FUNCIONES Y PERFIL DEL AUDITOR DE SISTEMAS

En varias oportunidades ( semininarios, foros, reuniones, de profesionales) se ha manifestado la inquietud

por definir el perfil y las funciones del auditor de sistemas. Siempre que se desea dar una definición se
corre el riesgo de señalar un perímetro tan grande que, contrariando el objetivo, se queda en el terreno
de la indefinición o resulta tan pequeño, tan subjetivo y tan pobre que son necesarias definiciones
adicionales para obtener el propósito buscado.

Por lo dicho, este artículo solo pretende el equivalente de coloca un mueble en un salón vacio: busca
presentar una solución a un problema. Después recibirá la avalancha de cometarios para mejorar la
solución: nos dirán que el mueble es muy viejo: otros que es muy nuevo. Alguien opinara que el color
verde es muy chillón, y su visión que el chillón es adecuado pero no en verde, y un tercero mostrara un
argumento muy sólido según el cual el color que mejor complementa la ambientación es el amarillo
pollito. No importa. Bastante satisfactorio será si lo que se afirme se cambia de tal modo que algún día se
llegue a un consenso útil para todos. Para ganar no se necesitan perdedores.

Partir de los objetivos de la auditoria de sistemas, nos ayudara a lograr una mejor aproximación:
necesariamente, el objetivo o propósito general mas importante es el de dar recomendaciones orientadas
al fortalecimiento de los controles identificados como débiles y que por esa razón, constituyen factores
de riesgo para la organización.

Esta definición, que en principio debe reconocerse muy vaga y casi imprecisa con seguridad va a dar pie a
la primera polémica. Existen opiniones según la cuales el auditor de sistemas palabras mas palabras
menos debes ser el responsable del establecimiento de los controles relacionados con el PED
(Procesamiento Electrónico de Datos).Así opinan muchos entre ellos uno que otro conferencista de
reconocida trayectoria con mas afán de buscar objetividad que de tomar una posición sobre el asunto me
permitiría dejar algunas preguntas sobre la mesa.

 ¿puede responsabilizarse sobre la eficacia de los controles a alguien que o tiene autoridad sobre
los responsables de su ejecución?¨

 ¿Seria otra alternativa que un director gerente o jefe de sistemas permitiera que sus subordinados
reciban instrucciones del auditor?

 ¿Seria sano, administrativa y organizacional mente, delegar el desarrollo y procesamiento de datos

en un individuo que a su vez delegaría la responsabilidad del control en un auditor? En otras
palabras, ¿garantizamos los aplausos para uno y las rechiflas para otro?

Ello entraría en franca oposición con el principio administrativo de delegar autoridad y responsabilidad,
básico para la unidad de criterio y el desempeño ordenado y funcional.

Indudablemente, no se trata de evadirla que si es responsabilidad del auditor de efectuar un trabajo

profesional con la calidad que exigen los principios y orientaciones de su oficio.

De aquí, ya podemos asimilar algunas características del perfil que buscamos:

 El auditor debe tener un criterio muy claro y objetivo acerca de sus funciones y de su participación
como componente de la organización.

 Debe caracterizarlo su independencia mental y organizacional de modo que su trabajo no este

influenciado por características de respetabilidad o intereses particulares provocados por su nivel
de educación y de experiencia o por un esquema organizativo defectuoso.

 Debe tener el soporte humano necesario (en calidad y cantidad) de modo que su trabajo no se vea
ilimitado por la carencia de recursos suficientes.
 Este ultimo punto y la ubicación en la organización no podrían calificarse como componentes del perfil
del individuo, pero se destacan como complementos necesarios del mismo.

El propósito general del que nos ocupamos al principio (dar recomendaciones para fortalecer los
controles) debe descomponerse según las circunstancias propias que rodean el area de
sistematización de datos así:

 El auditor debe evaluar los planes y proyecciones de la sistematización de datos, de acuerdo

con los proyectos de la entidad.

Esta obligación supone que el auditor conoce la organización y sus planes a mediano y largo plazo. Le
obliga a tener claridad sobre los objetivos de la empresa., la conformación de su estructura y las
funciones de cada una de las áreas que la componen. En consecuencia, debe tener un conocimiento
detallado de la organización y recursos de la sistematización ya que en su evaluación no debe considerar
solo lo que se debe hacer sino que debe incluir análisis de los recursos necesarios para lograrlo.

 El auditor debe evaluar la organización del area de sistemas, la distribución de funciones y los
procedimientos e trabajo y supervisión.

Uno de los pilares mas importantes del control es la adecuada distribución de tareas con el fin de que cada
funcionario tenga a su cargo una responsabilidad precisa. El auditor no puede definir una estructura de
organización que proporcione esta condición .pero si puede, de acuerdo con las circunstancias plantear
esquemas de organización apropiada; sin embargo, frente a estructuras más pequeñas que impiden
cumplir con este requisito, debe evaluar métodos alternativos de control que disminuyan los riesgos
inherentes a las incompatibilidades identificadas.

Esta tarea requiere de un estudio detallado sobre la práctica de trabajo del departamento de sistemas y
sus diferentes secciones. Con énfasis en los procedimientos utilizados y la supervisión de niveles de
autorización incorporados a ellos

 El auditor debe evaluar los métodos de trabajo y documentación utilizados por el grupo de
desarrollo de sistemas y los controles implantados para supervisar sus labores.

Naturalmente no existe una formula acerca de cómo se debe desarrollar e implantar una aplicación. En la
práctica cada centro de procesamiento tiene su propio estilo, y en su mayoría, aplican dosis excesivas de
confianza en los grupos de desarrollo. No le corresponde al auditor dar la formula- que no existe- ni
sentar cátedra sobre los procedimientos de control.

Su papel con relación a este punto, consiste en analizar los métodos y procedimientos utilizados junto con
la distribución de funciones establecidas y con los recursos computacionales utilizados. Elio cubre por
supuesto un estudio cuidadoso de las costumbres aceptadas y de las facilidades suministradas por el
sistema operativo. Es muy común la informalidad que existe en el desarrollo e implantación de
aplicaciones por lo que también es común el desconocimientos o falta d métodos de control apropiados.
Por consiguiente, la labor del auditor en estos aspectos debe ser mas cuidadosa y detallada; debe buscar
caminos proactivos y razonables tanto para formular sus recomendaciones como apara lograr su
aceptación por taparte del area de PED.

Su función, en este caso, requiere del dominio claro sobre los temas de diseño y desarrollo y grandes
dosis de persuasión y comunicación, que le faciliten orientar sus recomendaciones sobre bases objetivas y
prácticas. Su conocimiento obviamente supone las características y facilidades que el sistema operacional
ofrece en técnicas para ensamblar, pruebas, detección de errores y compilación de programas y una
identificación clara los riesgos que tales facilidades incorpora.

 El auditor de be tener capacidad para evaluar las aplicaciones desde su utilización practica y
objetiva por parte de los usuarios hasta los detalles relativos a la composición de los programa
y los procedimientos utilizados.

El buen funcionamiento de cualquier aplicación depende tanto de sus componentes técnicos (equipos y
programas) como de la participación de los funcionarios que intervienen desde el origen de la información
hasta la utilización de sus resultados. Una buena evaluación debe considerar su funcionamiento integral;
la respuesta objetiva que dan los programas y equipos disponibles y la utilización practica de estos
resultados. Además, deben utilizar un enfoque objetivo hacia la organización; es decir, tener en cuenta
que cada aplicación es un componente que puede tener incidencia en sectores que no son sus usuarios
directos o que podría estar afectada por ellos.

 El auditor debe evaluar la seguridad lógica prevista par ala operación de las diferente
aplicaciones y sistemas.

Las empresas que no utilizan recursos computarizados o los usan en baja escala, apoyan el control de sus
operaciones en los niveles de autoridad delegados a sus funcionarios. Por contraposición, el mayor
avance en la sistematización desplaza esos niveles de autoridad a los empleados de sistemas y a los
usuarios directos de las aplicaciones, mediante la asignación de claves de acceso.

Dado que la mayor cobertura de sistematizacion implica un aumento directo en la concentración de

información de la compañía, genera un aumento en los riesgos inherentes al uso de la información, que
se facilita o impide con el uso de claves.

El auditor debe estudiar el sistema de seguridad y evaluar los métodos de acceso permitidos para:

 Manejo del sistema de seguridad

 Utilización de programas que permiten modificaciones a archivos o facilitan su duplicación.
 Uso de compiladores
 Acceso a la utilización de programas e informaciones, incluidas aquellas organizadas en bases
de datos

Su propósito especifico es el de determinar si todo tipo de acceso esta debidamente controlado y deja
registros que puedan consultarse con posterioridad para efectos de seguimiento.

Por otra parte es también de principal importancia el análisis de duplicaciones de informaciones,

programas y sistema operacional, en conjunto con los procedimientos establecidos para su custodia y
planes de emergencia previstos par atender fallas de equipo o pérdidas de información.

El auditor debe evaluar los sistemas de seguridad física del centro de procesamiento.

Aun cuando la seguridad física debe propiciarse a todos y cada uno de los sectores. Es el area de
procesamiento de datos la que por su naturaleza y su riesgo exige un mayor cuidado sobre este aspecto.
Este incluye el medio ambiente de la construcción; la ubicación con relación a la edificación y otras áreas
los mecanismos o ayudas con que se cuenta para controlar la ocurrencia de riesgos, y la preparación de
los empleados para utilizarlos adecuadamente.

Para el auditor una evaluación sobre la seguridad física incluye un estudio de ubicación, recursos y
preparación del personal junto con el análisis de riesgos probables y recursos del mercado, con el fin de
que sus recomendaciones se ajusten a alternativas satisfactorias y razonables con relación a la
cuantificación de los riesgos.

El auditor de sistemas debe hacer usos adecuados de la información sistematizada, y otros archivos para
satisfacer varios propósitos.

 Verificar el cumplimiento de normas y procedimientos y evaluar las desviaciones encontradas.

 Proporcionar informaciones útiles a otros sectores de la auditoria (financiera)
 Verificar la exactitud de la información cuando los programas de trabajo así se lo exijan.
 Efectuar comprobaciones sobre los archivos de programas o de información con el fin de
satisfacerse acera de cambios realizados.
 En general surgen múltiples probabilidades de utilización que en algunas oportunidades
corresponden a pruebas de comprobación del auditor de sistemas y, en otros casos – la mayoría-
a trabajo de apoyo hacia otras áreas. La revisoría fiscal, la auditoria externa y otras dependencias
de la auditoria interna.
Corresponde entonces al auditor el desarrollo o adquisición y uso de paquetes específicos que están
orientados al cumplimiento de tales funciones.

En resumen el auditor de sistemas – o el grupo de auditoria de sistemas en conjunto- debe reunir una
serie de características basicas para ejercer sus tareas con propiedad, tales como:

o Un criterio claro acerca de la organización a que le permita enfocar su trabajo con objetiva.
Claridad sobre métodos y procedimiento de trabajo, asignación de funciones y determinación y
alcance de Politicas

o Conocimiento detallado sobre la sistematización, su organización, métodos de planeacion y de

trabajo, facilidades que ofrece y riesgos que genera.

o Conocimiento sobre computadores, características de hardware y software y facilidades y riesgos

inherentes a ellos.

o Conocimiento de lenguajes de programación

o Conocimiento de los objetivos de otros grupos de auditoria

o Claridad de conceptos acerca de procedimientos no sistematizados

Además, requiere complementos básicos que le permitan lograr sus objetivos

o Facilidades en la expresión oral y escrita, fundamental par la presentación objetiva y clara de

sus informes y opiniones.
o Facilidad para relacionarse con distintos grupos de trabajo, de los diferentes niveles de la
organización tanto desde el punto de vista jerárquico como multidisciplinario
o Capacidad y criterio que le permitan discutir con propiedad sus puntos de vista. Aceptando los
de los demás, sin ceder ante presiones o conveniencias.
o Clara independencia de criterio y respaldo gerencial que apoyen eficazmente los resultados de
su trabajo.

Por Álvaro Bermúdez

Auditor Interno
Banco Anglo Colombiano
 SEGURIDAD Y AUDITORIA EN AMBIENTE COMPUTARIZADO

CONTENIDO

I. INTRODUCCION
II. CONCEPTOS Y COMPONENETE DE LA SEGURIDAD EN LOS SISTEMAS DE INFORMACION
III. PRINICPIOS BASICOS, PROPIEDADES Y FUNCIONES DE LA SEGURIDAD
IV. NIVELS DE CONTROL DE LA SEGURIDAD EN LOS SITEMAS DE INFORMACION
V. COSTO/ BENEFICIO DE LA SEGURIDAD
VI. SIGNOS DE PELIGRO PARA LA SEGURIDAD EN LOS SISTEMAS COMPUTARIZADOS
VII. DISTRIBUCION DE LAS RESPONSABILIDADES EN EL CONTROL Y LA SEGURIDAD DE LOS
SISTEMAS DE INFORMACION
VIII. BIBLIOGRAFIA
 I. INTRODUCCION

La seguridad de los sistemas computarizados involucra cuatro aspectos que deben tratarse
integradamente en sus soluciones técnicas y administrativas y deben ser entendidos claramente por la
alta dirección, los auditores y los administradores y analistas de sistemas. Estos son: SEGURIDAD,
EXACTITUD, CONFIDENCIALIDAD Y PRIVACIDAD EN LA INFORMACION.

La administración superior necesita esta familiarizada con los problemas para alcanzar la seguridad y con
los tipos de soluciones. Los auditores, en sus diferentes especialidades, deben entender las técnicas
necesarias para lograrla. Los jefes y analistas de sistemas necesitan conocer técnicas, herramientas y
metodologías para diseñarlas e implantarlas. El trabajo mancomunado de ellos afecta todos los aspectos
de diseño y operación de los sistemas de información computarizados, incluyendo personas, archivos de
datos, software, hardware, procedimientos de operación y la planeacion de las instalaciones físicas.

II. CONCEPTOS Y COMPONENTES DE LA SEGURIDAD EN LOS SISTEMAS

COMPUTARIZADOS DE INFORMACION

Tomando como base los conceptos emitidos por autores de reconocido prestigio en materia de seguridad
de los sistemas de información, como James Martín, royal P. Fisher y Robert Kukrall, La SEGUERIDAD EN
LOS SISTEMAS DE INFORMACION puede definirse como la resultante de cuatro vectores componentes.

CONTROLES DE SEGURIDAD FISICA Y FUNCIONAL.

Esta dada por los controles que protegen a los equipos de computación y los datos contra robo y tres (3)
exposiciones basicas que pueden ocurrir en forma INTENCIONADA O ACCIDENTAL.

 Divulgación no autorizada de la información

 Modificación no autorizada de la información
 Destrucción no autorizada de la información

CONTROLES DE EXACTITUD

La exactitud esta dada por los controles para evitar errores en los datos de entrada (imput) y minimizar la
posibilidad de errores adicionales durante el procesamiento de los datos.

CONTROLES DE CONFIDENCIALIDAD

Se refiere a los mecanismos necesarios para asegurar que la información se reciba y utilice únicamente
por las personas autorizadas para ello.

CONTROLES DE PRIVACIDAD

Se refiere a los mecanismos para proteger el derecho que tienen los individuos para determinar por si
mismos que información privada de ellos puede proporcionarse a otros.

III. PRINCIPIOS BASICOS, PROPIEDADES Y FUNCIONES DE LA SEGURIDAD EN LOS

SISTEMAS DE INFORMACION

Es importante entender los fundamentos de la seguridad de los datos antes de planear, diseñar o revisar
la seguridad de los sistemas de información.

PRINCIPIOS BASICOS
El principio fundamental para la seguridad en los sistemas de información esta dado por lo que la
profesión de la contaduria publica denomina ADECUADA SEPARACION DE FUNCIONES Y
RESPONSABILIDADES.

En procesamiento de Datos cualquier control orientado a os errores y conductas deshonestas de los

empleados necesita de la aplicación de este principio mediante las cuatro (4) alternativas que se tratan
enseguida:

1. SEGREGACION DE FUNCIONES ENTRE MULTIPLES PERSONAS

“ Segregación de funciones” significa separar las actividades de un proceso entre varias personas.

Los principios de control interno expresados en la “ Declaración de Normas de Auditoria de aceptación

General”, elaborados por las asociaciones de Auditores, denominan “ incompatibles” a las funciones que
deben desagregarse y las definen en los siguientes términos.

“Dos o mas funciones son incompatibles si al ser ejercidas por una misma persona, permiten que los
errores y las irregularidades pasen inadvertidas”.

EJEMPLOS:

a. El operador de entrada de datos no debería tener también la responsabilidad de verificar los

datos capturados por el.
b. Un programador no debería tener la responsabilidad de custodiar y modificar los programas
desarrollados por el.
c. Al diseñador del sistema no debería permitírsele accesar los módulos de aplicación
diseñados por el.

La aplicación de este principio a los ejemplos mencionados, fortalece el sistema de control

porque:

- Los errores de transposición se detectaran fácilmente antes de afectar el sistema con los
datos.
- Un usuario puede descubrir el intento del diseñador para controlar el acceso sobre su
sistema.
- Se requiere colusión para que ocurran violaciones de la seguridad. Esto es, se necesita mas
de un persona para violar la seguridad.
- Se mejora la capacidad del sistema para evitar errores y violaciones de seguridad.
- El Grupo de Quality Assurance mediante la revisión de los cambios efectuados a los
programas, tiene la posibilidad de descubrir una rutina no autorizada, programada con
intenciones dolosas, tales como las denominadas bombas lógicas y caballos de Troya.

Cuando por razones de insuficiencia de personal sea imposible separar funciones que se sabe son
incompatibles deben establecerse CONTROLES COMPENSATORIOS para sustituir la violación de este
principio. Como ejemplo de esta situación, en el ambiente de microprocesadores un mismo funcionario
desarrolla las funciones de análisis, programación y operación.

2. NO PERMITIR EL ACCESO DE UNA MISMA PERSONA A COMBINACIONES SENSITIVAS DE

RECURSOS.

INFORMACION SENSITIVA. Es aquella que si se expone a ser conocida por personas no autorizadas
para hacerlo, podría influenciar la ocurrencia de una situación de negocios dada. Una información
determinada en si misma puede carecer de significancia, pero su combinación con otras información
puede volverla sensitiva.

Por ejemplo, un programador puede no estar autorizado para conocer los salarios de los empleados. Sin
embargo, puede llegar a conocerlos si tiene acceso a la información sobre las direcciones de los
empleados y los datos estadísticos de nomina.
Las combinaciones sensitivas mas frecuentes incluyen datos y sus activos asociados. Por ejemplo, los
individuos que tiene acceso al activo físico y a los datos de control del mismo, tales como el inventario y
los datos de control del inventario, presentan un riesgo definitivo para la seguridad.

3. EVITAR QUE UNA MISMA PERSONA ESTE EN POSICION DE OCULTAR ACTIVOS Y

CONVERTIRLOS EN DINERO.

A los empleados no debería asignárseles funciones que les permitan ocultar y convertir activos para su
beneficio personal. Una violación común de este principio es la asignación de un solo operador de un
computador para el tercer turno. Las corridas de producción prolongadas con pocos procedimientos de
operación pueden justificar un solo operador. Sin embargo, después de algún tiempo, el operador, por
aburrimiento o necesidad, podría empezar a producir y vender copias de los listados secretamente podría
montar un negocio de servcie bureau.

Pero las mayores oportunidades para ocultar los datos y convertirlos en dinero, sin embargo, podrían
ocurrir fuera del centro de procesamiento y no dentro de el. Cuando es posible la Comunicacion de
entradas/salidas con la base de datos.

Los sistemas de información que se diseñan con inapropiada separación de funciones y responsabilidades
y7o permiten el acceso a combinaciones de recursos sensitivos, son propicios para permitir violaciones de
conversión y ocultamiento de activos en beneficio de los empleados. No es el uso del computador o de la
base de datos computarizada el que crea esta oportunidad es el inadecuado uno de las capacidades de
control disponibles.

En efecto un computador y su base de dato pueden ofrecer un mejor control sobre el negocio que el
sistema manual al que reemplazan. El control se alcanza mediante apropiada planeacion, diseño, prueba,
utilización y administración de las diversas características de control disponibles actualmente en los
compatadres.

4. UN MISMO INDIVIDUO NO DEBE ORIGINAR Y APROBAR TRANSACCIONES.

Con el propósito de mejorar la eficiencia y velocidad de las operaciones puede parecer razonable asignar
los procesos de dar origen y aprobar transacciones a un mismo individuo.

Sin embargo, aunque esta responsabilidad se confie a empleados honestos con una impecable hoja de
vida laboral, se esta violando la sana practica de segregar dos funciones incompatibles desde el punto de
vista de control.

Algunas organizaciones exigen que la operación de transacciones sensitivas este sujeta a una aprobación
independiente. Si embrago, fallan al permitir que el mismo individuo que las origina sea el que las
aprueba.

Todos los negocios necesitan un sistema de verificaciones y balances. Si alguien pudiera aprobar su
propia cuenta de gastos, podría extralimitarse.

PROPIEDADES DE UN SISTEMA SEGURO.

Para que las organizaciones funcionen con un nivel de riesgo aceptable, sus sistemas de información
deberían satisfacer las siguientes propiedades:

1. INTEGRIDAD

Un sistema debería hacer solamente lo que esta previsto que haga y nada mas. Este sistema debe
funcionar de acuerdo con un grupo de especificaciones planeadas. Estas poseen la esencia de totalidad o
de la completitud. Los sistemas tienen INTEGRIDAD si satisfacen esas especificaciones y nada mas.

EJEMPLOS
 - Un temporizador en la puerta de una bóveda de un banco activara la cerradura en el tiempo
programado y no en otro.
- Un archivo de datos de “solo lectura” debería rechazar todos los intentos de modificaciones
desde cualquier fuente.
- Un cheque debería pagarse solamente al individuo apropiado, en la fecha correcta y por la
cantidad correcta.

La verificación de la integridad es predecible. Si para cada estimulo que reciba el sistema, la respuesta es
predecible ya sea que esta funcionando bien o mal, existe INTEGRIDAD.

La propiedad de la INTEGRIDAD proporciona la capacidad de responder con acciones correctivas cuando

recibe estímulos anormales.

2. AUDITABILIDAD

Un sistema AUDITABLE permite a un revisor independiente verificar sus actividades en cualquier tiempo.
La auditabilidad permite al sistema DEMOSTRAR que esta funcionando de acuerdo con especificaciones,
cumpliendo con requisitos de control, que se esta utilizando como se pensó y de acuerdo con estándares y
practicas aceptadas en procesamiento de datos.

Para satisfacer esta propiedad, los sistemas deben construirse enteramente con componentes auditables.
Para esto se requiere que sea modular en su diseño y que cada modulo sea capaz de comunicarse con los
otros solamente a través de un numero limitado de interfases formalmente definidas. Tale sistemas, por
consiguiente, deben tener la capacidad de registrar todas las transacciones ( consultas, eventos,
contenidos, estímulos, respuestas) en las interfases permitidas

Una prueba de auditabilidad es la RESPONSABILIDAD. Un sistema debería tener al habilidad para fijar la
responsabilidad por cada evento significativo en un solo individuo. Debe tener la capacidad de apuntar a
alguien o alguna PARTE como responsable de cualquier actividad del sistema. El sistema debería ser
capaz de registrar a cualquier persona, determinando completamente la responsabilidad por sus
actividades.

Los sistemas auditables también deben tener VISIBILIDAD. Esto es, que las varianzas de comportamiento
esperado, uso o contenido se indiquen y se den a conocer a la administración de tal manera que permitan
iniciar acciones correctivas en forma apropiada y oportuna.

3. CONTROLABILIDAD

Un sistema que posee CONTROLABILIDAD permite a la Administracion ejercer una Direccion o influencia
restrictiva sobre su uso, comportamiento o contenido .Esta propiedad limita la capacidad de un sistema
para pasar los recursos previstos entre áreas de trabajo o de influencias sujetas a control. Por Ejemplo.
Ud. Puede estar habilitado para procesar gastos legítimos del negocio, pero no para aprobar, producir o
enviar el pago de los fondos correspondientes. Además Ud. Puede permitírsele procesar solamente para
tipos particulares de cargos asociados con su departamento.

Para alcanzar esta postura de control, cada modulo auditable debe ser individualmente controlable. Esto
implica que cada modulo de control transfiere a otros módulos SOLAMENTE aquellas actividades previstas.

Una prueba de controlabilidad es la GRANULARIDAD. Esta requiere que el tamaño del modulo a ser
controlado sea suficientemente pequeño para construir un aceptable nivel de riesgo. Por Ejemplo, si un
modulo de nomina incluye las funciones de solicitud, autorización y ejecución del pago, este falla en su
granularidad.

Ningún modulo debería controlar su recurso de tal tamaño que pueda afectar significativamente la
continuidad del negocio. Es responsabilidad de la administración definir el nivel de riesgo aceptable en
cada interfase.

FUNCIONES DE LA SEGURIDAD DEL SISTEMA

Una estrategia para alcanzar las propiedades de integridad, auditabilidad y controlabilidad es colocar
controles funcionales en los dominios de cada interfase. Esos controles protegen el transito de información
en el sistema y representan la gran contribución del diseñador del sistema para alcanzar el máximo nivel
de seguridad de los datos.

1. IDENTIFICACION

Esta función permite establecer identificadores (nombres o códigos) para cada usuario y recursos del
sistema. Su propósito es proporcionar evidencia la realidad. Esta función identifica por algunos medios
aceptables a las personas, el hardware, el software y otros recursos disponibles en el sistema.

La identificación implica que un registro de datos existente en el sistema asocia un identificador con un
usuario o recurso definidos. La confirmación de alguna identidad se establece e ese punto. Por ejemplo,
empleado JAIME RODRIGUEZ, data record, ECDIMA; terminal li.

2 . AUTENTICACION

Es el acto de seleccionar con un nivel aceptable de riesgo, de la validez de la identidad declarada. Es la

validación aceptable de la identidad. Proporciona la capacidad del sistema para verificar el usuario o
recurso identificado.

Se realiza comparando algo que el individuo conoce, tiene, es o puede hacer para una referencia
registrada. Por ejemplo:

- Algo que sabe o conoce: pasword

- Alguna cosa que tiene: tarjeta con fotografía
- Algo que el es: Apariencia física
- Algo que puede hacer: la firma

Adicionalmente, la autenticación de la FUENTE en los sistemas de información es clave para seguridad de

los datos. Esta ayuda a determinar cuanta confianza puede darse a la exactitud, confiabilidad y a lo
completa que es la información presentada por el sistema.

3. AUTORIZACION.

El propósito de una función de autorización es establecer lo que esta permitido hacer a alguien a un
recurso dado. Generalmente relaciona a un usuario con un recurso a través de reglas de autorización
definidas. La autorización establece reglas que restringen a los usuarios de los sistemas para ejecutar
solamente actividades predefinidas a los recursos de datos.

4. DELEGACION

La función de DELEGACION es necesaria para aplicar y dar mantenimiento a la función de actualización.

Suministra la generación, registro y mantenimiento, de las reglas de acceso. Determina quien y bajo que
circunstancias, puede habilitar o cambiar reglas de autorización.

En sistemas pequeños esta función la desempeña el administrador de seguridad. En grandes sistemas, con
una estructura compleja de usuarios, recursos, localizaciones, y actividades, se requieren mecanismos de
delegación sofisticados, que implican el uso de paquetes de software de control de acceso, tales como el
RACF (Resource Allocation and Control Facility) y el ACF2 proporcionados para equipos IBM.

5. REGISTRO DE PISTAS DE LAS TRANSACCIONES (JOURNALING)

Después de la identificación, autenticación, autorización y delegación, el siguiente paso es el

JOURNALING de todas las actividades significativas que ocurran. Los journals proporcionan evidencias
escritas del uso de los registros del sistema. Ofrecen tres beneficios destacables.
 a. Proporcionan lo necesario para reconstrucción, backup/ recovery.
b. Fijan responsabilidades- rastrea e identifica
c. Cana visibilidad permite ver que esta ocurriendo

Los sistemas nunca deberían diseñarse sin capacidades de journaling, es decir, para capturar información
sobre quien hizo que, donde porque, cuando y como. Los journaling son el medio mas eficaz de
monitorear la adherencia a las Politicas de la compañía, objetivos reglas y standares de rendimiento
generalmente. Cualquier punto donde un recurso o responsabilidad importante para del control de una
persona a otra, es un area clave para consideraciones de PISTAS DE LAS TRANSACCIONES.

6. VIGILANCIA

Las pistas de las transacciones (Journals y Logs), sin importar lo completas que sean. Son inefectivas sin
la función de VIGILANCIA. Alguien debe revisar los journals. Alguien debe examinar las actividades
registradas y establecer las variaciones con respecto al rendimiento esperado, uso y contenido. Esta es la
función de vigilancia.

ESTAS SEIS FUNCIONES SON PROBABLEMENTE LAS CONSIDERACIONES MAS IMPORTANTES EN

EL DISEÑO DE ADECUADOS CONTROLES DE SEGURIDAD DE LA INFORMACION.

IV. NIVELES DE CONTROL DE LA SEGURIDAD EN LOS SISTEMAS COMPUTARIZADOS DE

INFORMACION.

James Martín en su libro “ Security Accuracy and Privacy in Computer Systems”, propone cuatro (4)
niveles de controles para proteger la seguridad de los sistemas computarizados.
1. CONTROLES TECNICOS CONSTRUIDOS DENTRO DEL SOFTWARE APLICATIVO Y DEL SISTEMA.

Es el sistema o nivel mas interno de la metodología de control. Sin fuertes controles en el software del
sistema y de las aplicaciones, ninguna otra precaución puede hacer el sistema seguro. Los controles
dentro del software del sistema proporcionan la SEGURIDAD LOGICA. Los controles establecidos dentro
de software aplicativo proporcionan la SEGURIDAD FUNCIONAL.

2. CONTROLES DE SEGURIDAD FISICA

Los controles de seguridad lógica y funcional no son suficientes por si solos, deben reforzarse con niveles
de control externos al diseño del sistema. El nivel de controles técnicos es circundado por el de
SEGURIDAD FISICA, estos se refieren a las cerraduras en las puertas, guardias, alarmas y otros medios
para prevenir el acceso no autorizado, precauciones contra incendios, protección de datos almacenados
en archivos magnéticos y otros.

3. CONTROLES ADMINISTRATIVOS

El siguiente nivel es el de controles administrativos para asegurar que el sistema se utilice correctamente.
Estos controles se extienden mas allá del departamento de procesamiento de datos: incluyen a los
departamentos usuarios de los sistemas, los auditores y la Administracion superior.

4. CONTROLES DEL AMBIENTE SOCIAL Y JURIDICO

Es el nivel mas externo y problemático tiene que ver con privacidad exactitud y confiabilidad de los datos
en el ambiente social y jurídico en que operan los sistemas.

Estos niveles de protección no están completamente separados. Los controles que se establezcan en cada
uno, dependerán de la importancia de la información y la tecnología de procesamiento de datos utilizada.

V. COSTO BENEFICIO DE LA SEGURIDAD

LA SEGURIDAD ABSOLUTA ES INALCAZABLE. La razón mas poderosa para esta afirmación es que los
errores y las irregularidades son propias de la intervención humana y esta no puede eliminarse
completamente. En este punto es importante resaltar que “ la seguridad de la empresa empieza por sus
políticas de administración de personal”

Nunca podemos hablar de seguridad absoluta pero si de minimizar las oportunidades de quebrantarla los
altos niveles seguridad son prohibitivamente costosos sin embargo la medidas de seguridad basicas
cuestan muy poco. Es recomendable asignar un presupuesto de seguridad de proporciones razonables,
que no exceda del 5% del presupuesto total de procesamiento de datos, según aconseja el autor antes
citado.

No todos los sistemas necesitan del mismo grado de seguridad. Este depende fundamentalmente de la
importancia de la información.

VI SIGNOS DE PELIGRO PARA LA SEGURIDAD DE LOS SISTEMAS DE INFORMACION.

Existe una gama de aspectos que permiten determinar rápidamente el grado de seguridad existente en os
sistemas de información. Si alguno de estos no se utiliza esta descuidado, representa un punto vulnerable
en el sistema de seguridad.

La administración superior, la gerencia de sistemas y la auditoria deberían revisar los siguientes signos de
peligro.

1. Carencia de un programa de seguridad que cubra todas las actividades de procesamiento de datos.

2. Carencia de balance en los esfuerzos de seguridad

3. Deficiente control de acceso a las instalaciones de procesamiento de datos.

4. Falta de orden y pulcritud en as instalaciones de procesamiento de datos.

5. Deficiente documentación de las aplicaciones y falta de pulcritud en la programación

6. Carencias o deficiencias en los planes y programas de recuperación de desastres.

7. Deficientes Politicas de Administracion del personal de procesamiento de datos.

8. Inadecuada distribución de funciones y responsabilidades

9. Inadecuada localización física de las instalaciones de procesamiento de datos

10. Carencia o deficiente enfoque de la auditoria a los aspectos de seguridad en los sistemas de
procesamiento de datos.

VII DISTRIBUCION DE RESPONSABILIDADES EN EL CONTROL Y LA SEGURIDAD DE LOS

SISTEMAS COMPUTARIZADOS DE INFORMACION.

La seguridad de la información en los sistemas computarizados depende de todos los individuos

involucrados en su manejo por consiguiente es necesario establecer un mínimo de cultura de control en
todos los funcionarios de la empresa. Como base para crear conciencia de las responsabilidades que al
respecto les corresponden, de acuerdo con las funciones que desempeñen.

Un modelo de distribución de estas responsabilidades entre la alta Direccion, la Gerencia de sistemas las
áreas, las áreas operativas o usuarias de los sistemas y los auditores se describe a continuación.

RESPONSABILIDADES DE LA ALTA DIRECCION.

Frente al control y la seguridad de la información su responsabilidad hace parte de las cuatro funciones
basicas que corresponden en la empresa: PLANEAR, ORGANIZAR, DIRIGIR Y CONTROLAR.
Su papel consiste en proporcionar los recursos y el apoyo necesario para que los sistemas de información
basados en computadores tenga un apropiado sistema de controles. La administración superior debe
APROBAR Y APOYAR las actividades de desarrollo e implantación de controles que sean promovidas por el
personal de sistemas las áreas de los sistemas y los auditores.

RESPONABILIDAD DEL PERSONAL DE SISTEMAS

Los diseñadores de los controles seleccionados por ellos juegan un papel importantísimo en la vida de los
sistemas de información basados en computadores, de manera análoga a la trascendencia que tienen
para la vida de un edificio y los estudios previos que realizan los arquitectos e ingenieros constructores y
los materiales de construcción empleados. En ambos casos los constructores y arquitectos se preocupan
no solamente por los aspectos técnicos de su profesión, sino también por el objetivo y la función que
cumplirá la obra construida.

El personal de sistemas involucrado en el desarrollo y mantenimiento de los sistemas de información es

responsable de DISEÑAR, IMPLANTAR Y DAR MANTENIMIENTO al sistema de controles que protegerá a la
organización, contra los riesgos que podrían afectar su estabilidad financiera u operativa a través de los
sistemas computarizados.

El cumplimiento de estas responsabilidades implica la ejecución de las siguientes actividades.

EN LA FASE DE DESARROLLO DELSISTEMA

1. Identificar las amenazas o situaciones de riesgo que podrían afectar las actividades del procesamiento
electrónico de datos y el buen manejo del negocio en las áreas de operación sistematizadas.

2. Definir objetivos de control específicos. Estos siempre deben apuntar a INCREMENTAR la probabilidad
de que el sistema funcione correctamente y a REDUCIR la probabilidad de ocurrencia de errores e
irregularidades.

3. Seleccionar los controles requeridos para MINIMIZAR la probabilidad de ocurrencia de las amenazas o
situaciones de riesgo.

4. Definir la ubicación de los controles seleccionados

5. Estimar costos/ beneficio de los controles seleccionados

6. Instalar los controles seleccionados

7. Documentar los controles

8. Probar la efectividad y eficiencia de los controles instalados

9. Educar a los usuarios del control (entrenamiento para el control)

10. Dar a conocer (promulgar) los controles que corresponde ejecutar a cada una de las áreas
involucradas en el manejo del sistema

EN LA FASE DE OPERACIÓN DEL SISTEMA

1. Ejecutar los controles en actividades manuales y automatizadas que corresponda desarrollar al personal
de sistemas.

2. Dar mantenimiento al sistema de controles establecido, es decir, efectuar ajustes y correcciones que
surjan como resultado de cambios en el manejo de las operaciones sistematizadas de errores e
irregularidades no previstas en la fase de desarrollo del sistema o de recomendaciones de los usuarios y
auditores.

- Adicionar controles
 - Suprimir controles
- Modificar procesamiento de control
- Actualizar la documentación de los controles
- Dar a conocer (promulgar) cambios en el sistema de controles

3. Prevenir omisiones: incumplimiento de controles en su departamento

4. Detectar omisiones incumplimiento de controles en su departamento

5. Corregir efecto de omisiones incumplimiento de controles en su departamento

6. Recomendar mejoramiento o implantación de nuevos controles en otros departamentos involucrados

en el manejo del sistema.

RESPONABILIDADES DE LAS AREAS OPERATIVAS USUARIAS DE LOS SISTEMAS.

El papel de esta area frente al control de la seguridad de la información que procesan los sistemas
computarizados, es similar al que un propietario ejerce sobre su vehículo cotidianamente y cuando utiliza
los servicios de un diagnosticentro.

El vehículo (el sistema de información) dispone de unos controles suministrados por el fabricante (el
personal de sistemas), los que a través de un tablero de control alertan al conductor (usuarios del
sistema) sobre la inminente ocurrencia de amenazas criticas que podrían ocasionar daños graves al
vehículo. El propietario es libre de tomar acción o no cuando se activan los indicadores del tablero de
control. Si toma una acción, evitara daños mayores: si no lo mas probable es que su vehículo sufra daños
muy graves, que sea necesario adquirir otro o que durante algún tiempo no pueda utilizarlo.

El servicio de un diagnosticentro es comparable al soporte tecnico que los usuarios de los sistemas reciben
de los analistas y programadores del departamento de sistemas. Por ejemplo cuando el usuario solicita la
inclusión de un nuevo control o la impresión de un dato adicional en uno de los listados que normalmente
se producen.

De la misma manera que el propietario del vehículo se preocupa por la calidad, el costo y la eficiencia del
servicio especifico que contrata, el usuario de los sistemas debe preocuparse por los servicios que solicita
y recibe PARA SU INFORMACION por parte del personal de sistemas.

En el control y la seguridad de los sistemas de información computarizados, los usuarios de las áreas
operativas de los sistemas deben asumir el papel de PROPIETARIOS de la información que se procesa con
software, hardware y personal administrativo por el departamento de sistemas. Como propietario de la
información sistematizada, es responsable de las siguientes actividades de control:

EN LA FASE DE DESARROLLO DEL SISTEMA

1. Identificar y definir las amenazas o situaciones de riesgo, que podrían afectar al negocio en las áreas
operativas manejadas por ellos.

2 .Recomendar (proponer) los controles requeridos en su jurisdicción para el manejo de la información

que se genere para su procesamiento en el computador o se reciba de el.

3. Aprobar los controles seleccionados por los fabricantes del sistema para ser ejecutados en su
jurisdicción.

4. Participar en la definición de los objetivos específicos de los controles establecidos para su jurisdicción.

EN LA FASE DEL OPERACIÓN DEL SISTEMA

1. Ejecutar los controles establecidos par operar en su jurisdicción

2. Comprobar que los controles establecidos para su jurisdicción estén activos y se utilicen

3. Recomendar mejoramiento de los controles o el establecimiento de nuevos controles en su jurisdicción.

4. Prevenir omisiones / incumplimiento de controles en su jurisdicción.

5..Detectar omisiones / incumplimiento de controles en su jurisdicción

6. Corregir efecto de las omisiones / incumplimiento de controles en su jurisdicción

7. Informar a sistemas las deficiencias de control que detecte en la porción automatizada de los sistemas.

RESPONSABILIDAD DE LA AUDITORIA

La auditoria como parte del sistema de control interno de la empresa debe asumir responsabilidades
frente al control y la seguridad de los sistemas de información basados en computadores. Durante el
desarrollo de los sistemas cumple una función ASESORA. Aportando sus conocimientos y experiencias
para ayudar a construir.

A continuación se presenta un modelo de las responsabilidades de la auditoria frente al control y la

seguridad de los sistemas de información.

EN LA FASE DE DESARROLLO DE LOS SISTEMAS

1. Identificar las situaciones de riesgos de mas probable ocurrencia en las operaciones sistematizadas
objeto de la auditoria (Análisis de riesgos).

2. Evaluar la capacidad de los controles establecidos para:

- Evaluar errores e irregularidades

- Detectar oportunamente la ocurrencia de situaciones que pueden ocasionar errores o
irregularidades.
- Informar oportunamente la ocurrencia de situaciones que puedan conducir a errores e
irregularidades

3. Verificar que estén activos y operando los controles establecidos

4. Evaluar efectividad y suficiencia de los controles establecidos

5. Señalar situaciones de riesgo desprotegidas o débilmente protegidas

6. Recomendar nuevos controles o mejoras a los controles existentes.

7. Verificar que los responsables de establecer, ejecutar y dar mantenimiento a los controles entienden los
objetivos, la conveniencia y la necesidad de los controles.

VIII. BIBLIOGRAFIA

- Burch. Jhon G. Jr Sardinas Joseph L. Jr. COMPUTER CONTROL AND AUDIT: TOTAL SYSTEMS APROACH.
Ed. John Wiley & Sons. Inc. 1978.

- Auditoria de sistemas e Informatica Ltda – AUDISIS – PROGRAMA DE ENTRENAMIENTO EN CONTROL Y

AUDITORIA DE SISTEMAS DE INFORMACION. MODULOS I Y II. 1989.
- E.D.P Auditors Foundation. Inc. CONTROL OBJETIVES CONTROLS IN A COMPUTER EVIRONMENT:
OBJETIVES GUIDELINES. AND AUDIT PROCEDURES. By David H. Li. Ph. D. CPA. 1983.

- Martin. James. SECURITY, ACCURACY AND PRIVACY IN COMPUTER SYSTEMS. Prentice Hall Inc.. 1973.

- Fisher, Royal P. INFORMATION SYSTEM SECURITY. Prentice Hall Inc. 1984.

- FitzGerald Jerry and FitzGerald Ardra F. DESIGNING CONTROLS INTO COMPUTERIZED SYSTEMS. Second
Edition. Jerry FitzGerald & Associates. 1990.