Documentos de Académico
Documentos de Profesional
Documentos de Cultura
puntos que se
deben evaluar
en una auditora
12
de sistemas
computacionales
557
558 Auditora en sistemas computacionales
Este tipo de revisiones de auditora se puede clasificar de acuerdo con las siguien-
tes aplicaciones especficas:
Uso de la computadora y aplicaciones exclusivamente en auditoras de los sis-
temas computacionales de la empresa.
Uso de la computadora y aplicaciones exclusivamente en auditoras de las de-
ms reas de la empresa.
Auditoras con la computadora y aplicaciones, en combinacin con las herra-
mientas tradicionales, para evaluar los sistemas computacionales.
A continuacin analizaremos cada una de estas aplicaciones.
* Tanto COMIT como TO AUDIT son programas aplicados por este autor para evaluar el funcionamiento de la ar-
quitectura y componentes de las PCs.
562 Auditora en sistemas computacionales
al hardware, al software y a las bases de datos, entre muchas otras aplicaciones del sis-
tema. De esto no presentamos ejemplos de aplicacin, ya que obedeceran a usos con-
cretos del auditor.
evaluacin del auditor; solamente citamos la gran ayuda que proporciona la computado-
ra para realizar estas auditoras.
Con estas hojas de clculo, el auditor captura, procesa y emite los resultados deriva-
dos de los levantamientos de informacin que realiza con la aplicacin de las herra-
mientas tradicionales de auditora, slo que, en su tabulacin y procesamiento se
apoya en hojas de clculo, con el fin de obtener resultados ms confiables, acertados
y oportunos, lo cual le permite hacer una mejor evaluacin y elaborar un dictamen
ms eficiente.
Tradicionalmente, las hojas de clculo se han utilizado en las aplicaciones conta-
bles, administrativas y estadsticas, facilitando la captura y el procesamiento de los da-
tos obtenidos con las herramientas tradicionales; por esta razn se han popularizado
entre los auditores para realizar el procesamiento de informacin en las auditoras de
cualquier rea o tpico de una empresa.
En el mercado hay mltiples ejemplos de estas hojas de clculo, as que slo pre-
sentaremos algunos nombres de estos programas:
Hojas electrnicas de datos. Son los programas de aplicacin especfica de
programas integrados para realizar clculos estadsticos, matemticos y finan-
cieros en la computadora; entre estos programas, los ms populares son Excel
de Microsoft, Lotus de Lotus Develoment y Quatro, entre otros.
evaluacin de las reas, funciones y aplicaciones de una organizacin, as como con los
conocimientos, experiencia y habilidades del auditor.
zan para evaluar el centro de cmputo de cualquier empresa, dependiendo de las ne-
cesidades de revisin y de las caractersticas de los sistemas computacionales, de su
tamao, as como de las aplicaciones y servicios informticos que stos proporcionan
a las dems reas de la organizacin.
cho sistema, as como los programas de contingencias informticas para el mejor fun-
cionamiento de las actividades y operaciones informticas de la empresa.
Igual que en los casos anteriores, tampoco presentamos ejemplos de la aplica-
cin de esta auditora operacional en el rea de sistemas, debido a que existe un sin-
nmero de autores de administracin y de ingeniera que abarcan las formas de
evaluacin a los aspectos operacionales de tiempos y movimientos, organizacin, m-
todos y procedimientos de operacin, actividades fabriles y todas las dems herra-
mientas de una evaluacin operativa, slo que en este caso stas debern estar
enfocadas al rea de sistemas.
Las causas, incidencias y repercusiones de las cadas del sistema y las medi-
das preventivas y correctivas del caso.
La falta de aprovechamiento de los sistemas a causa de fallas de los componen-
tes internos, externos, de las instalaciones, del personal informtico o de los
usuarios del sistema.
La frecuencia del mantenimiento correctivo o la ausencia del mantenimiento
preventivo para asegurar el funcionamiento correcto de los sistemas.
La deteccin y frecuencia de errores en el procesamiento de la informacin.
stos son slo algunos de los casos de carcter tcnico que el auditor de sistemas
debe estar preparado para evaluar.
En estas auditoras se debe realizar una profunda evaluacin de las tcnicas y sis-
temas utilizados para el procesamiento de informacin del propio sistema, del funcio-
namiento de su arquitectura interna, de sus componentes y dems equipos asociados,
a fin de revisar el aprovechamiento adecuado de los siguientes aspectos:
La configuracin y arquitectura del sistema computacional, a fin de valorar que
cumplan con las necesidades informticas de la organizacin.
Las actividades y operaciones tcnicas del sistema, a fin de valorar la capacidad
de procesamiento, velocidad, memoria y aprovechamiento de las configuraciones
interna y externa del sistema, ya sea PC, red, cliente-servidor o sistemas mayores.
Los tiempos productivos y no productivos del procesador, a fin de valorar su re-
percusin en la actividad informtica de la empresa, en relacin con los siguien-
tes aspectos:
La operacin normal del sistema computacional.
La captura, actualizacin y consulta de datos.
El procesamiento de datos y la emisin de resultados.
El desarrollo, codificacin, compilacin e instalacin de los programas desa-
rrollados en el rea de sistemas.
Los lapsos improductivos y no aprovechados en los que no se utilizan los pe-
rifricos, equipos asociados y dems componentes del sistema computacio-
nal del rea de sistemas de la empresa.
Los tiempos productivos e improductivos del personal del rea y usuarios del
sistema.
Los tiempos productivos e improductivos en todas las actividades del rea de
sistemas, as como en las actividades del personal del rea y usuarios del sis-
tema.
Las tcnicas y actividades informticas para evaluar el aprovechamiento y la pro-
duccin del sistema, en cuanto a la operacin de sus componentes internos
(procesador, memorias, velocidad de procesamiento, etctera) y de sus compo-
nentes externos (disco duro, tarjetas, impresoras, drives, mdems, etctera).
576 Auditora en sistemas computacionales
* En la seccin 9.5.6. del captulo 9 de este libro, tratamos la divisin natural del personal que labora en el rea de
sistemas, el cual se clasifica de la siguiente manera: personal adscrito al rea de sistemas, usuarios, asesores y con-
sultores, as como distribuidores, proveedores y desarrolladores externos de sistemas. Esto es totalmente aplicable
en la auditora de este tipo.
Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 581
* En el captulo 5 de este libro analizamos el control interno informtico. Adems, en el captulo 4 tambin anali-
zamos el control interno, ambos aplicables en este tipo de auditora.
582 Auditora en sistemas computacionales
Documentacin de sistemas.
Adquisiciones de sistemas computacionales, as como de sus materiales y de-
ms componentes y consumibles.
Los dems estndares que regulen el desempeo de la funcin informtica en
la empresa.
Auditora a la documentacin de los sistemas en al rea de informtica y a la
documentacin de las dems reas de la empresa que cuenten con servicios
informticos.
Manuales de usuarios.
Manuales tcnicos del sistema.
Manuales de capacitacin.
Manuales de operacin.
Bitcoras de proyectos nuevos.
Documentacin de pruebas y simulaciones de sistemas.
Actualizacin de manuales.
Existencia, difusin, prstamo y uso de los manuales e instructivos de siste-
mas computacionales.
Los puntos sealados anteriormente son algunos de los muchos aspectos que se
pueden evaluar en una auditora de carcter administrativo de un centro de cmputo;
estos puntos nos sealan, a grandes rasgos, los asuntos ms importantes que se de-
ben tomar en cuenta para evaluar la gestin informtica de un rea de sistemas.
Sin embargo, es conveniente sealar que esos proyectos de evaluacin administra-
tiva se presentan nicamente como sugerencias, ya que el auditor de sistemas tiene la
potestad de adaptar aquellos aspectos que le sean tiles para su evaluacin, tomando
en cuenta las caractersticas del rea de sistemas que va a evaluar, sus costumbres y
lineamientos administrativos esenciales y todos los fundamentos para administrar di-
cha rea. Adems, el auditor debe disear sus instrumentos de evaluacin de acuerdo
con su experiencia, conocimientos y habilidades, as como con las peculiaridades de la
evaluacin administrativa que practique.
Recordemos que con estas auditoras se busca evaluar la participacin de la ges-
tin administrativa en el manejo, operacin y control de los sistemas computacionales
asignados a las reas de sistematizacin, con el fin de dictaminar sobre el uso correc-
to, manejo adecuado y explotacin eficiente de esos sistemas en el procesamiento de
informacin. Estas auditoras tambin sirven para evaluar la administracin del perso-
nal y de los bienes informticos asignados a las reas de sistemas de la empresa, la ad-
ministracin de los sistemas y mtodos de seguridad y prevencin de contingencias,
as como la adquisicin de software y hardware de los sistemas computacionales.
Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 583
si aplica los recursos informticos especializados que necesita y los complementa con
su experiencia y conocimientos de las herramientas, tcnicas y procedimientos nece-
sarios para evaluar estos sistemas, as como con su habilidad para obtener informacin
til para realizar su auditora.
Es difcil tratar de englobar en unas cuantas lneas los principales aspectos que de-
ben ser evaluados en una auditora de sistemas computacionales, ya que es obvio que
intervienen muchas particularidades de los propios sistemas computacionales. Debe-
mos considerar que no es lo mismo auditar un sistema de red de rea local que uno
de rea metropolitana, mundial o de red virtual; tampoco es lo mismo evaluar el pro-
cesamiento de una plataforma para MS-DOS y Windows, que para Unix o para AS-
400, y no es lo mismo evaluar la arquitectura de una PC, de un servidor o de un
sistema mayor.
Asimismo, las aplicaciones administrativas para los sistemas comerciales de una
empresa comercializadora son diferentes a las de una institucin dedicada al desarro-
llo de software, por citar algunos ejemplos.
En todos los casos existen caractersticas propias de los sistemas que los hacen di-
ferentes unos de otros; es evidente que las tcnicas, herramientas, procedimientos y
mtodos de auditora que se utilizan tambin son muy diferentes.
En relacin con lo anterior, a continuacin presentamos algunas de las muchas
consideraciones que se deben tomar en cuenta sobre los sistemas computacionales:
El tipo del procesador del sistema computacional, as como su velocidad, capaci-
dad, memoria y dems caractersticas con los cuales opera el sistema de cmputo.
Los fabricantes del hardware, software y perifricos del sistema computacional.
Las caractersticas y especificaciones del diseo del sistema computacional.
Las plataformas, ambientes, el tamao y configuracin del sistema computacional.
Los sistemas operativos, lenguajes, programas de desarrollo y aplicacin, utile-
ras y dems software del sistema computacional.
La forma de administrar el sistema y sus componentes asociados.
El sistema de administracin de bases de datos e informacin manejado.
La arquitectura del sistema, sus perifricos, equipos asociados y dems com-
ponentes.
Las aplicaciones concretas para las que est destinado el sistema computacional.
Adems de estos aspectos, se deben tomar en cuenta diversas caractersticas que
sern diferentes de un sistema a otro, y que por obvias razones variarn de un rea de
sistemas a otra.
En relacin con estos grandes grupos de caractersticas, existen muchos puntos que
el auditor de sistemas debe tomar en cuenta para evaluar los sistemas computaciona-
les. A continuacin presentamos algunos aspectos que se deben evaluar en este tipo de
auditoras:
586 Auditora en sistemas computacionales
Coprocesador matemtico.
Conjunto de chips (fabricante, modelo, capacidad y caractersticas).
Administrador de memoria.
Unidades adicionales, caractersticas, interfaz y capacidad.
Unidades de discos flexibles.
Discos duros (fabricante, capacidad, caractersticas y nmero).
Unidades de CD-ROM, DVD, CD-R (modelo y velocidad.)
Unidades de cinta.
Dispositivos multimedia (sonido, tarjetas, bocinas, multimedia y sintetizador).
Fax mdem (marca, modelo, velocidad en Kbps).
Soporte para grficos (fabricante, capacidad en RAM e interfaz).
Monitor (fabricante, modelo, tamao y caractersticas).
Teclado, ratn, JOYSTICK.
Tarjetas adicionales al sistema.
Tarjeta aceleradora de grficos.
Tarjetas para red.
Tarjeta para multimedia.
Tarjeta para fax mdem.
Muchas otras tarjetas a travs de extensiones del sistema.
Perifricos externos asociados al sistema.
Impresoras (fabricante, modelo, tamao y caractersticas).
Sistemas de videoconferencia (fabricante, modelo, alcance, nitidez y caracte-
rsticas).
Escner y dictador de textos.
Aprovechamiento y utilidad de cada uno de los componentes internos y perif-
ricos del sistema.
Monitor, teclado, ratn y unidad de disco flexible.
CD-ROM, CD-RW, DVD y disco duro.
Conexiones de perifricos, de conectividad y de comunicacin.
Aprovechamiento y utilidad del sistema computacional.
Capacidad para el crecimiento del sistema.
Calidad de los componentes del sistema (fabricante, marca y caractersticas).
Obsolescencia y durabilidad del equipo (sistema y componentes).
Garanta y soporte del fabricante.
588 Auditora en sistemas computacionales
de este libro. Claro est, el responsable de esta auditora debe utilizar estos puntos de
acuerdo con su experiencia, conocimientos y habilidades, a fin de que esos puntos sean
utilizados tal y como ah se describen, e incluso adaptndolos o sustituyndolos por
aquellos requerimientos especficos que sean necesarios, de acuerdo con las caracters-
ticas, plataformas, facilidades y dems distintivos propios de esta auditora.
En esta parte sera de mucha utilidad que el responsable de la auditora contara
con la participacin de auditores especializados en la auditora administrativa u opera-
cional; siempre y cuando estos especialistas cuenten con los suficientes conocimien-
tos de sistemas computacionales para poder determinar cules aspectos del entorno del
sistema deben ser evaluados, e incluso para que ellos mismos realicen las pruebas y
simulaciones necesarias, pero bajo un estricto enfoque de auditora de sistemas compu-
tacionales; jams desde la ptica de la auditora administrativa o contable, porque se
perdera la objetividad de la evaluacin del sistema.
Sugerimos al auditor de sistemas computacionales que, siguiendo cada uno de los
puntos anotados anteriormente para la evaluacin a todo lo que rodea al sistema compu-
tacional, utilice las siguientes herramientas:
El diseo de entrevistas (seccin 9.1) cuestionarios (seccin 9.2) y encuestas
(seccin 9.3) elaborados con preguntas acordes con las necesidades de su eva-
luacin sobre el funcionamiento, uso, aprovechamiento y otros aspectos de la
actividad informtica del rea de sistemas y de las dems reas de la empresa
que cuenten con esos sistemas. Con ello tendr la oportunidad de revisar los
principales aspectos relacionados con la administracin y control de las funcio-
nes, actividades, acciones y tareas encaminadas al funcionamiento adecuado
del sistema computacional.
Adems, quiz como una de las primeras acciones de evaluacin, el auditor tam-
bin puede utilizar las siguientes herramientas:
El levantamiento de inventarios (seccin 9.5), a fin de hacer un recuento de los
bienes informticos del rea de sistemas; para llevar a cabo esto, es recomen-
dable realizar los siguientes inventarios:
Inventarios de los equipos de cmputo, contemplando las marcas, procesado-
res, tarjetas madre, velocidad, configuracin, componentes, memorias, sistemas
de almacenamiento, tarjetas adicionales, nmeros de serie, responsables de su
resguardo y todos los dems aspectos relacionados con estos equipos.
Inventario de los sistemas operativos, lenguajes, programas, paqueteras, uti-
leras y dems software institucional, incluyendo licencias, resguardos, origi-
nales, copias autorizadas y copias piratas.
Inventario del personal informtico y usuarios del sistema, a fin de evaluar sus
perfiles de puestos, conocimientos, caractersticas y preparacin para el uso
de los sistemas computacionales de la empresa.
608 Auditora en sistemas computacionales
El uso de la lista de chequeo (seccin 11.6), ya que con esta herramienta pue-
de verificar que quien realice la auditora cubra todos los puntos descritos en su
planeacin de auditora. Inclusive, de acuerdo con el diseo de esta lista de che-
queo, tambin puede auditar todos los aspectos que repercuten en la proteccin
y salvaguarda de la informacin, del software institucional, de los bienes infor-
mticos, del personal y de los usuarios del rea de sistemas, considerando la
evaluacin del cumplimiento de cada uno de los puntos contemplados en dicha
herramienta.
El uso de las tcnicas de muestreo (seccin 9.6), debido a que al evaluar el
cumplimiento de las funciones, tareas y operaciones relativas a la seguridad en
el rea de sistemas, sera casi imposible, a la vez que inoperante, revisar todas
las actividades que realiza para analizar los aspectos de seguridad. Por esa ra-
zn tiene que utilizar muestras representativas de su cumplimiento, de acuerdo
con las necesidades y caractersticas de la seguridad adoptada en la empresa,
su volumen de trabajo y la magnitud de acciones a estudiar. Esto, independien-
temente del mtodo de muestreo que utilice en esta evaluacin, puede hacer lo
mismo con las actividades de los propios sistemas, sus comunicaciones y todos
aquellos aspectos que puedan ser evaluados mediante el muestreo.
Otra herramienta que puede utilizar el responsable de la auditora, en caso de ser
necesario, es la siguiente:
El acta testimonial (seccin 10.6), debido a que en la evaluacin de la seguridad
de los sistemas se pueden observar muchas incidencias y con ellas fincar respon-
sabilidades; estas actas testimoniales son una herramienta muy til para que el
auditor confirme, confronte o asiente por escrito las anomalas, deficiencias y
acontecimientos que requieren de un sustento documental para fundamentar la
opinin que emite. En la auditora a los sistemas computacionales se pueden en-
contrar muchas incidencias, deficiencias y problemas relacionados con la seguri-
dad del rea, mismos que se deben documentar mediante esta herramienta, ya
que se pueden dar casos de falta de algn bien informtico; en este caso, el au-
ditor deber levantar esta acta; tambin podra encontrar software no institucio-
nal y una serie de circunstancias que, en ese momento, harn necesario el uso de
esta acta documental. Recordemos que en algn caso extremo, este documento
se puede utilizar como prueba testimonial de alguna incidencia especial.
El responsable de la auditora puede utilizar las siguientes herramientas para eva-
luar las funciones de los ejecutivos, empleados y usuarios de sistemas, as como el de-
sempeo de todo lo que est alrededor de los sistemas del rea de sistemas:
La ponderacin (seccin 11.2), ya que le permite evaluar el funcionamiento
adecuado de cada una de las partes de la seguridad de los sistemas compu-
tacionales, dndole a cada parte el peso que le corresponde segn su participa-
Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 621
cin en cada parte en que se dividan las reas de seguridad de la funcin infor-
mtica en la empresa. Recordemos que con esta tcnica es posible darle un pe-
so especfico a cada una de las partes en que se divide la seguridad, de acuerdo
con un criterio para hacer ms equitativa la evaluacin. Aqu se puede adoptar
la ponderacin de cada una de las subsecciones que conforman este subcaptu-
lo; la responsabilidad del auditor ser darle el peso a cada una de estas subsec-
ciones en que se dividi esta parte de la auditora y aplicar a cada parte
ponderada cualquiera de los otros mtodos de evaluacin sugeridos, segn las
caractersticas del sistema.
Otras herramientas que pueden ser de gran utilidad en la evaluacin de la seguri-
dad de los sistemas computacionales son las siguiente:
Los modelos de simulacin (seccin 11.3), ya que con ellos es posible hacer
simulacros de la seguridad de los sistemas, de los accesos a las reas fsicas y
de los accesos a los sistemas y a la informacin; tambin se pueden realizar
pruebas simuladas planeadas previamente, con las que el auditor busca vulne-
rar las medidas de seguridad establecidas en los sistemas computacionales, pa-
ra de esta manera valorar el grado de efectividad de dichas medidas. Tambin
puede hacer todo tipo de simulaciones, de acuerdo con las necesidades de eva-
luacin y con su experiencia.
El anlisis de la diagramacin de sistemas (seccin 11.7), el cual tambin
puede ser una herramienta valiosa para el auditor, ya que le permite hacer el
seguimiento de cualquiera de las actividades de captura, procesamiento de in-
formacin y emisin de resultados de los sistemas, as como de las rutinas de
programacin de los sistemas, de los flujos que se siguen en la informacin y
de las actividades y funciones relacionadas con la seguridad que se realizan en
el rea de sistemas, con lo cual se puede analizar la seguridad en la empresa.
El auditor responsable de la auditora debe tomar las sugerencias sobre los aspec-
tos que se pueden evaluar mediante la auditora alrededor de la computadora de
acuerdo con sus necesidades especficas de evaluacin, debido a que es su potestad
absoluta utilizar las sugerencias, adaptarlas, modificarlas o sustituirlas por los puntos
concretos que le ayuden en su auditora. Asimismo, tambin tiene la facultad de utili-
zar las tcnicas, mtodos y procedimientos de auditora que ms le agraden o que co-
nozca mejor.
* Al auditar los sistemas de redes de la empresa, el auditor puede encontrar alguno o todos los tipos de configu-
racin de redes, ya sean de rea local (LANs), de rea metropolitana (MANs) o de rea amplia (WANs); por esta
razn deber adaptar los puntos que se presentan a las necesidades concretas del tipo de red que est auditando.
Aqu se presentan de manera muy general todos los aspectos que se pueden contemplar en este tipo de evalua-
cin, sin hacer ninguna distincin si son aplicados a uno u otro tipo de red.
624 Auditora en sistemas computacionales
redes.
Anlisis de la red de rea local (LAN).
Evaluar su cobertura de 10 metros a 1 kilmetro.**
la red.
Evaluar el funcionamiento de la tecnologa utilizada internamente en la
ternet.
Anlisis del diseo e implementacin de la topologa de cobertura de la red,
en cuanto a:
Estudio de las necesidades de cobertura con la topologa fsica de la red.
Capas de enlace.
Capas de red.
Capas de transporte.
Capa de sesin.
Capa de presentacin.
Capa de aplicacin.
de Recursos Conectados).
IPX (Internetwork Packet Exchange, Intercambio de Paquetes entre Redes).
La transmisin asncrona.
La transmisin analgica.
La transmisin digital.
La transmisin en paralelo.
La transmisin en serie.
Topologa de estrella.
Topologa de anillo.
Topologa de malla.
Servidores no dedicados.
Servidores de impresin.
Servidores de comunicacin.
Concentradores.
Adaptador Ethernet AE-3 para soportar tres tipos de cable: UTP, Coaxial
Cable coaxial.
Cable de banda base para un solo canal con un solo mensaje a la vez y ve-
locidades de 10 a 80 Mbps.
Cable de banda ancha; este cable maneja varias bandas a la vez y en dife-
de seal.
Puentes (bridges) y dispositivos para la capa de enlace OSI, para manejar
macrocomputadoras (mainframes).
Evaluacin del diseo e implementacin de los protocolos de comunicacin de
la red.
Anlisis de la adopcin de jerarquas de protocolos en la red de la empresa,
en relacin con:
El software para controlar las redes y las estructurar para manejar la
complejidad.
La organizacin en la mayor parte de las redes en una pila de niveles.
Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 631
Los niveles que ofrecen ciertos servicios a los niveles superiores y la imple-
mentacin de estos servicios en el nivel inferior siguiente para brindarlos.
El nivel de comunicacin n de una computadora con el nivel n de otra
computadora.
Las reglas y convenciones que controlan la conversacin entre las compu-
tadoras distintas.
La transferencia de los datos directamente del nivel n de otro nivel, a fin
Capa de bloque.
Capa de paquetes.
pares en los hosts de fuente y destino puedan conversar en sus dos pro-
tocolos: TCP (Transmission Control Protocol, Protocolo de Control de
Transmisin), el cual permite que dos computadoras conectadas a Inter-
net establezcan una conexin confiable para la entrega sin errores de un
flujo de bytes; tambin maneja el control de flujo. Y el UDP (User Data-
gram Protocol, Protocolo de Datagramas de Usuario). Este protocolo es
menos confiable que el TCP y no intenta establecer una conexin con una
Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 633
Transferencia de Archivos).
Evaluar el funcionamiento del SNMP (Simple Network Management Pro-
Control en Internet).
TCP (Transmisin Control Protocol, Protocolo de Control de la Transmisin).
de Correo).
SNMP (Simple Network Management Protocol, Protocolo Simple de Ad-
ministracin de Red).
DNS (Domain Name System, Sistema de Nombres de Dominio).
de Sistemas Abiertos).
Norma IEEE 802 (Institute of Electrical and Electronics Engineers, Institu-
de los datos.
A los sistemas y software.
* Para realizar esta auditora se recomienda adaptar algunos puntos establecidos en la auditora al sistema compu-
tacional (seccin 12.4), ya que son muy similares a los que se tratan en esta evaluacin.
** Para realizar esta auditora se recomienda adaptar algunos puntos sealados en la auditora a la gestin infor-
mtica del rea de sistemas (seccin 12.3), ya que son muy similares a los que se tratan en esta evaluacin.
Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 635
su mximo.
El control de errores para la entrega confiable y en orden o sin orden de
colos de la red.
Administracin y control de la problemtica de seguridad de la red, la in-
las terminales, por paquete, por byte, por proceso o por cualquier otra ac-
tividad que se realiza en los sistemas de la red.
Evaluacin de la seguridad y proteccin de la red y de los activos informticos
de la empresa.*
Anlisis del funcionamiento de los mecanismos de control de acceso a las ins-
talaciones, informacin y software institucionales.
Anlisis de la prevencin de accesos mltiples, sin permisos, dolosos y de todas
aquellas acciones para ingresar al sistema sin la autorizacin correspondiente.
Anlisis del procesamiento de informacin en los sistemas de red.
Anlisis de la administracin y el control de la asignacin de los de niveles de
acceso, privilegios y contraseas para los usuarios para ingresar al sistema y
la informacin.
Anlisis del monitoreo de las actividades de los usuarios.
* Aqu se recomienda utilizar los puntos sealados en la auditora de la seguridad de los sistemas computacio-
nales (seccin 12.6), salvo que en este caso tiene que adaptar especficamente las necesidades de la auditora a la
configuracin, topologa y dems caractersticas de la red de cmputo que audite.
636 Auditora en sistemas computacionales
experiencia en el manejo de los aspectos concretos que se deben auditar sobre su ad-
ministracin y operacin, segn la configuracin, tipo, caractersticas, tamao y com-
ponentes de la red de cmputo de la organizacin, tanto de su hardware y software
como del espacio fsico donde est instalada.
Debemos sealar nuevamente que el responsable de la auditora debe seleccionar
de los puntos sealados anteriormente aquellos que considere que satisfacen sus ne-
cesidades de evaluacin; asimismo, el auditor est en libertad absoluta de modificar o
eliminar los puntos que le servirn para una mejor evaluacin de la red de cmputo.
Otras herramientas que es recomendable utilizar en estas auditoras son las si-
guientes:
Las tcnicas de observacin (seccin 9.4), a fin de evaluar el funcionamiento
normal del sistema operativo de la red, el procesamiento y uso de la informacin
y del software de la empresa, as como para observar el desarrollo normal de las
operaciones y actividades de los usuarios de la red, actividades y acciones de
stos para comprobar las medidas de seguridad establecidas para la red, e in-
cluso para la observacin de su comportamiento durante simulacros realizados
de acuerdo con los planes contra contingencias de los sistemas de la red. Asi-
mismo, cuando el caso lo requiera, el auditor podr realizar la observacin ocul-
ta, el monitoreo, la observacin participativa y los dems tipos de observacin
descritos en esa seccin.
Las tcnicas de revisin documental (seccin 10.5) para revisar los proyectos
de instalacin de la red, planos de configuracin de cableado, configuraciones,
distribucin de los componentes de la red, los planes contra contingencias, ma-
nuales e instructivos de seguridad, licencias y resguardos de sistemas, bitcoras
de reportes de incidencias que afectan a la red y al desarrollo de proyectos de
redes y de nuevos sistemas, bitcoras de mantenimiento y evaluacin, as como
planes, programas y presupuestos para satisfacer los requerimientos de opera-
cin y funcionalidad de la red de cmputo. Siempre y cuando esta revisin se
realice para evaluar lo que se refiera a la administracin y control de las funcio-
nes de la red, de los activos informticos que la integran, as como el manejo de
su informacin y sus sistemas.
La matriz de evaluacin (seccin 10.7) o la matriz DOFA (seccin 10.8), segn
las preferencias y necesidades de revisin del auditor; con estas herramientas
puede auditar las fortalezas y debilidades del funcionamiento de la red de cmpu-
to, tales como la administracin del servidor, las terminales, el software, la infor-
macin, el aprovechamiento de los recursos informticos de la empresa y la
respuesta a las necesidades informticas. Tambin puede analizar las reas de
oportunidad para fortalecer la comunicacin entre los sistemas de la empresa,
la actualizacin de tecnologas de proteccin y las barreras para proteger los ac-
cesos del exterior. Tambin puede analizar las posibles amenazas del avance de
la tecnologa de redes y de comunicacin para evitar la fragilidad en la actuali-
zacin de los sistemas de red.
Es indispensable que el responsable de esta auditora tome en cuenta lo siguiente
al elaborar su programa de auditora a los sistemas de redes:
La elaboracin de una gua de evaluacin (seccin 11.1), a fin de planear espec-
ficamente cada uno los aspectos importantes del funcionamiento de las redes
que tiene que evaluar, tanto en lo tcnico, como en la configuracin, operacin,
compatibilidad, comunicacin y dems aspectos relacionados con el funciona-
640 Auditora en sistemas computacionales
miento de la red. Para ello es recomendable que tome en cuenta cada uno de
los puntos indicados en el inicio de esta seccin, adaptndolos a las necesida-
des especficas de la red en la empresa, e incluso modificndolos para adecuar-
los conforme a sus propias necesidades de evaluacin, y conforme a las
caractersticas propias del sistema de red, a su tamao, componentes, configu-
racin y dems peculiaridades de la red.
Un buen elemento de control para el responsable de esta evaluacin es el siguiente:
El uso de la lista de chequeo (seccin 11.6), ya que con esta herramienta puede
verificar que quien realice la auditora cubra todos los puntos descritos en su pla-
neacin de auditora. Inclusive, de acuerdo con el diseo de esta lista de chequeo,
tambin puede auditar todos los aspectos que repercuten en la red de la empresa.
El uso de las tcnicas de muestreo (seccin 9.6), debido a que al evaluar el
cumplimiento de las funciones, tareas y operaciones relativas a la administra-
cin y funcionamiento de una red de cmputo, sera casi imposible, a la vez que
inoperante, revisar todas las actividades que se realizan en la red, ms an cuan-
do sta es WAN o Internet. Por esta razn tiene que utilizar muestras represen-
tativas del cumplimiento de las operaciones de la red, de acuerdo con las
necesidades y caractersticas de la red adoptada en la organizacin, as como
con su configuracin, componentes y la magnitud de interacciones que ocurren
en la transmisin de datos de la red. Esto independientemente del mtodo de
muestreo que se utilice en esta evaluacin.
Puede hacer lo mismo con las actividades de los protocolos de transmisin de in-
formacin, el manejo de sus sistemas de comunicacin, el procesamiento de infor-
macin y operaciones que permiten el funcionamiento de la red y todos aquellos
aspectos que se puedan evaluar mediante el muestreo de las actividades de la red.
El responsable de la auditora puede utilizar la siguiente herramienta para evaluar
las funciones de los ejecutivos, empleados y usuarios de sistemas, as como el desem-
peo de todo lo que est alrededor del funcionamiento de una red de cmputo:
La ponderacin (seccin 11.2) es una herramienta muy til , ya que le permi-
te evaluar el funcionamiento adecuado de cada una de las partes de la red de
cmputo, al asignarle a cada parte el peso que, segn su criterio, le correspon-
da, para hacer ms equitativa la evaluacin, en este caso a cada una de las par-
tes consideradas como divisin fundamental del funcionamiento de una red;
por ejemplo, la evaluacin del diseo de la red, del funcionamiento de los pro-
tocolos, de la parte tcnica de su funcionamiento o cualquier otra divisin es-
tablecida por el auditor
Recordemos que con esta tcnica es posible darle un peso especfico a cada
una de las partes en que se divide la actividad de las redes, y que la pondera-
cin se tiene que adoptar de cada una de las subsecciones que conforman este
Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 641
subcaptulo. La responsabilidad del auditor ser darle el peso a cada una de es-
tas subsecciones en que se dividi esta parte de la auditora y aplicar a cada par-
te ponderada cualquiera de los otros mtodos de evaluacin sugeridos, segn
las caractersticas de la red.
Otras herramientas que pueden ser de gran utilidad en la evaluacin de la red de
cmputo son las siguientes:
Los modelos de simulacin (seccin 11.3), ya que con ellos es posible hacer
simulacros del funcionamiento de la red, de los accesos a las reas fsicas y de
los accesos a los sistemas y a la informacin de la red; tambin se pueden rea-
lizar el desarrollo de pruebas simuladas, planeadas previamente, con las que el
auditor realiza actividades concretas para utilizar la red de una manera inade-
cuada y ver su comportamiento. Tambin puede hacer todo tipo de simulacio-
nes, de acuerdo con las necesidades de evaluacin y con su experiencia.
El anlisis de la diagramacin de sistemas (seccin 11.7), el cual tambin
puede ser una herramienta valiosa para el auditor, ya que le permite hacer el se-
guimiento de las redes de cmputo, de su instalacin, diseo e implementacin,
as como el seguimiento de cualquier actividad de captura, procesamiento y
emisin de resultados de los sistemas de red, de los flujos que se siguen en la
transmisin de la informacin entre las partes que la integran, adems del se-
guimiento de las rutinas de los programas de sta o de las actividades y funcio-
nes que se realizan en ella.
El responsable de la auditora debe tomar las sugerencias anteriores sobre los as-
pectos que se pueden evaluar mediante la auditora a los sistemas de redes de acuer-
do con sus necesidades especficas de evaluacin, ya que es su potestad absoluta
utilizarlas como estn, adaptarlas e inclusive sustituirlas por aquellos puntos concretos
que le ayuden a realizar su auditora. Tambin debe utilizar las tcnicas, mtodos y pro-
cedimientos de auditora que le convengan ms o las que conozca ms.
Debemos tomar en cuenta que las empresas tienen que desembolsar una cantidad
inicial para adquirir los sistemas computacionales necesarios para el funcionamiento de
estas reas, as como el hardware, perifricos y software para el desarrollo y aplicacin
de los sistemas, el mobiliario especializado para los equipos y el mobiliario de oficina, y
la adaptacin de las instalaciones; adems continuamente tienen que realizar gastos pa-
ra la contratacin de funcionarios y empleados y para consumibles y materiales de ofici-
na del rea de sistemas, y deben tomar en cuenta los gastos fijos para el mantenimiento
del rea de sistemas, tales como energa elctrica, vigilancia y mantenimientos, entre mu-
chos otros gastos peridicos. En algunos casos tambin existen gastos, programados o
no programados, por la constante actualizacin del hardware y software y los activos in-
formticos para mantener vigente la funcin informtica de la organizacin.
A causa de estos altos costos en los sistemas, en la actualidad las empresas tienen
que recurrir a las instituciones y profesionales que proporcionan estos servicios de
cmputo (outsourcing informtico), con lo cual se liberan no slo de los altos gastos
que implican estas reas sino tambin de su administracin y del manejo y gasto de
personal que las maneja; reduciendo considerablemente las erogaciones por esta ac-
tividad informtica.
Una variante de este servicio de sistemas es el llamado HelpDesk (ayuda de es-
critorio), mismo que podemos definir de la siguiente manera:
Es la prestacin del servicio interno de sistemas y del apoyo para la solucin
de las problemticas que se les presentan a los usuarios en sus sistemas; este
servicio lo presta personal especializado, contratado ex profeso para ello; el
cual proporciona los servicios o auxilio informticos a las reas de la empresa,
a fin de mantener el funcionamiento de los sistemas de la institucin; por lo ge-
neral, dicho servicio se presta por medio de la red de cmputo, y la mayora de
servicios se realizan va telefnica o a travs de la propia red.
Con la auditora outsourcing en los sistemas computacionales se busca evaluar la
eficiencia y eficacia de los servicios que se proporcionan a las organizaciones, enfocn-
dolos principalmente desde dos puntos de vista: por un lado, aquel en el cual se audi-
tan las actividades, funciones y operaciones del prestador de servicios, en cuanto a la
administracin de sus recursos informticos, la confiabilidad, oportunidad y eficiencia
con las que trata la informacin de las organizaciones, los resultados que obtiene del
procesamiento de datos y la eficiencia y eficacia de sus servicios. Por otro lado, aquel
en donde se evala la forma en que se lleva a cabo la actividad de outsourcing en la
empresa que lo proporciona, analizando la calidad, rapidez, oportunidad, confiabilidad,
eficacia y eficiencia con las que trabaja para suministrar de una manera adecuada la
actividad informtica a la institucin contratante.
En ambos casos, el auditor de sistemas deber realizar dicha auditora a los si-
guientes aspectos:
La infraestructura informtica para la prestacin de los servicios outsourcing.
644 Auditora en sistemas computacionales
luando todo lo sealado en ese apartado, adems de los puntos que trataremos pos-
teriormente.
En ambos casos, adems de esos puntos indicados, la auditora outsourcing en los
sistemas computacionales se tiene que complementar con las evaluaciones que pre-
sentamos a continuacin.
formticos.
El cumplimiento de la misin, visin y objetivo de la actividad outsourcing
sourcing informtico.
Anlisis del estilo de liderazgo, relaciones de trabajo, jerarquas de autori-
* En la seccin 9.5.6. del captulo 9 determinamos la divisin natural del personal que labora en el rea de siste-
mas, clasificndolo en: personal del rea de sistemas, usuarios, asesores y consultores, proveedores y distribuido-
res de sistemas. Esto es totalmente aplicable en la evaluacin de la prestacin del servicio outsourcing informtico.
648 Auditora en sistemas computacionales
* Para la prctica de esta auditora, tambin se tienen que incluir la evaluacin a cada uno de los aspectos seala-
dos para la auditora a los sistemas, personal informtico, instalaciones, comunicacin y dems aspectos re-
lativos al prestador de los servicios outsourcing (seccin 12.8.1) y la evaluacin de la forma en que la empresa
contratante recibe el servicio outsourcing (seccin 12.8.2); debido a que stos forman parte sustancial de la eva-
luacin de estos servicios adems de los aspectos que ah se agregan.
654 Auditora en sistemas computacionales
* En esta parte se recomienda utilizar los puntos sealados en la auditora de la seguridad de los sistemas compu-
tacionales (seccin 12.6), con las adaptaciones necesarias para evaluar la seguridad de la red de ayuda en lnea.
656 Auditora en sistemas computacionales
El uso de las tcnicas de muestreo (seccin 9.6), debido a que sera casi impo-
sible, a la vez que inoperante, revisar todas las actividades que se llevan a cabo
para el cumplimiento de las funciones, tareas y operaciones de la prestacin/re-
cepcin del servicio outsourcing y la ayuda en lnea, ms si stos se realizan me-
diante una red de servicios, y sta es WAN o Internet. Por esta razn, al practicar
el levantamiento de informacin, el auditor tiene que utilizar muestras represen-
tativas para evaluar el cumplimiento de las necesidades de los usuarios del ser-
vicio outsourcing informtico, de acuerdo con las necesidades y caractersticas
de la prestacin/recepcin adoptadas en la empresa, sus componentes y la
magnitud de servicios y en la transmisin en lnea.
El responsable de la auditora puede utilizar la siguiente herramienta para evaluar
las funciones de los ejecutivos, empleados y usuarios de sistemas, as como el desem-
peo de todo lo que est alrededor del funcionamiento de una red de cmputo utiliza-
da para la prestacin de servicios outsourcing informticos:
La ponderacin (seccin 11.2) es una de las herramientas ms tiles , ya que le
permite evaluar el funcionamiento adecuado de cada una de las partes en que
se dividi esta auditora, dndole a cada una de esas partes un peso ponderado
que, segn su criterio, le corresponda. Por ejemplo: un peso x para evaluar al
prestador del servicio, otro para el que recibe el servicio y otro ms para la ayu-
da en lnea. Estos pesos ponderados se asignan de acuerdo con un criterio de
evaluacin para hacer ms equitativa la revisin de la actividad outsourcing. De-
bemos sealar que es potestad absoluta del auditor establecer la divisin que
ms convenga a sus requerimientos de evaluacin.
Recordemos que con esta tcnica es posible darle un peso especfico a cada
una de las partes en que se divide la actividad de las redes, y que la pondera-
cin se tiene que adoptar de cada una de las subsecciones que conforman este
subcaptulo.
Otras herramientas que pueden ser de mucha utilidad para evaluar el servicio out-
sourcing, tanto en las empresas que lo proporcionan como en las que lo reciben, son
las siguientes:
Los modelos de simulacin (seccin 11.3), ya que con ellos es posible hacer
simulacros sobre la prestacin de los servicios outsourcing proporcionados a los
usuarios de sistemas de la empresa que los contrata, en este caso mediante el
desarrollo de pruebas simuladas, planeadas previamente, en las que el auditor
hace mal uso del servicio outsourcing y de la ayuda en lnea. Esto se evala a
travs de acciones premeditadas, donde el auditor realiza actividades concretas
para analizar el funcionamiento de la actividad informtica que se ofrece a los
usuarios outsourcing, a la atencin de sus necesidades informticas o solicitu-
des de ayuda en lnea; se pueden hacer tantas pruebas como sean necesarias;
660 Auditora en sistemas computacionales
ya sea para mal usar la actividad outsourcing y de ayuda en lnea, para analizar
su comportamiento y cumplimiento, o bien, realizar todo tipo de simulaciones,
de acuerdo con las necesidades de evaluacin y experiencia del auditor, lo cual
le permitir medir el grado de cumplimiento y satisfaccin de las actividades in-
formticas para el servicio de los usuarios de la empresa.
El anlisis de la diagramacin de sistemas (seccin 11.7), el cual tambin
puede ser una herramienta valiosa para el auditor, ya que le permite hacer el se-
guimiento de cualquier actividad de captura, procesamiento de informacin y
emisin de resultados en los sistemas outsourcing y ayuda en lnea, a fin de eva-
luar si el flujo de los servicios es acorde con las necesidades de los usuarios.
Tambin puede hacer el seguimiento de las rutinas de los programas de aten-
cin a los usuarios y la prestacin de los servicios informticos; incluso le sirve
para evaluar que los flujos de comunicacin que se utilizan en la transmisin/re-
cepcin de la informacin y de los servicios que integran la actividad outsour-
cing y ayuda en lnea sean acordes con las actividades y funciones que contrat
la empresa.
El responsable de la auditora debe tomar las sugerencias anteriores sobre los as-
pectos que se pueden evaluar mediante la auditora outsourcing en los sistemas compu-
tacionales de acuerdo con sus necesidades especficas de evaluacin, ya que es su
facultad absoluta utilizarlas como estn, adaptarlas e inclusive sustituirlas por aquellos
puntos concretos que le ayuden a realizar mejor su auditora. Tambin debe utilizar las
tcnicas, mtodos y procedimientos de auditora que le agraden o que conozca ms.
* El tratamiento de este punto se refiere exclusivamente a la calidad ISO-9000; sin embargo, los mismos concep-
tos, procedimientos, aplicaciones y sugerencias para realizar este tipo de auditora, tambin pueden hacerse exten-
sivos a las nuevas corrientes de certificacin de calidad que se estn exigiendo a las empresas de hoy. Algunos
ejemplos: NOM (Normas Mexicanas de Calidad), TQS (Sistemas de Calidad Total).
662 Auditora en sistemas computacionales
dentro de la institucin.
La existencia de la documentacin completa y necesaria del software de
* Para complementar esta auditora, sera de mucha utilidad que el auditor utilizara los aspectos sealados en
la auditora sin la computadora (seccin 12.2), la auditora a la gestin informtica del rea de sistemas
(seccin 12.3) y la auditora alrededor de la computadora (seccin 12.5), ya que estas auditoras estn muy
relacionadas con lo que se busca evaluar con la auditora ISO-9000.
664 Auditora en sistemas computacionales
cas para la certificacin de calidad, as como cada uno de los puntos indica-
dos en el inicio de esta seccin, adaptndolos a las necesidades especficas
de la certificacin de calidad a los sistemas computacionales de la empresa,
e incluso modificndolos de acuerdo con sus necesidades de evaluacin.
Otras herramientas que es recomendable utilizar en estas auditoras son las si-
guientes:
Las tcnicas de observacin (seccin 9.4) a fin de verificar que los servicios de
cmputo se otorguen conforme con lo documentado, as como para verificar
que el desarrollo de las operaciones y actividades de servicios de cmputo s
satisfagan los requisitos demandados por la auditora ISO-9000. Adems, cuan-
do el caso lo requiera, el auditor podr realizar la observacin oculta, participa-
tiva, el monitoreo y los dems tipos de observacin descritos en esa seccin.
Las tcnicas de revisin documental (seccin 10.5) para revisar la docu-
mentacin de los servicios y actividades y los dems documentos relaciona-
dos con la funcin informtica de los sistemas de la empresa, as como para
revisar el cumplimiento de los requisitos, normas, procedimientos relaciona-
dos con la certificacin ISO-9000.
La matriz de evaluacin (seccin 10.7) o la matriz DOFA (seccin 10.8), se-
gn las preferencias y necesidades de revisin del auditor; con estas herra-
mientas puede analizar las fortalezas y debilidades de la certificacin de
calidad ISO-9000, as como las reas de oportunidad para fortalecer la cali-
dad de los sistemas de la empresa. Tambin puede evaluar las debilidades,
fortalezas, amenazas y reas de oportunidad de la actualizacin de esta cer-
tificacin, de las nuevas tecnologas de servicio, as como las necesidades de
las reas de cmputo, los costos de la actividad informtica, el avance de la
tecnologa de redes y la comunicacin para evitar la fragilidad en la actuali-
zacin de la actividad informtica de la institucin.
Un elemento de control para el responsable de esta evaluacin de la calidad es el
siguiente:
El uso de la lista de chequeo (seccin 11.6), ya que con esta herramienta
puede verificar el cumplimiento de todos los criterios de evaluacin contem-
plados para la planeacin de la auditora de las normas ISO-9000.* Adems,
esta herramienta le ayuda a verificar que quien realice la auditora cubra todos
los puntos descritos. Inclusive, de acuerdo con el diseo de esta lista de che-
queo, puede evaluar todos los aspectos que repercuten en el cumplimiento de
las actividades, requisitos y criterios de la calidad ISO-9000.
* La tabla de criterios de las normas ISO-9000 es un claro ejemplo de la aplicacin de la tcnica de lista de che-
queo; lo que tiene que hacer el auditor es verificar el cumplimiento de cada uno de los criterios ah plasmados.
668 Auditora en sistemas computacionales
Otra herramienta que puede ser de mucha utilidad en esta evaluacin es la si-
guiente:
Los modelos de simulacin (seccin 11.3), ya que con ellos es posible ha-
cer las pruebas necesarias de la calidad, documentacin y del cumplimiento
en la empresa de los requerimientos de la norma ISO-9000 para los servicios
de sistemas; en estas pruebas simuladas, planeadas previamente, el auditor,
a travs de acciones premeditadas, hace mal uso de las actividades docu-
mentadas, pudiendo hacer las pruebas tantas veces como sean necesarias
con el fin de analizar su comportamiento y cumplimiento para medir, con la
mayor veracidad posible, el grado de cumplimiento y satisfaccin de los re-
quisitos de la certificacin de calidad ISO-9000.
El responsable de la auditora debe tomar las sugerencias anteriores sobre los as-
pectos que se pueden evaluar mediante la auditora de calidad ISO-9000 a los siste-
mas computacionales, de acuerdo con sus necesidades especficas de evaluacin, ya
que es su facultad absoluta utilizar las normas ISO-9000, o bien utilizar estas sugeren-
cias. Tambin debe utilizar las tcnicas, mtodos y procedimientos de auditora que le
agraden o que conozca ms.
Riesgo de
Las ventanas pueden deslumbramiento
provocar reflejos sobre debido a las
la pantalla ventanas
Un teclado de color
claro puede provocar
reflejos sobre la pantalla
En esta grfica podemos observar diez posiciones que adoptan los usuarios al sen-
tarse frente a la computadora y cul es la afectacin directa en la columna vertebral,
de lo cual podemos: analizar e identificar estas posiciones en los usuarios de sistemas,
la frecuencia con que las adoptan y si existen medidas preventivas para evitarlas.
Analizar si la constante incidencia de estas posiciones puede repercutir en la
salud muscular-esqueltica del usuario, ya sea en forma parcial o total, tem-
poral o permanente y leve o grave.
Analizar si se han tomado las medidas preventivas o correctivas para evitar
estos vicios de postura.
Analizar globalmente el problema de las posturas de los usuarios, para com-
probar los siguientes factores:
Con qu frecuencia e intensidad repercute en la salud del usuario la po-
tura.
Verificar que existan estudios en las reas de sistemas de la empresa sobre
los efectos de los sistemas en la salud de los usuarios.
Analizar si esta afectacin de la salud muscular-esqueltica es producto de las
deficiencias del diseo del mobiliario que se utiliza en el centro de cmputo.
Analizar si en el proyecto de un centro de cmputo existen los estudios an-
tropomtricos del usuario promedio nacional, que permitan identificar las
posibles repercusiones en la salud muscular-esqueltica de los usuarios.
En caso de que no existan estudios de este tipo, investigar si se debe a que
se desconoce la forma de realizarlos, o a que no se tomaron en cuenta esas
necesidades al adquirir el mobiliario.
Investigar con qu efectos y con qu frecuencia se presentan esas repercu-
siones en la salud de la espalda, columna vertebral, trax, cuello, cabeza, nu-
ca, piernas y pies del usuario, ya sea por la posicin que adopta al estar en
contacto con las computadoras o por el diseo del mobiliario del centro de
cmputo. Evaluar ambos casos.
Analizar, como complemento de la evaluacin de la existencia o carencia de
los estudios antropomtricos, la periodicidad de otros estudios mdicos
traumatolgicos de las afectaciones sobre una poblacin seleccionada de in-
Propuesta de puntos que se deben evaluar en una auditora de sistemas computacionales 673
20 Pantalla
Postura de los
codos, sentado 90
90
equipos, debe haber algunas medidas de carcter ergonmico que contribuyan a la co-
modidad y bienestar de los usuarios. Sin embargo, aunque existan dichas medidas, s-
tas no siempre son las ideales ni las ms deseables para desempear el trabajo en
forma ptima. Sobre todo cuando se sospecha la carencia de estudios relacionados
con el impacto ergonmico en los usuarios de estos sistemas.
Tambin existen usuarios que utilizan la computadora en forma personal, en su ca-
sa, oficina o cualquier lugar que, muchas veces, carece de las condiciones mnimas pa-
ra el uso de sistemas, y su ambiente es muy limitado. Estas condiciones tambin se
deben evaluar, ya que pueden llegar a repercutir en la salud del usuario.
Analizar todo lo relacionado con el ambiente que rodea al rea de sistemas, por
ejemplo:
La distribucin, el uso y los efectos del aire acondicionado en los usuarios.
La afectacin del ruido en el desarrollo del trabajo de sistemas.
La presencia de humedad, calor, cambios de temperatura y otros fenmenos
climticos en la arquitectura del lugar, con el fin evaluar el desempeo de las
actividades de sistemas.
El acomodo del mobiliario y de todos los dems factores de higiene y segu-
ridad que influyen de alguna manera en la realizacin de los trabajos del rea
de sistemas.
La iluminacin, el mobiliario y muchos otros aspectos del centro de cmpu-
to que influyen en la realizacin de las actividades del centro de cmputo.
Analizar en forma global si existe alguna repercusin en la salud del usuario a
causa del ruido, el aire acondicionado, la humedad, la arquitectura, la higiene, la
seguridad y otros aspectos del ambiente donde estn instalados los sistemas.
Evaluar si estos anlisis estn apoyados por un estudio inicial de la ergonoma,
aplicada exclusivamente al ambiente de trabajo del usuario de los sistemas, de
los componentes, el mobiliario y equipo.
Determinar si existe algn estudio ergonmico enfocado exclusivamente a la sa-
lud fsica de los usuarios, sin considerar otros aspectos que estudia la ergonoma,
ya que no sera conveniente incluir dichos aspectos debido a lo especializado de
su tratamiento.
Realizar un anlisis global del problema de los efectos de la computadora en la
salud de los usuarios, as como de los efectos de los componentes de cmputo,
el mobiliario y equipo, el ambiente, la iluminacin del local, el ruido, los siste-
mas de aire acondicionado, etctera.
Analizar el efecto que tienen en la vista de los usuarios las pantallas, la ilumina-
cin y dems reflejos.
Analizar las posiciones y posturas que adoptan los usuarios frente a la compu-
tadora y que repercuten en su columna vertebral, trax, cuello, nuca y que les
producen cansancio y afectaciones ortopdicas.
676 Auditora en sistemas computacionales
Analizar las dems afectaciones fsicas del ambiente, la iluminacin, los sistemas
de aire acondicionado, las instalaciones, el mobiliario y los dems medios que
rodean el uso de sistemas.
Evaluar el impacto que tienen estos sistemas en el desempeo y la productivi-
dad del personal que est relacionado con ellos.
Evaluar todos los aspectos relacionados con el bienestar, la comodidad y la se-
guridad que proporciona el ambiente del centro de cmputo al usuario, la reper-
cusin que tiene dicho centro en la salud fsica y emocional de los usuarios, las
medidas preventivas y correctivas para disminuir dichas repercusiones, y el di-
seo de espacios de trabajo adecuados.
Evaluar la existencia y aplicacin de los estudios relacionados con el bienestar,
la comodidad y la seguridad de los directivos, empleados y usuarios de los sis-
temas de la organizacin.
Evaluar la existencia, actualizacin y aprovechamiento de los estudios sobre el
impacto de los sistemas en la salud fsica de los directivos, empleados y usua-
rios de la empresa, en especial en sus repercusiones en vista, trax, cuello, nu-
ca, columna vertebral, brazos, manos y dedos, para la productividad de la
empresa.
Evaluar los estudios y propuestas para el diseo del mobiliario, equipos y am-
biente del trabajo de sistemas que permitan a directivos, empleados y usuarios
desarrollar su trabajo con seguridad, comodidad y bienestar.
Evaluar la aplicacin y seguimiento de los estudios ergonmicos realizados en
las reas de sistemas de la empresa, as como de las medidas preventivas y co-
rrectivas derivadas de los mismos, a fin de mantener la seguridad, comodidad y
bienestar de los usuarios de sistemas.
de sistemas.
Evaluacin del desarrollo de sistemas.
tro de cmputo.
Auditora de los sistemas de seguridad y de prevencin de contingencias.
tema.
Auditora del desarrollo de sistemas.
y desarrollo de sistemas.
Auditora a los procesadores, perifricos, equipos e instalaciones que hay
en el rea de sistemas.
Auditora de los sistemas de seguridad y prevencin de contingencias.
Configuracin.
cional.
Evaluacin de la administracin del rea de sistemas, en relacin con:
Diseo de la estructura de organizacin del sistema, reas de trabajo,
de informacin.
Administracin y control de los recursos informticos.
Estndares para la evaluacin y adquisicin del hardware, software, mo-
pos y perifricos.
Evaluacin de los aspectos tcnicos del sistema.
Administracin y control del sistema operativo del procesador.
macin.
Administracin y control de sistemas de red, multiusuarios y micro-
cmputo.
Administracin y control de sistemas de telecomunicacin y teleprocesa-
miento.
Prevencin y control de la contaminacin informtica.
rea de sistemas.
Anlisis de la organizacin del trabajo.
tos de sistemas.
Evaluacin de los reportes de actividades de funcionarios, personal y usua-
rios del sistema.
Anlisis de los reportes de incidencias del personal.
Informes.
Desarrollo de proyectos.
Gastos de rea.
Asignacin de recursos.
Software.
Seguridad.
684 Auditora en sistemas computacionales
Desarrollo de sistemas.
Metodologa.
Bases de datos.
Control de calidad.
Sistemas de produccin.
Anlisis de produccin.
Respaldos.
Mantenimiento.
Software de trabajo.
Adquisicin.
Bitcora.
Instalacin.
Aplicacin.
Control y seguridad.
que manejan PCs individuales o sistemas de equipos mayores. En todos los casos las
necesidades de evaluacin son distintas.
Tampoco es lo mismo auditar integralmente un centro de cmputo donde se utili-
za COBOL como lenguaje de desarrollo, en el que todas las bases de datos y activida-
des estn orientadas a ese lenguaje, que un centro de cmputo, de similares
caractersticas, pero que maneje su informacin en DB2, cuyas aplicaciones y bases de
datos tienen diferentes sentidos y caractersticas. Cada cual tiene aplicaciones, meto-
dologas, procedimientos y tcnicas diferentes entre s.
Por todas estas razones, en este punto no presentamos sugerencias de tcnicas,
herramientas y procedimientos aplicables a este tipo de auditora. Sin embargo, s re-
comendamos que el responsable de la auditora repase todo lo sealado para los tipos
de auditoras anteriores y de ah obtenga lo que a su parecer sea lo mejor y que se
adapte ms a sus necesidades de evaluacin. As, conjuntando todos estos elementos
podr determinar los que requiera para su auditora integral. Claro, sin menoscabo de
los propios procedimientos, tcnicas y herramientas especficos que su experiencia le
dicte para llevar a cabo de una mejor forma este tipo de auditora de sistemas.