Documentos de Académico
Documentos de Profesional
Documentos de Cultura
entornos
informticos
Ricardo J. Castello
Profesor Auditora de Sistemas Computarizados
Facultad de Ciencias Econmicas-UNC
Auditora en entornos informticos
Esta versin digital ha sido licenciada por el autor con una licencia de Creative
Commons. Esta licencia permite los usos no comerciales de esta obra en tanto en
cuanto se atribuya la autoria original.
ii
Auditora en entornos informticos
PROLOGO
iii
Auditora en entornos informticos
iv
Auditora en entornos informticos
INDICE DE CONTENIDO
v
Auditora en entornos informticos
vi
Auditora en entornos informticos
vii
Auditora en entornos informticos
BIBILIOGRAFIA....................................................................................285
viii
UNIDAD 1
Conceptos
Bsicos
Auditora en entornos informticos
2
Auditora en entornos informticos
CAPITULO 1
Conceptos bsicos
1. INTRODUCCION
Etimolgicamente la palabra auditora deriva del latin audire que significa oir, el
sustantivo latino auditor significa "el que oye". Los primeros auditores ejercan
sus funciones principalmente oyendo, juzgando la verdad o falsedad de lo que
les era sometido a su verificacin. 1
1
Federacin Argentina de Profesionales en Ciencias Econmicas, CECYT, Informe N 5, Area
Auditora, Manual de Auditora, 1985. pg. 33.
3
Auditora en entornos informticos
2. CLASES DE AUDITORIA
Auditora contable
Es el examen independiente de los estados financieros de una entidad con la
finalidad de expresar una opinin sobre ellos. En este marco el auditor investiga
crticamente los estados contables de una organizacin para formarse un juicio
sobre la veracidad de tal informacin y comunicarlo a la comunidad.
4
Auditora en entornos informticos
Auditora administrativa
Es el control de la actividad desarrollada por los administradores de una
organizacin; evala el desempeo de los mismos como ejecutivos, el
cumplimiento de las metas programadas, la eficiencia en el uso de los recursos
disponibles, el xito o fracaso en las misiones encomendadas.
Auditora Social
Es el examen o evaluacin sistemtica sobre algn campo de accin
significativo, definible, de actividades con repercusin social.
Auditora mdica
Es el examen o evaluacin de la calidad de los servicios mdicos efectuados
por los prestadores de salud. En Argentina este tipo de auditoras es efectuada
por profesionales especializados vinculados a las obras sociales.
Auditora informtica
En este marco, podemos adelantar el concepto de auditora informtica: es el
estudio que se realiza para comprobar la fiabilidad de la herramienta informtica
y la utilizacin que se hace de ella en una organizacin. En forma ms amplia
se analiza la aplicacin de recursos informticos a los sistemas de informacin
existentes en las empresas, en especial los orientados a automatizar las tareas
administrativo-contables, financieras, de gestin, de soporte de decisiones, etc.
5
Auditora en entornos informticos
Auditora interna
Es una funcin de evaluacin interna, ejercida por personal perteneciente a los
cuadros de la empresa. Acta como un servicio independiente de la lnea
jerrquica corriente, por lo que depende directamente de la Direccin de la
organizacin. La auditora interna mide y evala la confiabilidad y eficacia del
sistema de control interno de la entidad con miras a lograr su mejoramiento.
Auditora externa
Es una funcin de evaluacin externa, ejecutada por un ente externo e
independiente de la lnea jerrquica establecida. Acta controlando algn
aspecto particular de las operaciones o procedimientos establecidos en la
organizacin.
Si comparamos las auditoras internas con las externas, vemos que las primeras
tienen como ventaja el conocimiento por parte del auditor de la cultura de la
organizacin y el hecho de que al pertenecer a la plantilla de la empresa el
profesional no es visto como un cuerpo extrao y, por consiguiente, no se le
retacea informacin; las externas, en cambio, cuentan como ventaja la
independencia del auditor, quin puede aplicar sus propios criterios, libre del
sentimiento de pertenencia a la estructura de la entidad.. Veamos en el
siguiente cuadro3, una comparacin de los alcances de la auditora externa e
interna cuando se evalan los estados contables de una entidad:
3
Consejo Profesional de Ciencias Econmicas de la Capital Federal, Comisin de Estudio de
Auditora, INFORME N 18, La tarea de auditora contable y su relacin con la auditora interna del
ente, , Bs. As., julio de 1992.
6
Auditora en entornos informticos
PRODUCTO FINAL Informe sobre Estados Contables Informes sobre control interno,
anuales o intermedios. gestin, desvos presupuestarios.
7
Auditora en entornos informticos
3. CONTROL Y AUDITORIA
4
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES DE CIENCIAS ECONOMICAS,
CECYT, Area Auditora, Informe N 5, Manual de Auditora, 1985, pg. 35.
5
Idem 4, pg. 37.
8
Auditora en entornos informticos
9
Auditora en entornos informticos
10
Auditora en entornos informticos
11
Auditora en entornos informticos
4. PISTAS DE AUDITORIA
6
NCR CORPORATION, Customer Support Training - System Analist Design, Dayton (Ohio), NCR
Corporation, 1989.
12
Auditora en entornos informticos
5. AUDITORIA Y CONSULTORIA
Objetivo Momento
Auditora Controlar el desempeo Posterior a los eventos
13
Auditora en entornos informticos
6. PROGRAMA DE AUDITORIA
Concepto de proyecto
Caractersticas de un proyecto:
Existe un objetivo o beneficio a conseguir.
Tiene un principio y un fin.
Es no recurrente, es nico y diferente a los dems.
Consta de una sucesin de actividades o fases y requiere la
concurrencia y coordinacin de diferentes recursos.
Dispone de un conjunto limitado de recursos.
Se desarrolla en un ambiente caracterizado por el conflicto,
frecuentemente cruza departamentos y lneas de autoridad.
Etapas de un proyecto
14
Auditora en entornos informticos
15
Auditora en entornos informticos
3) Relevamiento e investigacin:
16
Auditora en entornos informticos
4) Anlisis:
17
Auditora en entornos informticos
18
Auditora en entornos informticos
8
ACHA ITURMENDI, J.JOSE, Auditora Informtica de la empresa, Editorial Paraninfo, Madrid,
1994. Captulo 6.
19
Auditora en entornos informticos
7. ANTECEDENTES
7.1.Equivalentes?
20
Auditora en entornos informticos
21
Auditora en entornos informticos
22
Auditora en entornos informticos
CUESTIONARIO DE REVISION
Qu es auditora?
23
Auditora en entornos informticos
24
Auditora en entornos informticos
UNIDAD 2
Auditora de
Sistemas de
Informacin
25
Auditora en entornos informticos
26
Auditora en entornos informticos
CAPITULO 2
Auditora de sistemas de informacin
1. INTRODUCCION
27
Auditora en entornos informticos
Una vez producido un hecho econmico, se refleja en los diferentes estados del
sistema contable, en distintos momentos. Primero se registra en el diario, luego
puede mayorizarse y, por ltimo, al fin del ejercicio se refleja en el balance.
As, los pasos para el registro de una transaccin son:9
Documentos
Clasificacin cronolgica
2 DIARIO
Clasificacin sistemtica
3
MAYOR
Sntesis
4 BALANCE
9
RIVAS, GONZALO A., Auditora informtica,, Madrid, Edic. Daz de Santos, 1989, pg.30.
28
Auditora en entornos informticos
El objetivo es:
Para ello:
10
GABRIEL GUTIERREZ VIVAS, "Auditora e Informtica", en: CENTRO REGIONAL DEL IBI
PARA LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunin de expertos
sobre "AUDITORIA INFORMATICA", Madrid,1987, pg. 87.
11
PEREZ GOMEZ, JOSE MANUEL , "Auditora Informtica de las Organizaciones", en: CENTRO
REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA,
Reunin de expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pg. 17
12
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS ECONOMICAS.
CENTRO DE ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Area Auditora - Informe N 5 -
MANUAL DE AUDITORIA, Buenos Aires, 1985, pg 42.
29
Auditora en entornos informticos
En general, los autores coinciden en que las normas de auditora vigentes han
sido creadas para examinar los registros de los sistemas contables en
ambientes manual-mecnicos. Sin embargo, proponen que tambin son vlidas
para la ejecucin de este tipo de trabajos en un entorno computarizado. Es
decir, se pueden aplicar sin importar el mbito donde sta se realice.
Sin embargo, el mismo autor destaca que existe conciencia de que algunas
acciones deberan tomarse para adecuar la auditora al nuevo ambiente; por eso
propone que:
El Instituto de Censores Jurados de Cuentas ... participa igualmente de la opinin
de considerar a la informtica como una herramienta de la auditora y como tal
tiene el proyecto de emitir una Norma de Auditora que contemple las
consideraciones a tener en cuenta por el auditor en la ejecucin del trabajo en un
contexto informatizado.14
13
GABRIEL GUTIERREZ VIVAS, "Auditora e Informtica", en: CENTRO REGIONAL DEL IBI
PARA LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunin de expertos
sobre "AUDITORIA INFORMATICA", Madrid,1987, pg. 89.
14
Idem 7, pg. 93.
15
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS ECONOMICAS.
CENTRO DE ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Informe N 6 - Pautas para el
examen de estados contables en un contexto computarizado, Buenos Aires, s. f.
30
Auditora en entornos informticos
16
JORGE MERIDA MUOZ, "Auditora Informtica: Conceptos, evolucin y perspectivas", en:
CENTRO REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), ACTAS, I
Congreso Iberoamericano de Informtica y Auditora, San Juan de Puerto Rico, Madrid, 1988, pg.
72.
31
Auditora en entornos informticos
Caractersticas de un computador
17
JORGE NARDELLI, Auditora y Seguridad de los Sistemas de Computacin, Buenos Aires,
Editorial Cangallo, 1984.
32
Auditora en entornos informticos
18
JOSE MANUEL PEREZ GOMEZ, "Auditora de las organizaciones, en CENTRO REGIONAL
DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunin de
expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pg. 17.
19
JORGE NARDELLI, Auditora y Seguridad de los Sistemas de Computacin, Buenos Aires,
Editorial Cangallo, 1984.
33
Auditora en entornos informticos
Rafael Ruano Diez21, expresa: "La dificultad principal para el auditor estriba en
que cada vez ms se perder la pista de la generacin de informacin" (la pista
de auditora), esto es, no son verificables manualmente por el auditor. Adems,
el hecho de que las transacciones vitales sean producidas por el computador,
hace posible que los archivos magnticos conteniendo esta informacin pueden
ser alterados o copiados sin que quede pista de lo que ha ocurrido.
"la verificacin del sistema y sus procesos se hace ms compleja a medida que
nos enfrentamos con sistemas ms integrados, donde la realizacin a travs del
ordenador de las transacciones elementales del negocio genera los
correspondientes asientos contables de forma automtica, e incluso operaciones
tradicionalmente efectuadas por el Departamento Contable como las
amortizaciones, se efectan sin intervencin manual alguna
20
MERIDA MUOZ, JORGE, Auditora informtica: conceptos, evolucin y perspectivas,
CENTRO REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), ACTAS, I
Congreso Iberoamericano de Informtica y Auditora, San Juan de Puerto Rico, Madrid, 1988, pg.
72.
21
RUANO DIEZ, R., "La evolucin de la tecnologa y su efecto en la Auditora Informatizada", en:
CENTRO REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES
DE AVILA, Reunin de expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pg. 117.
22
FERNANDEZ BARGUES, E., "Auditora e informtica", en CENTRO REGIONAL DEL IBI PARA
LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA, Reunin de expertos sobre
"AUDITORIA INFORMATICA", Madrid,1987, pg. 66.
34
Auditora en entornos informticos
35
Auditora en entornos informticos
El control interno tambin puede ser definido como el conjunto de medidas que
contribuyen al dominio de la empresa. Tiene como finalidad, por un lado,
asegurar la proteccin y salvaguarda del patrimonio y la calidad de la
informacin, y por otro, la aplicacin de las instrucciones de la direccin y
favorecer la mejora de las actuaciones. Se manifiesta por medio de la
organizacin, los mtodos y procedimientos de algunas de las actividades de la
empresa para mantener la perennidad de la misma.24
23
Para ampliar conceptos sobre control interno recomendamos: VOLPENTESTA, Jorge Roberto,
Estudio de Sistemas de Informacin para la Administracin, Ed. O.D.Buyattii, Bs.As., 1993. pg.
155 a 173.
24
DERRIEN, YANN, Tcnicas de la auditora informtica, Marcombo, Espaa, 1994, pg. 7.
36
Auditora en entornos informticos
El control interno se refiere a los procesos y las prcticas por las cuales la
gerencia intenta asegurar que las decisiones y actividades aprobadas y
apropiadas son hechas y llevadas a cabo. Estas decisiones y actividades
pueden estar gobernadas por fuerzas externas: leyes y regulaciones, ticas
profesionales y estndares de auditora; o por factores internos: controles
implementados para asegurar a la Direccin que el negocio funciona de la
manera esperada.
Al igual que cualquier procedimiento estndar, para ser efectivos, los controles
deben ser revisados y mantenidos; cuando ello ocurre, los controles trabajan en
beneficio del negocio. Dichos controles no deberan ser tan rgidos como para
hacer difcil cualquier accin, pero no pueden ser tan flexibles que sean la causa
de que nada trabaje bien.
La primera categora se relaciona con los objetivos del negocio de una empresa,
incluyendo la rentabilidad; la segunda con la preparacin de informacin
financiera confiable, incluyendo sus estados contables, mientras que la tercera
se refiere al cumplimiento de las leyes y normas a las que est sujeta.
25
NAVEYRA, JULIO P. y BARBAFINA, MARTIN, Principios bsicos de control interno.
37
Auditora en entornos informticos
Es preventivo.
Est indisolublemente unido a los sistemas administrativos y contables de la
organizacin, incorporado al diseo de la estructura, de los procedimientos y
sistemas administrativos.
No es espordico ni externo al sistema que sirve, ni a la empresa u
organizacin en que ste opera. Es continuo.
Implica eficacia en los procedimientos y controles, eficiencia operativa y
seguridad en materia de informacin.
Busca optimizar la relacin costo/beneficio para determinar la configuracin y
profundidad (alcance) de los controles a efectuar, es decir, tiene en cuenta el
concepto de economicidad del control.
26
JOSE MANUEL PEREZ GOMEZ, "Auditora Informtica de las Organizaciones", en: CENTRO
REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), PAPELES DE AVILA,
Reunin de expertos sobre "AUDITORIA INFORMATICA", Madrid,1987, pg. 17.
38
Auditora en entornos informticos
revisin del sistema de control interno: satisfechos con las medidas de control
interno implementadas, dan por buenos los datos que genera el sistema de
informacin econmico-financiero.
39
Auditora en entornos informticos
40
Auditora en entornos informticos
41
Auditora en entornos informticos
a) En la estructura
b) En los procedimientos
42
Auditora en entornos informticos
Esta categora contempla los controles aplicados sobre las actividades que se
desarrollan alrededor de una aplicacin. Son aqullos relacionados con la
operacin de los programas. Tambin incluye el control de las actividades de
construccin y mantenimiento de las aplicaciones; esto implica el diseo y la
43
Auditora en entornos informticos
44
Auditora en entornos informticos
Cuando los controles de una aplicacin son llevados a cabo por el computador,
es decir por el programa que se est ejecutando en su memoria, reciben el
nombre de procedimientos programados o controles programados.
a) Controles de entrada
Son los mecanismos de control que operan sobre los datos que ingresan al
sistema. Permiten seleccionar los datos que entran al computador y aseguran
que se procesen en forma integral y correcta slo las operaciones debidamente
autorizadas. Estn relacionados con el control sobre la totalidad, exactitud,
validez y mantenimiento de los datos que ingresan al sistema. Consisten en
pruebas de validacin, acumulacin de totales, reconciliaciones, identificacin e
informe de datos incorrectos, excepcionales o faltantes, etc.
45
Auditora en entornos informticos
b) Controles de procesamiento
46
Auditora en entornos informticos
Los items en suspenso se generan en los casos de operaciones que, por algn
motivo, no han satisfecho los requisitos de entrada. En estos casos, se
recomienda que las operaciones incompletas ingresen (se graben) en un
archivo especial, de transacciones en suspenso. Posteriormente, cuando los
requisitos para procesar dichas transacciones estn cumplidos, podrn ser
levantadas desde dicho archivo y finalizar su procesamiento normalmente.
c) Controles de salida
47
Auditora en entornos informticos
Los controles programados sobre los archivos operan tanto sobre los datos
permanentes del sistema, grabados en los archivos maestros, como sobre los
que guardan datos transitorios, en archivos de movimientos. Procuran proteger
los archivos grabados en soporte digital. Estos controles son ejercidos
principalmente por el sector de Operacin o Explotacin del departamento de
Sistemas y, tambin, por los propios usuarios.
48
Auditora en entornos informticos
49
Auditora en entornos informticos
50
Auditora en entornos informticos
a) Informe N 6
b) Informe COSO
27
FEDERACION ARGENTINA DE CONSEJOS PROFESIONALES EN CIENCIAS ECONOMICAS.
CENTRO DE ESTUDIOS CIENTIFICOS Y TECNICOS (CECYT), Informe N 6 - Pautas para el
examen de estados contables en un contexto computarizado, Buenos Aires, s. f.
28
Metodologa desarrollada por la firma Cooper & Lybrand y adoptada como estndar por las
asociaciones americanas de contabilidad y auditora. Publicada en 1992.
29
Apuntes del Seminario de Auditora de Sistemas, INFO95. Disertante Cr. Sergio Tubio, Price
Waterhouse. Crdoba, 1995.
51
Auditora en entornos informticos
I. Ambiente de Control
II. Evaluacin de Riesgos
III. Actividades de Control
iV. Informacin y Comunicacin
V. Supervisin
52
Auditora en entornos informticos
Riesgos relacionados
8.- Riesgo de continuidad de procesamiento con el negocio en
general
La consigna es que para cada uno de los riesgos analizados, el auditor debe
formular planes de contingencia que los administre.
53
Auditora en entornos informticos
a) Entrevista
54
Auditora en entornos informticos
b) Cuestionario
Existen opiniones que descalifican el uso de checklist. Sin duda se refieren a las
situaciones de auditores inexpertos que recitan preguntas y esperan respuestas
esquematizadas. Pero esto no es utilizar checklists, esto es una evidente falta de
profesionalidad.30
Por ello, aun siendo muy importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todava lo es ms el modo
y el orden de su formulacin...
30
ACHA ITURMENDI, JUAN JOSE. Auditora informtica en la empresa. Ed. Paraninfo, Madrid,
1994, pg. 68.
31
ACHA ITURMENDI, JUAN JOSE, idem anterior, pg. 69.
32
ACHA ITURMENDI, JUAN JOSE, idem anterior, pg. 70.
55
Auditora en entornos informticos
56
Auditora en entornos informticos
b) Lotes de prueba
33
Frecuentemente los delitos informticos son llevados a cabo por los operadores del sistema,
modificando en forma directa los datos grabados en los archivos, o bien, haciendo una
modificicacin temporal a los programas en ejecucin; ambos casos no son detectados con esta
tcnica de auditora.
57
Auditora en entornos informticos
c) Simulacin paralela
d) Procesamiento paralelo
58
Auditora en entornos informticos
Para instrumentar esta tcnica, se debe obtener una copia de los programas,
extraer una muestra representativa de la informacin residente en los archivos
de datos, luego, realizar el reprocesamiento usando datos de transacciones
reales, seleccionadas por el auditor. El reprocesamiento se realiza usando los
mismos programas y bases de datos, pero en otro computador.
59
Auditora en entornos informticos
DGI, la Bolsa de Valores en caso de cotizar en bolsa, etc. Esta medida procura
evitar problemas de ndole legal.
f) Pistas de transacciones
60
Auditora en entornos informticos
Las pistas o marcas pueden ser "fsicas" o "lgicas". Una marca fsica se
realiza mediante el agregado de un cdigo (dato) especial al registro, por
ejemplo agregndole un asterisco al comienzo del mismo. La marca lgica es
un dato inherente a la informacin que guarda normalmente el registro, por
ejemplo el monto de la operacin; luego, es posible seguir las operaciones
mayores a $100.000 cuando se examina este campo del registro.
Esta tcnica permite rastrear las operaciones reales a partir del examen de los
archivos de movimiento que guardan los registros de las operaciones
procesadas por el sistema.
g) Comparacin de programas
61
Auditora en entornos informticos
Ahora bien, es tan impensable pedir al auditor que analice uno por uno el
conjunto de los registros de los archivos de una empresa, como pedirle que
analice lnea a lnea los programas que los procesan. Una primera conclusin
que se saca de esta situacin es que el auditor no contar nunca con todos
los elementos necesarios para asegurar el control total de una aplicacin
informatizada (programas, archivos, procedimientos, etc.), independiente-
mente de la duracin de su misin.
h) Paquetes de auditora
Obtener muestreos a partir de las bases de datos reales del sistema, realizar
extrapolaciones y luego procesarlas con el debido rigor estadstico.
Rastrear datos en los logs del sistema operativo y obtener informacin
referida a quines entraron al sistema, qu hicieron, cundo, dnde, qu
controles se violaron.
34
DERRIEN, YAN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994. pg. 16.
62
Auditora en entornos informticos
-ACL - www.acl.com
-Galileo - www.darcangelosoftwareservices.com
-Pentana - www.pentana.com
63
Auditora en entornos informticos
6.3. Conclusiones
64
Auditora en entornos informticos
CUESTIONARIO DE REVISION
65
Auditora en entornos informticos
66
Auditora en entornos informticos
ANEXO I
INTRODUCCION
35
Otros marcos conceptuales similares al COSO y |generalmente aceptados para evaluar el
sistema de Control Interno de una entidad son: COCO (Canad), Cadbury (Inglaterra), Kenig
(Sudafrica)
67
Auditora en entornos informticos
68
Auditora en entornos informticos
El entorno en el que una entidad opera influye en los riesgos a los que est
expuesta; en particular, puede estar sujeta a requerimientos de informacin a
terceros particulares o a cumplir exigencias legales o normativas especficas.
69
Auditora en entornos informticos
1. Ambiente de Control
2. Evaluacin de Riesgos
3. Actividades de Control
4. Informacin y Comunicacin
5. Supervisin.
70
Auditora en entornos informticos
1. AMBIENTE DE CONTROL
Para evaluar el entorno de control, se debe considerar cada factor del ambiente
de control para determinar si ste es positivo. El mbito de control provee la
disciplina a travs de la influencia que ejerce sobre el comportamiento del
personal en su conjunto. Los principales factores del ambiente de control son:
71
Auditora en entornos informticos
72
Auditora en entornos informticos
73
Auditora en entornos informticos
2. EVALUACIN DE RIESGOS
Toda entidad debe hacer frente a una serie de riesgos tanto de origen interno
como externo que deben evaluarse. Una condicin previa a la evaluacin de los
riesgos es el establecimiento de objetivos en cada nivel de la organizacin que
sean coherentes entre s. La evaluacin del riesgo consiste en la identificacin y
anlisis de los factores que podran afectar la consecucin de los objetivos y, en
base a dicho anlisis, determinar la forma en que los riesgos deben ser
administrados y controlados.
74
Auditora en entornos informticos
Riesgos
Factores externos:
Factores internos:
Los cambios de responsabilidades de los directivos pueden
afectar la forma de realizar determinados controles.
Problemas con los sistemas informticos pueden perjudicar las
operaciones de la entidad.
Una funcin de auditora dbil o ineficaz afecta la calidad de los
controles.
75
Auditora en entornos informticos
Anlisis de riesgos
Una vez identificados los riesgos a nivel de entidad y por actividad deben
llevarse a cabo el proceso de anlisis de riesgos, esto incluye:
Existe una diferencia entre el anlisis de los riesgos -que forman parte del
proceso de Control Interno- y los planes, programas y acciones resultantes que
la Direccin considere necesarios para afrontar dichos riesgos, estas acciones
son parte del proceso de gestin y no son responsabilidad del sistema de
Control Interno.
76
Auditora en entornos informticos
77
Auditora en entornos informticos
3. ACTIVIDADES DE CONTROL
Son las polticas (qu debe hacerse) y los procedimientos (cmo debe hacerse)
que procuran asegurar se lleven a cabo las instrucciones de la Direccin.
Ayudan a asegurar que se tomen las medidas necesarias para controlar los
riesgos relacionados con la consecucin de los objetivos de la entidad.
Las operaciones
La confiabilidad de la informacin financiera
El cumplimiento de leyes y reglamentos
78
Auditora en entornos informticos
79
Auditora en entornos informticos
80
Auditora en entornos informticos
4. INFORMACIN Y COMUNICACIN
Informacin
As como es necesario que todos los agentes conozcan el papel que les
corresponde desempear en la organizacin (funciones, responsabilidades), es
imprescindible que cuenten con la informacin peridica y oportuna que deben
manejar para orientar sus acciones en consonancia con los dems, procurando
el mejor logro de los objetivos.
Debe haber una comunicacin eficaz en un sentido amplio, que fluya en todas
las direcciones a travs de todos los mbitos de la organizacin, de arriba hacia
abajo y a la inversa.
81
Auditora en entornos informticos
Calidad de la informacin
Comunicacin
Comunicacin interna
Cada funcin concreta ha de especificarse con claridad, cada persona tiene que
entender los aspectos relevantes del sistema de Control Interno, como
funcionan los mismos, saber cul es su papel y responsabilidad en el sistema.
82
Auditora en entornos informticos
Asimismo, el personal tiene que saber cmo sus actividades estn relacionadas
con el trabajo de los dems, esto es necesario para conocer los problemas y
determinar sus causas y la medida correctiva adecuada, El personal debe saber
los comportamientos esperados, aceptables y no aceptables.
Comunicacin externa
83
Auditora en entornos informticos
84
Auditora en entornos informticos
5. SUPERVISIN
Como hemos visto, el Control Interno puede ayudar a que una entidad consiga
sus objetivos de rentabilidad y a prevenir la prdida de recursos, puede ayudar a
la obtencin de informacin financiera confiable, puede reforzar la confianza de
que la empresa cumple con la normatividad aplicable. Sin embargo, los
sistemas de Control Interno requieren supervisin, es decir, un proceso que
compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo
del tiempo. Esto se consigue mediante actividades de supervisin continua,
evaluaciones peridicas o una combinacin de ambas cosas.
85
Auditora en entornos informticos
El proceso de evaluacin
86
Auditora en entornos informticos
Existe una gran variedad de metodologas para abordar el anlisis del sistema
de control interno y el auditor disponde de variadas herramientas de evaluacin:
hojas de control, cuestionarios y tcnicas de flujogramas, tcnicas cuantitativas,
etc. Algunas empresas, comparan sus sistemas de Control Interno con los de
otras entidades, lo que se conoce generalmente como tcnica de
benchmarking.
Documentacin
Deficiencias
87
Auditora en entornos informticos
La eficacia del sistema de Control Interno est en directa relacin con las
personas responsables de su funcionamiento, incluso aquellas entidades que
tienen un buen ambiente de control (aquellas que tienen elevados niveles de
integridad y conciencia del control) existe la posibilidad de que el personal eluda
el sistema de Control Interno con nimo de lucro personal o para mejorar la
presentacin de la situacin financiera o para disimular el incumplimiento de
obligaciones legales. La elusin incluye prcticas tales como actos deliberados
de falsificacin ante bancos, abogados, contadores y proveedores, as como la
emisin intencionada de documentos falsos entre otras.
88
Auditora en entornos informticos
89
Auditora en entornos informticos
90
Auditora en entornos informticos
ANEXO II
Anlisis por categorizacin del riesgo
(metodologa de Price Waterhouse)
2) Ingreso de datos
Controla los datos que ingresan al sistema informtico. Deben distinguirse dos
tipos de datos: permanentes y de transacciones. Los riesgos de esta categora
son: datos imprecisos, incompletos o duplicidad de ingreso (ingresados ms de
91
Auditora en entornos informticos
una vez).
Controles:
De edicin y validacin. Se valida el formato, lmites, dgito verificador,
validacin contra los datos grabados en un archivo de control, balanceo,
correlacin de campos, etc.
De lotes. Trabaja con totales no significativos, efecta el control de secuencia
de las transacciones, la doble digitacin de datos crticos, procura evitar el
doble procesamiento de una transaccin, etc.
4) Procesamiento
92
Auditora en entornos informticos
Para analizar este tipo de riesgos debemos controlar los accesos, tanto al lugar
donde estn los computadores (departamento de Sistemas), como a los
sistemas de aplicacin en produccin. En general se basa en una pirmide de
control clsica, de tres niveles: directivos o ejecutivos, mandos medios, y
operativo o de usuarios comunes, en donde cada estrato posee accesos
diferenciados.
La premisa a tener en cuenta para analizar este riesgo es que de nada valen los
controles previstos en los programas de aplicacin, si el entorno donde
trabajamos no tiene los controles indispensables.
93
Auditora en entornos informticos
94
Auditora en entornos informticos
CAPITULO 3
Pistas de auditora digitales
1. INTRODUCCION
36
ANTONIO MILLE, "La montica y sus leyes", Revista Presencia NCR N 10, Buenos Aires, Julio
1989, pg. 5.
95
Auditora en entornos informticos
Las transacciones electrnicas son una tendencia que por razones funcionales y
de eficiencia operativa prometen desplazar el modo "presencial" de efectuar
operaciones comerciales como est ocurriendo con el comercio electrnico a
travs de Internet o con las clsicas operaciones financieras realizadas por
medio de la red de cajeros automticos donde los usuarios del sistema realizan
sus transacciones interactuando con un computador y la identificacin personal
se constata con el ingreso de una tarjeta plstica y una clave secreta de acceso
al sistema. La documentacin que se genera no es personalizada: no lleva
firmas ni rastros fsicos del autor. La seguridad del sistema se asienta en la
posesin de la tarjeta -con los datos del usuario grabados en una banda
magntica o en un chip de memoria- y en la clave de acceso, cuya
confidencialidad es la piedra angular de la confianza en el sistema.
37
RAFAEL F. MARTINEZ MARGARIDA, "La automatizacin de la Auditora. La Auditora del
futuro", en: CENTRO REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI),
ACTAS, I Congreso Iberoamericano de Informtica y Auditora, San Juan de Puerto Rico, Madrid,
1988, pg. 85.
96
Auditora en entornos informticos
Actualmente el auditor basa sus opiniones en base a los datos brindados por el
sistema de gestin, pero ste fue diseado para optimizar el procesamiento de
las operaciones administrativas de la empresa y no para procurar un mejor
control y auditabilidad de las transacciones y su registro.
"Uno de los riesgos asociados con la utilizacin del computador, desde el punto
de vista del Auditor que va a emitir su opinin sobre las cifras de un estado
financiero, es que la informacin que le sirve de base... puede estar contaminada.
....
Lo sutil de un fraude por computadora es que siempre podremos hacer la
columna A igual a la B ... exclusivamente para los Auditores".39
38
JOSE MANUEL PEREZ GOMEZ, "La auditora de los sistemas de informacin", en: CENTRO
REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), ACTAS, I Congreso
Iberoamericano de Informtica y Auditora, San Juan de Puerto Rico, Madrid, 1988, pg. 110.
39
ALEJANDRO LAMBARRI V, "Utilizando el computador para realizar la auditora", en: CENTRO
REGIONAL DEL IBI PARA LA ENSEANZA DE LA INFORMATICA (CREI), ACTAS, I Congreso
Iberoamericano de Informtica y Auditora, San Juan de Puerto Rico, Madrid, 1988, pg. 267.
97
Auditora en entornos informticos
98
Auditora en entornos informticos
a) Archivo Log-Auditora
40
Basada en la tesis doctoral del autor "Auditora contable en entornos informticos: una propuesta
metodolgica para obtener pistas de auditora indelebles", Facultad de Ciencias Econmicas-
Universidad Nacional de Crdoba, 1994.
99
Auditora en entornos informticos
b) Servidor de Auditora
100
Auditora en entornos informticos
2. ARCHIVO LOG-AUDITORIA
101
Auditora en entornos informticos
En esta situacin, en los casos de una auditora contable, la primer tarea del
auditor consistira en introducir un juego de transacciones y verificar su reflejo
en el archivo Log-Auditora; de esta manera valida tambin parte del sistema de
control interno. Luego, pasara a la fase de auditora de balance". Esta
consistira en recoger y procesar la informacin del archivo Log-Auditora,
obteniendo como resultado las cifras de los estados contables que se estn
verificando segn sus clculos. Por ltimo, slo le quedara comparar su
balance con el que le entreg la entidad objeto de revisin.
102
Auditora en entornos informticos
103
Auditora en entornos informticos
104
Auditora en entornos informticos
41
WORM de Write Once Read Many (nica grabacin mltiples lecturas)
105
Auditora en entornos informticos
3. SERVIDOR DE AUDITORIA
d) Asegurarse que los datos que utilizar en sus controles sean confiables y
seguros, que no hayan sido vulnerados desde el momento de su registro
inicial.
Red WAN /
INTERNET
Servidor de
Servidor de
Auditora Bases de Datos
Servidor de Servidor de
WEB / mail Aplicaciones
106
Auditora en entornos informticos
En este modelo los procedimientos para obtener y transferir los datos desde el
ambiente de gestin al de auditora son clave; dependiendo del mecanismo que
se utilice para recoger los datos desde el sistema de gestin, el Servidor de
Auditora podr operar con informacin en tiempo real o diferido. En este marco,
consideramos los siguientes casos:
107
Auditora en entornos informticos
Para colectar los datos generados por las transacciones que procesa el sistema
de gestin y enviarlas al Servidor de Auditora se consideran distintas
tecnologas:
b) Utilizar agentes inteligentes para colectar los datos generados por las
transacciones procesadas por el sistema de gestin y trasladarlos al Servidor
de Auditora en forma simultnea (tiempo real). Los agentes inteligentes son
productos de software que corren en forma autnoma dentro del sistema
informtico. Esta tecnologa requiere el desarrollo de software especfico que
debe ser instalado tanto en el sistema de gestin como en el Servidor de
Auditora y permitiran contar con la misma informacin en forma permanente
dentro de ambos ambientes.
108
Auditora en entornos informticos
Usuario
Programade
Aplicacin
e
Transaccin Ambiented
gesti nu
operativo
Ambientede
auditora
DBMS Archivologde Programacolector
transacciones detransacciones
Servidor
deAuditora
BasedeDatos
deGestin
Basededatos
deAuditora
109
Auditora en entornos informticos
110
Auditora en entornos informticos
111
Auditora en entornos informticos
4. CONCLUSIONES
112
Auditora en entornos informticos
sirvan de pista de auditora y que los datos disponibles sean los requeridos para
poder reconstruir la informacin relacionada con las operaciones procesadas. El
inconveniente ms importante para instrumentar esta propuesta reside en la
necesidad de modificar los programas vigentes de las aplicaciones de gestin
para que tributen los registros correspondientes al Log-Auditora. Adems, este
archivo reside dentro del ambiente de procesamiento afectado al sistema de
gestin; por ende, vulnerable a la manipulacin por parte del personal de
Sistemas.
Base de datos propia: en efecto, al contar con una base de Auditora propia,
que ha sido definida con tablas y datos que hacen a la esencia de las
transacciones econmicas y financieras de la empresa, se pueden obtener
los listados o reportes necesarios para los controles habituales.
113
Auditora en entornos informticos
114
Auditora en entornos informticos
CUESTIONARIO DE REVISION
115
Auditora en entornos informticos
116
Auditora en entornos informticos
UNIDAD 3
Auditora
Informtica
117
Auditora en entornos informticos
118
Auditora en entornos informticos
CAPITULO 4
Auditora informtica
1. INTRODUCCION
42
DERRIEN, YANN. Tcnicas de la auditora informtica. Espaa, 1994. pg. 25.
ACHA ITURMENDI, J. JOS, Auditora informtica en la empresa, Editorial Paraninfo, Madrid,
43
119
Auditora en entornos informticos
44
RIVAS, GONZALO A., Auditora Informtica, Ed. Daz de Santos, Madrid, 1989. pg. 19.
ACHA ITURMENDI, J. JOS, Auditora informtica en la empresa, Editorial Paraninfo, Madrid,
45
120
Auditora en entornos informticos
121
Auditora en entornos informticos
122
Auditora en entornos informticos
Como vimos, los objetivos de una Auditora Informtica pueden ser muy
variados. A los efectos de un mejor abordaje, los agrupamos en las siguientes
categoras (segn el campo de accin o actividad que abarquen):
46
RIVAS, GONZALO A., Auditora Informtica, Ed. Daz de Santos, Madrid, 1989. pg. 46.
123
Auditora en entornos informticos
124
Auditora en entornos informticos
En sntesis:
Otros enfoques
Rivas47 nos presenta otra forma de clasificar las actividades (objetivos) de una
auditora informtica:
Auditora informtica en el rea de la planificacin
Auditora informtica en el rea de organizacin y administracin
Auditora informtica en el rea de construccin de sistemas
Auditora informtica en el rea de explotacin
Auditora informtica del entorno operativo hardware
Auditora informtica del entorno operativo software
RIVAS, GONZALO A., Auditora Informtica, Ed. Daz de Santos, Madrid, 1989.
47
48
DERRIEN, YAN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994
125
Auditora en entornos informticos
49
ACHA ITURMENDI, JUAN JOSE, Auditora informtica en la empresa, Madrid, Editorial
Paraninfo, 1994.
50
PIATTINI, MARIO y DEL PESO, EMILIO. "Auditora Informtica. Un enfoque prctico". Editorial
Ra-ma. Madrid, 1998
126
Auditora en entornos informticos
127
Auditora en entornos informticos
3. ADMINISTRACION
51
Recomendamos leer el ANEXO IV - "Fases de la informtica" de Richard Nolan. Este material
describe un modelo de desarrollo de las Tecnologas de Informacin en una empresa. En este
caso, recomendamos utilizar este modelo para analizar el desempeo de los recursos informticos
de una entidad.
128
Auditora en entornos informticos
Manuales de procedimientos.
Manuales de normas.
129
Auditora en entornos informticos
Para que funcione este modelo, deben estar perfectamente definidas las
funciones, organizacin y polticas de los departamentos de manera de evitar la
duplicidad de esfuerzos y confusiones en la jerarquas de mandos, por ejemplo,
que en dos lugares diferentes se estn desarrollando los mismos sistemas.
Estas situaciones se solucionan estableciendo polticas claras, como el hecho
de programar en un nico sitio, que no se permita crear equipos de
programacin salvo en los lugares indicados por la Direccin de Informtica, etc.
130
Auditora en entornos informticos
Directorio
Gerencia del
Dpto. de Sistemas
Gerencia
General
...
Gerencia de PRIMER MODELO SEGUNDO MODELO
Adm.y Finanzas El rea de Sistemas El rea de Sistemas
depende de la depende de los
direccin de Administracin niveles mximos
y Finanzas
Gerencia del
Dpto. de Sistemas
Anlisis Operacin
de Sistemas de equipos
Control
Programacin
de datos
TERCER MODELO CUARTO MODELO
Preparacin Mltiples rea s de Sistemas Tercerizacin del
de datos
(bajo la rbita de las rea de Sistemas
dependencias a que dan (outsourcing)
servicio)
Objetivo: los aspectos a evaluar en este rubro por una auditora informtica son,
por ejemplo, si el rea de Sistemas cuenta con los recursos humanos
adecuados para garantizar la continuidad del servicio, es decir, si puede
asegurar la operacin de los sistemas en produccin en el tiempo. Se revisa la
situacin de los recursos humanos del rea, para lo cual se entrevista al
personal de Sistemas: gerentes, analistas, programadores, tcnicos,
operadores, personal administrativo, etc. A tales efectos es conveniente relevar:
131
Auditora en entornos informticos
132
Auditora en entornos informticos
En este punto, se controla que las normas y politicas sean adecuadas, estn
vigentes y definidas correctamente, que los planes de trabajo concuerden con
los objetivos de la empresa, etc.
Este ltimo aspecto suele dar lugar a que el auditor exprese opiniones
tcnicas, a veces no tan bien intencionadas, sobre las posibles soluciones
(alternativas tcnicas) que l conoce o prefiere por su preparacin, su
experiencia, su ignorancia, por estar de moda o por sus intereses. Estas
opiniones, si no estn bien fundamentadas, dan lugar a que pueda refutarse o
133
Auditora en entornos informticos
desestimarse el Informe del auditor y con ello el resultado del trabajo. Influye
mucho en el anlisis de este elemento las tendencias del mercado en cuanto a
las arquitecturas de equipamiento, sistemas operativos, redes de
comunicaciones, herramientas de desarrollo, etc.; es decir, deben considerarse
tanto las tecnologas emergentes, como aqullas en proceso de obsolescencia.
134
Auditora en entornos informticos
Estos documentos, similares a los usados para gestionar las otras reas de una
empresa, deberan servir de base para auditar el rea Sistemas; la carencia de
ellos impide al auditor juzgar la marcha de la misma.
135
Auditora en entornos informticos
136
Auditora en entornos informticos
Planeamiento:
Deben desarrollarse y comunicarse a las reas involucradas, polticas que reflejen las
directivas de la alta gerencia sobre los objetivos y metas institucionales que se
relacionen con la funcin de procesamiento de la informacin.
Deben definirse y comunicarse a todos los funcionarios afectados, las normas
actualizadas que regulan la adquisicin de bienes informticos y servicios de
comunicaciones asociados, el diseo, desarrollo y modificacin de los Sistemas
Computadorizados de Informacin y las operaciones especficas de la funcin de
servicio de procesamiento de informacin.
Se deben definir y comunicar a todos los funcionarios afectados, procedimientos
actualizados que regulen la metodologa a aplicar para las relaciones entre la unidad
de servicio de procesamiento de informacin y las unidades usuarias.
Nivel y Responsabilidades:
La responsabilidad por los servicios de procesamiento de la informacin del
organismo debe recaer en una unidad o comit de sistemas que asegure la
homogeneidad de criterios y la unificacin de objetivos a alcanzar.
La unidad responsable de los servicios de procesamiento de informacin debe
encontrarse ubicada en la estructura en una posicin tal que garantice la necesaria
independencia respecto de las unidades usuarias.
El manual de organizacin debe incluir la descripcin de las principales reas que
abarca la unidad y las responsabilidades asignadas.
52
Extrado del Informe sobre la "Evaluacin de la Gestin y Organizacin Informtica",
www.sigen.gov.ar, agosto de 2003.
137
Auditora en entornos informticos
Separacin de funciones:
53
DERRIEN, YANN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994. Captulo 2.
138
Auditora en entornos informticos
4. EXPLOTACION u OPERACIONES
Este tipo de trabajos de auditora tiene por objetivo evaluar la calidad de los
servicios prestados por el rea Sistemas y el desempeo de las aplicaciones en
produccin. Otras denominaciones que recibe este tipo de trabajos son:
Auditora del entorno de produccin (Derrien), Auditora informtica de
explotacin (Acha Iturmendi), Auditora informtica del rea de explotacin
(Rivas). Se corresponde con el domnio "Entrega y Soporte" de COBIT.
139
Auditora en entornos informticos
Los servicios generales del rea Sistemas han ganado relevancia en los ltimos
tiempos y ha hecho resurgir el protagonismo del rea como centro prestador de
servicios. La conectividad a Internet, correo electrnico y mensajera digital,
produccin y mantenimiento del sitio web de la empresa, la vinculacin a
operatorias de comercio electrnico y otros servicios conexos, se han
transformado imprescindibles para las organizaciones actuales. Por
consiguiente, son materia de nuevos aspectos a auditar. Complementariamente
emerge en este ambiente como relevante la seguridad informtica, materia que
se analizar en detalle ms adelante, y que tambin debe ser considerada como
objeto de auditora.
140
Auditora en entornos informticos
54
DERRIEN, YAN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994. Captulos 4 y 5,
extracto.
141
Auditora en entornos informticos
Operadores
Los operadores son los integrantes tradicionales del sector Explotacin. Aparecen
individualizados en las instalaciones medianas y grandes, especialmente cuando el
equipamiento con que se cuenta es de arquitectura mainframe. Son los encargados de
administrar el equipo y sus perifricos, operarlo y administrar las salidas.
Soporte a usuarios
Esta funcin aparece a partir de la difusin de los PC dentro del rea de administracin
de las empresas, se ocupa de atender los problemas de los usuarios (gestin de
"incidentes"). Bsicamente se encarga de dar soporte y consultora tcnica a los
usuarios individuales de PC tanto en las tareas de instalacin como en la peracin de
los utilitarios y herramientas de productividad que utilizan. Esta funcin tambin se
denomina Mesa de Ayuda o Help Desk; frecuentemente est tercerizada y suele
ocuparse de administrar el inventario del equpamiento y licencias de software..
142
Auditora en entornos informticos
5. DESARROLLO
143
Auditora en entornos informticos
56
ALIJO, JORGE, material didctico del seminario de Auditora de sistemas computarizados,
C.P.C.E. de Crdoba, 1994.
57
Relacionado con el desarrollo de aplicaciones estn en boga nuevas tecnologas -por ejemplo,
las herramientas CASE- y nuevos conceptos de diseo como programacin orientada a objetos,
ambiente cliente-servidor. En este material no profundizamos en ellos, slo presentamos una
metodologa para administrar proyectos de desarrollo de aplicaciones.
144
Auditora en entornos informticos
145
Auditora en entornos informticos
146
Auditora en entornos informticos
aplicacin informtica
O
Definicin de la
sistema objeto
N
Definicin del
Programacin
A
y prueba
L
operaciones
en rgimen
Identificacin
Planeamiento
costo/beneficio
del problema
Puesta en
del proyecto
Sistema
Evaluacin
TIEMPO
58
DERRIEN, YANN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994. Captulo 3.
147
Auditora en entornos informticos
Analistas de sistemas
El analista debe revisar los mtodos existentes y familiarizarse con los formularios y
procedimientos en uso actualmente. Junto con l, los usuarios identifican los problemas
especficos y evalan las alternativas para resolver dichos problemas. El analista debe
poder preparar organigramas y diagramas de bloques y de lgica, establecer y disear
formularios y documentos, desarrollar anlisis comparativos de costos y recomendar
mejoras de organizacin y de procedimientos.
Junto con los programadores, conforman el sector que se ocupa del desarrollo y
mantenimiento de los sistemas de aplicacin. La funcin del personal de este sector es
la de analizar los flujos de informacin de la organizacin, sus objetivos, mtodos y
requerimientos, con el objeto de formular un plan integral de procesamiento de datos
usando los equipos existentes. Para ello, realizan tareas varias, tales como relevamiento,
anlisis, diseo de sistemas, planificacin de la programacin, supervisin, formulacin
de controles y documentacin.
148
Auditora en entornos informticos
Programadores
Preparar (escribir) los programas para solucionar un problema definido por el analista.
Probar el funcionamiento de los programas, desarrollados de acuerdo con las
especificaciones brindadas por el analista o los usuarios.
Recomendar mtodos para mejorar la eficiencia de programas ya existentes.
Ayudar al analista a estudiar los procedimientos existentes, y en la preparacin de
presupuestos de costos y planes de trabajo.
Preparar informes de progreso de los programas que tenga asignados y mantener la
documentacin apropiada en forma actualizada.
El personal de este sector suele estar asociado con los Analistas de Sistemas
conformando un nico equipo. En instalaciones grandes, con proyectos de desarrollo de
aplicaciones complejos, pueden conformar un sector propio, ocupndose de apoyar a los
sectores de Anlisis de Sistemas y Operacin.
Un programador tiene como funcin desarrollar sus programas de una manera lgica,
diagramando y documentando los procedimientos de modo que otros especialistas
puedan en el futuro entenderlos y modificarlos, si corresponde.
149
Auditora en entornos informticos
Existen situaciones en las que el auditor debe estar alerta y aclarar las razones
del pedido de una auditora informtica. Por ejemplo, cuando es encargada por
la Direccin, en un contexto de relacin tensa con la Gerencia de Sistemas, el
59
DERRIEN, YANN, Tcnicas de la auditora informtica, Marcondo, Espaa, 1994. pg. 15.
150
Auditora en entornos informticos
60
La justificacin de una auditora informtica para establecer un estado de situacin se da
frecuentemente en nuestras PyMES. A veces, nos encontramos con desmantelamientos del rea
de sistemas (despidos masivos de los empleados del rea o ruptura del vnculo con un Analista
externo); la solucin ms comn es entregar el problema a otros tcnicos para que lo resuelvan
segn su mejor criterio. En estos casos, es justificable y conveniente encargar una auditora de los
recursos informticos de la entidad, de manera que el auditor de sistemas releve y diagnostique la
situacin en forma independiente de quin/es proveern la solucin.
61
ACHA ITURMENDI, JUAN JOSE. Auditora informtica en la empresa. Editorial Paraninfo,
Madrid, 1994. pg. 41 , 42 y 43.
151
Auditora en entornos informticos
7. CONSIDERACIONES FINALES
152
Auditora en entornos informticos
CUESTIONARIO DE REVISION
153
Auditora en entornos informticos
154
Auditora en entornos informticos
ANEXO III
COBIT - Objetivos de Control
para la Informacin y las Tecnologas afines
1. INTRODUCCION
155
Auditora en entornos informticos
156
Auditora en entornos informticos
157
Auditora en entornos informticos
158
Auditora en entornos informticos
159
Auditora en entornos informticos
Audiencia de COBIT
COBIT esta diseado para ser utilizado por tres audiencias distintas:
Los Objetivos de Control DEL cobit estn definidos con una orientacin a los
procesos, siguiendo el principio de reingeniera de negocios. Se clasifican en
dominios y procesos, se identifica tambin un objetivo de control de alto nivel
para documentar el enlace con los objetivos del negocio. Se proporcionan,
adems, consideraciones y guas para definir e implementar el Objetivo de
Control de TI.
160
Auditora en entornos informticos
Calidad de la informacin
161
Auditora en entornos informticos
Recursos IT
162
Auditora en entornos informticos
Dominios de COBIT
163
Auditora en entornos informticos
164
Auditora en entornos informticos
El marco refencial del COBIT ha sido limitado a una serie de objetivos de control
de alto nivel, enfocados a las necesidades de negocio, dentro de un proceso de
tecnologas de la informacin determinado. Los objetivos de control de las TI
han sido organizados por proceso / actividad.
Es preciso sealar que los objetivos de control de las TI han sido definidos de
una forma general (no dependen de ninguna plataforma tcnica), aunque se
debe aceptar el hecho de que algunos entornos de tecnologa especiales
pueden necesitar espacios separados para los objetivos de control.
165
Auditora en entornos informticos
166
Auditora en entornos informticos
167
Auditora en entornos informticos
168
Auditora en entornos informticos
169
Auditora en entornos informticos
170
Auditora en entornos informticos
Objetivo: Satisfacer los requerimientos de calidad de los servicios TI. Para ello
se realiza una planeacin, implementacin y mantenimiento de estndares y
sistemas de administracin de calidad por parte de la organizacin. Toma en
consideracin:
171
Auditora en entornos informticos
Para llevar a cabo la estrategia de TI, las soluciones tecnolgicas deben ser
identificadas, desarrolladas o adquiridas, asi como implementadas e integradas
dentro del proceso de negocios de la empresa. Este dominio cubre tambin los
cambios y el mantenimiento realizados a los sistemas de informacin existentes.
Procesos:
Objetivo: Asegurar el mejor enfoque para cumplir con los requerimientos del
usuario. Para ello se realiza un anlisis de las oportunidades / alternativas
comparadas contra los requerimientos de los usuarios. Toma en consideracin:
172
Auditora en entornos informticos
173
Auditora en entornos informticos
174
Auditora en entornos informticos
Objetivo: Establecer pautas para evaluar el nivel de servicio requerido. Para ello
se establecen pautas de niveles de servicio que formalicen los criterios de
desempeo para medir la cantidad y la calidad del servicio. Toma en
consideracin:
175
Auditora en entornos informticos
Priorizacin de servicios
Disponibilidad de un plan documentado
Desarrollo de procedimientos alternativos
176
Auditora en entornos informticos
177
Auditora en entornos informticos
Objetivo: asegurar que los problemas experimentado por los usuarios sean
atendidos y solucionados apropiadamente. Para ello se crean un centro de
ayuda (Mesa de Ayuda) que proporcione a los usuarios soporte y asesora de
primera lnea. Toma en consideracin:
178
Auditora en entornos informticos
Objetivo: Asegurar que los problemas e incidentes sean resueltos y que sus
causas sean investigadas. Para ello se necesita un sistema de administracin
de problemas que registre y d seguimiento a los incidentes, adems de un
conjunto de procedimientos de escalamiento de problemas para resolverlos de
la manera ms eficiente. Toma en cuenta:
179
Auditora en entornos informticos
Manuales de operaciones
Procedimientos de arranque y recuperacin
Calendarizacin de cargas de trabajo
Registro de operaciones y eventos de produccin.
180
Auditora en entornos informticos
181
Auditora en entornos informticos
Objetivo: Incrementar los niveles de confianza a los servicios TI por parte de los
miembros de la empresa, clientes y proveedores. Para ello la gerencia deber
obtener certificaciones o acreditaciones independientes en relacin a seguridad
y control interno, en especial para los servicios de TI que resulten crticos. Toma
en cuenta:
182
Auditora en entornos informticos
ANEXO IV
Fases de crecimiento IT
1. INTRODUCCIN
Quiz uno de los mejores estudios es el que proviene de Richard Nolan62, quien
desarroll un modelo para identificar el grado de desarrollo de la computacin
en una organizacin, describe la evolucin de la informtica en una empresa en
etapas o fases de crecimiento IT63. El modelo procura ayudar a los directivos de
una empresa en la administracin de los recursos informticos con que cuentan
y es especialmente til para los procesos de anlisis de proyectos de inversin
en computacin, ya que nos brinda un cuadro de referencia para determinar la
etapa de evolucin informtica en que est la empresa, asegurando decisiones
adecuadas a la etapa de crecimiento en que est ubicada.
62
NOLAN, RICHARD L. Harvard Business Review, Cmo administrar las crisis en el
procesamiento de datos. Consejo Tcnico de Inversiones S.A., 1979, pg. 3.
- NOLAN, RICHARD L. y KOOT, WILLIAM J.D. Nolan Stages Theory Today, A framework for senior
and IT managment to manage information technology. KPMG Managment Consulting, Nolan,
Norton & Co, Business and IT Strategy, 1997.
63
IT de Information Technology (tecnologas de informacin),equivalente a informtica.
183
Auditora en entornos informticos
Son predecibles.
Deben ser experimentadas y cumplidas, no pueden ser evitadas.
El entorno donde se desarrollan es cambiante.
Se producen en ciclos cada vez ms cortos, por consiguiente demandan
velocidades de respuesta mayores por parte de los responsables de
administrar los RR.II. disponibles.
184
Auditora en entornos informticos
Una de las singularidades del modelo presentado por Nolan Norton es que
Portafolio de aplicaciones
Planeamiento
estratgico
Control gerencial
Soporte operativo
Funciones de la empresa
Ejemplo: administracin, ventas, personal,
contabilidad y finanzas, compras, etc.
185
Auditora en entornos informticos
III. Recursos informticos (Recursos IT): este factor agrupa todos los elementos
tcnicos especficamente informticos, tradicionalmente todos los recursos
bajo la responsabilidad del Centro de Cmputos o del Departamento de
Sistemas. Por ejemplo: elementos de hardware, productos de software, de
comunicaciones de datos, tecnologa aplicada al desarrollo de sistemas,
personal tcnico, sistemas de aplicacin propios, bases de datos propias,
capacitacin de los RR.HH. especializados, etc.
A los dos primeros se los considera como los factores activos, es decir, son los
demandantes de RR.II. y que movilizan a los otros dos factores para que los
satisfagan; en definitiva, movilizan a la organizacin para que pase de una etapa
a la siguiente. Por ello, los dos ltimos factores se denominan pasivos.
186
Auditora en entornos informticos
Primera hiptesis, los costos de I/T pueden ser usados como un indicador del nivel de
evolucin en tecnolgica computacional de una organizacin. Una segunda hiptesis fue
que los puntos de transicin en la curva S del presupuesto I/Tpodran ser usados como
indicadores de los pasos entre etapas. Una tercera hiptesis fue que las etapas indican
las tendencias ms importantes respecto a planeamiento, organizacin y control del
procesamiento automtico de datos. Por ejemplo, en la segunda etapa (crecimiento o
contagio), el gerenciamiento debe estimular el desarrollo de nuevos sistemas y la
adquisicin de experiencia por parte de los usuarios, en cambio en la etapa de control, la
atencin debe ser dirigida hacia la estabilizacin y formalizacin de los sistemas. Cada
etapa tiene sus propios mecanismos de control y requiere de enfoques de
gerenciamiento especficos.
Discontinuidad
in
tecnolgica
tos
ac
Costos de IT
ra ) rm
ra ) eda
( I / d e i e
TE nfo
( D iento e
as ra d
PE d
d
sa m Era
E
g
ol o
oce
n
Pr
Tec
187
Auditora en entornos informticos
El desarrollo ms reciente del modelo define una tercera curva. Los cambios que se
producen en la organizacin a travs de la era de Procesamiento de Datos (PD Era) son
determinados por cambios tcnicos. En la era de Tecnologas de Informacin (I/T Era),
los cambios requeridos son bsicamente de procedimientos organizacionales. Durante la
tercera curva S, se requiere un cambio en la estructura de la entidad. Normalmente
jerrquica-funcional y orientada a las tareas, debe reemplazarse por una estructura
organizacional tipo red, donde los procesos operativos puedan ser rpidamente
adaptados a las posibilidades tecnolgicas de cada momento.
S
a
rv
cu
ra )
e 2
rc 99
te (1
La
188
Auditora en entornos informticos
Automatizacin de tareas
Automatizacin de procesos
189
Auditora en entornos informticos
El modelo caracteriza cinco etapas o fases evolutivas por las que pasa la
relacin entre los recursos informticos y su aplicacin en la administracin de
una organizacin. Recordemos que estas etapas son de ejecucin secuencial y
deben ser cumplidas para que la empresa pueda pasar a la siguiente etapa o
fase.
190
Auditora en entornos informticos
191
Auditora en entornos informticos
192
Auditora en entornos informticos
193
Auditora en entornos informticos
194
Auditora en entornos informticos
Es una etapa donde priman los parmetros tcnicos por sobre los criterios
econmicos. La empresa tiene una necesidad estratgica de consolidar su
informacin, o sea lograr un nico sistema de informacin. En esta situacin los
195
Auditora en entornos informticos
Los elementos que la empresa debe considerar cuando analiza este aspecto
son: canales para comunicaciones de datos, interfases de comunicaciones,
protocolos de enlace, etc. Cuando la situacin de comunicaciones es
compleja existen sistemas de redes de datos que proveen servicios de
conectividad para los distintos tipos de plataformas de hardware existentes
en la organizacin.
A partir de esta tecnologa nace una nueva especializacin dentro del Centro
de Cmputos: Administrador de Comunicaciones, cuyo responsable est a
cargo del funcionamiento de la red de datos y de lograr servicios de
comunicacin adecuados a las necesidades de los usuarios (velocidad y
seguridad del servicio).
Bases de datos: Esta tecnologa tiene como objetivo integrar los sistemas de
almacenamiento de datos en un nico entorno, permitiendo mejorar la
seguridad de los datos (ante riesgos de prdida o fraude), la confiabilidad de
los datos (evitar inconsistencias), el uso eficiente de los espacios de
almacenamiento (evitar la redundancia); adems de proveer mejoras en los
tiempos de acceso a los datos, productividad en el desarrollo de las
aplicaciones, y en general un ambiente de trabajo en el cual se prioriza la
calidad y seguridad de los datos.
196
Auditora en entornos informticos
197
Auditora en entornos informticos
198
Auditora en entornos informticos
199
Auditora en entornos informticos
200
Auditora en entornos informticos
NOTA: La sexta etapa -difusin masiva- est excluida, el desempeo de los factores en
la misma no est caracterizado.
201
Auditora en entornos informticos
3. CONCLUSIONES
202
Auditora en entornos informticos
Las innovaciones
En este apartado queremos destacar las reglas de las innovaciones. El objetivo es que el
lector sea consciente de las dificultades que entraan, aunque debemos tener en cuenta
que sin las innovaciones, una empresa probablemente quede muy rpidamente fuera del
mercado.
203
Auditora en entornos informticos
1) La gente
Se dice que es la mayor barrera a vencer, implica romper con escollos culturales. Es el
factor clave para el xito de la empresa en el uso de recursos informticos.
2) Costos y beneficios
Una regla de las inversiones informticas (similar a lo que ocurre en casi todos los
proyectos de inversin) es que los costos de automatizacin son siempre ocasionados
antes que se comiencen a obtener beneficios; an ms, los beneficios se obtienen recin
cuando todo el proyecto est completo (cuando la aplicacin est operativa).
Los costos y los plazos de ejecucin, muy a menudo son subestimados por los
especialistas responsables de llevar adelante el proyecto informtico, generando dudas
sobre el xito del mismo entre los directivos de la organizacin y predisponindolos en
su contra.
Ocurre que a medida que avanzamos en las diferentes fases, los costos no son tan
visibles como en las iniciales. Est comprobado que los mayores costos dentro de un
proyecto informtico se destinan hacia rubros intangibles y difcilmente mensurables
como capacitacin, desarrollo de las aplicaciones, puesta a punto de los sistemas,
mantenimiento, costos de implementacin, y no tanto como se presupuesta inicialmente
al evaluar el proyecto, cuando es usual slo considerar los costos en equipamiento y las
licencias por el software de base y las herramientas de desarrollo.
204
Auditora en entornos informticos
3) Barreras de la implementacin
Se han identificado algunos fenmenos que conspiran contra el xito de los proyectos
informticos. Ellos son:
Ao 1 Ao2 Ao 3 Ao4 Ao 5 Ao 6 Ao 7 Ao 8
Existen barreras tcnicas para la integracin: los datos y las aplicaciones no pueden
ser compartidos por toda la organizacin, algunos recursos informticos estn
duplicados. Para romper esta barrera se procura integrar por medio de nuevas
arquitecturas de datos y de comunicaciones.
205
Auditora en entornos informticos
206
Auditora en entornos informticos
CAPITULO 5
Seguridad informtica
1. INTRODUCCION
207
Auditora en entornos informticos
Antecedentes
208
Auditora en entornos informticos
general de la organizacin.64
Seguridad y cultura
Extracto del trabajo Seguridad lgica - Factores culturales y estructurales que la condicionan
presentado por el Dr. Ricardo O. Rivas en las
IX Jornadas de Sistemas de Informacin de la Fac.de Cs. Ec. -U.B.A., 1996
SAROKA, RAUL H., La gestin de seguridad de activos informticos, TOMO XIX, Revista de
64
209
Auditora en entornos informticos
Seguridad se podra definir como todo aquello que permite defenderse de una
amenaza. Se considera que algo es o est seguro si ninguna amenaza se cierne
sobre ello o bien el riesgo de que las existentes lleguen a materializarse es
despreciable...
Si de lo que se est hablando es precisamente de un sistema informtico, las
amenazas existentes son muy diversas: errores humanos, sabotaje, virus, robo,
desastres naturales, etc. y pueden afectar tanto a la informacin como a los
equipos, que son, en definitiva, los bienes a proteger...65
Amenazas
Evento potencial no deseado que podra ser perjudicial para el ambiente de
procesamiento de datos, la organizacin o una determinada aplicacin.
Constituyen las contingencias potenciales de un ambiente computacional.
Componentes
Una de las partes especficas de un sistema o aplicacin. Son las partes
individuales de un sistema informtico, al que deseamos salvaguardar o
proteger con medidas de seguridad concretas.
Control
Mecanismo o procedimiento que asegura que las amenazas sean mitigadas
o detenidas y que los componentes sean resguardados, restringidos o
protegidos. Constituyen las medidas de seguridad.
Tipos de controles:
a) Preventivos: aminoran o impiden llevar a cabo un evento indeseado, por
ejemplo, control de acceso.
b) Disuasivos: inhiben a una persona a actuar o proceder mediante el temor
o la duda; por ejemplo, chapas en las puertas de ingreso a zonas de
seguridad.
c) Detectives: revelan o descubren eventos indeseados y ofrecen evidencia
de ingreso o intrusin; por ejemplo, archivos con registros de auditora.
d) Correctivos: solucionan o corrigen un evento indeseado o una intrusin.
65
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 1.
210
Auditora en entornos informticos
Exposicin
Prdida estimada o calculada relacionada con la ocurrencia de una
amenaza. Una exposicin al riesgo puede ser tangible (cuantificable) o
intangible. La exposicin tangible se puede valuar multiplicando la
probabilidad de ocurrencia de la amenaza por su prdida estimada en caso
de materializacin. La exposicin intangible se vala en base a la estimacin
de especialistas o por el consenso de un equipo; en relacin con este ltimo
caso, ms adelante describiremos el mtodo Delphi, usado para calificar
riesgos que no pueden ser medidos.
Riesgo
Nivel de exposicin de un componente. Posibilidad (%) de materializacin de
una prdida.
El problema hay que enfrentarlo con tecnologa, pero tambin debe involucrar a
211
Auditora en entornos informticos
En una empresa los riesgos que corren los datos son, bsicamente, su prdida,
alteracin y robo:
Confidencialidad
Se define como la condicin que asegura que los datos no puedan estar
disponibles o ser descubiertos por o para personas, entidades o procesos no
autorizados (proteccin contra la divulgacin indebida de informacin). La
informacin debe ser vista y manipulada nicamente por quienes tienen el
derecho o la autoridad de hacerlo. A menudo se la relaciona con la Intimidad o
Privacidad, cuando esa informacin se refiere a personas fsicas (habeas data)..
212
Auditora en entornos informticos
Integridad
Se define como la condicin de seguridad que garantiza que la informacin slo
es modificada, por el personal autorizado. Este es un concepto que se aplica a
la informacin como entidad. Existe integridad cuando los datos en un soporte
no difieren de los contenidos en la fuente original y no han sido -accidental o
maliciosamente- alterados o destrudos. Implica actividades para proteccin
contra prdidas, destruccin o modificacin indebida.
Disponibilidad
Se define como el grado en el que un dato est en el lugar, momento y forma en
que es requerido por el usuario autorizado. Situacin que se produce cuando se
puede acceder a un Sistema de Informacin en un periodo de tiempo
considerado aceptable". Se asocia a menudo a la fiabilidad tcnica (tasa de
fallos) de los componentes del sistema de informacin. La informacin debe
estar en el momento que el usuario requiera de ella. Un ataque a la
disponibilidad es la negacin de servicio (en Ingls Denial of Service o DoS).
Autenticidad o no repudio
Se define como el mecanismo que permite conocer si la persona que esta
accediendo a un sistema, es realmente quien debe acceder y no un extrao. El
no repudio se refiere a cmo garantizar la autenticidad del remitente (un
mecanismo son las firmas digitales en un sistema de correo electrnico).
213
Auditora en entornos informticos
66
FITZGERALD, JERRY, Material didctico del Seminario de Control y Seguridad Informtica,
Bs.As., 1993
214
Auditora en entornos informticos
Mtodo Delphi
El grupo de expertos debe votar por una u otra opcin en cada celda, comparando las
amenazas representadas por los ttulos de fila y columna. Las celdas de la planilla de
categorizacin registran los resultados (votos) de la comparacin entre pares de
conceptos. La parte inferior-izquierda de la celda sirve para registrar los votos a la
amenaza especificada por el ttulo de la fila y la parte superior-derecha para acumular los
votos al concepto de la columna.
Todos los integrantes tienen el mismo poder, sus votos valen siempre 1 punto para cada
celda y pueden elegir asignar su voto al item de la fila o al de la columna de la
interseccin, segn consideren ms importante como amenaza una u otra. En caso de
indecisin, pueden asignar medio punto (0,5) a los dos conceptos en comparacin.
Siguiendo con el ejemplo, supongamos que el grupo Delphi est constituido por cinco
expertos, entonces en cada celda la sumatoria de ambas opciones debe dar 5, ya que
los integrantes votan por la amenaza de la fila, de la columna o se mantienen indecisos
(0,5 puntos para cada una).
Los criterios de juicio para votar por una amenaza u otra pueden ser: mayor impacto
negativo, mayor prdida en pesos/dlares, ms probable de ocurrir, mayor demora en
recuperar, ms crtica para la organizacin, etc. El grupo debe elegir un nico criterio de
juicio para establecer todas las comparaciones. Supongamos que el grupo de los cinco
expertos ya ha votado una ronda por cada una de las celdas; en este caso la planilla
resultante podra quedar as:
215
Auditora en entornos informticos
Hechas las calificaciones (en el ejemplo debieron realizarse seis rondas de votacin para
comparar todos los conceptos, unos contra otros) se procede a sumarizar los votos, con
la finalidad de obtener el orden de importancia de las amenazas, en este caso:
Los valores resultantes pueden usarse para obtener un orden de importancia de los
riesgos y as asignar racionalmente el presupuesto de seguridad de la empresa. Para
ello podemos ponderar los resultados obtenidos con el costo de las soluciones en
anlisis y obtener un orden de prelacin para asignar al presupuesto de seguridad..
Supongamos que disponemos de un presupuesto anual de $60.000 para el rubro
seguridad informtica, la distribucin racional de dicho presupuesto sera:
Se pueden volver a calificar las mismas amenazas aplicando otros criterios de juicio y
despus combinar los resultados de las planillas obtenidas. De esta manera se podra
diluir, an ms, la subjetividad de las opiniones del grupo de expertos.
216
Auditora en entornos informticos
Una vez identificados y categorizados los riesgos, hay que analizar las medidas
de seguridad para contrarrestarlos. Recordemos que las medidas de seguridad
son las acciones de control para asegurar que las amenazas sean mitigadas y
los componentes sean resguardados. Hay varias formas de agruparlas, por
ejemplo: activas vs. pasivas, fsicas vs. lgicas y otras.
Activas: son aquellas que implementan acciones para evitar o reducir los
riesgos sobre el sistema, por ejemplo control de acceso.
Pasivas: se adoptan para estar preparados ante el caso de que una
amenaza se materialice (porque las medidas de seguridad activas no eran
suficientes o porque no era posible evitarla) y facilitar la recuperacin del
sistema, por ejemplo copias de seguridad.
Fsicas: son medidas de seguridad tangibles para proteger los activos de una
empresa, por ejemplo mantener el equipamiento en un lugar seguro y
correctamente acondicionado, con acceso restringido y controlado, utilizar
armarios ignfugos, etc.
Lgicas: no tangibles, caractersticas del ambiente informtico, por ejemplo
autenticacin de usuarios, control de permisos y derechos para acceder a los
datos y programas, cifrado de informacin, proteccin contra virus, registros
de auditora, etc.
217
Auditora en entornos informticos
Transacciones
Microcomp. y
comunicacione
s
Centro de proc.
de datos
(mainfr)
Archivos
individuales
Instalaciones
y edificios
67
FITZGERALD, JERRY, Material didctico del Seminario de Control y Seguridad Informtica,
Bs.As., 1993
218
Auditora en entornos informticos
219
Auditora en entornos informticos
En la planilla de control del ejemplo, vemos que estn identificadas tres reas
de riesgo: Alto, Medio y Bajo. Esta categorizacin es obtenida luego de un
anlisis de riesgo. Obviamente es conveniente asignar para el rubro Seguridad
Informtica un presupuesto acorde a los controles (medidas de seguridad) que
atenan los riesgos segn el orden obtenido luego del anlisis que nos permiti
esta ubicacin.
220
Auditora en entornos informticos
Cules son, entonces, los pasos para construir una matriz de control?
5) Si bien todos los pasos descriptos para obtener una matriz de control
tienen sus dificultades, por ejemplo, cmo determinar las amenazas
ms importantes? cules incluir y cules dejar de lado?, consideramos
que el paso ms complejo es ubicar las acciones de seguridad
adecuadas dentro de la lista de controles generales documentados.
221
Auditora en entornos informticos
222
Auditora en entornos informticos
223
Auditora en entornos informticos
224
Auditora en entornos informticos
225
Auditora en entornos informticos
7. PLANES DE CONTINGENCIA
1. Anlisis de Riesgos.
En esta etapa la preocupacin esta relacionada con tres simples preguntas:
qu est bajo riesgo? cmo se puede producir? cul es la probabilidad de
que suceda? .Este paso, al igual que el siguiente, son desarrollados tambin
cuando se elabora el Plan de Seguridad Informtica; aqu se vuelve a hacer el
anlisis considerando bsicamente la necesidad de restaurar los servicios de
sistemas del ente.
2. Valoracin de Riesgos.
Es el proceso de determinar el costo para la organizacin en caso de que ocurra
un desastre que afecte a la actividad empresarial. Los costos de un desastre
226
Auditora en entornos informticos
227
Auditora en entornos informticos
Se debe tener presente que pueden existir recursos disponibles que ayuden a
realizar el Plan de Contingencia. En ocasiones, las grandes compaas cuentan
con empleados con responsabilidades tales como "Planificador de
contingencias" o " Planificador para la continuidad de la actividad" asignados a
la tarea de estudiar y planificar la reanudacin de las actividades de la compaa
tras una catstrofe. Sus trabajos no estn enfocados exclusivamente a
recuperar sistemas informticos, pero ellos, ciertamente, deben saber bastante
sobre ellos. Cabe destacar que como todas las cosas que necesitan disciplina y
prctica, restablecer un servicio informtico despus de un desastre requiere de
prctica y anlisis para tener aptitudes y poder realizarlo con un alto nivel de
experiencia.
228
Auditora en entornos informticos
8. DELITO INFORMATICO
Una de las principales causas por las que se producen delitos informticos es la
vulnerabilidad que ofrecen los centros de procesamiento de datos debido a las
grandes concentraciones de datos que administran y a las facilidades de acceso
que brindan. Esta situacin es agravada por el fenmeno actual de expansin
de las redes de comunicacin de datos, Internet en especial, que ha aumentado
la vulnerabilidad de los sistemas informticos que ofrecen servicios en dicho
ambiente, multiplicando exponecialmente las posibilidades de delitos.
Sin embargo, y a pesar de los nuevos riesgos que entraan los sistemas
computarizados, es posible afirmar que un sistema informtico bien controlado
ofrece menos oportunidades de fraude que sistemas manuales comparables. Al
respecto conviene tener en cuenta un aspecto de ndole psicolgico:
Hay varias formas en las que un sistema informtico puede verse involucrado
para cometer delitos:
68
J.A.THOMAS Y I.J.DOUGLAS, Auditora Informtica, Madrid, Paranainfo SA, 1987. pg. 194.
229
Auditora en entornos informticos
servicios de Sistemas.
Este tipo de delitos contempla las situaciones que para descubrir los secretos o
vulnerar la intimidad de otros, una persona se apodera de mensajes de correo
electrnico o cualquier otro documento. Tambin comprende la interceptacin
de las comunicaciones, la utilizacin de artificios tcnicos de escucha,
69
PIATTINI, MARIO G. y DEL PESO, EMILIO. Auditora Informtica. Un enfoque prctico. Madrid,
Editorial RA-MA, 1998. Captulo 6.
230
Auditora en entornos informticos
231
Auditora en entornos informticos
El documento interno de la Polica tambin categoriza los delitos posibles de cometer por
medios informticos. Contra la propiedad: se refiere al apoderamiento de software e
incluye el deterioro de equipos, soportes fsicos de la informacin y archivos por efecto
de virus. Contra el honor: habla de la manipulacin de antecedentes de una persona
para perjudicarla. Contra el estado civil: si se modificaran dolosamente los datos de las
personas. Contra las personas: se refiere a la alteracin dolosa de cuadros clnicos,
diagnsticos que podran provocar daos en la salud.
Hasta que no haya normas especficas, los jueces debern encuadrar las nuevas
conductas en los tipos vigentes. En abril de 1996 ingresaron al Congreso de la Nacin
dos proyectos de ley para penalizar delitos relacionados con la informtica. Sin embargo,
el personal policial cree que los casos ms comunes encajan dentro de cuatro tipos de
delitos: las defraudaciones y estafas, los daos y las violaciones a las leyes penal
tributaria (Ley 23.771) y de proteccin a la propiedad intelectual (Ley 11.723). A pesar de
ello, opinan los expertos que es necesaria una legislacin ms especfica.
Resentidos
70
Revista Information Technology N 16, Extracto del artculo Nada por aqu, Setiembre de 1997.
pg. 162 a 164.
232
Auditora en entornos informticos
CUESTIONARIO DE REVISION
233
Auditora en entornos informticos
234
Auditora en entornos informticos
ANEXO V
1. INTRODUCCION
1. Proteccin fsica
4. Programas antivirus
5. Cifrado de datos
7. Registros de auditora
71
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997
235
Auditora en entornos informticos
2. PROTECCION FISICA
Las medidas de seguridad fsicas son, en general, las ms obvias para los no
legos en informtica. Son las acciones de seguridad tpicas para proteger
cualquier tipo de activos fsicos o resguardar reas vulnerables. Contemplan
-entre otras- controles de acceso a las instalaciones, registros de ingreso y
egreso de personas, vigilancia, circuitos cerrados de TV, etc. Se agrupan de
acuerdo a:
236
Auditora en entornos informticos
237
Auditora en entornos informticos
Dispositivos de backup
Cintas magnticas
Discos
Permiten el acceso directo y secuencial a los datos que almacenan. Su costo por MB
almacenado es en general, ms alto que utilizar un sistema de cintas magnticas;
como contrapartida la manipulacin de la informacin es ms rpida y cmoda. Los
tipos de discos utilizados para hacer backups son:
Disquetes: los hay de distintos tamaos y capacidades. Los vigentes son de 3,5
de tamao, con capacidades de 1,44 MB. (en proceso de obsolescencia tcnica)
Discos duros intercambiables, similares a un disco duro pero removibles.
Discos pticos: en este caso tenemos vigentes varias tecnologas; las ms
conocidas son los CD-ROM y los CD-RW discos pticos regrabables, de
similares capacidades (600 MB).
Videodiscos o DVD: Son discos pticos de similar tamao que un CD pero con
capacidad de 4,7 GB.
238
Auditora en entornos informticos
Equipamiento de respaldo
239
Auditora en entornos informticos
240
Auditora en entornos informticos
241
Auditora en entornos informticos
5. PROGRAMAS ANTIVIRUS
72
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 35.
242
Auditora en entornos informticos
Otras variantes de los virus, pero con caractersticas distintivas, son los caballos
de Troya y los gusanos.
73
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 35.
243
Auditora en entornos informticos
Virus en Internet
Para comprender el peligro de los virus informticos en Internet, slo hay que
tener en cuenta su funcionamiento: si un virus informtico necesita ejecutar un
programa objeto para activarse y propagarse, habr que tener cuidado con los
programas ejecutables que entren en un sistema va Internet. Adems de los
programas ejecutables, tambin son potencialmente peligrosos los archivos de
documentos que incluyen macro-instrucciones, como los de Word y Excel. Por
lo tanto, el nico peligro de que una computadora se infecte con virus
informticos a travs de Internet, es a travs de la ejecucin de un programa
obtenido desde la red o abriendo un documento de Word /Excel que haya sido
adosado a un mensaje de correo electrnico o bajado de algn servidor de
Internet.
As, con solo comprobar con un programa antivirus cada uno de los archivos de
estas caractersticas, que lleguen va Internet, se tendr controlado este riesgo.
244
Auditora en entornos informticos
6. CIFRADO DE DATOS
Utilizan una clave nica, tanto para el cifrado como para el descifrado; la
seguridad de este mtodo se basa en mantenerla secreta. La calidad de la clave
se manifiesta en la resistencia (terica) para afrontar los ataques que pretendan
desentraarla. En general, la resistencia de una clave depende de la longitud de
la misma, ya que el algoritmo que la genera es conocido.
74
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 114.
245
Auditora en entornos informticos
Los sistemas de claves asimtricas cuentan con dos claves, una para el cifrado,
que es pblica, y otra oculta (privada), para el descrifrado, que debe ser
mantenida en secreto. Utilizan similares algoritmos de encriptacin que el
sistema de claves simtricas, por lo tanto, la calidad (resistencia) de la clave
privada se basa en la longitud de la misma.
Los sistemas de clave asimtica son, en general, ms rpidos para cifrar que los
de clave pblica, por lo tanto, en muchos casos se recurre a un sistema de clave
246
Auditora en entornos informticos
247
Auditora en entornos informticos
Autoridades Certificantes
248
Auditora en entornos informticos
Objetivos:
-Normar la equiparacin de la firma digital a la firma ologrfica para permitir la
digitalizacin y despapelizacin de los circuitos administrativos del Estado.
-Crear condiciones para el uso confiable del documento digital suscripto digitalmente en
el mbito del Sector Pblico.
-Reducir el riesgo de fraude en la utilizacin de documentos digitales al suscribirlos
digitalmente.
Vistos:
-La opinabilidad frente a terceros de un documento digital, el que requiere simult
neamente de la identificacin de autor y la garanta de integridad de su contenido.
-La necesidad de otorgar a los usuarios de documentos digitales garantas legales
similares a las que brinda la firma ologrfica sobre el soporte papel.
Se resuelve:
Elegir a la criptografa asimtrica como medio para instrumentar la firma digital por las
siguientes razones:
-Permite identificar en forma inequvoca el autor y verificar indubitablemente que el
mensaje no ha sido alterado desde el momento de su firma (mantiene la integridad del
documento).
-El mecanismo de clave pblica es el nico que no requiere la divulgacin de la clave
privada (secreta) utilizada por el firmante para suscribir o comprobar la firma digital de un
documento.
-El mecanismo de clave pblica no es una tecnologa, sino una familia de mtodos
matemticos (algoritmos), que admiten distintas implementaciones (tanto de hardware
como de software) y no est relacionado con ningn pas ni proveedor en particular.
249
Auditora en entornos informticos
Control de acceso
La autenticacin puede ser tan simple como una contrasea (password) o tan
compleja como un examen de retina o de ADN. Las seales de autenticacin
pueden ser algo que Ud. sabe, algo que Ud. tiene o algo que Ud. es:
a) Algo que Ud. sabe es informacin que debe ingresar en el sistema para el
propsito de la autenticacin. El ejemplo ms comn es una contrasea o
frase de paso (password), utilizada usualmente en forma conjunta con un
ID (Login) o nombre de usuario. En este caso, el nivel de seguridad depende
de la facilidad con que otra persona podra saber, descubrir o adivinar la
informacin referida a la clave y nombre del usuario.
b) Algo que Ud. tiene es un dispositivo que lleva con Ud. y que lo identifica en el
sistema. Los dispositivos de seguridad vienen en muchas formas, desde
tarjetas plsticas con banda magntica, como una tarjeta de crdito, que se
desliza a travs de un lector de banda magntica u ptico conectado a la
250
Auditora en entornos informticos
c) Algo que Ud. es se conoce tambin como biomtra. Las huellas digitales,
la geometra de la palma de la mano y el examen del iris son ejemplos. La
biometra ofrece altos niveles de seguridad para la autenticacin de usuarios.
En ambientes abiertos, no seguros, como Internet, la biometra sufre de las
mismas amenazas que las contraseas, ya que es posible interceptar la
transmisin digital de una huella dactilar y reenviarla a un servicio para
hacerse pasar por el usuario.
La biometra opera por comparacin de una lectura actual con una lectura
previa, Debido a que las lecturas nunca son perfectas, el sistema debe juzgar si
stas son suficientemente similares como para constituir una verificacin de la
identidad aseverada. Un sistema basado en lecturas biomtricas es efectivo
aplicado a poblaciones pequeas, pero en poblaciones grandes no lo es, dada
las posibilidades de similitud de caractersticas biomtricas de dos individuos
en una gran poblacin, influido, adems, por el grado de tolerancia del sistema
respecto a las diferencias atribuibles al mecanismo de lectura de las
caractersticas biomtricas medibles.
251
Auditora en entornos informticos
Seleccin de claves
A la hora de elegir una clave (tanto para password de acceso como para
cifrado de informacin) debe evitarse utilizar claves sencillas de descubrir y que
pueden hacer intil el sistema de cifrado ms avanzado. Es necesario llegar a un
compromiso entre la facilidad para recordarla y la dificultad de que alguien pueda
descubrirla. Una clave fcil de recordar para un usuario, puede ser tambin fcil
de descubrir por un posible agresor del sistema, en especial si conoce o dispone
de informacin personal del usuario. En el lado opuesto, una clave rebuscada
-difcil de recordar- ser tambin difcil que alguien pueda descubrirla, pero
podra conducir a que el usuario la escriba para recordarla en un lugar que pueda
ser accedido por terceros (agenda, bloc de notas, etc.).
Un buen mtodo para elegir claves es utilizar palabras sin sentido compuestas
por las iniciales de una frase fcil de recordar, del nombre de varios hijos,
sobrinos, etc., mezclando maysculas y minsculas.
Los permisos definen las posibilidades del usuario para el acceso a los recursos
del sistema tales como directorios, archivos e impresoras y se pueden otorgar
para usuarios individuales o a grupos. Los permisos pueden ser de lectura,
escritura, ejecucin, modificacin, borrado, etc. Los derechos se refieren a la
posibilidad que un usuario pueda realizar determinadas acciones: por ejemplo,
ejecutar un determinado programa, conectarse local o remotamente a una
estacin de trabajo, realizar o restaurar copias de seguridad, ejecutar el proceso
de apagado del sistema, ver los registros de auditora, crear usuarios, etc.
75
NOMBELA, JUAN JOSE, Seguridad informtica, Editorial Paraninfo, Madrid, 1997. pg. 25 y 26.
252
Auditora en entornos informticos
253
Auditora en entornos informticos
8. REGISTROS DE AUDITORA
ATENCION !!!
En la Estacin de Trabajo A17
se han registrado 15 intentos
de identificacin y autenticacin errneos
254
Auditora en entornos informticos
255
Auditora en entornos informticos
Amenazas
Seguridad en Internet
76
Extracto de "Estndares tecnolgicos para la Administracin Pblica". Secretara de la Funcin
Pblica, Poder Ejecutivo Nacional. www.sfp.gov.ar/etap.html - 10/03/2003
256
Auditora en entornos informticos
El segundo nivel, que forma una red perifrica de menor nivel de seguridad
respecto de la anterior, puede incluir aplicaciones que generen trfico con
destino exterior o de dos sentidos. Estas incluyen servidores Web, servidores
FTP y probablemente un servidor de correo Internet. Finalmente, se tiene el
firewall, conectado mediante un router, al proveedor de servicio Internet.
Firewalls
257
Auditora en entornos informticos
Esto nos obligar a establecer reglas precisas en cuanto a recursos a los cuales
se pueda acceder de la red interna de la organizacin, por lo que habr que
identificar (o autenticar) a los usuarios autorizados, controlar tanto las
conexiones entrantes como saliente y registrar las actividades, no slo con
propsitos estadsticos sino tambin para realizar auditoras y generar alarmas.
258
Auditora en entornos informticos
Polticas de seguridad
Un firewall se deber configura de acuerdo con una poltica implcita por omisin
ms una serie de acciones restrictivas preestablecidas que tomar en respuesta
a determinadas clases de requisitos y/o mensajes. Existen dos polticas
extremas y opuestas entre s:
259
Auditora en entornos informticos
Tipos de ataque
Los pasos que habitualmente sigue un hacker cuando quiere acceder a un sitio
protegido son:
260
Auditora en entornos informticos
UNIDAD 4
Aspectos
generales
261
Auditora en entornos informticos
262
Auditora en entornos informticos
CAPITULO 6
Marco de las Auditoras Informticas
1. INTRODUCCION
263
Auditora en entornos informticos
Tendencias
Los auditores deben operar a nivel de la lnea en las organizaciones en que actan.
El nuevo escenario ha disminudo el grado de independencia de la labor del auditor (se
va moviendo del nivel de staff hacia la lnea). En consecuencia debe mejorar la
productividad de su trabajo, incluir en sus informes anlisis de riesgo, de costo-beneficio
de las propuestas y sus metodologas de trabajo deben adaptarse a las modalidades
operativas de los usuarios.
77
FITZGERALD, JERRY, Material didctico del Seminario de Control y Seguridad Informtica,
Bs.As., 1993.
264
Auditora en entornos informticos
2. MARCO LEGAL
265
Auditora en entornos informticos
Art. 1 - La presente ley tiene por objeto la proteccin integral de los datos
personales asentados en archivos, registros, bancos de datos, u otros medios
tcnicos de tratamiento de datos, sean stos pblicos, o privados destinados a
dar informes, para garantizar el derecho al honor y a la intimidad de las
personas, as como tambin el acceso a la informacin que sobre las mismas se
registre, de conformidad a lo establecido en el artculo 43, prrafo tercero de la
Constitucin Nacional.
266
Auditora en entornos informticos
267
Auditora en entornos informticos
afectados durante los ltimos cinco aos. Dicho plazo se reducir a dos
aos cuando el deudor cancele o de otro modo extinga la obligacin,
debindose hace constar dicho hecho.
La prestacin de servicios de informacin crediticia no requerir el previo
consentimiento del titular de los datos a los efectos de su cesin, ni la
ulterior comunicacin de sta, cuando estn relacionados con el giro de las
actividades comerciales o crediticias de los cesionarios.
268
Auditora en entornos informticos
Hardware
Productos de Software
269
Auditora en entornos informticos
Servicios informticos
270
Auditora en entornos informticos
La Sarbox requiere que las empresas que cotizan en bolsa mejoren sus
prcticas de contabilidad, utilizando procedimientos documentados, as como
una ms rpida generacin de informes financieros.
271
Auditora en entornos informticos
78
SEC: Securities & Exchange Commission
272
Auditora en entornos informticos
Obligacin de certificacin por parte del CEO / CFO del Informe Anual,
especificando que se ha revelado a la Comisin de Auditora y Control de la
empresa y al Auditor Externo cualquier fraude y deficiencia significativa
detectada que pudiera afectar negativamente a la capacidad de la compaa
para registrar, procesar y comunicar datos financieros
La SEC establece que cada una de las sociedades cotizantes debe definir un
modelo de control y sugiere el modelo COSO. Pero admite otros tipos de
modelos como puede ser el Cadbury o el Coco Report. De todas maneras, lo
primero que dice es que la empresa debe medir contra un modelo de control
reconocido.
79
Empresas que hacen oferta pblica de sus acciones
273
Auditora en entornos informticos
La Ley dispone que habr inspecciones anuales, para las firmas de auditora
que emitan hasta cien informes de auditora al ao y con frecuencia no mayor a
tres aos para las restantes.
274
Auditora en entornos informticos
3. UN NUEVO MODELO
AUDITORIAS
Auditora de Alrededor del A travs del computador A la red
Sistemas de computador (verificar calidad de los (verificar procedencia y
Informacin (verificar exactitud) datos) pertinencia de los
procesos y datos)
Auditora -de los sistemas en -del Centro de -a las redes
Informtica produccin Procesamiento de -a la seguridad
Datos informtica
275
Auditora en entornos informticos
276
Auditora en entornos informticos
277
Auditora en entornos informticos
Comercio electrnico
El comercio electrnico iniciado en los '80 y regulado por las normas EDI
(Electronic Data Interchange), permit transacciones entre computadoras sin la
necesidad de la presencia fsica de las partes intervinientes, el vnculo lo
establecan las redes de comunicacin de datos. Estas redes inicialmente
fueron restringidas a unas pocas empresas, es decir vinculaban a entidades
especficas pertenecientes a una rama particular de la industria (por ejemplo, la
automotriz) y fueron las precursoras del comercio electrnico. Antecedentes
similares son las operaciones de transferencia electrnica de fondos o EFT
(Electronic Found Translation) en el ambiente bancario; diseadas para realizar
transacciones financieras por medio de las computadoras, vinculan los bancos
con las redes de cajeros automticos.
Las transacciones electrnicas existen desde hace varios lustros, Internet slo
ha venido a potenciar el fenomeno, permitiendo el acceso masivo de empresas
y particulares a estos mercados, multiplicando las alternativas y nmero
potencial de operaciones. En este contexto, la carencia de documentacin
fsica (papel) que avale las transacciones nos deja pocas alternativas para
obtener elementos probatorios de las operaciones.
278
Auditora en entornos informticos
4. PROPUESTAS
Planes de capacitacin
279
Auditora en entornos informticos
5. EL AUDITOR DE SISTEMAS
280
Auditora en entornos informticos
281
Auditora en entornos informticos
Objetivos:
Proporcionar al futuro profesional los conceptos, metodologas y tcnicas relevantes para
llevar a cabo tareas de auditora de sistemas y tecnologa de informacin.
Brindar los conceptos bsicos de control interno y sus aplicaciones al rea de sistemas,
principios de administracin de seguridad y auditora de paquetes de software que pueden
estar respaldando los distintos ciclos de negocio.
Objetivos:
Desarrollar profesionales con destrezas apropiadas en el campo de la administracin de
riesgos, con un fuerte foco en el rea de administracin de riesgos informticos.
Brindar los conceptos bsicos de control interno y sus aplicaciones al rea de sistemas,
principios de administracin de seguridad y auditoria de paquetes de software que pueden
estar respaldando los distintos ciclos de negocios.
282
Auditora en entornos informticos
CUESTIONARIO DE REVISION
283
Auditora en entornos informticos
284
Auditora en entornos informticos
BIBLIOGRAFA
COOPER & LYBRAND, Los nuevos conceptos del control interno (Informe
COSO), Editorial Daz de Santos, Madrid, 1997.
285
Auditora en entornos informticos
286