1 ­ Auditoría de Sistemas Computarizados

Tema 1: Sistemas
Concepto
Un sistema es un conjunto ordenado de componentes o elementos interrelacionados, interdependientes e interactuantes, cuya
finalidad es lograr un objetivo determinado.
El sistema de información es el medio por el cual datos fluyen de una persona o departamentos hacia otros.
El sistema de información computarizada consiste en la recolección organizada, el procesamiento, la transmisión y distribución de la
información, en forma automatizada y de acuerdo a procedimientos específicos.

Características importantes de los sistemas

Los sistemas funcionan para alcanzar fines específicos. La finalidad de un sistema es la razón de su existencia.
Para alcanzar sus objetivos los sistemas interactúan con su medio ambiente constituyendo así sistemas abiertos. Aquellos que no
interactúan con su medio ambientes son sistemas cerrados.
Un sistema de información debe contar con los siguientes elementos:
• Flujo de datos
• Almacenes de datos
• Procesos
• Procedimientos
• Controles: estándares y lineamientos para determinar si las actividades están ocurriendo en la forma aceptada. Debe
especificar las acciones que deben emprenderse cuando ocurren problemas o se presentan circunstancias inesperadas.
• Funciones de personal
Siempre debe anotarse las actividades que se encuentran muy por encima o por debajo de los estándares para poder efectuar los
ajustes necesarios. La información proporcionada al comparar los resultados con los estándares, junto con el proceso de reportar las
diferencias a los elementos de control, recibe el nombre de retroalimentación.
Los sistemas emplean un modelo de control básico consistente en:
• Un estándar para lograr un desempeño aceptable.
• Un método para medir el desempeño actual.
• Un medio para comparar el desarrollo actual contra el estándar.
• Un método de retroalimentación.

Sistemas de Información Organizacionales

La finalidad de los sistemas de información es procesar entradas, mantener archivos de datos relacionados con la organización y
producir reportes y otras salidas. El conjunto particular de subsistemas es lo se denomina una aplicación de sistemas de información.

Categorización de los sistemas de información

1. Sistema de procesamiento de transacciones: son los que llevan a cabo las actividades cotidianas de la organización.
2. Sistema de información administrativa: están orientados hacia la toma de decisiones y utilizan datos relacionados a las
transacciones, así como cualquier otra información que sea generada dentro o fuera de la compañía.
3. Sistema para el soporte de decisiones: tienen como finalidad ayudar a los directivos que enfrentan problemas de decisión únicos
(no recurrentes). Dada la dificultad de predecir las necesidades de información es imposible diseñar de antemano los reportes.

La información como activo estratégico: seguridad y protección

Al hablar de seguridad nos referimos a la información. Hay tres aspectos principales respecto a la seguridad:
1. La confidencialidad: se cumple cuando sólo las personas autorizadas pueden conocer los datos.
2. La integridad: consiste en que sólo las personas autorizadas pueden variar (modificar o borrar) los datos.
3. La disponibilidad: se cumple si las personas autorizadas pueden acceder a tiempo a la información.
En la preparación – y actualización – del plan debemos pensar en situaciones posibles y en el impacto que tendrían en nuestra entidad
(en su caso en las de nuestros clientes), especialmente si no disponemos de la información necesaria almacenada en lugares
alternativos.
La seguridad tiene varios estratos:
Medidas técnico-administrativas: son las políticas y procedimientos, o la creación de funciones, como administrativa de la seguridad o
auditoría de sistemas de información interna. Debe existir una definición de funciones y separación suficiente de tareas.
La seguridad física, como la ubicación de los centros de procesos, las protecciones físicas, el control físico de accesos, los vigilantes,
las medidas contra el fuego y el agua, y otras similares. La llamada seguridad lógica, como el control de accesos a la información
exigiendo la identificación y autenticación del usuario, o el cifrado de soportes magnéticos intercambios entre entidades o de respaldo
interno, o de información transmitida por linea. La autenticación suele ser mediante contraseña. Realización de la firma con
reconocimiento automático por ordenador, el análisis del fondo de ojo, la huella u otras.
El mayor riesgo es que la informática, y la Tecnología de la información no cubran las necesidades de la entidad: no estén alineadas
con el Plan de “negocio”.
  2 ­ Auditoría de Sistemas Computarizados

Los riesgos pueden ser múltiples: el primer paso es conocerlos, y el segundo es tomar decisiones al respecto. Las medidas tienen un
costo, a veces los directivos se preguntan, o nos preguntas a los consultores, cuál es el riesgo máximo que podría soportar su entidad,
porque depende de la criticidad del sector y de la entidad misma, de su dependencia respecto a la información, y del impacto que su
no disponibilidad pudiera tener en la entidad.
Nunca debería aceptarse un riesgo que pudiera llegar a poner en peligro la propia continuidad de la entidad, siendo los errores y
omisiones la causa mas frecuente, normalmente de poco impacto pero frecuencia muy alta, y otras el acceso indebido a los datos, la
cesión no autorizada de soportes magnéticos con información crítica, los daños por fuego, por agua, la variación no autorizada de
programas, su copia indebida.
Otra figura es la del hacker, que intenta acceder a los sistemas más para demostrar de qué es capaz, así como que puede superar las
barreras de protección que le hayan establecido.
Son activos vitales todos aquellos relacionados con la continuidad de la entidad, como pueden ser: planes estratégicos, fórmulas
magistrales, diseño de protipos, resguardos, contratos y datos estratégicos, que son los que más nos interesan bajo la perspectiva de la
seguridad de la información.
Y la protección no ha de basarse sólo en dispositivos y medios físicos, sino en formación e información adecuada al personal,
empezando por los directivos para que, “en cascada”, afecte a todos los niveles de la pirámide organizativa.
El control interno, basado en objetivos de control y llevado a cabo por los supervisores a distinto nivel.
La auditoría de sistemas de información interna, objetiva e independiente y con una preparación adecuada, como control del
control.
La auditoría de sistemas de información externa, contratada cuando se considera necesaria, y como un nivel de protección más.
Igualmente objetiva e independiente.

Auditoría: concepto
Es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido al análisis presenta adecuadamente la
realidad que pretende reflejar, en forma eficaz y eficiente, y/o cumple las condiciones que han sido prescritas.
Podemos descomponer el concepto en los elementos fundamentales:
1) Contenido: Un opinión.
2) Condición: Profesional.
3) Justificación: Sustentada en determinados procedimientos.
4) Objeto: Una determinada información obtenida de un cierto soporte.
5) Finalidad: Determinar si presenta adecuadamente la realidad o ésta responde a las expectativas que le son atribuidas, es decir, su
fiabilidad.

Clases de auditorías
Los elementos 4 y 5 distinguen de qué clase y tipo de auditoría se trata. El objetivo sometido a estudio y la finalidad con que se realiza
el estudio, definen el tipo de auditoria de que se trata.
Clases: Financiera, Informática, Gestión, Cumplimiento.

Procedimientos
La opinión profesional, elemento esencial de la auditoria, se fundamenta y justifica por medio de unos procedimientos específicos
tendientes a proporcionar una seguridad razonable de lo que se afirma.
Garantizar que se toman en consideración todos los aspectos que sean significativos.
Para ello se establecen procedimientos que en cuanto a la ejecución de la auditoria se resumen en que:
1. El trabajo se planificará apropiadamente y se supervisará adecuadamente.
2. Se estudiará y evaluará el sistema de control interno.
3. Se obtendrá evidencia suficiente y adecuada.
Se ha introducido un nuevo elemento en el objeto de la auditoria, el uso de la informática como factor consustancial a la gestión, con
la introducción de la TI en los sistemas, muy probablemente basada en las ventajas que aporta la información con respecto al trabajo
manual.
La TI afecta a los auditores en forma dual: a)) cambia el soporte del objeto de su actividad; b) posibilita la utilización de medios
informatizados para la realización de sus procedimientos.

Definición de auditoría informática

El objeto principal es comprobar la fiabilidad de la herramienta informática y la utilización que se hace de la misma.
A.J.Thomas: “La auditoría informática, que es parte integrante de la auditoría, se estudia por separado para tratar problemas
específicos y para aprovechar los recursos dentro del marco de la auditoría general. El cometido de la auditoría informática se puede
dividir en:
1. Un estudio del sistema y un análisis de los controles organizativos y operativos del departamento de informática.
2. Una investigación y un análisis de los sistemas de aplicación que se estén desarrollando o que ya estén implantados.
3. La realización de auditorías de eficacia y de eficiencia.
Miguel Angel Ramos: “la revisión de la propia informática y de su entorno” y desglosa sin las actividades a que da lugar esa definición
  3 ­ Auditoría de Sistemas Computarizados

pueden ser:
• Análisis de riesgos.
• Planes de contingencia
• Desarrollo de aplicaciones
• Asesoramiento en paquetes de seguridad
• Revisión de controles y cumplimiento de los mismos, así como de las normas legales aplicables
• Evaluación de la gestión de los recursos informáticos.
J.J. Acha: “Un conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático, con el fin
de proteger sus activos y recursos, verificar si la informática y general existente en cada empresa y para conseguir la eficacia exigida
en el marco de la organización correspondiente”.

Ventajas de la informática como herramienta de la auditoría

De todas las tareas realizadas por el auditor, cuatro de ellas se ejecutan de forma más eficiente con medios informáticos:
• Inspección: como la comparación de datos en dos archivos o cuentas distintas, conciliaciones.
• Cálculo: de amortizaciones, provisiones, promedios, etc.
• Análisis: regresiones o datos que cumplan determinadas condiciones.
• Confirmación: cálculo estadístico, selección y emisión de muestras, cumplimiento, etc.
• Tratamiento de textos: utilizado como una máquina de escribir.
• Hoja de cálculo: utilizada para efectuar cálculos, automatizar resultados de diferentes documentos, calcular promedios, así
como generar actualizaciones automáticas.
• Generador de papeles de trabajo: fundados esencialmente en el tratamiento de textos de donde se obtienen planillas,
formatos, etc.
• Flowcharting: produce diagramas representativos de funciones realizadas o a realizar.
• Utilidades: existe una amplia gama que cubre desde comunicaciones, visualizadores de ficheros, búsquedas o incluso
rectificadores de archivos.
Revisión analítica: Normalmente se utiliza la hoja de cálculo para obtener los promedios, proporciones o funciones que proporcionan
una nueva visión comparativa de su contenido.
Sistemas expertos: Se trata de usar el ordenador para que proporcione resultados o conclusiones producto del procesamiento de unos
datos específicos en base a unos conocimientos preexistentes en el mismo.
Test Check: Esta práctica consiste en introducir en la aplicación que e auditado utilice un conjunto de valores cuyo resultado de
conoce que eventualmente proporcione la aplicación.
Integradores: son aquellas aplicaciones que interrelacionan todas las demás para crear un entorno único que utiliza la totalidad de la
información obtenida a través de diferentes herramientas creando un “sistema de auditoría”.

Tema 2: Control interno y auditoría informática

Las funciones del control interno y la auditoría informática
Control interno informático. El control interno informático controla diariamente que todas las actividades de sistemas de información
sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección
Informática, así como los requerimientos legales.
La misión del control interno informático es asegurar que las medidas que se obtienen de los mecanismos implantados por cada
responsable sean correctas y válidas.
Como principales objetivos podemos indicar los siguientes:
• Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados.
• Asesorar sobre el conocimiento de las normas.
• Colaborar y apoyar el trabajo de Auditoría Informática
• Definir, implantar y ejecutar mecanismos y controles, para comprobar el logro de los grados adecuados del servicio
informático.
Realizar en los diferentes sistemas el control de las diferentes actividades operativas sobre:
• El cumplimiento de procedimientos.
• Controles sobre la producción diaria.
• Controles sobre la producción diaria.
• Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del software y del servicio informático.
• Controles en las redes de comunicaciones.
• Controles sobre el software de base.
• La seguridad informática.
  4 ­ Auditoría de Sistemas Computarizados

• Usuarios, responsables y perfiles de uso de archivos y base de datos.

• Normas de seguridad
• Control de información clasificada
Auditoría Informática. Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado,
salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos. De ese modo la auditoría informática sustenta y confirma la concepción de los adjetivos tradicionales de
la auditoría:
• Objetivos de protección de activos e integridad de datos;
• Objetivos de gestión que abarcan, no solamente los de protección de activos sino también los de eficacia y eficiencia.
El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos más complejos,
desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso del software.
Se pueden establecer tres grupos de funciones a realizar por un auditor informático:
• Participar en las revisiones durante y después del diseño, realización, implantación y explotación de aplicaciones
informáticas, así como en las fases análogas de realización de cambios importantes.
• Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las ordenes e
instrucciones de la dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes.
• Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.
Campos análogos
Similitudes entre el control interno informático y el auditor informático:
• Personal interno,
• Conocimientos especializados en T.I.
• Verificación del cumplimiento de controles internos, normas y procedimientos establecidos por la Dirección General y de
Informática para los sistemas de Información.
Diferencias. Control Interno Informático:
• Análisis de los controles del día a día.
• Informa a la Dirección de Informática.
• Solo personal interno.
• El alcance de sus funciones es únicamente sobre el Departamento o Dirección de Informática.
Diferencias. Auditor informático:
• Análisis de un momento informático determinado.
• Informa a la Dirección General de la Organización.
• Personal interno y/o externo.
• Tiene cobertura sobre todos los componentes de los sistemas de información de la organización.
Sistema de control interno: Definición y tipos
Se puede definir el control interno como cualquier actividad o acción realizada en forma manual y/o automáticamente para prevenir,
corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos.
Históricamente los objetivos de los controles informáticos se han clasificados en las siguientes categorías:
Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida el acceso no autorizado al sistema.
Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuando antes el evento.
Controles correctivos: Facilitan la vuelta a la normalidad cuando se han producido incidencias. P.E. La recuperación de un fichero
dañado a partir de copias de seguridad.
También debemos ver los objetivos.
Objetivos de control de mantenimiento: Asegurar que las modificaciones de los procedimientos programados estén adecuadamente
diseñadas, probadas, aprobadas e implantadas.
Objetivos de control de seguridad de los programas: Garantizar de que no se pueden realizar cambios no autorizados en los
procedimientos programados.
Para conocer la configuración del sistema es necesario documentar los detalles de la red así como los distintos niveles de control y
elementos relacionados.
Entorno de red: esquema de la red, descripción del hardware de comunicaciones, software que se utiliza para acceso a las
telecomunicaciones.
Configuración del ordenador base: configuración del soporte físico, entorno del sistema operativo, entorno (pruebas y real),
bibliotecas de programas y conjunto de datos.
Entorno de aplicaciones: Proceso de transacciones, sistema de gestión de bases de datos y entorno de procesos distribuidos.
Productos y herramientas: Software para el desarrollo de programas, de gestión de bibliotecas y para operaciones automáticas.
Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro de información, etc.
Implantación de un sistema de controles internos
Para la implantación de un sistema de controles internos informáticos habrá que definir:
1) Gestión de sistemas de información: políticas, pautas y normas técnicas que sirven de base para el diseño y la implantación de los
sistemas de información y de los controles correspondientes.
2) Administración del sistema: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo
  5 ­ Auditoría de Sistemas Computarizados

la administración de las redes.

3) Seguridad: Incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema,
confidencialidad y disponibilidad.
4) Gestión del cambio: Separación de las pruebas y de producción a nivel de software y controles de procedimientos para la migración
de programas software aprobados y probados.

La implantación de una política y una cultura se desarrolla en distintas etapas:

Dirección del Negocio: define políticas y directrices para los sistemas de informaciones base a las exigencias del negocio, que podrán
ser internas o externas.
Dirección de Informática: ha de definir las normas de funcionamiento del entorno informático y cada una de sus funciones.
Control Interno Informático: ha de definir los diferentes controles periódicos a realizar a cada una de las funciones informáticas, de
acuerdo al nivel de riesgo de cada una de ellas, y ser diseñados conforme a los objetivos del negocio y dentro del marco legal
aplicable.
Auditor interno/externo informático: ha de revisar los diferentes controles internos definidos en cada una de las funciones
informáticas y el cumplimiento de la normativa interna y externa.

Algunos de los controles internos que deberían definirse son:

1) Controles generales organizativos:
– Políticas: Deber servir de base para la planificación, control y evaluación por la Dirección de las actividades del Departamento
de informática.
– Planificación: Plan estratégico de información definido por la Alta Dirección; Plan informático realizado por el Departamento;
Plan general de seguridad lógica y física.
2) Controles de adquisición, desarrollo y mantenimiento de sistemas de información: Para que permitan alcanzar la eficacia del
sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimientos con las leyes y regulaciones:
– Metodología del ciclo de vida del desarrollo de sistemas.
– Explotación y mantenimiento.
3) Controles de explotación de sistemas información.
– Planificación y Gestión de recursos: Definir el presupuesto operativo del departamento, plan de adquisición de equipos.
– Controles para usar de manera efectiva los recursos en ordenadores.
– Procedimientos de selección del software del sistema, de instalación, mantenimiento, de seguridad y control de cambios.
4) Controles en aplicaciones. Los controles de Sistemas de Aplicación se refieren a los controles de las funciones de generación,
ingreso, procesamiento y salida de datos.
5) Controles específicos de ciertas tecnologías.
– Los controles del Procesamiento Distribuido y operación de redes representan al conjunto de condiciones en el cual operan los
sistemas en el ambiente de red y telecomunicaciones.
– Los controles de los Sistemas de Información pueden consistir en estándares de definición, salvaguarda de datos y
procedimientos de recuperación.
– Los controles de Microcomputación se refieren a la utilización de software original, a la exactitud de los archivos de datos de
los sistemas de aplicación.
– Una Red de Área Local son microcomputadoras enlazadas con otros en un ámbito restringido que pueden comunicarse con un
mainframe o minicomputador.

Tema 3: Informe 16
1. Introducción
1.2. Objetivos y alcances
El presente Informe se emite para facilitar la comprensión de los procedimientos de auditoría que se deben aplicar en
ambientes computarizados.
El objetivo de una auditoría de estados contables es hacer posible que el auditor exprese una opinión, acerca de la
preparación de los Estados.
Puede afirmarse que el objetivo y alcances globales de una auditoría no cambia bajo un ambiente de Sistemas de
Información Computarizada (SIC). Sin embargo, el uso de computadoras puede, y efectivamente produce cambios
significativos en el ingreso, procesamiento, almacenamiento y comunicación de la información contable y, por tal razón,
tener efecto sobre los sistemas de contabilidad y control interno, empleados por el ente.

Tema 4: Auditoría de la seguridad

Debemos ir hablando mas de Auditoría en Sistemas de Información que solo de Auditoría Informática, esto es una actualización acorde
con el nuevo enfoque y las áreas que llega a cubrir.
La nueva denominación abarca globalmente los sistema de información; desde la planificación, el alineamiento con las estrategias de
las entidades, hasta los sistema de información y el aprovechamiento de las tecnologías de la información que aportan ventajas
competitivas a la entidad, la gestión de los recursos, e incluso la medida de la rentabilidad.
Los grandes grupos de controles son los siguientes, ademas de poderlos dividir en manuales y automaticos, o en generales y de
  6 ­ Auditoría de Sistemas Computarizados

aplicación:
• Controles directivos, que son los que establecen las bases, como las politicas, o la creación de comites relacionados o de
funciones: de administración de seguridad o auditoria de sistemas de información interna.
• Controles preventivos: antes del hecho, como la identificación de visitas (seguridad física) o las contraseñas (seguridad
lógica).
• Controles de detención, como determinadas revisiones de accesos producidos o la detección de incendios.
• Controles correctivos, para rectificar errores, negligencias o acciones interaccionadas, como la recuperación de un archivo
dañado a partir de una copia.
• Controles de recuperación, que facilitan la vuelta a la normalidad después de accidentes o contingencias, como puede ser un
plan de continuidad adecuado.

Areas que puede cubrir la auditoría de la seguridad

Las áreas generales citadas son:
• Lo que hemos denominado controles directivos, es decir los fundamentos de la seguridad: políticas, planes, funciones,
existencia y funcionamiento de algún comité relacionado, objetivos de control, presupuesto, así como que existen sistemas y
métodos de evaluación periódica de riesgos.
• El desarrollo de las políticas: procedimientos, posibles estándares, normas y guías, sin ser suficiente que exitan estas últimas.
• Que para los grupos anteriores se ha considerado el marco jurídico aplicable. Así como las regulaciones o los requerimientos
aplicables a cada entidad, otro aspecto es el cumplimiento de los contratos.
• Amenazas físicas externas: inundaciones, incendios, etc.
• Control de accesos adecuados para que cada usuario pueda acceder a los recursos a que esté autorizado y realizar sólo las
funciones permitidas.
• Protección de datos.
• Comunicaciones y redes: topología y tipo de comunicaciones, posible uso de cifrado, protecciones ante virus.
• El desarrollo de aplicaciones en un entorno seguro, y que se incorporen controles en los productos desarrollados y que éstos
resulten auditables.
No se trata de áreas no relacionadas, sino que casi todas tienen puntos de enlace.

Evaluación de riesgos
Se trata de identificar los riesgos, cuantificar su probabilidad e impacto, y analizar medidas que las elimine o que disminuyan la
probabilidad de que ocurran los hechos o mitiguen el impacto.
Para evaluar riesgos hay que considerar el tipo de información almacenada, procesada y transmitida, la criticidad de las aplicaciones,
la tecnología usada, el marco legal aplicable, el sector de la entidad, la entidad misma y el momento.
Para ello es necesario evaluar las vulnerabilidades que existen, ya que la cadena de protección se podrá romper con mayor
probabilidad por los eslabones más débiles.
El factor humano es el principal a considerar, salvo en algunas situaciones de protección física muy automatizadas. Si las personas no
quieren colaborar de poco sirven los medios y dispositivos aunque sean caros y sofisticados.
Es necesaria una separación de funciones: es peligroso que una misma persona realice una transacción, la autorice y revise después los
resultados (un diario de operaciones, por ejemplo), porque podría planificar un fraude y no detectarse.
Una vez identificados y medidos los riesgos, lo mejor sería poder eliminarlos, pero ya hemos indicado que normalmente lo mas que
conseguimos es disminuir la probabilidad de que algo se produzca o bien su impacto.
Otra posibilidad es asumir los riesgos, pero debe hacerse a un nivel adecuado en la entidad, y considerando que puede ser mucho
mayor el costo de la inseguridad que el de la seguridad, lo que a veces sólo se sabe cuando ha ocurrido algo.
La evaluación de riesgos puede ser global: todos los sistemas de información, centros y plataformas.
A menudo en la auditoría externa se trata de saber si la entidad, a través de funciones como administración de la seguridad, auditoría
interna, u otras si las anteriores no existieran, ha evaluado de forma adecuada los riesgos.
Es necesaria la designación de propietarios de los activos, sobre todos los datos, y que son quienes pueden realizar la clasificación y
autorizar las reglas de acceso; un buen propietario se interesará por los riesgos que puedan existir, por lo que promoverá o exigirá la
realización de auditorías y querrá conocer, en términos no técnicos, la sustancia de los informes.
Al hablar de seguridad siempre se habla de sus tres dimensiones:
La confidencialidad: se cumple cuando sólo las personas autorizadas pueden conocer los datos o la información correspondiente.
La integridad: consiste en que sólo los usuarios autorizados pueden variar los datos.
La disponibilidad: se alcanza si las personas autorizadas pueden acceder a tiempo a la información a la que estén autorizadas.
Debe existir además autenticidad: que los datos o información sean auténticos, introducidos o comunicados por usuarios auténticos y
con las autorizaciones necesarias.
  7 ­ Auditoría de Sistemas Computarizados

Fases de la auditoría de seguridad

• Análisis de posibles fuentes y recopilación de información: en el caso de los internos este proceso puede no existir.
• Determinación del plan de trabajo y de los recursos y plazos en caso necesario, así como de comunicación a la entidad.
• Adaptación de cuestionarios, y a veces consideración de herramientas o perfiles de especialistas necesarios, sobre todo en la
auditoría externa.
• Realización de entrevistas y pruebas.
• Análisis de resultados y valoración de riesgos.
• Presentación y discusión del informe provisional.
• Informe definitivo.

Auditoría de la seguridad física

Se evaluarán las protecciones físicas de datos, programas, instalaciones, equipos, redes y soportes, y por supuesto habrá que
considerar a las personas que estén protegidas y existan medidas de evacuación, alarmas, salidas alternativas, así como que no estén
expuestas a riesgos superiores a los considerados admisibles en la entidad e incluso en el sector.
Las amenazas pueden ser muy diversas: sabotaje, vandalismo, terrorismo, accidentes de distinto tipo, incendios, inundaciones, averías
importantes, derrumbamientos, explosiones, así como otros que afectan a las personas y pueden impactar el funcionamiento de los
centros, tales como errores, negligencias, huelgas, epidemias o intoxicaciones.
Desde la perspectiva de las protecciones físicas algunos aspectos a considerar son:
Ubicación del centro de procesos, de los servidores locales, y en general de cualquier elemento a proteger.
• Estructura, diseño, construcción y distribución de los edificios y de sus plantas.
• Riesgos a los que están expuestos, tanto por agentes externos, casuales o no, como por acceso físicos no controlados.
• Amenazas de fuego, riesgos por agua.
• Controles tanto preventivos como de detección relacionados con los puntos anteriores.
• El control deberá afectar a las visitas, proveedores, contratos, clientes y en casos mas estrictos igualmente a los empleados.

Auditoría de la seguridad lógica

Es necesario revisar cómo se identifican y sobre todo autentican los usuarios, cómo han sido autorizados y por quien, y que ocurre
cuando se producen transgresiones o intentos.
En cuanto a autenticación, hasta tanto no se abaraten mas y generalicen los sistemas basados en la biométrica, el método más usado
es la contraseña.
Algunos de los aspectos a evaluar respecto a las contraseñas pueden ser:
• Quién asigna la contraseña inicial y sucesivas.
• Longitud mínima y composición de caracteres.
• Vigencia
• Número de intentos que se permiten al usuario.
• Si las contraseñas están cifradas y bajo qué sistema.
• Protección o cambio de las contraseñas iniciales que llegan en los sistemas.
• Controles existentes para evitar y detectar caballos de Troya.
Siempre se ha dicho que la contraseña ha de ser difícilmente imaginable por ajenos y fácilmente recordable por el propio usuario, y
este último aspecto se pone en peligro cuando un mismo usuario ha de identificarse ante distintos sistemas, para lo que puede asignar
una misma contraseña, lo que supone una vulnerabilidad si la protección es desigual, por ser habitual que en pequeños sistemas o
aplicaciones aisladas las contraseñas no están cifradas o lo estén bajo sistemas vulnerables; si opta por asignar viarias contraseñas
puede que necesite anotarlas.
La solución mas adecuada por ahora puede consistir en utilizar sistemas de identificación únicos (single sign-on).
Otra posible debilidad que debe considerarse en la auditoría es si pueden crearse situaciones de bloqueo porque sólo exista un
administrador, que puede estar ausente de forma no prevista.

Auditoría de la seguridad y el desarrollo de aplicaciones

Todos los desarrollos debe estar autorizados a distinto nivel según la importancia del desarrollo a abordar, incluso autorizados por un
comité si los cotos o los riesgos superan unos umbrales; se revisará la participación de usuarios, y de los auditores internos si la
auditoría es externa, a qué librerías pueden acceder los desarrolladores, si hay separación suficiente de entornos, la metodología
seguida, ciclos de vida, gestión de los proyectos, consideraciones especiales respecto a aplicaciones que traten datos clasificados o que
tengan transacciones económicas o de riesgo especial, términos de los contratos y cumplimiento, selección y uso de paquetes,
realización de pruebas a distintos niveles y mantenimiento posterior, así como desarrollos de usuarios finales.
El pase al entorno de explotación real debe estar controlado, no descartándose la revisión de programas por parte de técnicos
independientes, o bien por auditores preparados, a fin de determinar la ausencia de “caballos de Troya”, bombas lógicas y similares,
además de la calidad.
  8 ­ Auditoría de Sistemas Computarizados

Auditoría de la seguridad en el área de producción

Las entidades han de cuidar especialmente las medidas de protección en el caso de contratación de servicios.
También debe revisarse la protección de utilidades o programas especialmente peligrosos, así como el control de generación y cambios
posteriores de todo el software de sistemas y de forma especial el de control de accesos.

Auditoría de la seguridad de los datos

La protección de los datos puede tener varios enfoques respecto a las características citadas: la confidencialidad, disponibilidad e
integridad.
Hay que realizar controles en los diferentes puntos del ciclo de vida de los datos:
• Proceso de los datos: controles de validación, integridad, almacenamiento, que existan copias suficientes, sincronizadas y
protegidas.
• Salida de resultados, controles en transmisiones, en impresión, en distribución, en servicios contratados de manipulación y en
el envío.
• Retención de la información y protección en función de su clasificación, destrucción de los diferentes soportes que la
contengan cuando ya no sea necesaria, o bien desmagnetización.
Es necesaria la desginación de propietarios, clasificación de los datos, restricción de su uso para pruebas, inclusión de muescas para
poder detectar usos no autorizados, así como aprovechar las posibilidades de protección, control y auditoría del Sistema de Gestión de
Bases de Datos que se esté utilizando.
Respecto a cliente servidor es necesario verificar los controles en varios puntos, y no sólo en uno central como en otros sistemas, y a
veces en plataformas heterogéneas, con niveles y características de seguridad muy diferentes, y con posibilidad de transferencia de
ficheros o de captación y exportación de datos que pueden perder sus protecciones al pasar de una plataforma a otra.
En la auditoría, si entra en los objetivos, se analizará la destrucción de la información clasificada, tipo de destructora, tamaño de las
partículas, y especialmente dónde se almacena hasta su destrucción, que suele ser un punto débil.

La protección y la confidencialidad de los datos

La protección y el control de la confidencialidad de los datos de la empresa implica la previsión de tres tipos de manipulaciones:
• El acceso no autorizado a los datos y al software que se encuentran en el emplazamiento central.
• El robo o la copia de ficheros o software depositado en un soporte depositado en un soporte magnético de seguridad.
• La conexión física con las lineas de telecomunicaciones por las cuales circulan los datos por copia de éstas.

Medidas de prevención por la identificación del individuo recurrente

Estudiaremos primeramente los modos de identificación del individuo recurrente