pueden derivar una vez detectado y corregido el fallo.
Objetivos de la seguridad fsica quedan indicados de la siguiente forma:
Edificio
Auditoria en Tecnologas de la Informacin Pgina 22

Instalaciones
Equipamiento y telecomunicaciones
Datos
personas

3.2. reas a revisar
Las instalaciones en las que el auditor ha de interesarse es donde se encuentran
los elementos accesorios que ayudan a la realizacin de la funcin informtica y, a
la vez, proporcionar seguridad a las personas, al software y a los materiales.
Algunas de estas son:
Instalacin elctrica y suministro de energa
Uno de los dispositivos que deben ser evaluados y controlados con mayor cuidado
es la instalacin elctrica, ya que no solo puede provocar fallas de energa que
pueden producir perdidas de informacin y de trabajo, sino es uno de los
principales provocadores de incendios.
El auditor debe auxiliarse de un especialista para evaluar el adecuado
funcionamiento del sistema elctrico y el suministro de energa.
Deteccin de humo y fuego, extintores
Otro de los aspectos que deben ser evaluados es la utilizacin de detectores de
fuego y humo, tomando en cuenta la cercana o no con los aparatos de aire
acondicionado, ya que estos pueden difundir el calor o el humo y no permitir que
se active el detector.
Estos detectores deben ser instalados en los centros de cmputo, reas de
oficina, incluyendo el depsito de papelera y el permetro fsico de las
instalaciones.
En cuanto a los extintores, se debe revisar el nmero de estos, su capacidad, fcil
acceso, peso y tipo de producto que utilizan.
3.3. Evaluacin de riesgos
Se trata de identificar los riesgos, cuantificar su probabilidad e impacto, y
analizar medidas que lo eliminen o que disminuyan la probabilidad de que ocurran
los hechos o mitiguen el impacto.
Para evaluar el riesgo hay que considerar:
- El tipo de informacin almacenada, procesada y transmitida
- La criticidad de las aplicaciones
- La tecnologa usada
- El marco legal aplicable
- El sector de la entidad
Auditoria en Tecnologas de la Informacin Pgina 23

- La entidad misma
- El momento
Una vez identificados y medidos los riesgos, lo mejor sera poder eliminarlos, pero
lo ms que se puede conseguir es disminuir la probabilidad de que algo se
produzca o bien su impacto: con sistemas de deteccin, de extincin, revisiones
peridicas, copiando archivos crticos (respaldo), exigiendo contraseas u otros
controles segn sea el caso.
La evaluacin de riesgos puede ser global: todos los sistemas de informacin,
centros y plataformas, pero tambin puede producirse una evaluacin parcial de
riesgos, tanto por reas como por centros, departamentos, redes o aplicaciones,
as como previa a un proyecto, como puede ser una aplicacin a iniciar.
3.4. Fuentes a utilizar
Adquisicin de la informacin
Plan de contingencias
El plan de contingencias y el plan de seguridad tienen la finalidad de proveer a la
organizacin los requerimientos para su recuperacin ante desastres.
Los desastres pueden clasificarse en:
- Destruccin completa del rea informtica
- Destruccin parcial del rea informtica
- Destruccin o mal funcionamiento de los equipos auxiliares del are
informtica (electricidad, aire acondicionado, etc.)
- Destruccin parcial o total de los equipos descentralizados
- Prdida total o parcial de informacin, manuales o documentacin
- Prdida del personal clave
- Huelga o problemas laborales
Definicin:
La identificacin y proteccin de los procesos crticos de la organizacin y los
recursos requeridos para mantener un aceptable nivel de transacciones y de
ejecucin, protegiendo estos recursos y preparando procedimientos para asegurar
la sobrevivencia de la organizacin en caso de desastre.
4

Estrategia planificada constituida por:
- Conjunto de recursos de respaldo
- Organizacin de emergencia
- Procedimientos de actuacin para una restauracin progresiva y gil de los
servicios del negocio afectados.

4
Auditoria informtica Jos Antonio Echenique Garca, Mc Graw Hill, 2. Edicin
Auditoria en Tecnologas de la Informacin Pgina 24

Objetivos:
Minimizar el impacto de desastre en la organizacin
Establecer tareas para evaluar los procesos indispensables de la
organizacin
Evaluar los procesos de la organizacin, con el apoyo y autorizacin
respectivos a travs de una buena metodologa
Determinar el costo del plan de recuperacin, incluyendo la capacitacin y
la organizacin para restablecer los procesos crticos de la organizacin
cuando ocurra una interrupcin de las operaciones
Fases:
1) Anlisis y diseo
Se estudia la problemtica, las necesidades de recursos, las alternativas de
respaldo, y se analiza el costo/beneficio de las mismas. Durante esta etapa se
identifican los procesos crticos o esenciales y sus repercusiones en caso de no
estar en funcionamiento.
Clasificar la instalacin en trminos de riesgo (alto, mediano, pequeo) e
identificar las aplicaciones que tengan un alto riesgo.
Cuantificar el impacto en caso de suspensin del servicio en aquellas
aplicaciones con alto riesgo
Se debe evaluar el nivel de riesgo de la informacin para hacer un estudio
costo/beneficio entre el costo por prdida de informacin y el costo de un sistema
de seguridad.
Para evaluar la instalacin en trminos de riesgo se debe:
- Clasificar los datos, la informacin y los programas que contengan
informacin confidencial de alto valor dentro del mercado de competencias
de una organizacin, as como la informacin que sea de difcil
recuperacin.
- Identificar aquella informacin que tenga un gran costo financiero en caso
de prdida o bien que se pueda provocar un gran impacto en la toma de
decisiones.
- Determinar la informacin que pueda representar una gran prdida en la
organizacin y provocar de esta manera la posibilidad de que no se pueda
sobrevivir sin esa informacin.
Para cuantificar el riesgo es necesario que se efecten entrevistas con los altos
niveles administrativos directamente afectados por la suspensin en el
procesamiento para que cuantifiquen el impacto que les puede causar este tipo de
situaciones.

Auditoria en Tecnologas de la Informacin Pgina 25

2) Seleccin de la estrategia
Ya que se tiene definido el grado de riesgo, se debe elaborar una lista de sistemas
con las medidas preventivas que se deben tomar, as como las correctivas en
caso de desastre, sealndole a cada funcin su prioridad.
Se deben identificar y comentar procesos alternativos para procesos identificados
como crticos en la organizacin.
3) Desarrollo del plan
En estafase se desarrolla la estrategia seleccionada implantndose hasta el final
todas las acciones previstas. Se definen las distintas organizaciones de
emergencia y se desarrollan los procedimientos de actuacin generando as la
documentacin del plan.
Al finalizar el plan de contingencia este debe contener:
El sealamiento de los procesos crticos
Su impacto
Su prioridad
Tiempo en que puede estar fuera de servicio
Informacin existente de cada proceso (procedimientos y polticas)
Documentacin para la recuperacin
Por cada proceso se requiere del usuarios de:
- Software
- Hardware
- Recursos materiales
- Personal
- Consumibles
- Utileras
- Sistemas de comunicacin
- Redes
- Transporte
- Base de datos
- Archivos (respaldos)
El plan en caso de desastre debe incluir
La documentacin de programacin y de operacin
Los equipos
El equipo completo
El ambiente de los equipos
Datos, archivos, papelera, equipo y accesorios
Sistemas (sistemas operativos, base de datos, programas de utilera,
programas, etc.)
Auditoria en Tecnologas de la Informacin Pgina 26


4) Pruebas y mantenimiento
Se definen las pruebas, sus caractersticas y sus ciclos, y se realiza la primera
prueba como comprobacin de todo el trabajo realizado, as como mentalizar al
personal implicado.
Asi mismo se define la estrategia de mantenimiento, la organizacin destinada a
ello, la normativa y procedimientos necesarios para llevarlo a cabo.
UNIDAD 4. AUDITORA DE SERVICIOS DE SUBCONTRATACIN
4.1. Subcontratacin de servicios en TI
Outsourcing o Tercerizacin (tambin llamada subcontratacin), es una tcnica
que consiste en la transferencia a terceros de ciertos procesos complementarios
que no forman parte del giro principal del negocio, permitiendo la concentracin de
los esfuerzos en las actividades esenciales a fin de obtener competitividad y
resultados tangibles.
Tambin se puede definir como la subcontratacin de servicios que busca agilizar
y economizar los procesos productivos para el cumplimiento eficiente de los
objetos sociales de las instituciones, de modo que las empresas se centren en lo
que les es propio.
Objetivos del outsourcing.
Los principales objetivos que pueden lograrse con la contratacin de un servicio
de outsourcing son los siguientes:
- Optimizacin y adecuacin de los costos relacionados con la gestin, en
funcin de las necesidades reales.
- Eliminacin de riesgos por obsolescencia tecnolgica.
- Concentracin en la propia actividad de la organizacin.

4.2. Contratos: caractersticas, alcance

Contrato: Es un documento de carcter legal que recoge el alcance y
caractersticas del servicio de outsourcing. El contrato de outsourcing debe
definir los siguientes aspectos:

- Su duracin.
- Las condiciones de la cesin de los activos (tanto econmicas como de
otro tipo) referidos al momento inicial del acuerdo entre la
Administracin y el contratista.
Auditoria en Tecnologas de la Informacin Pgina 27

- Las condiciones de la gestin de los SI a llevar a cabo durante el
contrato (nivel de servicio).
- Las condiciones de recuperacin de la gestin de los SI una vez
finalizado el contrato.
- La propiedad intelectual, especialmente si se traspasa al proveedor la
responsabilidad del desarrollo de aplicaciones.
- Las condiciones previstas para la resolucin del contrato con
anterioridad a la fecha de su finalizacin prevista.

4.3. Acuerdos del nivel de servicio

Nivel de servicio: El nivel de servicio define el mbito de aplicacin del
servicio (operacin, mantenimiento, desarrollo, etc.), para sistemas de
informacin concretos y la forma exacta de llevarlo a cabo. Es uno de los
puntos ms importantes de un contrato de outsourcing y debe ser
fcilmente medible. Para el establecimiento del nivel de servicio suele ser
usual la realizacin conjunta, entre la organizacin contratante y la empresa
de outsourcing, de las siguientes actividades:

- Anlisis de viabilidad que defina el mbito de aplicacin.
- Anlisis detallado que determine minuciosamente todos y cada uno de
los compromisos concretos que van a ser contrados por ambas partes.
CARACTERSTICAS.
Relativas al contrato entre las partes.
Su elaboracin es compleja, puesto que debe establecer claramente las
responsabilidades de ambas partes en cualquier aspecto, no slo del nivel de
servicio actual sino tambin del nivel de servicio futuro.
Suele tener una duracin de varios aos. En el sector privado tiene una duracin
no menor a 5 7 aos, siendo habitual un perodo de 10 aos.
Uno de los aspectos ms importantes del contrato es la definicin de su resolucin
(finalizacin), el establecimiento de salidas programadas antes de cumplirse el
plazo acordado, as como los perodos de preaviso en caso de reversin del
servicio.
Junto con los conceptos financieros, a lo largo de todo el proceso de evaluacin se
deben establecer criterios de transferencia de personal (para el caso de que
existan).
El alcance del contrato es a la medida, es decir, podr ser tan amplio como lo
deseen las partes contratantes.
Auditoria en Tecnologas de la Informacin Pgina 28

Debe ser flexible para que la Administracin pueda cambiar los requisitos del
servicio y el proveedor pueda cambiar los medios con los que lo da. Mientras que
un contrato de outsourcing se firma para que sea vlido durante aos, los
requisitos de tecnologa estn en constante evolucin.
Acuerdo de Nivel de Servicio (SLA)
El SLA debe recoger en un lenguaje no tcnico, o cuando menos comprensible
para el cliente, todos los detalles de los servicios brindados.
Tras su firma, el SLA debe considerarse el documento de referencia para la
relacin con el cliente en todo lo que respecta a la provisin de los servicios
acordados, por tanto, es imprescindible que contenga claramente definidos los
aspectos esenciales del servicio tales como su descripcin, disponibilidad, niveles
de calidad, tiempos de recuperacin, etc.
Los SLAs deben contener una descripcin del servicio que abarque desde los
aspectos ms generales hasta los detalles ms especficos del servicio.
Es conveniente estructurar los SLAs ms complejos en diversos documentos de
forma que cada grupo involucrado reciba exclusivamente la informacin
correspondiente al nivel en que se integra, ya sea en el lado del cliente como del
proveedor.
La elaboracin de un SLA requiere tomar en cuenta aspectos no tecnolgicos
entre los que se encuentran:
La naturaleza del negocio del cliente.
Aspectos organizativos del proveedor y cliente.
Aspectos culturales locales.

4.4. Programa de auditora al rea de servicios de subcontratacin
PASOS DE LA METODOLOGA
- FASE 0 INICIO DEL PROYECTO.

Qu hace? Identifica el alcance de lo que se est considerando para el
outsourcing. Establece los criterios, las marcas importantes iniciales y los
factores "adelante / alto" para las decisiones iniciales. Asigna recursos
iniciales para "poner la semilla" del proyecto.
Cunto tiempo? De dos a cuatro semanas.
Quin participa? Esta fase es iniciada por el gerente ejecutivo o un
miembro del consejo que est patrocinando el estudio de factibilidad.
Qu se entrega? Un documento que establece el alcance del proyecto y
las cuestiones administrativas.
Auditoria en Tecnologas de la Informacin Pgina 29

Qu se decide? Examinar (o no) los beneficios estratgicos.

- FASE 1 EVALUACIN.

Qu hace? Examina la factibilidad del outsourcing; define el alcance y los
lmites del proyecto e informa en qu grado el proyecto satisfar los criterios
establecidos.
Cunto tiempo? De cuatro a seis semanas.
Quin participa? Un pequeo equipo encabezado por el patrocinador, por
lo menos un gerente de una funcin (por ejemplo: de finanzas o recursos
humanos), que no se vea personalmente afectado por el resultado de la
evaluacin.
Qu se entrega? Un estudio de factibilidad o de otro tipo. Una decisin
acerca de si se debe o no proceder a la etapa de planeacin
Qu se decide? Decisin acerca de proceder o no.

- FASE 2 PLANEACIN DETALLADA.

Qu hace? Establece los criterios para la licitacin, define los detalles para
los requisitos y prepara una lista breve de invitaciones para el concurso.
Cunto tiempo? De ocho a diez semanas.
Quin participa? El equipo formado durante la fase 1, ms un
representante de compras (o abastecimientos o contratos), del
departamento jurdico y de recursos humanos, en caso de que no estn
representados.
Qu se entrega? Un plan para el proceso de licitacin, incluyendo
documentacin para la licitacin, descripcin de los servicios, borradores de
acuerdos del nivel de servicios y una estrategia para las negociaciones con
los proveedores.
Qu se decide? A quien se invita a conservar, bajo que criterios y las
medidas de desempeo.

- FASE 3 CONTRATACIN.

Qu hace? Selecciona a un contratista preferido como resultado de un
proceso de licitacin. Identifica a un proveedor de respaldo.
Cunto tiempo? De tres a cuatro meses.
Quin participa? El equipo central de la fase de planeacin. Puede incluir
asesores externos. Participarn contratistas potenciales y sus socios.
Qu se entrega? Invitacin a concursar. Acuerdos de nivel de servicios.
Los encabezados del acuerdo. Contratos. Plan para la transferencia del
servicio al subcontratista.
Auditoria en Tecnologas de la Informacin Pgina 30

Qu se decide? La concesin del contrato. A quien, para que servicio,
durante cunto tiempo, con qu criterios de medicin.

- FASE 4 TRANSICIN DEL NUEVO SERVICIO.

Qu hace? Establece los procedimientos para la administracin de la
funcin subcontratada. Transfiere la responsabilidad formal de las
operaciones. Transfiere personal y activos segn se haya acordado.
Cunto Tiempo? De dos a tres meses.
Quin participa? El equipo central y el gerente de funcin de la funcin
subcontratada. Recursos humanos, usuarios, gerencia y personal del
proveedor.
Qu se entrega? Un plan de transicin. Documentacin de los
procedimientos de administracin y revisin. Entrega de la responsabilidad
formal al subcontratista.
Qu se decide? Procedimientos de terminacin. Fecha de entrega del
servicio.

- FASE 5 ADMINISTRACIN Y REVISIN.

Qu hace? Revisa el contrato en forma regular, comparndolo contra los
niveles de servicios acordados. Plantea las negociaciones para tomar en
cuenta los cambios y requerimientos adicionales.
Cunto tiempo? De uno a cinco aos, dependiendo de la duracin del
contrato. Normalmente es de tres a cinco aos.
Quin Participa? Representante del contratista responsable de la entrega
del servicio. Representante de la funcin del usuario, responsable de la
administracin del contrato y del proveedor.
Qu se entrega? Un servicio administrado. Revisiones regulares.
Ausencia de sorpresas.
Qu se decide? Verificacin anual de la validez de la evaluacin original.
Decisin sobre la continuacin del contrato.
UNIDAD 5. AUTIDORA DE BASES DE DATOS
5.1. Concepto de la auditora de la base de datos
Una base de datos es un depsito comn de documentacin, til para diferentes
usuarios y distintas aplicaciones, que permite la recuperacin de la informacin
adecuada para la resolucin de un problema planteado en una consulta.
5.2. Diseo y carga
Auditoria en Tecnologas de la Informacin Pgina 31

Fase en la que se llevan a cabo los diseos lgico y fsico de la base de datos, por
lo que el auditor tendr que examinar y revisar si estos diseos se han realizado
correctamente, determinando:
- Si la definicin de los datos contempla adems de su estructura, las
asociaciones y las restricciones oportunas as como las especificaciones de
almacenamiento de datos y las cuestiones relativas a la seguridad.
El auditor tendr que tomar una muestra de ciertos elementos (tablas, vistas,
ndices) y comprobar que su definicin es completa, y ha sido aprobada por el
usuario y que el administrador de la base de datos particip en su establecimiento.
Una vez diseada la base de datos (BD), se proceder a su carga, ya sea
migrando datos de un soporte magntico o introducindolos manualmente.
Estas migraciones o conversiones de sistemas, como el paso de un sistema de
archivos a uno de base de datos, debern estar claramente planificadas para
evitar prdida de informacin y la transmisin al nuevo sistema de datos errneos.
5.3. Explotacin y mantenimiento
En esta fase, se debe comprobar que se establecen los procedimientos de
explotacin y mantenimiento que aseguren que los datos se tratan de forma
congruente y exacta y que el contenido de los sistemas slo se modifica mediante
la autorizacin adecuada.
5.4. Revisin post-implantacin
Se debera establecer el desarrollo de un plan para efectuar la revisin post-
implantacin de todo sistema nuevo o modificado con el fin de evaluar s:
- Se han conseguido los resultados esperados
- Se satisfacen las necesidades de los usuarios
- Los costes y beneficios coinciden con los previstos

5.5. SGBD
Componentes de un Sistema Gestor de Base Datos (SGBD):
Ncleo (Kernel)
Catalogo (Componente fundamental para asegurar la seguridad de la base
de datos)
Utilidades para el administrador
Archivos diarios
El auditor deber revisar, por tanto, la utilizacin de todas las herramientas que
ofrece el propio SGBD y las polticas y procedimientos que sobre su utilizacin
haya definido el administrador para evaluar si son suficientes o si deben ser
mejorados.
Auditoria en Tecnologas de la Informacin Pgina 32

UNIDAD 6. AUDITORA DE SISTEMAS
6.1. Concepto de la auditora de sistemas
La auditora de los sistemas de informacin se define como cualquier auditora que
abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de
ellos) de los sistemas automticos de procesamiento de la informacin, incluidos
los procedimientos no automticos relacionados con ellos y las interfaces
correspondientes.
6.2. Desarrollo de sistemas
En esta etapa se debe auditar los programas, su diseo, el lenguaje utilizado, la
interconexin entre programas y las caractersticas del hardware empleado para
el desarrollo del sistema.
6.3. Instalacin y puesta en servicio
Comprende todas las actividades para conseguir el funcionamiento adecuado del
elemento en cuestin:
- Planificacin: procedimiento general del suministrador adaptado a la
instalacin concreta.
- Documentacin: inventario de componentes del elemento y normas de
actualizacin.
- Parametrizacin: valores de parmetros del sistema en funcin del resto de
elementos planificados.
- Pruebas: verificaciones a realizar y sus resultados.
Debe partirse de los documentos existentes en la organizacin sobre normativa
general: estructura organizativa, normativas de instalacin, metodologa general
de proyectos y dems informaciones que puedan y deban condicionar su
instalacin.
6.4. Mantenimiento y soporte
Comprende el conjunto de acciones necesarias para la puesta al da del elemento,
as como la asistencia de terceros para la consecucin de dicha puesta al da y la
asistencia para prestar a otros colectivos para facilitar la informacin necesaria
sobre el sistema y sus herramientas para su mejor utilizacin.
- Planificacin: Control del periodo de garanta y comienzo del mantenimiento
del elemento.
- Documentacin: procedimiento para contactar con el soporte.
- Parametrizacin: adaptacin de los parmetros del sistema en funcin de
nuevos requerimientos o como resultado de nuevas versiones o resolucin
de incidencias.
- Pruebas: verificaciones de los cambios o adaptaciones realizadas.
Auditoria en Tecnologas de la Informacin Pgina 33


6.5. Resolucin de incidencias
Procedimiento para registrar, analizar, diagnosticar, calificar y seguir las
incidencias que se produzcan en relacin con el elemento en cuestin con el
objeto de su resolucin.
Registrar: crear un formulario que permita recoger los datos que identifican la
anomala, momento en que se produjo, elementos y servicios/usuarios afectados,
daos producidos y/o que pueden producirse, entorno del problema, y una
descripcin.
Analizar: buscar una relacin entre el efecto y sus posibles causas, para lo que se
cuenta, adems de los comentarios de los observadores, con la experiencia del
tcnico que trata la incidencia y la informacin ya registrada sobre otras
incidencias producidas que pudieran estar relacionadas o responder a la misma
causa u otra parecida.
Diagnosticar: determinar de entre las causas posibles aquella que tuviera ms
probabilidad de resultar el origen del problema una vez analizada la informacin
disponible.
Calificar: dato importante en el enfoque de la resolucin.
Resolucin: para resolver definitivamente un problema hace falta conocer la
causa y la forma de evitar que se reproduzcan las condiciones origen.
Seguimiento: accin continua y normalizada para conseguir el diagnostico de una
incidencia y la persecucin de su resolucin.
6.6. Seguridad y control
La proteccin debe considerar tanto la posibilidad de hechos fortuitos como
malintencionados. Los primeros se evitarn partiendo de una formacin adecuada
y competencia profesional ms la organizacin establezca unos procedimientos
que incluyan elementos de control. Los malintencionados se prevendrn mediante
una poltica del personal adecuada y unos procedimientos que eviten
concentracin de tareas y consideren la segregacin de funciones y los
correspondientes controles.
Es necesario proteger los accesos a la informacin y funciones con criterio de
mnimos reservando funciones y acceso especiales a niveles de responsabilidad
superiores con los controles adecuados.
Los grupos de controles se mencionan a continuacin:
- Controles directivos: Establecen las bases como las polticas o creacin
de comits relacionados o de funciones; de administracin de seguridad o
de auditora de sistemas de informacin interna.
Auditoria en Tecnologas de la Informacin Pgina 34

- Controles preventivos: Antes del hecho, como la identificacin de visitas
(seguridad fsica) o las contraseas (seguridad lgica).
- Controles de deteccin: Como determinadas revisiones de accesos
producidos o la deteccin de incendios.
- Controles correctivos: para rectificar errores, negligencias o acciones
intencionadas, como la recuperacin de un archivo daado a partir de una
copia.
- Controles de recuperacin: facilitan la vuelta a la normalidad despus de
accidentes o contingencias, como puede ser un plan de continuidad
adecuado.
UNIDAD 7. AUDITORA DE LA SEGURIDAD LOGICA
7.1. Concepto de la seguridad lgica
La seguridad lgica se encarga de los controles de acceso que estn diseadas
para salvaguardar la integridad de la informacin almacenada de una
computadora, as como de controlar el mal uso de la informacin. Estos controles
reducen el riesgo de caer en situaciones adversas.
La seguridad lgica se encarga de controlar y salvaguardar la informacin
generada por los sistemas, por el software de desarrollo y por los programas en
aplicacin; identifica individualmente a cada usuario y sus actividades en el
sistema, y restringe el acceso a datos, a los programas de uso general, de uso
especfico, de redes y terminales.
Para poder definir la seguridad en un sistema es necesario considerar el grado de
actuacin que puede tener un usuario dentro de un sistema, ya se a que la
informacin se encuentre en un archivo normal o en una base de datos. Para ello
se pueden definir los siguientes tipos de usuarios:
a) Propietario: dueo de la informacin y responsable de esta, puede realizar
cualquier funcin (consultar, modificar, actualizar, dar autorizacin a
usuarios, etc.). Es responsable de la seguridad lgica.
b) Administrador: Solo puede actualizar o modificar el software con la debida
autorizacin, pero no puede modificar la informacin. Es responsable de la
seguridad lgica y de la integridad de los datos.
c) Usuario principal: Autorizado por el propietario para hacer modificaciones,
cambios, lectura y utilizacin de los datos pero no puede dar autorizacin a
otros usuarios.
d) Usuario de consulta: solo puede leer la informacin pero no puede
modificarla.
e) Usuario de explotacin: puede leer la informacin y explotarla,
especialmente para hacer reportes de diferente ndole.
Auditoria en Tecnologas de la Informacin Pgina 35

f) Usuario de auditoria: puede utilizar la informacin y rastrearla dentro del
sistema para fines de auditoria.

7.2. Consecuencias y riesgos
La falta de seguridad lgica o su violacin puede traer las siguientes
consecuencias a la organizacin:
Cambio de los datos antes o cuando se le da entrada a la computadora.
Copias de programas y/o informacin.
Cdigo oculto en un programa.
Entrada de virus.
La seguridad lgica puede evitar una afectacin de perdida de registros, y ayuda a
conocer el momento en que se produce un cambio o fraude en los sistemas.
7.3. Rutas de acceso
Cada uno de los sistemas de informacin tiene una ruta de acceso, la cual puede
definirse como la trayectoria seguida en el momento de acceso al sistema.
Un usuario puede pasar por uno o mltiples niveles de seguridad antes de obtener
el acceso a los programas y datos. Los tipos de restricciones de acceso son:
- Slo lectura
- Slo escritura
- Lectura y consulta
- Lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar.
El esquema de rutas de acceso sirve para identificar todos los puntos de control
que pueden ser usados para proteger los datos en el sistema. El auditor debe
conocer las rutas de acceso para la evaluacin de los puntos de control
apropiados.
7.4. Claves de acceso
Un rea importante en la seguridad lgica es el control de claves de acceso de los
usuarios. Existen diferentes mtodos de identificacin para el usuario:
Un password o cdigo
Una credencial con banda magntica
Algo especfico del usuario (caractersticas propias)
Password, cdigo o llaves de acceso. La identificacin de los individuos est
asociada con un password o clave de acceso. Las claves de acceso pueden ser
usadas para controlar el acceso o funciones especficas.
Caractersticas de las llaves de acceso:
Auditoria en Tecnologas de la Informacin Pgina 36

El sistema debe verificar primero que el usuario tenga una llave de acceso
vlida.
La llave de acceso debe ser de una longitud adecuada para ser un secreto.
La llave de acceso no debe ser desplegada cuando es tecleada.
Las llaves de acceso deben ser encriptadas, reduciendo as el riesgo de
que alguien obtenga la llave de acceso de otras personas.
Las llaves de acceso deben de prohibir el uso de nombres, palabras o
cadenas de caracteres difcil de retener. Se recomienda la combinacin de
caracteres alfabticos y numricos.
Credenciales con banda magntica. La banda magntica de las credenciales es
frecuentemente usada para entrar al sistema.
La ventaja ms importante de la credencial es prevenir la entrada de impostores al
sistema.
Validacin por caractersticas. Mtodo para la identificacin de usuario, consiste
en la verificacin y reconocimiento de la identidad de las personas, basados en
caractersticas propias.
Algunos de los dispositivos biomtricos utilizados son:
- Huellas dactilares
- La retina
- La geometra de la mano
- La firma
- La voz

7.5. Software de control de acceso
Software diseado para permitir el manejo y control de acceso a los recursos
como: diccionarios de datos, archivos, programas, archivos de datos, etc.
Controla el acceso a la informacin, grabando e investigando los eventos
realizados y el acceso a los recursos, por medio de la identificacin del usuario.
Funciones:
a) Definicin de usuarios
b) Definicin de las funciones del usuario despus de accesar el sistema.
c) Establecimiento de auditora a travs del uso del sistema.
El software de seguridad protege los recursos mediante la identificacin de los
usuarios autorizados con las llaves de acceso, que son archivadas y guardadas
por este software.
7.6. Tipos de seguridad lgica (encriptamiento, firmas, certificados, llaves
y otros)
Auditoria en Tecnologas de la Informacin Pgina 37

Encriptamiento
Encriptar: arte de proteger la informacin transformndola con un determinado
algoritmo dentro de un formato para que no pueda ser leda normalmente.
Transformacin de los datos en una forma en que no sea posible leerla por
cualquier persona, al menos que cuente con la llave de desencriptacin.
5

El encriptamiento se usa para proteger mensajes de correo electrnico, firmas
electrnicas, llaves de acceso, informacin de tipo financiero e informacin
confidencial.
Los sistemas de encriptamiento pueden ser clasificados en sistemas de llave
simtrica y sistemas de llave pblica.
Se pueden utilizar algoritmos de clave simtrica o de clave asimtrica:
Los algoritmos de clave simtrica, tambin llamados de clave privada,
utilizan la misma clave para cifrar y descifrar el mensaje. El remitente y el
destinatario eligen la clave a utilizar antes del envo de mensajes.
Algunos algoritmos de clave simtrica son: DES (Data Encryption
Standard), Triple DES (variante del algoritmo DES) y AES (Advanced
Encryption Standard).

Los algoritmos de clave asimtrica, o denominados de clave pblica,
emplean una clave para cifrar y otra clave distinta para descifrar. Cada
persona posee un par de claves, una clave pblica que entregan a
cualquier otra persona y la otra clave privada que solo conoce el
propietario.

El remitente puede emplear la clave pblica del destinatario para cifrar el
mensaje y el receptor con su clave privada lo descifra. Si el remitente usa
su clave privada para cifrar el mensaje, cualquier persona puede descifrarlo
utilizando su clave pblica. Existen varios algoritmos de clave asimtrica
como RSA o Diffie-Hellman.
UNIDAD 8. AUDITORA DE LAS TELECOMUNICACIONES
8.1. Seguridad en telecomunicaciones
Todos los sistemas de comunicacin, presentan una problemtica comn: la
informacin transita por lugares fsicamente alejados de las personas
responsables.
8.2. Vulnerabilidades, amenazas y riesgos

5
Auditoria en informtica Jos Antonio Echenique Garca, 2. Edicin, McGrawHill
Auditoria en Tecnologas de la Informacin Pgina 38

Vulnerabilidad
La vulnerabilidad hace referencia al grado en que la gente es sensible a la
prdida, el dao, el sufrimiento y la muerte al ser objeto de un ataque. Vara de
persona a persona y de grupo a grupo; y tambin, para la misma persona o grupo,
vara en el tiempo. La vulnerabilidad siempre es relativa, porque todas las
personas y todos los grupos son de alguna manera vulnerables. No obstante, todo
el mundo tiene su propio nivel y tipo de vulnerabilidad, dependiendo de sus
circunstancias. Veamos algunos ejemplos:
Vulnerabilidad y lugar fsico: una defensora puede ser ms vulnerable
cuando est de viaje haciendo una visita de campo que cuando est en una
oficina conocida por todos, pues es probable que en la oficina siempre haya
testigos si se produce un ataque.
La vulnerabilidad puede relacionarse con no tener acceso a un telfono,
con poder usar transporte terrestre seguro o con tener buenos cerrojos en
las puertas de una casa. Pero tambin est relacionada con la falta de
redes de contactos y de accin conjunta de las y los propios defensores.
Vulnerabilidad, trabajo en equipo y miedo: si un defensor recibe una
amenaza, tendr miedo, y su trabajo se ver afectado por ese miedo. Si no
sabe controlar su miedo (si no encuentra con quin hablarlo, buenos
compaeros, etc.), es posible que cometa errores o que no tome la mejor
decisin posible, lo que puede aumentar los problemas de seguridad.
Riesgo
El nivel de riesgo al que se enfrenta un grupo de defensoras o defensores de
derechos humanos aumenta en relacin a las amenazas recibidas y a la
vulnerabilidad y la capacidad del grupo antes esas amenazas, como
representamos en la siguiente ecuacin:

Amenaza
Las amenazas representan la posibilidad de que alguien dae la integridad fsica o
moral de otra persona, o su propiedad, mediante una accin intencionada y a
menudo violenta. La valoracin de las amenazas nos ser til para saber qu
probabilidad hay de que stas se lleven a cabo.
Las amenazas incidentales surgen al menos por:
a) Encontrarse en zonas de enfrentamientos armados (estar donde no tienes
que estar en el peor momento posible).
Auditoria en Tecnologas de la Informacin Pgina 39

b) Ataques por delincuencia comn, en especial si el trabajo de derechos
humanos se hace en zonas especialmente peligrosas. Hay que sealar, no
obstante, que muchos casos de delincuencia comn encubren casos de
targeting.
Tipos de amenazas:
- Targeting: amenazas que surgen por el trabajo que hacemos (pueden ser
amenazas directas, contra alguien, e indirectas, contra personas
relacionadas)
- Amenazas incidentales: emanan del contexto en que trabajamos
(amenazas por delincuencia comn, o por enfrentamientos armados en
zonas de conflicto).

8.3. Objetivos y criterios a evaluar: seguridad en Internet (derechos de
acceso, rectificacin, cancelacin y oposicin), transferencias de
datos, servicios de telefona
Internet
La finalidad de las pruebas de Internet es poner en peligro la red de destino. La
metodologa necesaria para realizar esta prueba permite una comprobacin
sistemtica de las vulnerabilidades conocidas y la bsqueda de posibles riesgos
de seguridad. La metodologa empleada habitualmente incluye los procesos de:
Recogida de la informacin (reconocimiento)
Red de enumeracin
Anlisis de la vulnerabilidad
Explotacin
Resultados de los anlisis e informes
Se debe hacer un anlisis del riesgo de aplicaciones en los procesos.
Se debe hacer un anlisis de la conveniencia de cifrar los canales de
transmisin entre diferentes organizaciones.
Asegurar que los datos que viajan por Internet vayan cifrados.
Si en la LAN hay equipos con modem entonces se debe revisar el control
de seguridad asociado para impedir el acceso de equipos forneos a la red.
Deben existir polticas que prohban la instalacin de programas o equipos
personales en la red.
Los accesos a servidores remotos han de estar inhabilitados.
La propia empresa generar propios ataques para probar solidez de la red y
encontrar posibles fallos en cada una de las siguientes facetas:

o Servidores = Desde dentro del servidor y de la red interna.
o Servidores web.
Auditoria en Tecnologas de la Informacin Pgina 40

o Intranet = Desde dentro.
o Firewall = Desde dentro.
o Accesos del exterior y/o Internet.

8.4. Tcnicas y herramientas

- Utilizacin de cortafuegos
Una de las formas de proteger la red de otra red, por lo general un cortafuego
puede verse como la unin de un mecanismo para bloquear el trfico y otro para
permitirlo.
Tipos de cortafuegos:
Todo lo que no est extremadamente permitido est prohibido.
En este caso el cortafuegos se disea para bloquear todo el trfico, y los
distintos servicios deben ser activados de forma individual tras el anlisis
del riesgo que representa su activacin y la necesidad de uso.

Todo lo que no est extremadamente prohibido est permitido.
Para este caso el administrador del sistema debe predecir qu tipo de
acciones pueden realizar los usuarios que pongan en entredicho la
seguridad del sistema, y preparar defensas contra ellas.

Cortafuegos a nivel de Red
Se trata de un encaminador (router) o una computadora especial que examina las
caractersticas de los paquetes IP para decidir cules deben pasar y cules no.

Cortafuegos a nivel circuito
La seguridad est basada en el establecimiento, seguimiento y liberacin de las
conexiones que se realizan entre las maquinas internas y externas. Adems
realizan el seguimiento de los nmeros de secuencia de la conexin buscando
aquellos paquetes que no corresponden con conexiones establecidas.
Cortafuegos a nivel de aplicacin
Ordenador que ejecuta software de servidor proxy. La palabra proxy significa
actuar por poderes o en nombre de otro. Estos servidores se comunican con
otros del exterior de la red en nombre de los usuarios, es decir, controlan el trfico
entre dos redes estableciendo la comunicacin entre el usuario y l mismo y entre
l mismo y el otro ordenador.
Auditoria en Tecnologas de la Informacin Pgina 41


Auditoria en Tecnologas de la Informacin Pgina 42

BIBLIOGRAFIA
[1] Auditoria informtica
Jos Antonio Echenique Garca
Mc Graw Hill, 2. Edicin
[2] Auditoria en sistemas computacionales
Carlos Muoz Razo
Editorial Pearson
[3] Auditora Informtica, un enfoque prctico
Mario G. Piattini
Alfaomega, 2. Edicin
[4] OUTSOURCING
Bachiller Jos Antonio Romero
URBE
Maracaibo-Venezuela
Abril 2002
[5] SEGURIDAD LGICA Y DE ACCESOS Y SU AUDITORA
Marta Monte de Paz
Marzo, 2010
REFERENCIAS BIBLIOGRAFICAS
[1] Auditoras de Tecnologas de la Informacin y Comunicacin
http://www.contraloria.gob.bo/portal/Auditor%C3%ADa/Auditor%C3%ADasTIC.asp
x
[2] Revisin de la documentacin
https://www.verite.org/es/helpwanted/toolkit/revisi%C3%B3n-de-la-
documentaci%C3%B3n
[3] Gestin de Niveles de Servicio
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/gestion_de_niveles_de_servici
o/proceso_gestion_de_niveles_de_servicio/implementacion_de_niveles_de_servici
o.html