TALLER DE AUDITORIA EN SISTEMAS DE INFORMACION

IDENTIFICACION DE REVISIONES DE AUDITORIA: Existen metodologías de Auditorías de

Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estándar
analizaremos las cuatro fases básicas de un proceso de revisión:
• Estudio preliminar
• Revisión y evaluación de controles y seguridades
• Examen detallado de áreas críticas
• Comunicación de resultados
Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a
la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención
de información para evaluar preliminarmente el control interno,
solicitud de plan de actividades, manuales de políticas, reglamentos, entrevistas con los principales
funcionarios de informática.
Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de
flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de
aplicaciones de las áreas críticas, Revisión de procesos históricos copias de seguridad (backups),
Revisión de documentación y archivos, entre otras actividades.
Examen detallado de áreas críticas.-Con las fases anteriores el auditor descubre las áreas críticas
y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de
trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos
que usará, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de
trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.
Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido con los
ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente
en forma de matriz, cuadros o redacción
simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la
Auditoría; el informe debe contener lo siguiente:
• Motivos de la Auditoría
• Objetivos
• Alcance
• Estructura Orgánico-Funcional del área Informática
• Configuración del Hardware y Software instalado
• Control Interno
• Resultados de la Auditoría

PROCEDIMIENTOS Y TECNICAS DE AUDITORIA.

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los
riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y
procedimientos de auditoría que deben satisfacer esos objetivos. El proceso de auditoria
exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles
existentes basado en la evidencia recopilada, y que prepare un informe de auditoría que presente
esos temas en forma objetiva a la gerencia
Asimismo, debe garantizar la disponibilidad y asignación adecuada de recursos para realizar el
trabajo de auditoría además de las revisiones de seguimiento sobre las acciones correctivas
emprendidas por la planificación de la auditoría
Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces.
El auditor de sistemas debe comprender el ambiente de la empresa en el que se ha de realizar la
auditoría así como los riesgos de la misma y el control asociado. A continuación se menciona
algunas de las áreas que deben ser cubiertas durante la planificación de la auditoría:
a. Comprensión de la empresa y de su ambiente.
Al planificar una auditoría, el auditor de sistemas debe tener una comprensión suficiente del
ambiente total que se revisa, debe incluir una comprensión general de las diversas prácticas
comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de sistemas que
se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el que opera
el negocio. Por ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de información
y de control que no están presentes en una empresa manufacturera. Los pasos que puede llevar a
cabo un auditor de sistemas para obtener una comprensión del negocio son:
o Recorrer las instalaciones del ente.
o Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria,
memorias e informes financieros.
o Entrevistas a ejecutivos claves para comprender los temas comerciales esenciales.
o Estudio de los informes sobre normas o reglamentos.
o Revisión de planes estratégicos a largo plazo.
o Revisión de informes de auditorías anteriores.
b. Riesgo y materialidad de auditoría.
Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener
errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los
riesgos en auditoría pueden clasificarse de la siguiente manera:
Riesgo inherente: Cuando un error material no se puede evitar que suceda por que no existen
controles compensatorios relacionados que se puedan establecer.
Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna
por el sistema de control interno.
Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un
procedimiento inadecuado.
El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los
hay. La palabra "material" utilizada con cada uno de estos componentes o riesgos, se refiere a un
error que debe considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de
sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del
ente auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión
de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los
potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o
se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de
detección.

De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un
sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede
convertiré en un error material para todo el sistema. La materialidad en la auditoría de sistemas debe
ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida
basado en lo monetario.
c. Técnicas de evaluación de Riesgos.
Al determinar que áreas funcionales o temas de auditoría que deben auditarse, el auditor de
sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría, el auditor de
sistemas debe evaluar esos riesgos y determinar cuáles de esas áreas de alto riesgo debe ser
auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son:
Permitir que la gerencia asigne recursos necesarios para la auditoría.
Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza
que las actividades de la función de auditoría se dirigen correctamente a las áreas de alto riesgo y
constituyen un valor agregado para la gerencia.
Constituir la base para la organización de la auditoría a fin de administrar eficazmente el
departamento.
Proveer un resumen que describa como el tema individual de auditoría se relaciona con la
organización global de la empresa así como los planes del negocio.
d. Objetivos de control y objetivos de auditoría.
El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoría
es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando
las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por ejemplo como
objetivos de auditoría de sistemas los siguientes:
o La información de los sistemas de información deberá estar resguardada de acceso incorrecto
y se debe mantener actualizada.
o Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una
sola vez.
o Los cambios a los programas deben ser debidamente aprobados y probados.
Los objetivos de auditoría se consiguen mediante los procedimientos de auditoría.
e. Procedimientos de auditoría.
Algunos ejemplos de procedimientos de auditoría son:
o Revisión de la documentación de sistemas e identificación de los controles existentes.
o Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados.
o Utilización de software de manejo de base de datos para examinar el contenido de los
archivos de datos.
o Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.
Desarrollo del programa de auditoría.
Un programa de auditoría es un conjunto documentado de procedimientos diseñados para alcanzar
los objetivos de auditoría planificados. El esquema típico de un programa de auditoría incluye lo
siguiente:
Tema de auditoría: Donde se identifica el área a ser auditada.
Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría a realizar.
Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades de organización que
se han de incluir en la revisión en un período de tiempo determinado.

Planificación previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el
trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones
donde se va auditar.
Procedimientos de auditoría para:
o Recopilación de datos.
o Identificación de lista de personas a entrevistar.
o Identificación y selección del enfoque del trabajo
o Identificación y obtención de políticas, normas y directivas.
o Desarrollo de herramientas y metodología para probar y verificar los controles existentes.
o Procedimientos para evaluar los resultados de las pruebas y revisiones.
o Procedimientos de comunicación con la gerencia.
o Procedimientos de seguimiento.
Autenticación o autentificación es el acto de establecimiento o confirmación de algo (o alguien) como
auténtico. La autenticación de un objeto puede significar (pensar) la confirmación de su procedencia,
mientras que la autenticación de una persona a menudo consiste en verificar su identidad. La
autenticación depende de uno o varios factores.
Autenticación, o mejor dicho acreditación, en términos de seguridad de redes de datos, se puede
considerar uno de los tres pasos fundamentales (AAA). Cada uno de ellos es, de forma ordenada:
1. Autenticación En la seguridad del computador, la autenticación es el proceso de intento de
verificar la identidad digital del remitente de una comunicación como una petición para conectarse. El
remitente siendo autenticado puede ser una persona que usa un computador, un computador por sí
mismo o un programa del computador. En una web de confianza, "autenticación" es un modo de
asegurar que los usuarios son quién ellos dicen que ellos son - que el usuario que intenta realizar
funciones en un sistema es de hecho el usuario que tiene la autorización para hacer así.
2. Autorización Proceso por el cual la red de datos autoriza al usuario identificado a acceder a
determinados recursos de la misma.
3. Auditoría Mediante la cual la red o sistemas asociados registran todos y cada uno de los
accesos a los recursos que realiza el usuario autorizados o no.
El problema de la autorización a menudo, es idéntico a la de autenticación; muchos protocolos de
seguridad extensamente adoptados estándar, regulaciones obligatorias, y hasta estatutos están
basados en esta asunción. Sin embargo, el uso más exacto describe la autenticación como el
proceso de verificar la identidad de una persona, mientras la autorización es el proceso de
verificación que una persona conocida tiene la autoridad para realizar una operación. La
autenticación, por lo tanto, debe preceder la autorización. Para distinguir la autenticación de la
autorización de término estrechamente relacionada. Los métodos de autenticación están en función
de lo que utilizan para la verificación y estos se dividen en tres categorías:
Sistemas basados en algo conocido. Ejemplo, un password .

Sistemas basados en algo poseído. Ejemplo, una tarjeta de identidad, una tarjeta
inteligente(smartcard), dispositivo usb tipo epass token, smartcard.
Sistemas basados en una característica física del usuario o un acto involuntario del mismo:
Ejemplo, verificación de voz, de escritura, de huellas, de patrones oculares.
Cualquier sistema de identificación ha de poseer unas determinadas características para ser viable:
Ha de ser fiable con una probabilidad muy elevada (podemos hablar de tasas de fallo de en los
sistemas menos seguros).
Económicamente factible para la organización (si su precio es superior al valor de lo que se intenta
proteger, tenemos un sistema incorrecto).
Soportar con éxito cierto tipo de ataques.
Ser aceptable para los usuarios, que serán al fin y al cabo quienes lo utilicen.
La mayor parte de los sistemas informáticos y redes mantienen de uno u otro modo una relación de
identidades personales (usuarios) asociadas normalmente con un perfil de seguridad, roles y
permisos. La autenticación de usuarios permite a estos sistemas asumir con una seguridad
razonable que quien se está conectando es quien dice ser, para que luego las acciones que se
ejecuten en el sistema puedan ser referidas luego a esa identidad y aplicar los mecanismos
de autorización y/o auditoría oportunos.
El primer elemento necesario (y suficiente estrictamente hablando) por tanto para la autenticación es
la existencia de identidades biunívocamente identificadas con un identificador único (valga la
redundancia). Los identificadores de usuarios pueden tener muchas formas siendo la más común
una sucesión de caracteres conocida comúnmente como login.
El proceso general de autenticación consta de los siguientes pasos:
1. El usuario solicita acceso a un sistema.
2. El sistema solicita al usuario que se autentique.
3. El usuario aporta las credenciales que le identifican y permiten verificar la autenticidad de la
identificación.
4. El sistema valido según sus reglas si las credenciales aportadas son suficientes para dar acceso
al usuario o no. Un ejemplo familiar es el control de acceso. Un sistema informático supuesto para
ser utilizado solamente por aquellos autorizados, debe procurar detectar y excluir el desautorizado.
El acceso a él por lo tanto es controlado generalmente insistiendo en un procedimiento de la
autentificación para establecer con un cierto grado establecido de confianza la identidad del usuario,
por lo tanto concediendo esos privilegios como puede ser autorizado a esa identidad. Los ejemplos
comunes del control de acceso que implican la autenticación incluyen:
o Retirar de dinero de un cajero automático.
o Control de un computador remoto sin Internet.
o Uso de un sistema Internet.
Sin embargo, observar que mucha de la discusión sobre estos asuntos es engañosa porque los
términos se utilizan sin la precisión. Parte de esta confusión puede ser debido “al tono de la
aplicación de ley” de mucha de la discusión. Ninguna computadora, programa de computadora, o
poder del usuario de la computadora “confirman la identidad” de otro partido. No es posible
“establece” o “probar” una identidad, cualquiera. Hay ediciones difíciles que están al acecho debajo
de qué aparece ser una superficie directa.
Herramientas para auditoria Informática
1.-Observación La observación es una actividad realizada por un ser vivo (como un ser humano),
que detecta y asimila los rasgos de un elemento utilizando los sentidos como instrumentos
principales. El término también puede referirse a cualquier dato recogido durante esta actividad. La
observación, como técnica de investigación, consiste en "ver" y "oír" los hechos y fenómenos que
queremos estudiar, y se utiliza fundamentalmente para conocer hechos, conductas y
comportamiento colectivos.
2.-Cuestionarios La encuesta se realiza siempre en función de un cuestionario, siendo éste por
tanto, el documento básico para obtener la información en la gran mayoría de las investigaciones. El
cuestionario es un documento formado por un conjunto de preguntas que deben estar redactadas de
forma coherente, y organizadas, secuenciadas y estructuradas de acuerdo con una determinada
planificación, con el fin de que sus respuestas nos puedan ofrecer toda la información que se
precisa.
3.-Entrevistas: Se divide en 4 partes
o Entrevista periodística;
o Entrevista clínica;
o Entrevista de trabajo;
o Entrevista cognitiva.
4.-Muestreo Estadístico En estadística el muestreo es la técnica para la selección de una muestra a
partir de una población. En el muestreo, si el tamaño de la muestra es más pequeño que el tamaño
de la población, se puede extraer dos o más muestras de la misma población. Al conjunto de
muestras que se pueden obtener de la población se denomina espacio muestral. La variable que
asocia a cada muestra su probabilidad de extracción.
El muestreo: es una herramienta de la investigación científica. Su función básica es determinar que
parte de una realidad en estudio (población o universo) debe examinarse con la finalidad de hacer
inferencias sobre dicha población
El Muestreo es más que el procedimiento empleado para obtener una o más muestras de una
población; el muestreo es una técnica que sirve para obtener una o más muestras de población.

Aplicación de la metodología de auditoría.

Estudio preliminar.
Definida la dirección y los factores a auditar la secuencia lógica para su desarrollo requiere de un
"reconocimiento" o "estudio preliminar" para determinar la situación administrativa de la organización.
Implica revisar aspectos técnicos y legales, información del campo de trabajo y demás
documentos, así como el primer contacto con la realidad, lo cual puede provocar un cambio o
reformulación de los objetivos, estrategias, acciones a seguir o tiempos de ejecución.
Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática
para conocer detalles de la misma, elaborar un cuestionario para la obtención de información
para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de
políticas, reglamentos,
Entrevistas con los principales usuarios del sistema.
Definir el grupo de trabajo.
Revisión y evaluación de controles y seguridades:
Consiste en la revisión de los diagramas de flujo de procesos, realización de pruebas de
cumplimiento de la seguridad, revisión de aplicaciones de las áreas críticas, revisión de procesos
históricos (backups) , revisión de documentación y archivos, entre otras actividades
Examen detallado de áreas críticas:
Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis
profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo,
establecerá los motivos, objetivos, alcance recursos que usara, definirá la metodología de trabajo, la
duración de la auditoria; presentará el plan de trabajo y analizara detalladamente cada problema
encontrado
Elaborar el programa de auditoría.
El auditor deberá desarrollar y documentar un programa de auditoría que exponga la naturaleza,
oportunidad y alcance de los procedimientos de auditoría planeados que se requieren para
implementar el plan de auditoría global
Efectuar visitas a la unidad informática para conocer detalles de la misma.
Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de
cumplimiento de las seguridades.
o Revisión de aplicaciones de las áreas críticas,
o Revisión de procesos históricos (backups),
o Revisión de documentación y archivos, entre otras actividades
Elaborar cuestionario para la obtención de información a evaluar.
Solicitar plan de actividades, manuales de políticas y reglamentos
Luego de desarrollar el programa de auditoria y recopilar evidencia de auditoria, el siguiente paso es
evaluar la información recopilada con la finalidad de desarrollar una opinión. Para esto generalmente
se utiliza una matriz de control con la que se evaluará el nivel de los controles identificados, esta
matriz tiene sobre el eje vertical los tipos de errores que pueden presentarse en el área y un eje
horizontal los controles conocidos para detectar o corregir los errores, luego se establece un puntaje
(puede ser de 1 a 10 o 0 a 20, la idea es que cuantifique calidad) para cada correspondencia, una
vez completada, la matriz muestra las áreas en que los controles no existen o son débiles,
obviamente el auditor debe tener el suficiente criterio para juzgar cuando no lo hay si es necesario el
control. Por ejemplo:
En esta parte de evaluación de debilidades y fortalezas también se debe elegir o determinar la
materialidad de las observaciones o hallazgos de auditoria. El auditor de sistemas debe juzgar
cuales observaciones son materiales a diversos niveles de la gerencia y se debe informar de
acuerdo a ello.
 Entrevistar a personal del área.
- Revisión y evaluación de controles y seguridades.
 Revisar los diagramas de flujo de procesos.
 Realizar pruebas de cumplimiento de las seguridades.
 Revisar aplicaciones de las áreas críticas.
 Revisar procesos históricos (backups), documentación y archivos.
- Examen detallado de áreas críticas.
- Controles de claves de acceso al Sistema
Los controles de claves de acceso son importantes para evitar la vulnerabilidad del sistema. No es
conveniente que las claves de acceso estén compuestas por códigos d e empleados, ya que una
persona no autorizada a través de pruebas simples o deducciones puede dar con dicha clave.
Para redefinir las claves a todos los usuarios estas deberán ser:
 o Individuales.- Una clave debe pertenecer a un solo usuario, es decir
i n d i v i d u a l e s y personales, para facilitar y determinar las personas que efectúan
las transacciones, así como, asignar responsabilidades.
o Confidenciales.- Los usuarios deben ser formalmente instruidos, respecto al uso
de las claves.
o No significativas .- Las claves no deben corresponder a números
s e c u e n c i a l e s , n i a nombres o fechas.
Entre los principales justificativos o motivos de una auditoría encontramos los siguientes:
o Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad de la
información.
o Descubrimientos de fraudes efectuados con el uso del computador.
o Falta de una planificación en la Organización que no funciona correctamente, debido a falta de
políticas, objetivos, normas, metodología, estándares, delegación de autoridad, asignación de
tareas y adecuada administración del recurso humano.
Dentro de esta gama de justificativos que son de especial análisis en una auditoría, se ha
considerado para nuestro estudio, aquellos que afectan a la empresa.
o Elaborar borrador del informe a ser discutido con los ejecutivos.
o Emitir informe definitivo
El motivo de la auditoria es el mantener un excelente control y hacer buena gestión dentro de la
empresa.
Dentro de los objetivos tenemos los siguientes:
o Detectar problemas en hardware
o Detectar problemas en software
o Hallar errores Técnicos
o Evaluar los controles
o Comprobar el funcionamiento de la administración
o Revisar que cuenten con los planes de contingencia adecuados.
El alcance de la auditoria es el de mantener en buena estabilidad una empresa especifica.
Los Recursos que se utilizar para la auditoria son humanos, ya que son los que tienen que evaluar
todo dentro de la empresa.
CONCLUSIONES
AREA DE SISTEMAS
OBJETIVOS
A) examinar la metodología de construcción que se esté utilizando
B) Revisar la definición de las grandes opciones
C) Examinar el inventario de problemas a resolver por el sistema determinando sobre la prioridad y la
racionalidad de estos
D) Verificar los medios que la organización ha dispuesto para la organización
E) Comprobar el plan realización
Tareas a emprender
E.2 Previsión de dificultades
E.3 Descomposición de problemas
E.4 Líneas de comportamiento a seguir
F) Garantizar la fiabilidad y precisión del estudio económico de costos preliminares a la realización
G) Verificar los estudios de necesidades de software y hardware asociados con el proyecto
H) Evaluar los métodos utilizados para la recopilación de datos.
I) Colaborar en la fase de la puesta en marcha del sistema
J) Comprobar los medios de seguridad con que se va adoptar el sistema en cuestión
K) Evaluar el rendimiento de un sistema ya en marcha
L) Aconsejar si es necesario las modificaciones oportunas para la optimización
AREA DE EXPLOTACION
Dentro de los objetivos, a comprobar la existencia de normas generalmente escritas para el
personal, en lo que se refiere a sus funciones, así como también el verificar físicamente la existencia
de estándares de documentación en cada uno de los departamentos.
Deberemos de observar a si mismo que ningún caso los operadores accedan a la documentación o
programas que no sean de su competencia.
También debemos verificar que las usuarios no puedan tener acceso a otras operaciones de la
computadora cuando estos están corriendo los programas.
El área de auditoria debe de verificar y examinar que las versiones de programas y archivos son
efectivamente las versiones que están en ese momento en operación
ENTORNO OPERATIVO EN HARDWARE
El objetivo principal es determinar y administrar que el hardware se utilice eficientemente (informe
sobre el uso del hardware, si está utilizando el personal autorizado, examinando la metodología
para la adquisición, y evolución del hardware y aunque parezca increíble es necesario comprobar las
condiciones ambientales donde este se encuentra).
Periódicamente debemos realizar inventarios del hardware, verificar los procedimientos de seguridad
físico así como examinar los controles de acceso físico, componentes de la red, transmisión de
datos, equipos periféricos.
En esta última parte del entorno operativo del hardware es necesario comprobar que existan
procedimientos de prevención/ detección/ corrección, frente a cualquier tipo de desastre (plan de
contingencia)
DIAGRAMA DE GANTT

DOCUMENTOS A SOLICITAR
o Políticas, estándares, normas y procedimientos.
o Plan de sistemas.
o Planes de seguridad y continuidad
o Contratos, pólizas de seguros.
o Organigrama y manual de funciones.
o Manuales de sistemas.
o Registros
o Entrevistas
o Archivos
o Requerimientos de Usuarios

1. Alcance de la Auditoria
 o Organización y cualificación del personal de Seguridad.
o Remodelar el ambiente de trabajo.
o Planes y procedimientos.
o Sistemas técnicos de Seguridad y Protección.
2. Objetivos
o Revisión de las políticas y Normas sobre seguridad Física y Lógica.
o Verificar la seguridad de personal, datos, hardware, software e instalaciones
o Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
SUGERENCIA DE PREGUNTAS (CHECK LIST, SI-NO-N/A) A REALIZAR
1. ¿Se han adoptado medidas de seguridad en el departamento de sistemas de información?
2. ¿Existe una persona responsable de la seguridad?
3. ¿Se ha dividido la responsabilidad para tener un mejor control de la seguridad?
4. ¿Existe personal de vigilancia en la institución?
5. ¿Existe una clara definición de funciones entre los puestos clave?
7. ¿Se controla el trabajo fuera de horario?
8. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que
puedan dañar los sistemas?.
9. ¿Existe vigilancia en el departamento de cómputo las 24 horas?
10. ¿Se permite el acceso a los archivos y programas a los programadores, analistas y operadores?
11. ¿Se ha instruido a estas personas sobre que medidas tomar en caso de que alguien pretenda
entrar sin autorización?
12. ¿El centro de cómputo tiene salida al exterior?
13. ¿Son controladas las visitas y demostraciones en el centro de cómputo?
14. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de
informática?
15. ¿Se vigilan la moral y comportamiento del personal de la dirección de informática con el fin de
mantener una buena imagen y evitar un posible fraude?
16. ¿Se ha adiestrado el personal en el manejo de los extintores?
17. ¿Se revisa de acuerdo con el proveedor el funcionamiento de los extintores?
18. ¿Si es que existen extintores automáticos son activador por detectores automáticos de fuego?
19. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para
alcanzarlos?
20. ¿Saben que hacer los operadores del departamento de cómputo, en caso de que ocurra una
emergencia ocasionado por fuego?
21. ¿El personal ajeno a operación sabe que hacer en el caso de una emergencia (incendio)?
22. ¿Existe salida de emergencia?
23. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de
las ventanas, si es que existen?
24. ¿Se ha adiestrado a todo el personal en la forma en que se deben desalojar las instalaciones en
caso de emergencia?
25. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del
departamento de cómputo para evitar daños al equipo?
26. ¿Se limpia con frecuencia el polvo acumulado debajo del piso falso si existe?
27. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?
28. ¿Se tienen establecidos procedimientos de actualización a estas copias?
29. ¿Existe departamento de auditoria interna en la institución?
30. ¿Este departamento de auditoria interna conoce todos los aspectos de los sistemas?
31. ¿Se cumplen?
32. ¿Se auditan los sistemas en operación?
33. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados?
34. ¿Existe control estricto en las modificaciones?
35. ¿Se revisa que tengan la fecha de las modificaciones cuando se hayan efectuado?
36. ¿Si se tienen terminales conectadas, ¿se ha establecido procedimientos de operación?
37. ¿Se ha establecido que información puede ser acezada y por qué persona?

VALORACION DE RESPUESTAS POSITIVAS Y NEGATIVAS.

Para hallar el SI
37--------100%
13-------- X
X = 31.1

Para hallar el NO
37--------100%
24-------- X
X = 64.86

PLAN DE AUDITORIA
2.
Para la evaluación del software los equipos se llevarán a cabo las siguientes actividades:
o Solicitud de los estudios de viabilidad y características de los equipos actuales, proyectos
sobre ampliación de equipo, su actualización
o Solicitud de contratos de compra y mantenimientos de equipo y sistemas
o Solicitud de contratos y convenios de respaldo
o Solicitud de contratos de Seguros
o Elaboración de un cuestionario sobre la utilización de equipos, memoria, archivos, unidades
de entrada/salida, equipos periféricos y su seguridad
o Visita técnica de comprobación de seguridad física y lógica de las instalaciones de la
Dirección de Informática
o Evaluación técnica del sistema electrónico y ambiental de los equipos y del local utilizado
o Evaluación de la información recopilada, obtención de gráficas, porcentaje de utilización de los
equipos y su justificación
o Elaboración y presentación del informe final (conclusiones y recomendaciones)
JUSTIFICACION
· Aumento considerable e injustificado del presupuesto del área de informática
· Desconocimiento en el nivel directivo de la situación informática de la empresa
· Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal,
equipos e información.
· Descubrimiento de fraudes efectuados con el computador
· Falta de una planificación informática
· Organización que no funciona correctamente, falta de políticas, objetivos, normas, Metodología,
asignación de tareas y adecuada administración del Recurso Humano
· Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
· Falta de documentación o documentación incompleta de sistemas que revela la dificultad de
efectuar el mantenimiento de los sistemas en producción
ADMINISTRACIÓN
Se recopila la información para obtener una visión general del departamento por medio de
observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y
alcances del departamento.
PARA ANALIZAR Y DIMENSIONAR LA ESTRUCTURA POR AUDITAR SE DEBE SOLICITAR:
A NIVEL DEL ÁREA DE INFORMÁTICA
Objetivos a corto y largo plazo.
RECURSOS MATERIALES Y TECNICOS
Solicitar documentos sobre los equipos, número de ellos, localización y características.
Estudios de viabilidad.
Número de equipos, localización y las características (de los equipos instalados y por instalar )
Fechas de instalación de los equipos y planes de instalación.
Contratos vigentes de compra y servicio de mantenimiento.
Contratos de seguros.
Configuración de los equipos y capacidades actuales y máximas.
Planes de expansión.
Ubicación general de los equipos.
Políticas de operación.
Políticas de uso de los equipos.

SISTEMAS
Se deberá analizar la descripción general de los sistemas instalados y de los que estén por
instalarse que contengan volúmenes de información.
Manual de procedimientos de los sistemas.
Descripción general.
Diagramas de entrada, archivos, salida.
Salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas.

En el momento de hacer la planificación de la auditoría o bien en su realización, debemos evaluar

que puedan existir las siguientes situaciones.
Se solicita la información y se ve que:
No tiene y se necesita.
No se tiene y no se necesita.
Se tiene la información pero:
No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Se usa, está actualizada, es la adecuada y está completa.
En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es necesaria. En
el caso de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo con las
necesidades y con el uso que se le va a dar. En el caso de que se tenga la información pero no se
utilice, se debe analizar porque no se usa. En caso de que se tenga la información, se debe analizar
si se usa, si está actualizada, si es la adecuada y si está completa.
El éxito del análisis depende de las consideraciones siguientes:
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin
fundamento)
Investigar las causas, no los efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos recabados.

PERSONAL PARTICIPANTE
Una de las partes más importantes dentro de la planificación de la auditoría en S.I. es el personal
que deberá participar y sus características.
Uno de los aspectos generalmente aceptados para tener un adecuado control es que el personal que
intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la
optimización de recursos (eficiencia) y se le retribuya en forma justa por su trabajo.
Con estas bases se debe considerar las características de conocimientos, práctica profesional y
capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe
pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el
desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las reuniones
y entrevistas requeridas.
Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un
grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería
casi imposible obtener información en el momento y con las características deseadas.
También se debe contar con personas asignadas por los usuarios para que en el momento que se
solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos
proporcionen aquello que se está solicitando, y complementen el grupo multidisciplinario, ya que se
debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del
sistema.
Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben
tener personas con las siguientes características:
Técnico en informática.
Experiencia en el área de informática.
Experiencia en operación y análisis de sistemas.
Conocimientos de los sistemas más importantes.
En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en
áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona
tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas
con las características apuntadas.
Una vez que se ha hecho la planeación, se puede utilizar el formato señalado en el anexo 1, el figura
el organismo, las fases y subfases que comprenden la descripción de la actividad, el número de
personas participantes, las fechas estimadas de inicio y terminación, el número de días hábiles y el
número de días/hombre estimado. El control del avance de la auditoría lo podemos llevar mediante el
anexo 2, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el trabajo
se está llevando a cabo de acuerdo con el programa de auditoría, con los recursos estimados y en el
tiempo señalado en la planeación.
El hecho de contar con la información del avance nos permite revisar el trabajo elaborado por
cualquiera de los asistentes. Como ejemplo de propuesta de auditoría en informática véase el anexo
3.

ENTREVISTA A USUARIOS

La entrevista se deberá llevar a cabo para comprobar datos proporcionados y la situación de la

dependencia en el departamento de Sistemas de Información .
Su objeto es conocer la opinión que tienen los usuarios sobre los servicios proporcionados, así como
la difusión de las aplicaciones de la computadora y de los sistemas en operación.
Las entrevistas se deberán hacer, en caso de ser posible, a todos los asuarios o bien en forma
aleatoria a algunos de los usuarios, tanto de los más importantes como de los de menor importancia,
en cuanto al uso del equipo.
Desde el punto de vista del usuario los sistemas deben:
Cumplir con los requerimientos totales del usuario.
Cubrir todos los controles necesarios.
No exceder las estimaciones del presupuesto inicial.
Serán fácilmente modificables.
Para que un sistema cumpla con los requerimientos del usuario, se necesita una comunicación
completa entre usuarios y responsable del desarrollo del sistema.
En esta misma etapa debió haberse definido la calidad de la información que será procesada por la
computadora, estableciéndose los riesgos de la misma y la forma de minimizarlos. Para ello se
debieron definir los controles adecuados, estableciéndose además los niveles de acceso a la
información, es decir, quién tiene privilegios de consulta, modificar o incluso borrar información.
Esta etapa habrá de ser cuidadosamente verificada por el auditor interno especialista en sistemas y
por el auditor en informática, para comprobar que se logró una adecuada comprensión de los
requerimientos del usuario y un control satisfactorio de información.
Para verificar si los servicios que se proporcionan a los usuarios son los requeridos y se están
proporcionando en forma adecuada, cuando menos será preciso considerar la siguiente información.
Descripción de los servicios prestados.
Criterios de evaluación que utilizan los usuarios para evaluar el nivel del servicio prestado.
Reporte periódico del uso y concepto del usuario sobre el servicio.
Registro de los requerimientos planteados por el usuario.
Con esta información se puede comenzar a realizar la entrevista para determinar si los servicios
proporcionados y planeados por la dirección de Informática cubren las necesidades de información
de las dependencias.

CONTROLES

Los datos son uno de los recursos más valiosos de las organizaciones y, aunque son intangibles,
necesitan ser controlados y auditados con el mismo cuidado que los demás inventarios de la
organización, por lo cual se debe tener presente:
a) La responsabilidad de los datos es compartida conjuntamente por alguna función determinada y el
departamento de cómputo.
b) Un problema de dependencia que se debe considerar es el que se origina por la duplicidad de los
datos y consiste en poder determinar los propietarios o usuarios posibles (principalmente en el caso
de redes y base de datos) y la responsabilidad de su actualización y consistencia.
c) Los datos deberán tener una clasificación estándar y un mecanismo de identificación que permita
detectar duplicidad y redundancia dentro de una aplicación y de todas las aplicaciones en general.
d) Se deben relacionar los elementos de los datos con las bases de datos donde están
almacenados, así como los reportes y grupos de procesos donde son generados.

CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL

La mayoría de los Delitos por computadora son cometidos por modificaciones de datos fuente al:
Suprimir u omitir datos.
Adicionar Datos.
Alterar datos.
Duplicar procesos.
Esto es de suma importancia en caso de equipos de cómputo que cuentan con sistemas en línea, en
los que los usuarios son los responsables de la captura y modificación de la información al tener un
adecuado control con señalamiento de responsables de los datos (uno de los usuarios debe ser el
único responsable de determinado dato), con claves de acceso de acuerdo a niveles.
El primer nivel es el que puede hacer únicamente consultas. El segundo nivel es aquel que puede
hacer captura, modificaciones y consultas y el tercer nivel es el que solo puede hacer todos lo
anterior y además puede realizar bajas.
Lo primero que se debe evaluar es la entrada de la información y que se tengan las cifras de control
necesarias para determinar la veracidad de la información.

CONTROL DE OPERACIÓN
La eficiencia y el costo de la operación de un sistema de cómputo se ven fuertemente afectados por
la calidad e integridad de la documentación requerida para el proceso en la computadora.

CONTROLES DE SALIDA
CONTROL DE MEDIOS DE ALMACENAMIENTO MASIVO
Los dispositivos de almacenamiento representan, para cualquier centro de cómputo, archivos
extremadamente importantes cuya pérdida parcial o total podría tener repercusiones muy serias, no
sólo en la unidad de informática, sino en la dependencia de la cual se presta servicio. Una dirección
de informática bien administrada debe tener perfectamente protegidos estos dispositivos de
almacenamiento, además de mantener registros sistemáticos de la utilización de estos archivos, de
modo que servirán de base a registros sistemáticos de la utilización de estos archivos, de modo que
sirvan de base a los programas de limpieza (borrado de información), principalmente en el caso de
las cintas.
Además se deben tener perfectamente identificados los carretes para reducir la posibilidad de
utilización errónea o destrucción de la información.
Un manejo adecuado de estos dispositivos permitirá una operación más eficiente y segura,
mejorando además los tiempos de procesos.
CONTROL DE MANTENIMIENTO
Como se sabe existen básicamente tres tipos de contrato de mantenimiento: El contrato de
mantenimiento total que incluye el mantenimiento correctivo y preventivo, el cual a su vez puede
dividirse en aquel que incluye las partes dentro del contrato y el que no incluye partes. El contrato
que incluye refacciones es propiamente como un seguro, ya que en caso de descompostura el
proveedor debe proporcionar las partes sin costo alguno. Este tipo de contrato es normalmente de
mayor costo, pero se deja al proveedor la responsabilidad total del mantenimiento a excepción de
daños por negligencia en la utilización del equipo. (Este tipo de mantenimiento normalmente se
emplea en equipos grandes).
El segundo tipo de mantenimiento es “por llamada”, en el cual en caso de descompostura se le llama
al proveedor y éste cobra de acuerdo a una tarifa y al tiempo que se requiera para componerlo (casi
todos los proveedores incluyen, en la cotización de reparación, el tiempo de traslado de su oficina a
donde se encuentre el equipo y viceversa). Este tipo de mantenimiento no incluye reparaciones.
El tercer tipo de mantenimiento es el que se conoce como “en banco”, y es aquel en el cual el cliente
lleva a las oficinas del proveedor el equipo, y este hace una cotización de acuerdo con el tiempo
necesario para su compostura mas las refacciones (este tipo de mantenimiento puede ser el
adecuado para computadoras personales).
Al evaluar el mantenimiento se debe primero analizar cual de los tres tipos es el que más nos
conviene y en segundo lugar pedir los contratos y revisar con detalles que las cláusulas estén
perfectamente definidas en las cuales se elimine toda la subjetividad y con penalización en caso de
incumplimiento, para evitar contratos que sean parciales.
Para poder exigirle el cumplimiento del contrato de debe tener un estricto control sobre las fallas,
frecuencia, y el tiempo de reparación.

ORDEN EN EL CENTRO DE CÓMPUTO

La dirección de Sistemas de Información bien administrada debe tener y observar reglas relativas al
orden y cuidado del departamento de sistemas. Los dispositivos del sistema de cómputo, los
archivos magnéticos, pueden ser dañados si se manejan en forma inadecuada y eso puede
traducirse en pérdidas irreparables de información o en costos muy elevados en la reconstrucción de
archivos. Se deben revisar las disposiciones y reglamentos que coadyuven al mantenimiento del
orden dentro del departamento de sistemas.

SEGURIDAD LÓGICA Y CONFIDENCIAL

La computadora es un instrumento que procesa gran cantidad de información, la cual puede ser
confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a
personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que
provoquen la destrucción total o parcial de la actividad computacional.
Esta información puede ser de suma importancia, y el no tenerla en el momento preciso puede
provocar retrasos sumamente costosos. En la actualidad y principalmente en las computadoras
personales, se ha dado otro factor que hay que considerar el llamado "“virus” de las computadoras,
el cual aunque tiene diferentes intenciones se encuentra principalmente para paquetes que son
copiados sin autorización (“piratas”) y borra toda la información que se tiene en un disco.
Al auditar los sistemas se debe tener cuidado que no se tengan copias “piratas” o bien que, al
conectarnos en red con otras computadoras, no exista la posibilidad de transmisión del virus.
El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos
ajenos de la organización, la copia de programas para fines de comercialización sin reportar los
derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la
información con propósitos fraudulentos.
Un método eficaz para proteger sistemas de computación es el software de control de acceso. Dicho
simplemente, los paquetes de control de acceso protegen contra el acceso no autorizado, pues piden
del usuario una contraseña antes de permitirle el acceso a información confidencial.
El sistema integral de seguridad debe comprender:
Elementos administrativos
Definición de una política de seguridad
Organización y división de responsabilidades
Seguridad física y contra catástrofes(incendio, terremotos, etc.)
Prácticas de seguridad del personal
Elementos técnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como
terminales.
Aplicación de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planeación de programas de desastre y su prueba.
Se debe evaluar el nivel de riesgo que puede tener la información para poder hacer un adecuado
estudio costo/beneficio entre el costo por perdida de información y el costo de un sistema de
seguridad, para lo cual se debe considerar lo siguiente:
Clasificar la instalación en términos de riesgo (alto, mediano, pequeño).
Identificar aquellas aplicaciones que tengan un alto riesgo.
Cuantificar el impacto en el caso de suspensión del servicio en aquellas aplicaciones con un alto
riesgo.
Formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se requiera.
La justificación del costo de implantar las medidas de seguridad para poder clasificar el riesgo e
identificar las aplicaciones de alto riesgo. Una vez que se ha definido, el grado de riesgo, hay que
elaborar una lista de los sistemas con las medias preventivas que se deben tomar, así como las
correctivas en caso de desastre señalándole a cada uno su prioridad.
Hay que tener mucho cuidado con la información que se procesa en un área determinado, su
utilización y que sea borrada al momento de dejar la instalación que está dando respaldo.
Para clasificar la instalación en términos de riesgo se debe:
Clasificar los datos, información y programas que contienen información confidencial que tenga un
alto valor dentro del mercado de competencia de una organización, e información que sea de difícil
recuperación.
Identificar aquella información que tenga un gran costo financiero en caso de pérdida o bien puede
provocar un gran impacto en la toma de decisiones.
Determinar la información que tenga una gran pérdida en la organización y, consecuentemente,
puedan provocar hasta la posibilidad de que no pueda sobrevivir sin esa información.
Para cuantificar el riesgo es necesario que se efectúen entrevistas con los altos niveles
administrativos que sean directamente afectados por la suspensión en el procesamiento y que
cuantifiquen el impacto que les puede causar este tipo de situaciones.

Para evaluar las medidas de seguridad se debe:

Especificar la aplicación, los programas y archivos.
Las medidas en caso de desastre, pérdida total, abuso y los planes necesarios.
Las prioridades que se deben tomar en cuanto a las acciones a corto y largo plazo.
En cuanto a la división del trabajo se debe evaluar que se tomen las siguientes precauciones, las
cuales dependerán del riesgo que tenga la información y del tipo y tamaño de la organización.
El personal que prepara la información no debe tener acceso a la operación.
Los análisis y programadores no deben tener acceso al área de operaciones y viceversa.
Los operadores no debe tener acceso irrestricto a las librerías ni a los lugares donde se tengan los
archivos almacenados; es importante separar las funciones de librería y de operación.
Los operadores no deben ser los únicos que tengan el control sobre los trabajos procesados y no
deben hacer las correcciones a los errores detectados.
Al implantar sistemas de seguridad puede, reducirse la flexibilidad en el trabajo, pero no debe reducir
la eficiencia.

SEGURIDAD FÍSICA

El objetivo es establecer políticas, procedimientos y prácticas para evitar las interrupciones

prolongadas del servicio de procesamiento de datos, información debido a contingencias como
incendio, inundaciones, huelgas, disturbios, sabotaje, etc. y continuar en medio de emergencia hasta
que sea restaurado el servicio completo.
Entre las precauciones que se deben revisar están:
Los ductos del aire acondicionado deben estar limpios, ya que son una de las principales causas del
polvo y se habrá de contar con detectores de humo que indiquen la posible presencia de fuego.
En las instalaciones de alto riesgo se debe tener equipo de fuente no interrumpible, tanto en la
computadora como en la red y los equipos de teleproceso.
En cuanto a los extintores, se debe revisar en número de estos, su capacidad, fácil acceso, peso y
tipo de producto que utilizan. Es muy frecuente que se tengan los extintores, pero puede suceder
que no se encuentren recargados o bien que sean de difícil acceso de un peso tal que sea difícil
utilizarlos.
Esto es común en lugares donde se encuentran trabajando hombres y mujeres y los extintores están
a tal altura o con un peso tan grande que una mujer no puede utilizarlos.
Otro de los problemas es la utilización de extintores inadecuados que pueden provocar mayor
perjuicio a las máquinas (extintores líquidos) o que producen gases tóxicos.
También se debe ver si el personal sabe usar los equipos contra incendio y si ha habido prácticas en
cuanto a su uso.
Se debe verificar que existan suficientes salidas de emergencia y que estén debidamente
controladas para evitar robos por medio de estas salidas.
Los materiales mas peligrosos son las cintas magnéticas que al quemarse, producen gases tóxicos y
el papel carbón que es altamente inflamable.
SEGURIDAD EN LA UTILIZACIÓN DEL EQUIPO

En la actualidad los programas y los equipos son altamente sofisticados y sólo algunas personas
dentro del centro de cómputo conocen al detalle el diseño, lo que puede provocar que puedan
producir algún deterioro a los sistemas si no se toman las siguientes medidas:
1) Se debe restringir el acceso a los programas y a los archivos.
2) Los operadores deben trabajar con poca supervisión y sin la participación de los programadores, y
no deben modificar los programas ni los archivos.
3) Se debe asegurar en todo momento que los datos y archivos usados sean los adecuados,
procurando no usar respaldos inadecuados.
4) No debe permitirse la entrada a la red a personas no autorizadas, ni a usar las terminales.
5) Se deben realizar periódicamente una verificación física del uso de terminales y de los reportes
obtenidos.
6) Se deben monitorear periódicamente el uso que se le está dando a las terminales.
7) Se deben hacer auditorías periódicas sobre el área de operación y la utilización de las terminales.
8) El usuario es el responsable de los datos, por lo que debe asegurarse que los datos recolectados
sean procesados completamente. Esto sólo se logrará por medio de los controles adecuados, los
cuales deben ser definidos desde el momento del diseño general del sistema.
9) Deben existir registros que reflejen la transformación entre las diferentes funciones de un sistema.
10) Debe controlarse la distribución de las salidas (reportes, cintas, etc.).
11) Se debe guardar copias de los archivos y programas en lugares ajenos al centro de cómputo y
en las instalaciones de alta seguridad; por ejemplo: los bancos.
12) Se debe tener un estricto control sobre el acceso físico a los archivos.
13) En el caso de programas, se debe asignar a cada uno de ellos, una clave que identifique el
sistema, subsistema, programa y versión.
También evitará que el programador ponga nombres que nos signifiquen nada y que sean difíciles de
identificar, lo que evitará que el programador utilice la computadora para trabajos personales. Otro
de los puntos en los que hay que tener seguridad es en el manejo de información. Para controlar
este tipo de información se debe:
1) Cuidar que no se obtengan fotocopias de información confidencial sin la debida autorización.
2) Sólo el personal autorizado debe tener acceso a la información confidencial.
3) Controlar los listados tanto de los procesos correctos como aquellos procesos con terminación
incorrecta.
4) Controlar el número de copias y la destrucción de la información y del papel carbón de los
reportes muy confidenciales.
El factor más importante de la eliminación de riesgos en la programación es que todos los programas
y archivos estén debidamente documentados.
El siguiente factor en importancia es contar con los respaldos, y duplicados de los sistemas,
programas, archivos y documentación necesarios para que pueda funcionar el plan de emergencia.
Equipo, programas y archivos
Control de aplicaciones por terminal
Definir una estrategia de seguridad de la red y de respaldos
Requerimientos físicos.
Estándar de archivos.
Auditoría interna en el momento del diseño del sistema, su implantación y puntos de verificación y
control.
SEGURIDAD AL RESTAURAR EL EQUIPO

En un mundo que depende cada día más de los servicios proporcionados por las computadoras, es
vital definir procedimientos en caso de una posible falta o siniestro. Cuando ocurra una contingencia,
es esencial que se conozca al detalle el motivo que la originó y el daño causado, lo que permitirá
recuperar en el menor tiempo posible el proceso perdido. También se debe analizar el impacto futuro
en el funcionamiento de la organización y prevenir cualquier implicación negativa.
En todas las actividades relacionadas con la informática, existe un riesgo aceptable, y es necesario
analizar y entender estos factores para establecer los procedimientos que permitan analizarlos al
máximo y en caso que ocurran, poder reparar el daño y reanudar la operación lo mas rápidamente
posible.
En una situación ideal, se deberían elaborar planes para manejar cualquier contingencia que se
presente.
Analizando cada aplicación se deben definir planes de recuperación y reanudación, para asegurarse
que los usuarios se vean afectados lo menos posible en caso de falla o siniestro. Las acciones de
recuperación disponibles a nivel operativo pueden ser algunas de las siguientes:
En algunos casos es conveniente no realizar ninguna acción y reanudar el proceso.
Mediante copias periódicas de los archivos se puede reanudar un proceso a partir de una fecha
determinada.
El procesamiento anterior complementado con un registro de las transacciones que afectaron a los
archivos permitirá retroceder en los movimientos realizados a un archivo al punto de tener la
seguridad del contenido del mismo a partir de él reanudar el proceso.
Analizar el flujo de datos y procedimientos y cambiar el proceso normal por un proceso alterno de
emergencia.
Reconfigurar los recursos disponibles, tanto de equipo y sistemas como de comunicaciones.
Cualquier procedimiento que se determine que es el adecuado para un caso de emergencia deberá
ser planeado y probado previamente.
Este grupo de emergencia deberá tener un conocimiento de los posibles procedimientos que puede
utilizar, además de un conocimiento de las características de las aplicaciones, tanto desde el punto
técnico como de su prioridad, el nivel de servicio planeado y su influjo en la operación de la
organización.
Además de los procedimientos de recuperación y reinicio de la información, se deben contemplar los
procedimientos operativos de los recursos físicos como hardware y comunicaciones, planeando la
utilización de equipos que permitan seguir operando en caso de falta de la corriente eléctrica,
caminos alternos de comunicación y utilización de instalaciones de cómputo similares. Estas y otras
medidas de recuperación y reinicio deberán ser planeadas y probadas previamente como en el caso
de la información.

PROCEDIMIENTOS DE RESPALDO EN CASO DE UN SINIESTRO

Se debe establecer en cada dirección de informática un plan de contingencia el cual debe ser
aprobado por la dirección de informática y contener tanto procedimiento como información para
ayudar a la recuperación de interrupciones en la operación del sistema de cómputo.
El sistema debe ser probado y utilizado en condiciones anormales, para que en caso de usarse en
situaciones de emergencia, se tenga la seguridad que funcionará.
La prueba del plan, debe hacerse sobre la base de que la emergencia existe y se ha de utilizar
respaldos.
Se deben evitar suposiciones que, en un momento de emergencia, hagan inoperante el respaldo, en
efecto, aunque el equipo de cómputo sea aparentemente el mismo, puede haber diferencias en la
configuración, el sistema operativo, en disco etc.
El plan de contingencia una vez aprobado, se distribuye entre personal responsable de su operación,
por precaución es conveniente tener una copia fuera de áreas sensibles.
En virtud de la información que contiene el plan, se considerará como confidencial o de acceso
restringido.
La elaboración del plan y de los componentes puede hacerse en forma independiente de acuerdo
con los requerimientos de emergencia, La estructura del plan debe ser tal que facilite su
actualización.
Para la preparación del plan se seleccionará el personal que realice las actividades claves del plan.
El grupo de recuperación en caso de emergencia debe estar integrado por personal de
administración de la dirección de sistemas, debe tener tareas específicas como la operación del
equipo de respaldo, la interfaz administrativa.
Los desastres que pueden suceder podemos clasificar así:
a) Completa destrucción del centro de cómputo,
b) Destrucción parcial del centro de cómputo,
c) Destrucción o mal funcionamiento de los equipos auxiliares del centro de cómputo (electricidad,
aire, acondicionado, etc.)
d) Destrucción parcial o total de los equipos descentralizados
e) Pérdida total o parcial de información, manuales o documentación
f) Pérdida del personal clave
g) Huelga o problemas laborales.
El plan en caso de desastre debe incluir:
La documentación de programación y de operación.
Los equipos:
El equipo completo
El ambiente de los equipos
Datos y archivos
Papelería y equipo accesorio
Sistemas (sistemas operativos, bases de datos, programas).
El plan en caso de desastre debe considerar todos los puntos por separado y en forma integral como
sistema. La documentación estará en todo momento tan actualizada como sea posible, ya que en
muchas ocasiones no se tienen actualizadas las últimas modificaciones y eso provoca que el plan de
emergencia no pueda ser utilizado.
Cuando el plan sea requerido debido a una emergencia, el grupo deberá:
Asegurarse de que todos los miembros sean notificados,
informar al director de informática,
Cuantificar el daño o pérdida del equipo, archivos y documentos para definir qué parte del plan debe
ser activada.
Determinar el estado de todos los sistemas en proceso,
Notificar a los proveedores del equipo cual fue el daño,
Establecer la estrategia para llevar a cabo las operaciones de emergencias tomando en cuenta:
Elaboración de una lista con los métodos disponibles para realizar la recuperación
Previsión ante la posibilidad de alternar los procedimientos de operación (por ejemplo, cambios en
los dispositivos, sustituciones de procesos en línea por procesos en lote).
previsión de las necesidades para armar y transportar al lugar de respaldo todos los archivos,
programas, etc., que se requieren.
Estimación de las necesidades de tiempo de las computadoras para un periodo largo.
Cuando ocurra la emergencia, se deberá reducir la carga de procesos, analizando alternativas como:
Posponer las aplicaciones de prioridad más baja,
Cambiar la frecuencia del proceso de trabajos.
Suspender las aplicaciones en desarrollo.
Por otro lado, se debe establecer una coordinación estrecha con el personal de seguridad a fin de
proteger la información.
Respecto a la configuración del equipo hay que tener toda la información correspondiente al
hardware y software del equipo propio y del respaldo.
Deberán tenerse todas las especificaciones de los servicios auxiliares tales como energía eléctrica,
aire acondicionado, etc. a fin de contar con servicios de respaldo adecuados y reducir al mínimo las
restricciones de procesos, se deberán tomar en cuenta las siguientes consideraciones:
Mínimo de memoria principal requerida y el equipo periférico que permita procesar las aplicaciones
esenciales.
Se debe tener documentados los cambios de software.
En caso de respaldo en otras instituciones, previamente se deberá conocer el tiempo de
computadora disponible.
Es conveniente incluir en el acuerdo de soporte recíproco los siguientes puntos:
Configuración de equipos.
Configuración de equipos de captación de datos.
Sistemas operativos.
Configuración de equipos periféricos.