Diagnóstico de los SI

Maestría en Auditoría y Administración de Riesgos Empresariales - MARE
DIAGNÓSTICO DE LA INFRAESTRUCTURA Y
PROCESOS TECNOLÓGICOS DE LOS
SISTEMAS DE INFORMACIÓN
PROGRAMA DE TRABAJO
I. Introducción a la Auditoría de Sistemas _________________________________ 2

II. La Tecnología y sus Riesgos __________________________________________ 8
III. Contratación de Servicios Externos _________________________________ 58
IV. Tercetas partes y Controles ________________________________________ 62
V. El Fraude Informático, ¿Qué motiva las conductas fraudulentas? __________ 67
VI. Técnicas de Auditoría Forense a través de los sistemas de información_____ 76
V. Bibliografía_______________________________________________________ 82
VI. Anexos ________________________________________________________ 83
Diagnóstico de la infraestructura y procesos tecnológicos de los SI. 1

Objetivo
Introducir a los maestrantes en los conceptos relacionados con la Tecnología de la

Información, y al desarrollo e implementación de una práctica de auditoría de
sistemas.
Entender los aspectos más importantes de la Tecnología de la Información,
analizando los beneficios y riesgos inherentes.
Comprender el proceso de auditoría de sistemas con un enfoque basado en riesgos y
controles.
Conocer marcos de referencia y mejores prácticas internacionales, relativos a la
tecnología y a la auditoría de sistemas.
Habilidad y Competencia (NIEPAI - 1210.A3)

 Los auditores internos deben tener conocimientos de los riesgos y controles claves
en tecnología informática, y de las técnicas de auditoría disponibles basadas en
tecnología, que le permitan desempeñar el trabajo asignado.
 Sin embargo, no se espera que todos los auditores internos tengan la experiencia de
aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología
informática.
I. Introducción a la Auditoría de Sistemas
Características
El uso de computadoras en sistemas de información empresarial tiene efectos
fundamentales sobre:
 La naturaleza de las transacciones realizadas,
 Los procedimientos ejecutados,
 los riesgos que se corren y
 los métodos para mitigar dichos riesgos
Los siguientes efectos surgen de las características que distinguen el procesamiento

computarizado del manual:
 Rastreos de transacciones

 Procesamiento uniforme de transacciones

 Segregación de funciones
 Potencial para errores y fraude
 Potencial para el aumento de la supervisión administrativa
 Dependencia de controles de otras áreas en controles sobre procesamiento
informático.
¿Qué es auditoría de sistemas?

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema
informático salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización y utiliza eficientemente los recursos.
Según ISACA (Asociación de Auditoría y Control de Sistemas de Información): La

auditoría de sistemas se define como cualquier auditoría que abarca la revisión y
evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas
automáticos de procesamiento de la información, incluidos los procedimientos no
automáticos relacionados con ellos y las interfaces correspondientes (www.isaca.org).
Revisión y evaluación de los Recursos Informáticos y de su ambiente. Recursos

Informáticos:
 Software
 Hardware
 Comunicaciones
 Personal (Organización)
 Políticas y Procedimientos
 Controles y Seguridad
Importancia de la auditoría de sistemas
El continuo crecimiento de la dependencia hacia los sistemas tecnológicos que soportan

los procesos de negocio de las organizaciones, hacen que las organizaciones comprendan
y administren los riesgos asociados con la implantación y mantenimiento de las nuevas
tecnologías, cada vez más complejas y cambiantes.
Estas nuevas tecnologías y la dinámica de cambio continuo que de ellas se deriva,
requieren una función de auditoría de sistemas calificada, competente y objetiva, que
pueda entender y evaluar el riesgo en los sistemas de información, que conlleve en el

mejoramiento del control interno, y a la eficacia de los procesos y la aplicación de

MEJORES PRACTICAS orientadas a una adecuada administración del riesgo
tecnológico.
Normas que rigen la práctica (ISACA)
Responsabilidad y autoridad: La responsabilidad y autoridad de las funciones de

auditoría de sistemas de información deben ser correctamente documentadas en los
estatutos de auditoría.
Independencia profesional: El auditor de sistemas debe ser independiente del auditado
tanto de hecho como en apariencia.
Relación organizacional: La función de auditoría de sistemas debe ser suficientemente
independiente del área que está siendo auditada para permitir la culminación objetiva de
la auditoría.
Etica profesional y normas: El auditor de sistemas deberá cumplir con el código de
ética profesional de la Asociación.
Competencia: El auditor de sistemas debe ser técnicamente competente, teniendo las
habilidades y conocimientos necesarios para llevar a cabo el trabajo de auditor.
Educación profesional continua: El auditor de sistemas deberá mantener su
competencia técnica por medio de una apropiada educación profesional continua.
Planificación: El auditor de sistemas debe planificar el trabajo de auditar sistemas para
hacer frente a los objetivos de la auditoría y cumplir con las normas de auditoría
aplicables.
Desempeño del trabajo de auditoría: El personal de auditoría de sistemas deberá ser
apropiadamente supervisado para garantizar que los objetivos de la auditoría sean
logrados y que las normas de auditoría profesional aplicables se cumplan.
Evidencia: Durante el transcurso de la auditoría, el auditor de sistemas deberá obtener
evidencia que sea suficiente, fidedigna, relevante y útil para lograr los objetivos de la
auditoría en forma efectiva.
Preparación de un informe: Al completar un trabajo de auditoría, el auditor de sistemas
debe presentar un informe, a los destinatarios correspondientes.
El informe de auditoría debe establecer los objetivos, período de cobertura, naturaleza y
alcance del trabajo de auditoría llevado a cabo.
Actividades para el seguimiento: El auditor de sistemas debe solicitar y evaluar la
información apropiada sobre hallazgos relevantes que hayan tenido lugar anteriormente
(conclusiones y recomendaciones) para determinar si las acciones apropiadas han sido
implementadas oportunamente.

Pérfil del auditor de sistemas
Deben contemplar una mezcla de conocimientos de auditoría financiera y de informática

general. Conocimientos en cuanto a:
 Ciclo de vida de un proyecto de desarrollo.
 Gestión del departamento de sistemas.
 Análisis de riesgo en un entorno informático.
 Sistemas operativos.
 Telecomunicaciones.
 Gestor de bases de datos.
 Redes locales.
 Seguridad física.
 Operaciones y planificación informática.
 Gestión de seguridad de los sistemas y de la continuidad.
 Gestión de problemas y cambios en entornos informáticos.
 Ofimática.
 Encriptación de datos y Comercio electrónico
Organización de la función de auditoría de sistemas

Dentro de un contexto empresarial, la organización esperada de la auditoría de sistemas
debería alinearse con el siguiente principio:
Su localización puede estar ligada a la localización de la auditoría interna operativa y

financiera, pero con independencia de objetivos (aunque haya una coordinación lógica
entre ambas dependencias), de planes de formación y de presupuestos.

¿Qué es lo que estamos protegiendo?
La información es un activo que es esencial para el negocio y consecuentemente necesita

ser protegido.
La seguridad de la información la protege contra una amplia gama de amenazas para:

 asegurar la continuidad del negocio,
 reducir al mínimo el daño al negocio,
 maximizar el retorno de la inversión y las oportunidades de negocio.
Si definimos la “Seguridad de los Sistemas de Información” como la doctrina que trata

de los riesgos informáticos, entonces la auditoría es una de las figuras involucradas en
este proceso de protección y preservación de la información, y de sus medios de proceso.

Clasificación de la información
Si identificamos distintos niveles de controles para distintas entidades de información con

distinto nivel de criticidad, estaremos optimizando la eficiencia de los controles y
reduciendo los costos de las mismas.
Los factores a considerar son los requerimientos legislativos, la sensibilidad a la
divulgación (confidencialidad), a la modificación (integridad), y a la destrucción
(disponibilidad).
Las jerarquías básicamente se definen en:

1. Estratégica (información muy restringida, muy confidencial, vital para la
subsistencia de la empresa).
2. Restringida (a los propietarios de la información). Ejemplo: Planillas, contraseñas de
acceso, etc.
3. De uso interno (a todos los empleados). Ejemplo: Comunicados o circulares internas,
cambios organizacionales, etc.
4. De uso general (sin restricción). Ejemplo: Propaganda, brochures informativos, etc.
Se puede conocer como se provee de información al sistema informático, pero no lo que

sucede entre la entrada y salida, si ésta ha sido objeto de alguna manipulación antes de
hacerse visible.

II. La Tecnología y sus Riesgos
Clasificación de Controles
Controles Generales de Tecnología de la Información:

 Se aplican a todas las actividades informáticas.
 Incluyen controles sobre el desarrollo, modificación y mantenimiento de programas
informáticos y controles sobre el uso de, y los cambios a la información almacenada
en archivos informáticos.
 Los controles generales comprenden:
1. El plan de organización y operación de la actividad informática
2. Los procedimientos de documentación, revisión, evaluación y aprobación de
sistemas o programas y modificaciones a éstos
3. Controles incorporados al equipo por el fabricante (controles de hardware)
4. Los controles de acceso a los archivos del equipo e información.
Controles Generales de TI:

Los controles generales se usan para administrar y controlar las actividades del
departamento de sistemas y el ambiente computacional.
Contribuyen significativamente a la efectividad de los controles de aplicación.
Controles de aplicación o controles directos:

Son controles sobre las funciones de entrada, procesamiento y salida de datos. Los
controles de aplicación incluyen métodos para mitigar los riesgos sobre las transacciones.
Controles de desempeño del negocio:

El procesamiento por computadora puede producir reportes y otros datos de salida que
son usados para ayudar a medir el desempeño de procedimientos de control.
La efectividad de estos procedimientos de control manuales puede depender de la
efectividad de controles sobre la integridad y precisión del procesamiento por
computadora (controles de aplicación).
A su vez, la efectividad y operación consistente de los controles de procesamiento de
transacciones en las aplicaciones de computadora a menudo depende de la efectividad de
los controles generales de TI.

Al considerar la confianza de los controles de aplicación como una fuente de satisfacción

de auditoría, se debería considerar si las deficiencias de los Controles Generales de TI
pueden afectar la efectividad del control de aplicación.
IDENTIFIQUE LOS TIPOS DE CONTROLES
No Control CGTI D A
1 Comparación computarizada de la factura con la nota de recepción
ocurre antes de ser aprobado el pago.
2 El contralor revisa semanalmente el reporte de excepciones de
“exceso de limite de crédito” en conjunto con la provisión de
cuentas incobrables, y discute las acciones tomadas con el gerente
de ventas responsable de la aprobación del crédito día a día.
3 La gerencia ha desarrollado un plan de recuperación ante desastre
en caso de una falla en el sistema.
4 Chequeos de validación de campos tales como: número de cuenta y

código de cliente.
5 El registro auxiliar de ventas es conciliado con el mayor general
cada mes.
6 Respaldos automatizados de los auxiliares son realizados
diariamente y almacenados en una caja fuerte.
CGTI = Controles Generales de TI. D = Controles de desempeño del negocio. A = Controles de Aplicación.

Ejercicio # 1: Identificar si los controles a continuación son generales o de aplicación,

si son automáticos o manuales y luego diseñar pruebas para verificar la efectividad de los
mismos:
Control G/A* A/M** Prueba de Control

1. Los saldos en caja se someten a arqueos
periódicos sorpresivos realizados por una
persona independiente.
2. En un ambiente cliente/servidor se usan las

versiones correctas de los programas de
producción durante el procesamiento.
3. El sistema automáticamente imprime la

numeración consecutiva de los recibos de
caja.
4. El acceso a las terminales que puedan tener

status de terminal maestra de
comunicaciones (Ej.: consola del servidor)
está limitado.
5. Los estados de cuenta bancarios se

concilian en forma periódica y oportuna con
las cuentas pertinentes de caja y banco en el
mayor general.
6. Los programadores no tienen acceso directo

a los datos en producción.
7. Los cambios a los datos de proveedores son

autorizados por el gerente de compras.
8. El acceso a los sistemas de producción está

debidamente controlado por perfiles de
usuarios.
9. Las órdenes de compra son autorizadas por

un funcionario de rango adecuado, antes de
que se lleven a cabo.
10. El sistema no deja realizar desembolsos por

encima de un valor establecido sin
autorización.

Control G/A* A/M** Prueba de Control

11. La función de cobranza esta segregada de la
función de caja.
12. Existe una bitácora o log de transacciones

que registra los eventos realizados por los
usuarios del sistema.
13. Existe una política de seguridad de los

recursos informáticos.
14. Las herramientas de desarrollo están

restringidas exclusivamente a los
programadores.
15. Existen actualizaciones periódicas de las

definiciones de los antivirus en las
terminales de los usuarios.
16. Existe un plan de contingencia ante

desastres.
17. Existe un procedimiento para dar de baja a

los usuarios que ya no trabajan para la
compañía.
* G: Control General, A: Control de Aplicación.

** A: Automático, M: Manual.
A. Planificación estratégica de sistemas:

Incluirá la verificación de la existencia de un plan estratégico de sistemas que esté
alineado con el plan estratégico de la organización en su conjunto. Dicho plan debería ser
reflejado en planes anuales del área de sistemas que incluirían el detalle de las tareas a ser
realizadas por el área en función a determinados plazos y recursos.
Solicitar la siguiente información:
a) Plan estratégico de sistemas para el periódo auditado.

b) Revisar como se aprueba este plan.
c) Revisar como y quienes se encargan de darle seguimiento al mismo.
d) Plan operativo del área de sistemas.
e) Presupuesto del área de sistemas

f) Seguimiento al plan operativo y presupuesto del área de sistemas

g) Administración de la cartera de proyectos.
Aspectos a considerar en la Planificación estratégica de sistemas:
 Que obedezca a la Misión y Meta Organizacional

 Estudio de viabilidad de las iniciativas tecnológicas: Técnica, Económica y
Operativa.
 Iniciativas orientadas a cambios de hardware, arquitectura de la información,
desarrollo u obtención de nuevos sistemas, planificación de recuperación en caso
de desastre, instalación de plataformas para nuevos procesamientos, etc.
 Mediciones o "Benchmarking" de los planes estratégicos de TI con respecto a
organizaciones similares o buenas prácticas de la industria y estándares
internacionales.
Inversión en TI
 El hardware y software son activos importantes que requieren un manejo cuidadoso.

 Entre las decisiones a tomar están las necesidades de recursos, la evaluación de los
costos totales de la inversión y la elección de poseer o arrendar la tecnología.
 El crecimiento de los negocios electrónicos se traduce en que son necesarios más
recursos para las operaciones dentro de la organización y con otras partes.
 La planeación de capacidad deben asumirla los especialistas en TI y la gerencia.
 Esta función determina si los recursos de hardware de la organización relacionados
con sus prioridades son, y serán, suficientes.
 Entre los asuntos de este tipo están:
 El volumen máximo de operaciones que el sistema puede procesar de manera
simultánea
 El efecto de desarrollos de software
 Las medidas de desempeño, por ejemplo, el tiempo de respuesta
 Los cambios en las necesidades de capacidad que surgen de las combinaciones de
negocios, demanda en aumento de los productos y servicios de la organización y
nuevas aplicaciones.
 Ser escalable es la característica de un sistema que permite el aumento de su
capacidad para cubrir una mayor demanda sin que el sistema falle.
 Los costos de propiedad de los activos TI incluyen costos directos e indirectos.

 Las decisiones económicas racionales respecto de la adquisición de hardware y

software necesitan un análisis de los costos reales o totales de todos los factores
involucrados.
 Si no se pueden calcular los costos totales a largo plazo, pueden subestimarse
seriamente los efectos económicos de las decisiones TI.
 El modelo de propiedad de costo total (TCO) variará según las necesidades únicas de
cada organización. Los siguientes factores son típicos a considerar:
 Los costos de capital de hardware como las computadoras, terminales,
dispositivos de almacenamiento, impresoras y actualizaciones.
 Los costos de capital de software, entre los que están el precio de compra o de
licencia por usuario, dentro de las actualizaciones.
 Los costos de instalación de hardware y software.
 Los costos de capacitación de los especialistas en TI y usuarios finales.
 Los costos de apoyo en que se incurre para ayudar a las oficinas, otro tipo de
trabajo de apoyo, documentación, I&D, desarrollo de estándares de configuración
y revisión.
 Los costos de mantenimiento para las actualizaciones de hardware o software.
 Los costos de infraestructura para las redes, el mantenimiento, almacenaje de
respaldo, etc.
 Los costos de tiempo no productivo que resultan de las fallas en el hardware o
software.
 Los costos de propiedad real y utilitaria de instalaciones de computadora.
 Los costos de configuración de computadoras personales no estándares.
 Los costos de transferencia de usuarios finales (costos de reinstalación de
aplicaciones).
 El modelo de control y aseguramiento de sistemas (SAC) proporciona el siguiente
marco para determinar el TCO de una instalación de TI:
1. El costo de la configuración estándar multiplica el número de terminales de
trabajo.
2. La suma de los costos de configuración estándar (costos de hardware y software
de servidores, impresoras, ruteadores, puentes, cables, soporte del proveedor,
software de utilidad, oficinas de ayuda, impuestos, envíos y actualizaciones sobre
el ciclo de vida productivo de la configuración e infraestructura).
3. La suma de costos de personal para los puestos equivalentes a tiempo completo
directamente involucrados en el ciclo de vida productivo, más los costos
administrativos (por ejemplo, para los procedimientos de desarrollo y estándares,
planeación de la capacidad y control de cambios).

4. Un porcentaje de los costos precedentes que reflejan los costos ocultos,

incluyendo los intangibles como la ayuda al usuario final por parte de los
compañeros de trabajo, en vez de las oficinas de ayuda.
5. Los costos de instalaciones, rotación, viajes ytransporte.
B. Áreas Funcionales de Operaciones TI
 Los controles deben asegurar la eficiencia y efectividad de las operaciones TI.

 Estas incluyen una segregación apropiada de las tareas dentro del ambiente TI.
 Las responsabilidades de los analistas de sistemas, programadores, operadores, el
grupo de control y otros, deben ser asignadas a distintos individuos, y se debe
proporcionar una adecuada supervisión.
 Segregación de tareas: Este control general es vital porque en un ambiente TI es
posible que no sea viable una segregación tradicional de responsabilidades para
autorización, registro y acceso a activos.
 Por ejemplo, una computadora puede imprimir cheques, registrar desembolsos y
generar información para cuadrar el balance de cuentas, actividades que
generalmente son segregadas en un sistema manual.
Responsabilidades del Personal de TI

 Analistas de sistemas.
 Administrador de base de datos (DBA).
 Programadores.
 El administrador de servidores.
 Operadores de TI.
 Técnicos de redes.
Procedimientos de control de la Organización

Considera entre otros la estructura organizacional del área de sistemas, la suficiencia de
recursos humanos y la correspondiente segregación de funciones.
Cantidad de personal: Si bien la cantidad de personal en un área de sistemas es un tema

de consideración y análisis, podemos mencionar que en general, según encuestas
realizadas por empresas especializadas a nivel mundial, el porcentaje de empleados de TI

en una organización es de aproximadamente 5.5% del total del personal. Sin embargo,
este puede variar de acuerdo al tipo de negocio analizado.
Solicitar y verificar la siguiente información:
a) Organigrama del departamento de informática

b) Descripción de puestos del departamento de informática
c) Analizar el organigrama y revisar dentro de la descripción de puestos la posible
existencia de una inadecuada segregación de funciones: Gerencia de Desarrollo,
Gerencia de Soporte a usuarios, Responsable de Redes y Comunicaciones, DBA, etc.
d) Gestión del capital humano de TI (planes de carrera, evaluaciones, capacitación,
rotación de personal, plan de vacaciones, personal clave).
Posición del departamento de informática en la empresa:

El departamento debería estar suficientemente alto en la jerarquía y contar con masa
critica suficiente para disponer de autoridad e independencia frente a los departamentos
usuarios. Por tanto, debería depender directamente de la dirección general.
Siempre que informática esté integrada a algún departamento usuario, pueden surgir
dudas razonables sobre su ecuanimidad a la hora de atender las peticiones del resto de
departamentos.
C. Desarrollo de sistemas y aplicaciones
 El método de ciclo de vida es la metodología tradicional aplicada al desarrollo de

sistemas de aplicación extensos y altamente estructurados.
 Una de las principales ventajas de este enfoque es la mejora de la administración y
control del proceso de desarrollo.
 El ciclo de desarrollo del sistema puede ser dividido en tres pasos: (1) definición, (2)
desarrollo, (3) instalación y operación.
1. Definición: Implica las siguientes etapas:
 Propuesta de una aplicación nueva o modificada.
 Estudios de viabilidad técnica, económica y operacional.
 Recopilar los requisitos de información.
 Diseño general (conceptual) contiene la descripción de los usuarios de la
aplicación las entradas y salidas necesarias.

2. Desarrollo:
i. Diseño físico del sistema.
 Flujo de trabajo y programas (pero no codificación)
 Controles y puntos en que deben ser implementados
 Hardware
 Medidas de seguridad, incluyendo respaldo
 Comunicación de datos
 Pruebas de aseguramiento de calidad para el equilibrio del proceso
de desarrollo
Tipos de enfoque para el diseño físico:
 De arriba hacia abajo.
 De abajo hacía arriba.
 Estructurado.
ii. Diseño físico de la base de datos depende del sistema existente.
iii. Desarrollo de procedimientos incluye la escritura de manuales técnicos y
formularios.
iv. Los diagramas de flujo son una herramienta esencial en el proceso de
desarrollo.
v. Los diagramas de flujo de datos son utilizados en el análisis de sistemas
estructurados. Estos diagramas muestran como los datos fluyen hacia,
desde y dentro del sistema y los procesos que manipulan estos datos.
vi. El desarrollo de programas implica codificar programas de acuerdo a las
especificaciones de la etapa de diseño físico y luego evaluar los resultados.
Desarrollo de programas:
 La ingeniería de software asistida por computadora (CASE) aplica el uso de la
computadora al diseño y desarrollo de software.
 Permite mantener en el computador toda la documentación del sistema, como
diagramas de flujos de datos y seudocódigo, para desarrollar pantallas de entradas
y salida ejecutables y para generar código de programa en al menos su forma
básica.
 De esta forma CASE facilita la creación, organización y mantenimiento de la
documentación y permite la automatización del proceso de codificación.
 La programación orientada a objetos combinan los datos y los procedimientos
relacionados en un objeto. Así los datos de un objeto pueden ser operados solamente
dentro del objeto. Si los procedimientos en el objeto son cambiados, ninguna otra
parte del programa se verá afectada.

 La programación visual crea programas mediante la selección de objetos de una

biblioteca y la organización de los mismos en una secuencia deseada en vez de
escribir un código. Es una rama de la programación orientada al objeto.
3. Instalación y operación:
 Capacitar y educar a los usuarios de sistemas para utilizar adecuadamente el
sistema, y compensar la resistencia de los usuarios cuyas funciones puedan
haberse visto cambiadas.
 La conversión de sistemas es la prueba final.
 Si una implementación inmediata y cambio a un nuevo sistema no es indicada,
otras opciones incluyen:
 Operación paralela: operación de los sistemas nuevo y antiguo
simultáneamente hasta obtener satisfacción que el nuevo sistema funciona
como se espera.
 Operación piloto (conversión modular): conversión al sistema nuevo o
modificado, por ejemplo: división, departamento o rama de una compañía
en un determinado momento. Una desventaja es la extensión del tiempo de
conversión.
 Desarrollo de prototipo: implica la creación de un modelo funcional del
sistema solicitado, demostrando sus funciones al usuario, obteniendo
retroalimentación y realizando modificaciones al código correspondiente.
 El desarrollo de sistemas debe ser supervisado por un Comité de Sistemas
de información consistente de administradores que representan las áreas
funcionales de la organización, como la de sistemas de información.
Documentación:
 Respalda y explica las aplicaciones de procesamiento de datos, incluyendo el
desarrollo de sistemas.
 Debe ser sujeta a los estándares relacionados con las técnicas de diagrama de flujos,
codificación y procedimientos de modificación.
Adquisiciones de sistemas y programas, y controles de desarrollo:

 Establecer las normas para sistemas, diseño y programación. Estos estándares
representan las necesidades del usuario y los requisitos de sistema determinados
durante un análisis de sistemas.
 Estudios de la viabilidad económica, operacional y técnica de nuevas aplicaciones
conllevará evaluaciones de sistemas existentes así como propuestos.
 Los cambios en el sistema informático deben ser sujetos a estrictos controles
(controles de cambio).

 Los programas propuestos deben ser evaluados con datos incorrectos o incompletos
así como con datos típicos para determinar si los controles han sido implementados
apropiadamente en el programa.
 Para evitar responsabilidades legales, los controles también deben ser implementados
para evitar el uso de software no autorizado en el dominio público (acuerdo de
autorización de software).
Control de cambios:
 Los cambios en el sistema informático deben ser sujetos a controles estrictos.
 El programa debe ser rediseñado utilizando una copia operativa.
 La documentación de sistema debe ser revisada.
 Los cambios en el programa serán probados.
 La aprobación del cambio documentado y los resultados de la evaluación deben ser
entregados por el administrador de sistemas.
 El cambio y resultados de la evaluación podrán ser aceptados por el usuario.
 Los cambios no autorizados a programas pueden ser detectados por comparación de
códigos.
Informática de usuario final (EUC):

 La informática de usuario final implica sistemas creados o adquiridos por el usuario,
y operados fuera de los controles de sistema de información tradicionales.
 Los riesgos incluyen violaciones de derechos de autor que ocurren cuando se fabrican
copias de software no autorizadas, o un software es instalado en múltiples
computadoras.
 El acceso a los programas de aplicación y datos relacionados por parte de personas no
autorizadas es otra preocupación debido a la falta de controles de acceso físico,
controles de aplicación y otros que se encuentran en unidades principales o ambientes
de red.
 Un ambiente EUC puede caracterizarse por la planeación inadecuada de respaldo,
recuperación y contingencia que puede llevar a la incapacidad de recuperar el sistema
o sus datos.
 Limitada documentación y control sobre el mantenimiento de desarrollo del programa.
 El riesgo de permitirles a los usuarios finales que desarrollen sus propias aplicaciones
es la descentralización del control.
 Las aplicaciones desarrolladas por usuarios finales pueden no ser sujetas a una
revisión externa independiente por parte de analistas de sistemas y no son creadas en
el contexto de una metodología de desarrollo formal.

 Estas aplicaciones pueden carecer de los estándares apropiados, controles y

procedimientos de garantía de calidad.
 El próximo paso es evaluación de riesgo.
 Por ejemplo, apoyan decisiones críticas o son utilizadas para controlar efectivo o
activos físicos.
 El otro paso es analizar los controles incluidos en la aplicación.
 Una hoja de cálculo es un tipo de software de aplicación.
Arquitectura básica para informática personal (tipos de ambientes informáticos de

usuario final):
 Modelo cliente-servidor. Divide el procesamiento de una aplicación entre una
máquina cliente en una red y un servidor. La división depende de que tares puede
realizar mejor cada uno.
 Modelo de Terminal Temporal. Las máquinas de escritorio que no poseen poder de
procesamiento autónomo, poseen acceso a computadoras remotas en una red. Para
ejecutar una aplicación, los programas son descargados a la terminal.
 El modelo de servidor de aplicación. Implica una aplicación de red de tres filas o
distribuida. La fila del centro (aplicación) traduce datos entre el servidor de la base de
datos y la terminal del usuario.
D. Seguridad de la Información
La protección no debe basarse sólo en dispositivos y medios físicos, sino en formación e

información al personal, empezando por la mentalización a los directivos para que, en
cascada, afecte a todos los niveles de la organización.
Hay que recordar que la seguridad tiene un impacto favorable (y estratégico) en la
imagen de las entidades, y tanto los clientes, empleados como posible inversionistas
pueden sentirse más seguros.
El factor humanos es clave, si las personas no quieren colaborar de poco sirven los
medios y dispositivos, aunque sean caros y sofisticados.
Es conveniente que existan cláusulas adecuadas en los contratos del personal,
especialmente para quienes están en funciones más críticas.

ISO 27001:
ISO 27002: Proporciona un lineamiento de implementación que se puede utilizar cuando

se diseñan controles.
 Política de Seguridad de la Información.
 Organización de la Seguridad de la Información.
 Seguridad de los Recursos Humanos.
 Gestión de Activos de Información.
 Control de Accesos.
 Cifrado.
 Seguridad Física y Ambiental.
 Seguridad de la Operativa.
 Seguridad de las Telecomunicaciones.
 Adquisición, Desarrollo y Mantenimiento de Sistemas de Información.
 Relaciones con proveedores.
 Gestión de Incidentes en la Seguridad de la Información.
 Gestión de Continuidad del Negocio.
 Cumplimiento.
 Un sistema operativo es un software esencial que actúa como una interfaz entre el
software de aplicaciones y el hardware.

 Este maneja el acceso a los recursos de la computadora mediante aplicaciones

simultáneas y usuarios simultáneos en un sistema de redes.
 Para comunicarse con el usuario, el sistema operativo de un PC puede incluir una
interfaz de usuario gráfica (GUI), utiliza iconos gráficos para representar actividades,
programas y archivos.
 Un sistema operativo administra la programación de tareas y optimiza el uso de la
computadora.
 Controla las entradas y salidas.
 Asigna lugares de almacenamiento en su memoria principal y protege la información
en caso de una falla del sistema.
 Un sistema operativo puede permitir que una sola configuración de hardware
funcione en varios modos distintos:
 Procesamiento por lotes
 Multitarea
 Multiprocesamiento
 Almacenamiento virtual.
Programa de auditoría para un sistema operativo.

Los controles son difíciles de revisar debido al alto grado de habilidad técnica requerida.
Los auditores deben determinar si:
1. Los controles de cambio son implementados. Los cambios deben ser documentados y
aprobados por una autoridad independiente, como un administrador de operaciones
informáticas. Los cambios deben realizarse cuando el riesgo de procesamiento sea el
menor posible.
2. Las actualizaciones del sistema operativo son instaladas sin demora.
3. Los programas de utilidades se encuentran disponibles únicamente para uso
inmediato. Tal uso debe ser registrado.
4. Las tareas son segregadas apropiadamente. La programación de sistemas y
aplicaciones no debe ser realizada por las mismas personas.
5. Los programadores de sistemas están bien capacitados. Debe formarse a los respaldos
en caso de tener que ser reemplazados.
6. La información de empleados y terminal en las tablas del sistema operativo es
actualizada con regularidad.
7. No se ha adquirido software redundante. La entidad no debe incurrir en gastos de
manutención de software no utilizado.
8. Se realizan exhaustos estudios de sistemas antes de adquirir uno, para determinar
compatibilidad.

9. Los errores son sistemáticamente rastreados, resumidos y corregidos.
Hardware:
 Dispositivos electrónicos, magnéticos y mecánicos, que ejecutan acciones de entrada,
procesamiento, salida, almacenamiento, control, comunicaciones y preparación de
datos en un sistema informático.
Operaciones del Centro de Datos:

 Un centro de datos puede ser un departamento interno o una organización separada
que se especializa en proporcionar servicios de datos a otros.
 Los computadores centrales son computadoras grandes, de propósito general,

caracterizados por grandes memorias y velocidades de procesamiento muy rápidas.
 Proporcionan comunicación de datos, sostienen muchos usuarios de terminal, pueden
manipular grandes bases de datos y pueden ejecutar muchos millones de instrucciones
por segundo.
 Las supercomputadoras son máquinas ultra poderosas diseñadas para aplicaciones
empresariales, científicas y militares. Pueden procesar hasta cientos de billones de
instrucciones por segundo utilizando tecnología de procesamiento paralelo.
 Un servidor puede ser cualquiera de los tipos de computadoras mencionadas. Está
especialmente configurado para sostener una red, permitiendo a los usuarios
compartir archivos, bases de datos, software y periféricos.
 Una computadora en red es una computadora personal que no almacena programas e
información sino que los descarga a través de internet, o la propia red de una
compañía.
Dispositivos de ingreso de datos:

 Teclado.
 Lector de caracteres de tinta magnética (MICR) es utilizado en la industria bancaria
para leer la tinta magnética de los cheques.
 Un lector de caracteres ópticos (OCR) no necesita tinta especial y puede leer códigos
de barras y caracteres alfanuméricos.
 Mouse.
 Pantalla táctil.
 Los escáneres digitales convierten documentos y fotografías a formato digital.
 Los dispositivos de entrada de reconocimiento de voz son otra alternativa al teclado.
 Nuevas formas de métodos de adquisición de datos móviles están disponibles.

 Lápiz óptico.
 Otros dispositivos pueden ser utilizados para recopilar datos de inventario, leer
medidores, inspeccionar bienes, etc. Además, pueden usarse dispositivos infrarrojos,
ultravioleta y otros para automatizar la captura de datos de producción.
 Las terminales de punto de venta y los cajeros automáticos son otros dispositivos de
entrada.
Dispositivos de salida:
 Un monitor puede ser utilizado para visualizar salida y es el dispositivo de salida más
común.
 Las impresoras son dispositivos comunes utilizados solamente para salida de datos.
 Un graficador o plotter es un dispositivo de salida que dibuja gráficos en papel.
 Un dispositivo de salida de voz convierte datos digitales en habla utilizando sonidos
pregrabados.
Dispositivos de almacenamiento secundario:

 Las unidades lectoras de discos flexibles.
 Las unidades lectoras de discos duros.
 Conjunto redundante de discos independientes (RAID) - también llamado arreglo
redundante de discos.
 Es un grupo de discos duros, un chip de control y software que permite la entrega
de datos a través de múltiples rutas. RAID es utilizado en sistemas tolerantes a
fallas porque si un disco falla, los otros discos pueden compensar la pérdida.
También, puede mejorar el tiempo de acceso ya que los datos pueden ser leídos
simultáneamente de múltiples discos.
Ejercicio # 2: Arreglos de discos. (Auxiliarse del Anexo 1)

¿Qué tipo de arreglo de discos utilización en los siguientes escenarios?
1. Se requiere un mayor desempeño en la escritura y en la lectura de datos, con nivel
alto de protección para los datos. ____________
2. Se requiere un mayor desempeño en la lectura de los datos con un alto nivel de
protección de los mismos. ___________
3. Se requiere un mayor desempeño en la escritura y en la lectura de datos, sin
importan el nivel de protección. ____________
4. Se requiere un mayor nivel de protección para los datos, a un costo razonable, y
con buen desempeño de escritura y lectura. ________

Dispositivos de almacenamiento secundario:

 Las unidades lectoras de cintas magnéticas se basan en tecnología más antigua (y
económica), pero aun son usadas para respaldo de sistemas y transferencia de datos.
 Unidades lectoras de CD-ROM (disco compacto/ memoria de únicamente lectura).
Almacenamiento Virtual (Virtualización):
¿En que consiste?

En tener varios sistemas operativos en un servidor anfitrión, con los servicios que
proveen cada uno de ellos.
La implementación y operación de la virtualización trae consigo riesgos inherentes que
habrá que identificar, para mitigarlos, y buscar soluciones que eviten probables amenazas
y ataques.
¿Qué es una Máquina Virtual (VM)?

Una implementación de software que se comporta parecido y aparece en la red como una
máquina física separada, pero que pueden ser una de las múltiples máquinas virtuales que
corren en la misma máquina física anfitrión.
Beneficios de la Virtualización
1. Reducción de los costos de compra y mantenimiento.
2. Compatibilidad con aplicaciones y sistemas operativos antiguos.
3. Pruebas en entornos aislados y seguros que no afectan al resto de los componentes.
4. Entorno de desarrollo barato para programadores de software en distintas
plataformas de forma simultánea.
5. Gestión y control centralizado de recursos.
6. Procedimientos de respaldo y restauración muy sencillos.
7. Migraciones en vivo de máquinas virtuales entre distintas PCs o servidores físicos.
8. Fácil recuperación/reinicio en caso de posibles caídas.
9. Alta disponibilidad.
10. Fácil puesta en marcha de servicios de computación en la Nube.
Algunos riesgos principales ocultos en la virtualización:

1. Máquinas virtuales no actualizadas.
2. Desorden al nombrar máquinas virtuales.

3. Problemas en la frontera de los ambientes de producción.

4. Alta disponibilidad en Hardware sobrecargado.
5. Problemas al implementar zonas de seguridad.
6. Problemas al separar datos del cliente.
7. Problemas al restaurar adecuadamente máquinas virtuales.
8. Creación de máquinas virtuales inútiles.
Mitigación de Riesgos
Analistas de Gartner recomiendan tratar la red virtual de manera similar a una física, con
la misma clase de monitoreo y separación de cargas de trabajo y el mismo equipo de
trabajo manejando ambas.
E. Comunicaciones y redes
 Las computadoras están conectadas en redes, que pueden ser clasificadas por
extensión geográfica, por ejemplo:
 LAN-red de área local
 WAN-red de banda ancha
 Topología, por ejemplo:
 Redes en bus
 Redes en anillo
 Redes en estrella
 La Internet es una red de redes alrededor de todo el mundo. Esta facilita la
comunicación y transferencia de información al menor costo entre computadoras.
Dispositivos
 Un módem (modelador-demodulador) es un dispositivo de hardware para convertir
señales digitales desde las terminales y el CPU en señales análogas para ser
transmitidas a líneas de datos (usualmente teléfonos).
 Canales de comunicación de banda ancha, que brinda múltiples líneas y por lo tanto
permite la transmisión simultánea de diferentes tipos de datos.
 Ejemplo: cables de fibra óptica, circuitos de microondas, y canales de satélite.
 Un concentrador es un dispositivo central de conexión en una red que conecta las
líneas de comunicaciones en una configuración de estrella.

 Los puentes conectan dos o más segmentos de LAN. Los puentes mejoran el
desempeño de la red manteniendo el tráfico contenido dentro de segmentos más
pequeños.
 Los enrutadores son dispositivos que enrutan paquetes de datos de una red de área
local (LAN) o red de banda ancha (WAN) a otra.
 Los enrutadores leen la dirección de la red en cada marco transmitido y toman
una decisión sobre cómo enviarlo basado en la ruta más conveniente.
 Estos también desempeñan la función central de conmutación en la Internet.
Medios de transmisión
 El alambre torcido de cobre es usado para la comunicación análoga por teléfono. Es
un medio lento para la transmisión de datos, pero los nuevos software y hardware han
mejorado su capacidad.
 El cable coaxial es usado para la televisión por cable, módems de alta velocidad y
LAN. Este consiste de un cable con un grueso aislamiento de cobre que es más rápido
y está más libre de interferencia que un alambre torcido.
 El cable de fibra óptica usa ligeros impulsos que viajan a través de una tubería clara
y flexible, de la mitad del tamaño de un cabello humano, los cables de fibra óptica no
están sujetos a interferencia eléctrica y son altamente confiables. Aunque, es un
medio más caro.
 Los medios de transmisión inalámbrica usan el espectro electromagnético. Por
ejemplo:
 Los sistemas de microondas.
 Los satélites.
Modos de transmisión
 La transmisión asincrónica de arranque-parado es usada para transmisiones lentas e
irregulares como desde una terminal de teclado. Cada carácter es marcado por un bit
de arranque y de detención.
 La transmisión sincrónica es usada para una transmisión rápida y continua. Esta
transfiere bloques de caracteres sin bits de arranque y detención, pero requiere que los
dispositivos de recepción y envío sean sincronizados.
Tipos de circuitos de transmisión

 La transmisión simple es únicamente en una dirección.
 La transmisión de medio dúplex es en ambas direcciones, pero no al mismo tiempo.
 La transmisión dúplex es en ambas direcciones al mismo tiempo; la cual es una
necesidad por procesamientos en tiempo real (por ejemplo, un teléfono).

 Un protocolo es un conjunto de reglas o convenciones formales que gobiernan la

comunicación entre un dispositivo de envío y uno de recepción.
Topologías de red
La estructura de comunicaciones:
En caso de que la organización cuente con sucursales o que realice operaciones a través
de Internet, entre los aspectos a ser considerados se destacan:
 Diagrama de red actualizado
 El tipo de comunicación
 La velocidad de transferencia
 La topología de la red
 La cantidad de usuarios
 Los servicios prestados/recibidos a través de Internet
 Configuración de los dispositivos de comunicación (routers, firewall, IPS/IDS,
switch, access point, etc.).
 Contraseñas para la administración de estos dispositivos.
 Herramientas para el monitoreo de las comunicaciones.

 Registro de la actividad de la red.

 Redundancia de las comunicaciones.
Protección de una red en Internet:

 Comprobar los controles de acceso desde el exterior.
 Vulnerabilidades en la red interna, contrafuegos, servidores, etc. (Back Track,
SAFEsuite, Satan, Cops, Strobe, Netcat, Jacal, Nmap, Asmudeus, John the
Ripper).
Un posible ataque es tratar de conseguir la identificación de un usuario, por

medio de:
 Técnicas de indagación (Phishing)
 Leyendo el tráfico hasta encontrar nombres de usuario y contraseña.
 Poniendo a prueba la buena fe de los usuarios: Enviando un mensaje del tipo “soy
tu administrador, por favor cambien su contraseña a manzana”.
F. Bases de datos
 Una base de datos es una serie de archivos relacionados combinados para eliminar la
redundancia de objetos de datos.
 Ejemplo:
 El nombre del empleado debe aparecer en cada uno de estos archivos, al ser
almacenados y procesados por separado, el resultado es la redundancia.
 Cuando los datos son combinados en una base de datos, cada elemento de dato
usualmente es almacenado una sola vez.
 Una base de datos está compuesta básicamente por:
 Campos
 Registros
 Tablas
 También, existen:
 Las claves principales
 Las claves secundarias o foráneas.
 Normalmente estas claves deben estar indexadas (ordenadas) para agilizar las
búsquedas.

Tablas sin normalizar (archivos planos):
Ejemplo 1:
Parte . Ext 1 Parte Cant. Precio
Orden
Registro Cliente Calle ciudad No.-. Precio1 Ext. 2
No Cant1 No. 2 2 2
1
Zeno's 10515_ Atenas,

116385 Paradox Prince GA 19742311 A316 3 $035 $1.05 G457 12 $1.15 $18.80
Hardware Avenue
Ejemplo 2:
.
Registro. Cliente Calle Ciudad Orden Parte No. 1 Cantidad 1 Precio 1 Ext.
10515
Atenas,
122406 Hardware Prince 19742259 A316 4 $035 $1.40
GA
Avenue
Estructura en árbol: La estructura de árbol reduce la redundancia en los datos, pero

requiere la necesidad de buscar cada registro para completar una pregunta o búsqueda.
Por lo tanto, como en el archivo plano, agregar nuevos registros es complicado, las
búsquedas específicas son ineficientes.
Ejemplo 1: Un cliente, muchas órdenes; una orden, muchas partes.

Estructura relacional: En una estructura relacional, cada elemento de dato es

almacenado tan pocas veces como sea necesario. Esto se logra a través del proceso de
normalización. La normalización previene la eliminación, inserción y actualización
consistentes de elementos de datos.

 La estructura relacional es la más popular; ya que es relativamente fácil de construir y

es útil para las búsquedas no planeadas y específicas.
 Sin embargo, su eficiencia de procesamiento es relativamente baja ya que muchos
accesos pueden ser necesarios para ejecutar las operaciones básicas.
 Los datos en una base de datos están sujetos a la restricción de integridad referencial.
 Por ejemplo: para que exista una venta al crédito, también debe existir un cliente
previamente autorizado.
 En dicha estructura es más frecuenta el uso de la conjunción para unir dos o más
tablas de una base de datos. Conjunción “Y”.
Un sistema de administración de bases de datos (DBMS) es un conjunto integrado de

programas informáticos que:
 crean la base de datos,
 dan mantenimiento a los elementos,
 salvaguardan los datos de pérdidas o destrucción,
 hacen que los datos estén disponibles para los programas de aplicación y las
búsquedas.

El DBMS permite a los programadores y diseñadores trabajar de manera independiente

de la estructura física y lógica de la base de datos. Esto requiere menor tiempo, y por lo
tanto, es menos costoso.
 Una característica fundamental de las bases de datos es que las aplicaciones son
independientes de la estructura de la base de datos.
 Al escribir programas o diseñar aplicaciones para usar la base de datos,
únicamente es necesario el nombre del elemento deseado.
Un DBMS incluye características de seguridad. Por lo tanto, el acceso de un usuario
especificado puede estar limitado a ciertos campos de datos o vistas lógicas dependiendo
de las tareas asignadas al individuo.
 El administrador de bases de datos (DBA) es el individuo que tiene la responsabilidad
general por el desarrollo y mantenimiento de la base de datos y por el establecimiento
de controles para proteger su integridad.
 Únicamente el DBA debe ser capaz de actualizar los diccionarios de datos.
 El DBA usa un DBMS como una herramienta principal.
 El diccionario de datos es un archivo ya sea informático o manual, que describe las
características físicas y lógicas de cada elemento de datos en una base de datos.
 El diccionario de datos incluye, por ejemplo:
 El nombre del elemento de datos (por ejemplo, nombre del empleado, número
de pieza)
 La cantidad de espacio en el disco requerida para almacenar el elemento de
datos (en bytes)
 El tipo de datos que se permiten en el elemento (alfabéticos, numéricos, fecha).
Objetivos de la seguridad de la información en Bases de Datos y Sistemas

Operativos:

Ejercicio # 3: Sopa de letras # 1.
Conceptos Respuesta
1. Son políticas y procedimientos que ayudan a garantizar la
operación adecuada y continua de los sistemas de
información. (iniciales)
2. Debe serlo de hecho y de apariencia.
3. Es un activo que es esencial para el negocio y

consecuentemente necesita ser protegido
4. Es necesario en los sistemas computarizados para supervisar
los elementos del CPU y la interacción entre los componentes
de hardware. (iniciales)
5. Información muy restringida, muy confidencial, vital para la

subsistencia de la empresa.
6. Metodología tradicional aplicada al desarrollo de sistemas de

aplicación extensos y altamente estructurados. (sin espacios)
7. Lo realizan analistas de sistemas y programadores de
aplicación continuamente a través de la vida del sistema.
8. Aplica el uso de la computadora al diseño y desarrollo de
software. (iniciales)

Conceptos Respuesta
9. Al elaborarse produce el primer modelo de un sistema nuevo.

10. Permite gestionar eficientemente la accesibilidad de la
información, buscando asegurar la confidencialidad,
integridad y disponibilidad de los activos de información,
minimizando a la vez los riesgos de seguridad de la
información. (iniciales)
11. Proporciona un lineamiento de implementación que se puede
utilizar cuando se diseñan controles para la seguridad de la
información.
12. Es un control efectivo en un sistema en línea para prevenir
acceso no autorizado a archivos de computadora.
13. Es utilizado en sistemas tolerantes a fallas porque si un disco
falla, los otros discos pueden compensar la pérdida. También,
puede mejorar el tiempo de acceso ya que los datos pueden
ser leídos simultáneamente de múltiples discos. (iniciales)
14. Es la red de redes. Facilita la comunicación y transferencia de
información al menor costo entre computadoras.
15. Es un conjunto de reglas o convenciones formales que
gobiernan la comunicación entre un dispositivo de envío y
uno de recepción.
16. Es una serie de archivos relacionados combinados para
eliminar la redundancia de objetos de datos.

G. La Nube
Ejercicio # 4: Cuestionario sobre computación en la nube.

Computación en la nube:
1. ¿Qué es la nube (en que consiste)?
2. ¿Es un concepto nuevo?
3. ¿Ventajas de la nube?
4. ¿Desventajas o riesgos potenciales de la nube?
5. ¿Cómo mitigarían los riesgos potenciales identificados?
6. ¿Existen diferentes tipos de nubes?, ¿Cuáles son?
7. ¿Qué servicios (aplicaciones) existen actualmente en la nube?
8. ¿Utilizan o utilizarían la nube en sus organizaciones?

H. Seguridad del Sistema
Integridad de datos.
 La dificultad de mantener la integridad de los datos es la limitante más importante de
las herramientas informáticas de auditoría.
 La evidencia electrónica es difícil de autentificar y fácil de fabricar.
 Los factores de seguridad de datos que atañen a la evidencia electrónica deben ser
considerados.
 El grado de confianza en la evidencia electrónica por parte del auditor depende de la
efectividad de los controles sobre el sistema del cual se recoge la evidencia.
 El control más importante es instalar una política de seguridad de red organizacional.
Esta política debe promover los siguientes objetivos:
 Disponibilidad. Los usuarios autorizados deben ser capaces de tener acceso a
los datos para alcanzar las metas organizacionales.
 Seguridad, privacidad y confidencialidad. Debe garantizarse la privacidad
de la información que podría afectar a la organización de ser revelada al
público o a la competencia.
 Integridad. Se debe evitar la modificación no autorizada o accidental de datos.
Control de Acceso
 El software de control de acceso protege de acceso no autorizado; restringe el uso de
ciertos dispositivos, y puede proporcionar un registro de los intentos de acceso tanto
exitosos como fallidos.
 Controles de seguridad física: limitan el acceso físico y protegen contra riesgos
ambientales y catástrofes naturales como incendios e inundaciones.
 Controles de seguridad lógica: La identificación y autentificación del usuario, la
restricción de acceso y la generación de rastreos de auditoría son necesarios.
Estos garantizan que solamente las personas con la debida autorización tendrían
acceso a los sistemas de información. Ejemplo:
 Contraseñas y números de identificación (doble autenticación).
 No divulgar ni anotar contraseñas.
 Uso de contraseñas robustas.
 Atributos de archivos (lectura, escritura).
 Tabla de autorización de dispositivos.
 Bitácora o pista de auditoría de los accesos al sistema.

 Eliminación controlada de documentos.
Tolerancia al riesgo en la construcción de contraseñas:
 Cifrado de datos.
 Acceso a servidores sólo a través de re-llamadas.
 Tecnologías biométricas.
 Finalización de sesión automática.
 Restricción de software utilitario.
 Personal de seguridad.
Seguridad de Internet.
La conexión a internet presenta temas de seguridad. De este modo, la política de
seguridad en todas las redes de la organización debiera al menos incluir:
 Un sistema de administración de cuentas de usuario.
 La instalación de un cortafuego (firewall): separa una red interna de una externa
(Internet), y previene el paso de tipos específicos de tráfico.
 Métodos para asegurar que sólo el usuario deseado reciba la información precisa y
completa (autenticación, integridad de la información).

Almacenamiento de datos:
 Respaldos.
 Restricción de acceso a la base de datos.
Cifrado de datos: Codificación de datos antes de la transmisión y decodificación de

datos después de la transmisión. Tipos de codificación:
 Clave pública y privada.
 Codificación de clave secreta (DES y AES).
I. Seguridad en dispositivos móviles
Riesgos:
 Accesos no autorizados a datos (robo, pérdida, usuario malicioso).
 Malware (software espías, troyanos, etc.).
 Aplicaciones no confiables.
 Navegación insegura (wi-fi, bluetooth, etc.).
 Configuración incorrecta.
Controles:
 Bloqueo de dispositivos (contraseñas robustas, limite de intentos fallidos).
 Cifrado de datos.
 Respaldo de la información.
 Borrado de datos - Local o Remoto (Wipe).
 Canales seguros de comunicación.
 Educación al usuario, acompañado de políticas de seguridad.
 Software anti-malware.
 Control de software autorizado a instalar en los dispositivos.
J. Seguridad física
La existencia de elementos que permitan asegurar las condiciones mínimas para un buen
funcionamiento de los equipos principales de la organización, inclusive en caso de
contingencia.

Estos podrían incluir:

 UPS
 Planta eléctrica
 Aire acondicionado
 Piso falso
 Detectores de humo
 Extintores
 Acceso restringido al área de servidores
 Cableado estructurado
 Uso de Rack
 Cámaras de seguridad
Ejercicio # 5: Herramienta MSAT, permite evaluar la seguridad del ambiente

informático de la Compañía.
K. Planeación de contingencia
 Copia de seguridad y recuperación de las políticas y los procedimientos.

 La organización debe asumir el plan de contingencia y los análisis de riesgo.
 La administración debe determinar cómo diversos problemas de
procesamientos podría afectar a la entidad.
 Los análisis de riesgo identifican y dan prioridad a las aplicaciones
fundamentales.
 Evalúa su impacto organizacional.
 Minimizar los requerimientos de la plataforma del hardware.
 Evalúa la cobertura de seguros.
 Identifica exposiciones e implicaciones.
 Desarrollar planes de recuperación.
 Instalaciones de respaldo de sitios “calientes” y “fríos”.
 Un sitio “caliente” se encuentra inmediatamente disponible.
 Un sitio “frio” es donde el usuario puede instalar componentes
informáticos rápidamente.
 Un sitio “caliente” con datos y software actualizados que inician
operaciones en minutos es un “sitio de despegue”.

Respaldos de TI:
Se debería estar revisando la existencia de documentación sobre los procedimientos de
respaldos de información, y por medio de inspección, determinar la correcta ejecución y
resguardo de los medios de respaldos.
Evaluar:
• Existencia de procedimientos de respaldos y el cumplimiento de los mismos
• Pruebas y documentación de las pruebas realizadas a los respaldos
• Frecuencias de ejecución de respaldos
• Medios utilizados
• Tiempo de retención de los respaldos
• Uso de ubicaciones externas para resguardar los respaldos
• Procedimientos de restauración de los respaldos
• Inventario y control de los medios de respaldos
Objetivo de Punto de Recuperación (RPO): Se determina con base en la pérdida

aceptable de datos en el caso de una interrupción de las operaciones. Ejemplo: Si el
proceso puede permitirse perder los datos hasta cuatro horas antes del desastre, entonces
la última copia de respaldo debería efectuarse al menos cada cuatro horas.
Objetivo de Tiempo de Recuperación (RTO): Indica el punto más anticipado en el
tiempo en el que las operaciones del negocio deben retomarse después del desastre. Entre
más bajo sea el RTO, más baja será la tolerancia al desastre.
L. Software Malicioso y Ataques
 Los bienes de TI deben ser protegidos de acceso, uso, o daño no autorizado.

 El control sobre el acceso y el manejo de cambios, debe ser establecido para lograr el
objetivo de capacidad de protección.
 La consciencia de seguridad por todos los interesados debe ser elevada.
 El Software Malicioso (MS) puede explotar un orificio o debilidad conocida en una
aplicación, o programa de sistema operativo para evadir
las medidas de seguridad.
 Dicha vulnerabilidad puede haber sido causada por un error de programación.
 Puede haber sido creada intencionalmente (pero no maliciosamente) para permitir a
un programador un acceso simple (una puerta trasera) para corregir el código.

 Habiendo evadido los controles de seguridad el intruso puede hacer daños inmediatos
en el sistema o instalar un (MS).
1. Un caballo de Troya:
Es un programa aparentemente inocente, por ejemplo, una hoja de cálculo que incluye
una función oculta que puede hacer daños al ser activada.
Por ejemplo:
 Este puede contener un virus, un código de programa que se copia a sí
mismo de un archivo a otro. El virus puede destruir datos o programas.
 Una manera común de diseminar un virus es por archivos adjuntos de
correo electrónico y de cargas.
Un gusano se copia a sí mismo no de un archivo a otro sino de una computadora a
otra muy rápidamente. Las copias repetidas sobrecargan a un sistema reduciendo la
memoria o el espacio en el disco.
2. Una bomba lógica:
Se parece mucho a un caballo de Troya, excepto que esta se activa únicamente en
algunos casos, por ejemplo, en ciertas fechas.
3. Negación de Servicio (DOS):
MS puede crear una negación de servicio al abrumar a un sistema o sitio Web con
más tráfico del que puede manejar.
Los controles para prevenir o detectar infecciones por MS son particularmente

significativos para servidores de archivos en redes grandes.
Los siguientes son amplios objetivos de control:
 Una política debe requerir el uso únicamente de software autorizado.
 Una política debe requerir la adherencia a los acuerdos de la licencia.
 Una política debe crear responsabilidades para las personal autorizadas a dar
mantenimiento al software.
 Una política debe requerir protecciones cuando los datos o programas sean obtenidos
por medios externos.
 El antivirus debe monitorear el sistema continuamente en busca de virus y
erradicarlos. Debe ser actualizado tan pronto como se tenga disponible información
sobre nuevas amenazas.
 El software y los datos para sistemas críticos deben ser revisados regularmente.
 La investigación de archivos o correcciones no autorizadas debe ser rutinaria.
 Los archivos adjuntos de correo electrónico y las descargas (y archivos en medios no
autorizados o de redes que no son seguras) deben ser revisados.

 Deben establecerse procedimientos y debe asignarse responsabilidad para hacer frente

al MS.
o Los procedimientos deben reflejar una comprensión de que otra organización
que ha transmitido material infectado con MS puede haber hecho eso
involuntariamente y puede necesitar asistencia.
o Sin embargo, si estos eventos suceden repetidamente, puede indicarse la
terminación de los acuerdos o contratos.
 Los procedimientos y políticas deben ser documentados, y los empleados deben
comprender las razones para ellos.
o Deben diseñarse planes de continuidad empresarial, por ejemplo, de respaldo
de datos y software.
o La información sobre MS debe ser verificada, y deben darse las alertas
apropiadas.
o El personal responsable debe estar consciente de la posibilidad de engaños,
mensajes falsos que pretenden crear miedo de un ataque de MS.
o Por ejemplo, un mensaje de correo electrónico ficticio puede recibirse
instruyendo a los usuarios a borrar archivos supuestamente comprometidos.
Los siguientes son controles específicos:
 Todos los medios informáticos (entrantes y salientes) pueden ser explorados por
computadoras desinfectantes (dedicadas).
 Los medios no explorados no deben ser permitidos en las computadoras de la
organización.
 La exploración debe hacerse en computadoras independientes o aquellas en redes
como otra línea de defensa si el control de medios falla.
 El software puede residir en la memoria para explorar en busca de MS
comunicado a través de una red.
 Los portales de correo electrónico pueden tener software para explorar archivos
adjuntos.
 Los servidores de redes pueden tener software para detectar y borrar o almacenar
MS.
La respuesta a amenazas vía canales ocultos y programas de caballo de Troya incluyen
las siguientes:
 Las compras deben ser de productos evaluados de proveedores confiables.
 Las compras que incluyan código fuente, este código debe ser revisado y probado
antes de su uso.
 El acceso a, y los cambios en el código deben ser restringidos después de que son
puestos en uso.

 La disponibilidad de parches de seguridad para bugs en programas debe ser

monitoreada constantemente, especialmente para elementos como sistemas
operativos de la red, servidores de correo electrónico, enrutadores, y firewalls.
 Los parches deben ser probados e instalados expeditamente.
 Los empleados de confianza deben ser asignados a sistemas clave.
 Los caballos de Troya conocidos pueden ser detectados por exploración.
 La revisión de descargas de datos, por ejemplo, a través del firewall, puede
detectar actividad a investigar.
 Los servidores son los objetivos más comunes en una red ya que estos proveen
servicios a otros servidores solicitantes.
Ataques de contraseñas: puede usarse un número de métodos.

 Un ataque de fuerza bruta usa un software de piratería de contraseñas para
intentar combinaciones de números y letras para acceder a una red.
 Una simple variación es el uso de un software de piratería informática de
contraseñas que intenta con todas las palabras del diccionario.
 Las contraseñas (y cuentas de usuarios) también pueden ser descubiertas por
caballos de Troya, intercepción de IP y rastreadores de paquetes.
 La intercepción es una falsa identidad en el ciberespacio, por ejemplo, usando un
sitio Web falso para obtener información sobre los visitantes.
 El rastreo es el uso de un software para espiar en la información enviada por un
usuario al servidor de un sitio Web.
 Una vez que el atacante tiene acceso puede hacer cualquier cosa que el usuario
legítimo pudo haber hecho.
 Si ese usuario tiene acceso privilegiado, el atacante puede crear una puerta trasera
para facilitar el ingreso futuro a pesar de los cambios de contraseña o estatus.
 El atacante también puede ser capaz de hacer uso del acceso inicial, para obtener
mayores privilegios que el usuario legítimo.
 Si un usuario tiene la misma contraseña para múltiples servidores, la
decodificación de esa contraseña compromete a todos.
 Los métodos costosos para frustrar los ataques a contraseñas son contraseñas de
una ocasión y autenticación criptográfica.
 Las contraseñas óptimas son combinaciones de 8 caracteres o más generados
aleatoriamente con números, letras mayúsculas y minúsculas, y símbolos
especiales.
 Una desventaja es que los usuarios frecuentemente escriben las contraseñas que
son difíciles de recordar.

Un ataque ''man-in-the-middle" toma ventaja del rastreo y ruta de paquetes de

establecimiento de redes y de protocolos de transporte.
Estos ataques pueden ser usados para:
 Robar datos.
 Obtener acceso a la red durante la sesión activa de un usuario legítima.
 Analizar el tráfico en la red para aprender sobre sus operaciones y usuarios.
 Insertar nuevos datos o modificar los datos que están siendo transmitidos.
 Negar el servicio.
 La criptografía es la respuesta efectiva a los ataques "man-in-the-middle”.
 Los datos encriptados serán inútiles para el atacante a menos que puedan ser
desencriptados.
Un ataque de negación de servicio (DOS) es un intento por sobrecargar un sistema (por

ejemplo, una red o servidor de Web) con mensajes falsos de manera que este no pueda
funcionar (una caída del sistema).
 Un ataque distribuido viene de fuentes múltiples, por ejemplo, las máquinas de
partes inocentes infectadas por caballos de Troya.
 Cuando son activados, estos programas envían mensajes al objetivo y dejan
abierta la conexión.
 El ataque puede establecer tantas conexiones de red como sean posibles para
excluir a otros usuarios, sobrecargar la memoria principal o corromper los
sistemas de archivos.
Entre las posibles respuestas ante un ataque de negación de servicio están:
 Los firewalls no deben permitir el uso de canales de charla interactiva en Internet
u otros puertos TCP/IP a menos que sea para propósitos de la empresa.
 Métodos de realización de pruebas de detección de intrusos y penetración, puede
prevenir que un sistema sea usado para hacer un ataque de negación de servicio.
 La mejor protección es el proveedor de servicios de Internet (ISP).
 El ISP puede establecer límites de índice en las transmisiones hacia el sitio Web
objetivo.
 Por lo tanto, únicamente una cantidad definida de paquetes de mensajes con
ciertas características se permite llegar al tamaño.
Sistemas de Detección de Intrusos (lDS)

 Si el sistema informático de una organización tiene conexiones externas es
necesario un IDS para responder a las brechas de seguridad.

 El IDS complementa a los firewalls del sistema informático.

 Este responde a los ataques en:
a) La infraestructura de red (protegida por el componente IDS de la red):
 Enrutadores.
 Interruptores.
 Ancho de banda.
b) Servidores (protegidos por el componente IDS del servidor):
 Sistemas operativos.
 Aplicaciones.
 Un IDS responde a un ataque:
a) Tomando acciones por sí mismo.
b) Alertando al sistema de administración.
 Las respuestas a la detección de un intruso normalmente incluyen componentes
automáticos.
 El monitoreo y la respuesta continua por parte de individuos puede no ser factible
o suficientemente rápido.
 Las acciones automáticas brindan una seguridad continua, responde sin la
presencia de humanos. Las respuestas pueden incluir:
 La desconexión de toda la red de acceso externa.
 El bloqueo del acceso a todo el sistema o parte de éste.
 La disminución de velocidad de la actividad del sistema para reducir el
daño.
 La validación del usuario externo.
 El envío de mensajes de consola, de correo electrónico, de localizadores, o
de teléfono al personal apropiado.
M. Comercio electrónico, EDI y ETF
El comercio electrónico puede ocurrir por medio de transacciones en línea en redes

públicas, intercambio de datos electrónicos (EDI), y correo electrónico.
Los asuntos de seguridad para el comercio electrónico incluyen:
a) La identificación correcta de las partes que realizan la transacción (autenticación).
b) La determinación de quién toma las decisiones legítimamente, como el ingreso de
contratos o el establecimiento de precios (autorización).

c) Métodos para proteger la confidencialidad e integridad de la información,

brindando evidencia de la transmisión y recibo de documentos y la protección
contra la repudiación por parte del remitente o del receptor.
d) La fiabilidad de los precios listados y la confidencialidad de descuentos.
e) La confidencialidad e integridad de órdenes, pagos, direcciones de entrega, y
confirmaciones.
f) La apropiada verificación de los datos de pago.
g) El mejor método de pago para evitar perjuicios o desacuerdos.
h) Transacciones perdidas o duplicadas.
i) Determinar quién sobrelleva el riesgo de fraude.
Las respuestas a los asuntos de seguridad incluyen:

a. Encriptación y los métodos asociados de autenticación.
b. Adherencia a los requisitos legales, como los estatutos de privacidad.
c. Documentación de acuerdos comerciales, especialmente los términos de comercio
y los métodos de autorización y autenticación.
d. Acuerdos para la seguridad de extremo a extremo y la disponibilidad con los
proveedores de servicios de información.
e. Revelación por parte de sistemas públicos de comercio de sus términos de
comercio.
f. La capacidad del servidor para evitar tiempos de inactividad y para repeler
ataques.
El Intercambio de Datos Electrónicos (EDI) es la comunicación de documentos

electrónicos directamente desde una computadora en una entidad a una computadora en
otra entidad.
 Por ejemplo, para ordenar bienes desde un proveedor o para transferir fondos.
 EDI fue el primer paso en la evolución del comerció electrónico.
 EDI fue desarrollada para mejorar la administración de inventario JIT (justo a tiempo).
 Las ventajas de EDI incluyen la reducción de errores de empleados, la velocidad de
transacciones, y la eliminación de tareas repetitivas de los empleados.
 EDI elimina los costos de preparación de documentos, procesamiento y
correspondencia.
 Los riesgos de EDI incluyen:
 Seguridad de información. La encriptación de datos de extremo a extremo es un
procedimiento de seguridad que protege los datos durante la transmisión.

 Pérdida de datos. Una extensión de EDI son los registros almacenados en la

computadora, que puede ser menos costoso que el almacenaje tradicional de
archivos físicos.
 Las convenciones son los procedimientos para organizar elementos de datos en
formatos especificados para varias transacciones contables.
 Por ejemplo: facturas, emisiones de materiales, y notificaciones de avances de
envíos.
 Un diccionario de datos describe el significado de los elementos de datos,
incluyendo la especificación de la estructura de cada transacción.
 Los protocolos de transmisión son reglas para determinar cómo se estructura cada
sobre electrónico y cómo es procesado por medio de los dispositivos de
comunicaciones.
 Normalmente, un grupo de transacciones es combinado en un sobre electrónico y es
transmitido en una red de comunicaciones.
 Se requieren reglas para la transmisión y la separación de sobres.
La transferencia electrónica de fondos (EFT) es un servicio otorgado por instituciones

financieras alrededor del mundo que está basado en la tecnología de intercambio de datos
electrónicos (EDI).
 Los costos de transacciones EFT son más bajos que aquellos para los sistemas
manuales ya que los documentos y la intervención humana son eliminados del
proceso de transacción.
 Una aplicación típica de EFT es el depósito directo de cheques de nómina en
las cuentas de los empleados o el retiro automático de pagos para cuentas
telefónicas, de cable, hipotecas, etc.
Implicaciones para los Auditores

 EDI elimina los documentos de papel, que son la base tradicional para muchos
procedimientos realizados en pruebas sustantivas y en pruebas de control.
 Los auditores deben buscar nuevas formas de evidencia para sustentar los asertos
sobre las transacciones de EDI, ya sea que la evidencia exista en la organización
del cliente, el socio comercial, o una tercera parte.
 Los auditores deben evaluar firmas digitales y revisiones al realizar pruebas a los
controles.
 Los auditores pueden necesitar la consideración de otros subsistemas al realizar
pruebas a un subsistema en particular.
 Por ejemplo, puede requerirse la evidencia del ciclo de producción para
probar el ciclo de egresos.

Los controles de EDI variarán con los objetivos y aplicaciones de la organización.

 Los usuarios autorizados con acceso independiente pueden incluir:
1. Las personas que inician transacciones.
2. Las personas que autorizan transacciones.
3. Otras partes autorizantes.
4. Remitentes para transacciones excepcionales.
 La autenticación de mensajes puede lograrse usando tarjetas inteligentes y otras
técnicas de hardware y software.
 Los mensajes también pueden ser protegidos de intercepción o sabotaje mientras
están en tránsito. Los controles incluyen:
1. Encriptación
2. Secuencias numéricas para identificar mensajes perdidos o falsos
3. Métodos de no repudiación.
Los certificados digitales son usados para probar el origen y la entrega, de manera que
las partes no puedan desconocer la responsabilidad por enviar o recibir un mensaje.
 Los compradores y vendedores de comercio electrónico usualmente brindan
reconocimientos y confirmaciones, respectivamente, en un diálogo del sitio Web
para evitar entrar en disputas.
 En una aplicación de EDI, el control sobre la no repudiación se logra por medio
de secuencias, encriptación y autenticación.
Una Transacción Electrónica Segura (SET) es un protocolo registrado que brinda un

estándar común de seguridad, especialmente con respecto a compras de Internet con
tarjeta de crédito, débito o chip.
 Esta es sustentada por Visa y Mastercard a través de una organización llamada
SETCO.
 SET encripta los detalles de las transacciones de pago en todo momento para
asegurar la privacidad y la integridad de datos.
 Esta también asegura que las identidades de vendedores y compradores son
autenticadas usando firmas (DS) y certificados (DC) digitales.
El correo electrónico es un método rápido e informal, pero con frecuencia inseguro para
las comunicaciones comerciales.
Los riesgos del correo electrónico que necesitan ser controlados incluyen:
 Acceso o modificación no autorizados

 Falibilidad o negación del servicio

 Dirección inexacta o dirección errónea
 Asuntos legales, como la no-repudiación
 Acceso remoto de usuarios al correo electrónico
 Acceso externo a listas de empleados.
La organización debe tener una política de uso aceptable que:

 Limite el acceso a Internet sólo a personas autorizadas.
 Determine la remoción de cuentas sin uso y aquellas de empleados retirados.
 Requiera una negativa en cada correo electrónico indicando que el mensaje es del
remitente, no de la organización.
 Describa qué puede revelarse en el correo electrónico.
 Se reserve el derecho a la organización de revisar el correo electrónico.
 Permita o prohíba explícitamente el uso privado.
 Requiera que los elementos adjuntos sean explorados por un software de antivirus
antes de ser abiertos.
 Determine educar a los usuarios sobre los peligros de software maligno,
indicadores de ataques en correo electrónico, y medidas para hacer frente a
elementos sospechosos.
N. Comercio electrónico
El comercio electrónico (e-commerce):

 Es la realización de actividades comerciales mediante Internet.
 Estas pueden ser:
 Entre empresas, “negocio a negocio” (business to business - B2B).
 Entre empresas y consumidores, "negocio a consumidor" (business to
consumer - B2C).
 El crecimiento del comercio electrónico ha sido impresionante y se espera que
continúe aún con más rapidez en los próximos años.
Entender y Planificar un Trabajo de Comercio Electrónico

 Los cambios continuos en la tecnología, ofrecen a la profesión de auditoría una
gran oportunidad así como un gran riesgo.

 El auditor debe comprender los cambios en los negocios y sistemas de

información, los riesgos relacionados, y la alineación de las estrategias con el
diseño de la empresa y los requerimientos del mercado.
 El auditor debe revisar los procesos y decisiones de planificación estratégica y
evaluación de riesgos de la dirección con respecto a Io siguiente:
 ¿Qué riesgos son serios?
 ¿Para cuáles de ellos se puede contratar un seguro?
 ¿Qué controles actuales mitigarán los riesgos?
 ¿Qué controles compensatorios adicionales serán necesarios?
 ¿Qué tipo de vigilancia se requiere?
Los principales componentes de una auditoría de actividades de comercio electrónico son

los siguientes:
 Evaluar la estructura de control interno, incluyendo las pautas establecidas por la
alta dirección;
 Proporcionar un aseguramiento razonable de que las metas y objetivos pueden ser
alcanzados;
 Determinar si los riesgos son aceptables;
 Entender el flujo de información;
 Revisar las interfaces (tales como "hardware a hardware", "software a software'', y
"hardware a software"); y
 Evaluar los planes de continuidad de negocios y recuperación de desastres.
 Los problemas que se plantean al Auditor al desempeñar un trabajo de comercio
electrónico se relacionan con la competencia y capacidad de la actividad de
auditoría.
 Entre los posibles factores que pueden restringir la actividad de auditoría se
encuentran:
 ¿Tiene la actividad de auditoría suficientes habilidades? De no ser así,
¿pueden adquirirse esas habilidades?
 ¿Se necesita capacitación u otros recursos?
 El nivel del personal, ¿es suficiente para el corto y largo plazo?
 ¿Podrá cumplirse el plan de auditoría esperado?
Las preguntas que debe considerar un auditor son las siguientes según publicación
IIA SAC (Aseguramiento y Control de Sistema):
 ¿Existe un plan de negocios para el proyecto o programa de comercio electrónico?

 ¿El plan cubre la integración de la planificación, diseño e implantación del

sistema de comercio electrónico con las estrategias de la organización?
 ¿Cuál será el impacto en el desempeño, seguridad, confiabilidad y disponibilidad
del sistema?
 ¿La funcionalidad cubrirá las necesidades del usuario final (por ejemplo,
empleados, clientes, socios del negocio) así como los objetivos de la dirección?
 ¿Se han analizado y considerado los requerimientos gubernamentales y de
regulaciones?
 ¿Son seguros el hardware y el software? ¿Impedirán o detectarán accesos no
autorizados, usos inapropiados y otros efectos y pérdidas dañinos?
 ¿El procesamiento de transacciones será oportuno, preciso, completo e irrefutable?
 ¿El ambiente de control permite a la organización cumplir sus objetivos de
comercio electrónico a medida que avanza desde lo conceptual a los resultados?
 ¿La evaluación de riesgos incluye las fuerzas internas y externas?
 ¿Se han considerado los riesgos inherentes asociados con Internet y el proveedor
de Internet (tales como la confiabilidad de las comunicaciones básicas, la
autenticación de usuarios y quién tiene acceso)?
 ¿Se han considerado otros asuntos?. Por ejemplo:
 divulgación de información confidencial de negocios
 mala utilización de la propiedad intelectual
 violaciones a los derechos de autor
 infracciones a las marcas registradas
 declaraciones difamatorias en las páginas web
 Fraude
 mal uso de las firmas electrónicas
 violaciones a la privacidad y daños a la reputación
 Si se utilizan proveedores externos, ¿se ha realizado una evaluación de “empresa
en funcionamiento” por parte de un tercero fiable que esté calificado para
certificar al proveedor?
 Si los proveedores proporcionan servicios de alojamiento de web.
 ¿tienen un plan de contingencia en los negocios que haya sido probado?
 Estos proveedores, ¿han proporcionado un informe SAS-70 reciente? (Los
informes SAS-70 pueden ofrecer valiosa información sobre los controles
internos para las organizaciones usuarias).
 Además, ¿se han resuelto los temas de privacidad?
 ¿El contrato incluye derechos de auditoría?

Riesgos y Problemas de Control en el Comercio Electrónico.

 El riesgo y el ambiente de control en el comercio electrónico son complejos y
están en evolución.
 Es importante estar al corriente de las nuevas amenazas y cambios en la
tecnología que abren nuevos puntos vulnerables en la seguridad informática.
 Los elementos de riesgo asociados con las preguntas a continuación se
presentan entre corchetes.
Identificación y Cuantificación de Riesgos:
1. ¿Qué pudiera ocurrir que afectara adversamente la habilidad de la
organización para cumplir sus objetivos y ejecutar sus estrategias [Eventos
de Amenaza]
2. Si ocurre, ¿cuál es el impacto financiero, potencial? [Valor de Exposición
a la Pérdida Única]
3. ¿Cuán a menudo pudiera ocurrir? [Frecuencia]
4. ¿Cuál es la probabilidad de respuesta para las tres primeras preguntas?
[Incertidumbre]
Gestión y Mitigación de Riesgos
5. ¿Qué se puede hacer para prevenir y evitar, mitigar, y detectar riesgos y
brindar notificación? [Salvaguarda y Controles]
6. ¿Cuánto costará? [Costos de Salvaguarda y Control]
7. ¿Sería eficiente? [Análisis de Costo/Beneficio o de Retorno sobre la
Inversión].
Auditoría de las Actividades de Comercio Electrónico:

 Evidencia de las transacciones de comercio electrónico.
 Disponibilidad y confiabilidad de sistemas de seguridad.
 Interfaces eficaces entre los sistemas de comercio electrónico y financieros.
 Seguridad de las transacciones monetarias.
 Eficacia del proceso de autenticación de clientes.
 Adecuación de los procesos de continuidad de negocio, incluyendo la reanudación
de las operaciones.
 Cumplimiento de las normas comunes de seguridad.

 Uso y control eficaz de las firmas digitales1.

 Adecuación de sistemas, políticas y procedimientos para controlar certificados de
claves públicas (utilizando técnicas criptográficas de claves públicas).
 Adecuación y oportunidad de datos e información operativa.
 Evidencia documentada de un sistema eficaz de control interno.
Los detalles del programa de auditoría utilizado para auditar actividades de comercio
electrónico:
a) Organización del comercio electrónico - El auditor debe:
 Determinar el valor de las transacciones.
 Identificar las partes interesadas (externas e internas).
 Revisar el proceso de gestión del cambio.
 Examinar el proceso de aprobación.
 Revisar el plan de negocio para las actividades de comercio electrónico.
 Evaluar las políticas sobre certificados de claves públicas.
 Revisar los procedimientos de firma digital.
 Examinar los acuerdos de nivel de servicio entre comprador, proveedor y
autoridad de certificación.
 Comprobar la política de aseguramiento de calidad
 Evaluar la política de privacidad y el cumplimiento en las actividades de comercio
electrónico.
 Evaluar la capacidad de respuesta ante incidentes.
b) Fraude - El auditor debe estar alerta ante lo siguiente:

 Movimientos no autorizados de dinero, (por ejemplo, transferencias a
jurisdicciones donde la recuperación de fondos sería dificultosa).
 Duplicación de pagos.
 Rechazo de órdenes dadas o recibidas, de bienes recibidos, o de pagos efectuados.
 Informes y procedimientos de excepción, y eficacia del seguimiento.
 Firmas digitales: ¿se utilizan para todas las transacciones?, ¿quién las autoriza?,
¿quién tiene acceso a ellas?
1
Una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado
digitalmente determinar la entidad originadora de dicho mensaje (autenticación de origen y no repudio), y
confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador (integridad).

 Derechos de acceso: ¿se revisan regularmente?, ¿se revisan oportunamente

cuando hay cambios en el personal?
 Historia de las transacciones interceptadas por personas no autorizadas.
c) Autenticación - El auditor debe revisar las políticas de autenticación de transacciones

y evaluación de controles.
 Evidencia de revisiones regulares.
 Herramientas de autoevaluación de control utilizadas por la dirección.
 Verificaciones independientes regulares.
 Segregación de funciones.
 Herramientas que la dirección debe tener en funcionamiento:
 filtros de seguridad – firewalls
 administración de claves de acceso
 reconciliación independiente
 pistas de auditoría.
d) Corrupción de datos - El auditor debe evaluar los controles de integridad de datos

 ¿Quién puede modificar catálogos y precios o tarifas?, ¿cuál es el mecanismo de
aprobación?
 ¿Alguien puede destruir pistas de auditoría?
 ¿Quién puede aprobar las modificaciones al tablón de anuncios (o foro de
discusión)?
 ¿Cuáles son los procedimientos para solicitar y registrar?
 ¿El proceso de ofertas on-line proporciona adecuada documentación?
 Las herramientas que deben estar en funcionamiento incluyen:
 gestión de la intrusión (software de vigilancia, interrupción automática y
análisis de tendencias)
 seguridad física para servidores de comercio electrónico
 controles de cambio y reconciliaciones.
e) Interrupciones de negocios - El auditor debe revisar el plan de continuidad de los

negocios y .determinar si ha sido probado.
 La dirección debe haber dispuesto un medio alternativo para procesar las
transacciones en caso de una interrupción.

 La dirección debe tener un proceso establecido para afrontar las siguientes

condiciones potenciales:
 Ataques de volumen
 Rechazo a los ataques del servicio
 Falta de adecuación en interfaces entre los sistemas de comercio
electrónico y de gestión financiera.
 Instalaciones de soporte (backup).
 Estrategias para contrarrestar hacking, intrusión, cracking, virus, gusanos,
caballos de Troya, y agujeros de seguridad o "puerta trasera".
f) Problemas de dirección – El auditor debe evaluar si las unidades de negocio están

manejando adecuadamente el proceso de comercio electrónico.
Los siguientes son algunos temas relevantes.
 Revisiones de la dirección de proyectos en cuanto a las iniciativas individuales y
proyectos en desarrollo.
 Revisiones del ciclo de vida de desarrollo de sistemas.
 Selección de proveedores, capacidades de los proveedores, confidencialidad de
empleados, y garantías.
 Revisiones económicas posteriores a la implantación:
 ¿Se están logrando los beneficios que se esperaban?
 ¿qué mediciones se están utilizando para medir los logros?
 Revisiones de proceso posteriores a la implantación:
 ¿Existen y están funcionando eficazmente los nuevos procesos?
Ejercicio # 6: Sopa de letra # 2.
Conceptos Respuesta
1. Codificación de datos antes de la transmisión y
decodificación de datos después de la transmisión.
2. Un sitio donde el usuario puede instalar componentes
informáticos rápidamente.
3. Se determina con base en la pérdida aceptable de datos en el
caso de una interrupción de las operaciones. (iniciales)
4. Red de Área Local. (iniciales)

Conceptos Respuesta
5. Tipo de virus que se copia a sí mismo de una computadora a
otra muy rápidamente. Las copias repetidas sobrecargan a un
sistema reduciendo la memoria o el espacio en el disco.
6. Realización de actividades comerciales mediante Internet.
7. Es un método rápido e informal, pero con frecuencia

inseguro para las comunicaciones comerciales (en inglés)
8. Es un servicio otorgado por instituciones financieras
alrededor del mundo que está basado en la tecnología de
intercambio de datos electrónicos (iniciales en inglés).
9. Es la transferencia electrónica de documentos entre
empresas. (iniciales)
10. Es un protocolo registrado que brinda estándares comunes de
seguridad, especialmente con respecto a las compras con
tarjetas en Internet. (iniciales)
11. Es un programa informático que parece amistoso, pero que
de hecho contiene una aplicación destructiva para el sistema
informático. (2 palabras sin espacios)
12. Es un tipo de ataque que intenta sobrecargar un sistema con
mensajes falsos de manera que este no pueda funcionar.
(iniciales en inglés)


III. Contratación de Servicios Externos
Una alternativa para suministrar personal a una actividad de auditoría interna es

contratar servicios tercerizados de las funciones de auditoría interna (contratación
interna y externa):
 Para una organización grande, la ventaja principal de contratación, es que los
proveedores de servicios tercerizados grandes usualmente tienen oficinas en
diversas ubicaciones.
 Las desventajas son que los auditores internos tienden a estar más familiarizados
con la organización, y están más fácilmente disponibles ya que no se ven
afectados por otras prioridades, como otros clientes.
 Otra desventaja es que los requerimientos legales pueden restringir que la firma
de auditoría externa brinde servicios de auditoría interna.
 La contratación de servicios tercerizados e internos es un método por el cual la
actividad de auditoría interna obtiene ayuda externa en la ejecución de ciertas
actividades.
Consideraciones previas para una Auditoría de Servicios Externos

 El Director Ejecutivo de Auditoría (DEA) debe determinar si la auditoría tiene
acceso a recursos independientes y competentes que le permitan llevar a cabo una
auditoría de las actividades externalizadas de SI, y de evaluar la exposición a los
riesgos asociados.
 El derecho a auditar a un proveedor externo de servicios es a menudo poco claro.
 La responsabilidad de auditar su cumplimiento suele ser, también, poco clara.
 El DEA y/o el auditor designado cooperando con la gerencia legal, la gerencia de
contrataciones y/u otros departamentos responsables deben determinar si el
contrato permite efectuar una auditoría al proveedor.
 El DEA y/o el auditor designado debe evaluar la confianza que puede darse al
trabajo de auditoría de SI realizado por los auditores internos del proveedor de SI
o por un tercero independiente contratado por el proveedor de SI.
 La capacidad de auditar y/o confiar en el trabajo efectuado por otros debe
determinarse antes de llevar a cabo la auditoría.

Consideraciones para la Planificación
Observación de los hechos

 El auditor debe comprender la naturaleza, oportunidad y alcance de los servicios
contratados a terceros.
 Debe determinar los controles establecidos por el usuario del servicio para
asegurar que las funciones y responsabilidades de las terceras partes estén
claramente definidas y orientadas a satisfacer los requerimientos.
 Los riesgos asociados con los servicios externalizados deben estar identificados y
evaluados.
 El auditor debe evaluar los controles del usuario del servicio para brindar
aseguramiento razonable de que los objetivos de negocio serán alcanzados, y de
que los eventos no deseados serán prevenidos, detectados y corregidos.
Planificación
 El auditor debe evaluar todo informe de la auditoría previó preparado para el
proveedor del servicio.
 Planificar el trabajo de auditoría de SI con respecto a los objetivos de auditoría
relevantes para el entorno del proveedor.
 Los objetivos de la auditoría deben ser acordados con la gerencia del usuario del
servicio antes de comunicarlos al proveedor del servicio.
 Cualquier cambio solicitado por dicho proveedor debe ser acordado con la
gerencia de usuario del servicio.
Realización de la Auditoría
Requisitos de evidencias de Auditoría

 La auditoría debe realizarse como si el servicio fuera brindado en el entorno del
propio usuario del servicio.
Contratos con el proveedor del Servicio
El auditor debe tener en cuenta, entre otros, los siguientes elementos:
 Existencia de un acuerdo formal entre el proveedor y el usuario del servicio.
 Existencia de una cláusula en el contrato que establezca que el proveedor está
obligado a cumplir todos los requisitos legales aplicables, y a cumplir las leyes y
regulaciones correspondientes a las funciones que llevará a cabo en nombre del
usuario.

 Estipulación en el contrato de que las actividades realizadas por el proveedor

están sujetas a controles y auditorías como si fueran realizadas por el propio
usuario.
 Inclusión de los derechos de acceso de auditoría en el contrato.
 Existencia de Contratos a Nivel del Servicio, con procedimientos de vigilancia del
desempeño.
 Adhesión a las políticas de seguridad del usuario del servicio.
 Adecuación de los seguros de fidelidad que tenga contratados el proveedor.
 Adecuación de los procedimientos y políticas de personal del proveedor.
Gestión de los Servicios Tercerizados
El auditor debe verificar que:
 Los procesos de negocios que generan la información utilizada para vigilar el
cumplimiento de los Contratos a Nivel del Servicio estén adecuadamente
controlados.
 Cuando no se cumplan los Contratos a Nivel del Servicio, el usuario haya buscado
soluciones y encarado acciones correctivas para alcanzar el nivel del servicio
acordada.
 El usuario tenga la capacidad y competencia para realizar el seguimiento y la
revisión de los servicios proporcionados.
Limitaciones al Alcance
 Si el proveedor del servicio demuestra poca disposición a cooperar con el auditor,
este deberá informar esa situación a la gerencia del usuario así como al DEA.
Informe
 El auditor debe emitir un informe para los usuarios correspondientes al completar
su trabajo de auditoría.
 El auditor debe considerar discutir el informe con el proveedor antes de emitirlo,
pero no debe ser responsable de enviarle copia del mismo.
 Si el proveedor debe recibir copia del informe, tendrá que enviárselo normalmente
la gerencia del usuario.
 El informe debe especificar cualquier restricción a la distribución del informe que
el mismo auditor o la gerencia del usuario hayan acordado imponer.
 Por ejemplo: el proveedor no podrá proporcionar copia del informe a otros
usuarios de su servicio sin el permiso del auditor de la organización y, si es
apropiado, del usuario.
 El auditor también tendrá que considerar la inclusión de una declaración que
excluya obligaciones con terceros.

 El informe de auditoría debe identificar claramente cualquier limitación al alcance

por la cual se haya negado el derecho de acceso de auditoría, y debe explicar el
efecto de esa limitación sobre la auditoría.
Actividdes de seguimiento
 Tal como si la auditoría se hubiera realizado en el entorno del propio usuario, el
auditor debe requerir información del usuario como del proveedor respecto de los
hallazgos, conclusiones y recomendaciones previas relevantes.
 El auditor debe determinar si se han implementado acciones correctivas
apropiadas de forma oportuna por parte del proveedor.

IV. Tercetas partes y Controles
Efectos de los proveedores externos en una organización

 Los proveedores externos pueden afectar a la organización (incluyendo a sus
asociados), sus procesos, controles y objetivos de control en muchos niveles
diferentes.
 Esto incluye efectos originados en, por ejemplo:
 La viabilidad económica del proveedor externo.
 El acceso del proveedor externo a información transmitida mediante sus
sistemas y aplicaciones de comunicaciones.
 La disponibilidad de sistemas y aplicaciones.
 La integridad del procesamiento.
 El desarrollo de aplicaciones y los procesos de gestión de cambios.
 La protección de activos tales como sistemas de información mediante la
recuperación de backup, la planificación de contingencias, la redundancia.
 Los proveedores externos pueden constituir un componente clave en los controles
de la organización y en el logro de sus objetivos de control.
 El auditor debe evaluar los servicios que brinda el proveedor externo en relación
con el entorno de tecnología informática, sus controles y objetivos de control.
 La falta de controles y las debilidades en el diseño, operación o eficacia de estos
pueden producir, por ejemplo:
 Pérdida de confidencialidad o privacidad en la información
 Falta de disponibilidad de los sistemas cuando se los necesita
 Accesos no autorizados y cambios a los sistemas, aplicaciones o a los
datos
 Cambios en los sistemas, aplicaciones o datos que producen errores en los
sistemas o su seguridad, pérdida de datos, pérdida de integridad de datos,
pérdida de protección de datos o indisponibilidad de los sistemas
 Pérdidas de recursos de los sistemas, pérdidas de información que
constituye activos
 Mayores costos incurridos por la organización como resultado de alguna
de las situaciones mencionadas anteriormente.

Procedimientos que debe realizar el auditor
Obtención del entendimiento

 Contrato
 Acuerdo de nivel del servicio
 Políticas y procedimientos existentes entre el proveedor y la organización.
El auditor debe:
 Documentar los procesos y controles del proveedor que tengan un efecto directo
sobre los procesos y objetivos de control de la organización.
 Identificar cada control, su localización en el ambiente de control combinado
(interno o externo).
 El tipo de control con su función (preventiva, detectiva o correctiva) y la
organización que desempeña la función (interna o externa).
 Evaluar el riesgo de los servicios brindados por el proveedor a la organización,
sus controles y objetivos de control.
 Confirmar su entendimiento del ambiente de control llevando a cabo, por ejemplo,
entrevistas y observaciones, y recorrido de transacciones (walk-through).
Evaluar las Debilidades de Control identificadas

 Los auditores deben evaluar la probabilidad (o riesgo de control) de que puedan
existir debilidades en la existencia, diseño o funcionamiento de los controles en el
entorno informático.
 El auditor debe identificar donde existen debilidades de control.
 El auditor debe evaluar si el riesgo de control es significativo y que efecto tiene
sobre el ambiente de control.
 Cuando identifica debilidades, el auditor debe determinar si existen controles
compensatorios para contrarrestar el efecto de las mismas (pueden existir
controles compensatorios en la organización, en el proveedor, o en ambos).
 Si existen controles compensatorios, el auditor debe determinar si mitigan el
efecto de las debilidades de control.
Contratos con proveedores externos:

 El auditor debe revisar el contrato (posiblemente con la ayuda del asesor legal)
para determinar la función y responsabilidad del proveedor en ayudar a que la
organización cumpla sus objetivos de control.
 Lo siguiente contiene ejemplos de elementos que deben tenerse en cuenta:

 Nivel de servicio que debe brindar el proveedor (ya sea a la organización,

a sus asociados, o a ambos).
 Razonabilidad de los honorarios cargados por el proveedor.
 Responsabilidades por la privacidad y confidencialidad de datos y
aplicaciones.
 Responsabilidades por los controles de acceso y administración de los
sistemas, comunicaciones, sistemas operativos, software utilitario, datos y
software de aplicaciones.
 Vigilancia de activos, y de los datos y respuesta relacionados
(organización y proveedor), y de procedimientos de reporte (rutina,
incidentes).
 Especificación de la propiedad de los activos de información, incluyendo
datos y nombres de dominios.
 Especificación de la propiedad de la programación a la medida
desarrollada por el proveedor para la organización, incluyendo la
documentación de cambios, código fuente y acuerdos de garantías.
 Disposiciones sobre la protección de sistemas y datos, incluyendo back-up
y recuperación, planificación de contingencias y redundancia.
 Cláusula de derecho a auditar (incluyendo asuntos tales como la
posibilidad de reunirse con el personal de auditoría interna del proveedor y
revisar sus papeles de trabajo e informes de auditoría).
 Proceso para la negociación, revisión y aprobación de cambios al contrato
y documentos relacionados (tales como acuerdos de nivel del servicio y
procedimientos).
Gobierno corporativo
 Aun cuando los proveedores externos estén implicados, la dirección sigue siendo
responsable del cumplimiento de los objetivos de control relacionados.
 Como parte de .esta responsabilidad, la dirección debe contar con un proceso para
gobernar la relación con el proveedor externo y su desempeño.
 El auditor debe identificar y revisar el proceso que la dirección utiliza para
identificar los riesgos asociados con el proveedor, los servicios brindados por éste
y cómo la dirección gobierna la relación entre las dos entidades.
 La revisión del auditor debe asegurar si la dirección compara el trabajo de los
proveedores con los estándares de desempeño o criterios establecidos en el
contrato y con cualquier estándar especificado por organismos de regulación.
 El proceso de gobierno debe incluir la revisión de elementos tales como los
siguientes:
 Desempeño financiero del proveedor.

 Cumplimiento de los términos del contrato.

 Cambios en el ambiente de control requeridos por el proveedor, sus
auditores o reguladores.
 Resultados de revisiones de control realizadas por terceros, incluyendo los
auditores del proveedor, consultores u otros.
 Mantenimiento de adecuados niveles de prevención (seguros).
Informes Independientes
 Los proveedores externos pueden ofrecer informes sobre sus controles realizados
por terceros independientes. Por ejemplo, informes de auditoría de organismos
reguladores u otro tipo de informes de control.
 Los auditores pueden utilizar esos informes como base para confiar en los
controles del ambiente de control de los sistemas de información.
 Si el auditor decide utilizar un informe independiente como base para confiar en
los controles de sistemas de información en el nivel del proveedor, deberá revisar
esos informes para determinar lo siguiente:
 Que el tercero independiente está debidamente cualificado. Esto puede
incluir revisar si el tercero independiente cuenta con certificación o
licencia profesional adecuadas, posee experiencia relevante y cumple con
las autoridades profesionales y desregulación aplicables (si corresponde).
 Que el tercero independiente no tiene relación con el proveedor externo
que menoscabe su independencia y objetividad.
 El período de cobertura del informe.
 Si el informe es suficiente (por ejemplo, si el informe cubre los sistemas y
controles aplicables e incluye pruebas de las áreas que el auditor incluiría
si realizara el trabajo).
 Si las pruebas de controles son suficientes para permitir al auditor confiar
en el trabajo del tercero independiente (ej. si las pruebas de controles son
suficientes en cuanto a naturaleza, oportunidad y alcance de los
procedimientos llevados a cabo).
 Si el informe delimita las responsabilidades en el proveedor y la
organización usuaria.
 Si la organización usuaria ha cumplido sus responsabilidades con respecto
a controles apropiados.
Prueba de Controles en el Proveedor

 Si el auditor decide revisar y probar los controles directamente en el proveedor
externo, deberá efectuar lo siguiente:

 Considerar asuntos tales como el acceso a los sistemas y bienes del

proveedor, así como la confidencialidad.
 Elaborar un programa, presupuesto y plan de trabajo para la auditoría.
 Validar los objetivos de control.
Subcontratistas de los proveedores

 El auditor debe determinar si el proveedor utiliza subcontratistas en su función de
proporcionar sistemas y servicios.
 En caso de utilizar subcontratistas, el auditor debe revisar la significatividad de
los mismos para determinar el efecto que puedan tener en los controles del
proveedor relativos a la organización.
 Si los subcontratistas no tienen un efecto significativo en los controles relevantes
de la organización el auditor debe documentar esta situación en sus papeles de
trabajo.
 Si, en cambio, determina que tienen un efecto significativo en los controles
relevantes de la organización, el auditor debe evaluar los procesos utilizados por
el proveedor para gestionar y vigilar la relación con los subcontratistas.

V. El Fraude Informático, ¿Qué motiva las conductas

fraudulentas?
DETECCION INICIAL DEL FRAUDE: Algunas estadísticas.
* Estudio de Fraude 2010, Asociación de Examinadores de Fraude Certificados (ACFE).

EL FRAUDE INFORMATICO
Antecedentes:
El fraude se sustenta en el conjunto de fallas operativas y de gestión en la empresa. Los

escándalos públicos evidenciaron que se debe prestar mayor atención al fraude.
Detalles conceptuales:
El auditor informático tiene la responsabilidad de considerar el fraude como riesgo sobre

el cual requiere obtener niveles de aseguramiento razonables.
RESPONSABILIDAD ANTE EL FRAUDE
La responsabilidad primaria por la prevención y detección de fraude descanza tanto en los

encargados del gobierno corporativo de la entidad como en la administración. (NIA 240.4)
El auditor deberá mantener una actitud de escepticismo profesional en toda la auditoría,

reconociendo la posibilidad de que pudiera existir una representración errónea de
importancia relativa debido al fraude, a pesar de la experiencia pasada del auditor con la
entidad sobre la honradez e integridad de la administración y de los encargados del
gobierno corporativo. (NIA 240.12)
La actividad de auditoría debe evaluar la posibilidad de ocurrencia de fraude y cómo la

organización gestiona el riesgo de fraude. (NIEPAI 2120.A2)

DEFINICION
Según el Instituto de Auditores Internos: Es cualquier acto ilegal caracterizado por

engaño, ocultación o violación de confianza. Estos actos no requieren la aplicación de
amenaza de violencia o de fuerza física. Los fraudes son perpetrados por individuos y por
organizaciones para obtener dinero, bienes o servicios, para evitar pagos o pérdidas de
servicios, o para asegurarse ventajas personales o de negocio.
Fraude informático: Toda conducta fraudulenta realizada mediante o con la ayuda de un

sistema informático, para obtener un beneficio ilícito.
Consecuencias:
Las consecuencias del fraude se reflejan sobre el patrimonio de la compañía y una posible
disminución del valor accionario.
“NO HAY FRAUDE NEGLIGENTE EL FRAUDE SIEMPRE ES INTENCIONAL”.
EJEMPLO DE TIPO DE DELITOS
Delitos comunes:
 Forjamiento de identidad
 Desembolsos fraudulentos
o Fraude con tarjetas de crédito/débito
o Pagos electrónicos y transferencias
 Robo de información
 Sabotaje
 Trasladar a obsoleto artículos en buen estado para su posterior sustracción
Otros delitos:
 Spam
 Phishing
 Pharming
 Denegación de servicio (DoS por sus siglas en ingles)

Hacia el cliente:
 No despacho del bien o del servicio

 Costos ocultos
 Oferta engañosa
DETECCION DEL FRAUDE INFORMATICO
La detección del fraude informático es compleja debido a que es relativamente fácil

ocultar un fraude amparándose en la complejidad de la tecnología de información.
La poca formación de los auditores sobre el fraude informático, baja experiencia y

carencia de herramientas y metodologías. Además de la inexistencia, en la mayoría de las
organizaciones, de controles preventivos y proactivos acorde a la tecnología de
información.
PHISHING
Falsificación de identidades en correspondencia (correo electrónico) y portales Web.

Tiene como fin el robo de identidad para la ejecución de actos fraudulentos o la
sustracción de información financiera.
Como detectar un correo falso:
1. Empiezan con un saludo general como “Querido miembro”.
2. Intentan convencer a la victima de que su cuenta puede ser cerrada si no actualiza

su información lo más pronto posible.
3. El vínculo en el texto del correo puede parecer válido, pero luego lleva a la
victima a una dirección falsa. Siempre hay que revisar el vínculo, moviendo el
puntero del ratón sobre dicho vinculo para ver la dirección real. Hay que recordar
que el vínculo puede contener palabras alusivas a la dirección falsificada.
PHARMING
Es igual al PHISHING apoyado en debilidades de los portales Web.
Es posible realizar ataques pharming en servidores seguros de entidades bancarias, aún

cuando el usuario visualice que la URL comienza por https:// seguido del nombre de la
entidad y que el icono del candado que aparece en la parte inferior del navegador
certifique que se encuentra en el servidor seguro del banco.

WAR DRIVING
Es la práctica de conducir alrededor de negocios o de vecindarios residenciales

escaneando con una libreta de notas, software de herramienta de hacking y a veces con un
GPS (sistema de posición global) en busca de nombres de redes inalámbricas.
Sin seguridad de red habilitada y debidamente configurada, los war drivers podrán enviar
datos, interpretar los datos enviados en la red inalámbrica, tener acceso a los recursos
compartidos de la red inalámbrica o alámbrica (archivos compartidos, sitios web
privados), instalar virus, modificar o destruir datos confidenciales, y usar la conexión de
Internet sin el consentimiento del propietario. Por ejemplo, un usuario malicioso podría
usar la conexión de Internet para enviar miles de correos electrónicos de spam o lanzar
ataques contra otras computadoras. El origen del tráfico malicioso sería al origen del
propietario.
Ejemplo de software para efecutar War Driving:
Air dump: Escanea y captura paquetes WEP.
Aircrack: Con base a los paquetes capturados, y utilizando metodos estadísticos,

descifra la contraseña estática del protocolo WEP.
Mensaje: Utilizar WPA (de preferencia WPA2): Wi-Fi Protected Access (128 bits) en
vez de WEP: Wired Equivalente Privacy (64 bits).
¿QUE MOTIVA LAS CONDUTAS INACEPTABLES?
El fraude implica un incentivo o presión para cometerlo, una oportunidad percibida para
hacerlo y alguna racionalización del acto - actitud. (NIA 240.A1)
Triangulo del fraude:

INCENTIVOS Y PRESIONES
Está relacionado con la estabilidad financiera de la organización:
 Excesiva competencia, mercado saturado y en consecuencia disminución de

beneficios de la organización.
 Pérdidas operacionales que tienden a la quiebra
 Compromisos contractuales significativos
Relacionados con la presión que se ejerce a la gerencia:
 Cumplimiento del presupuesto

 Mejoras ficticias de la rentabilidad, para mejorar el valor de las acciones
 Ventas ficticias
A nivel personal:
 Problemas financieros (deudas o pérdidas)
 Expectativas financieras altas
 Vicios (apuesta, droga, etc.)
 Resentimiento y deseo de venganza contra la empresa y/o sus ejecutivos por no

lograr reconocimiento
OPORTUNIDADES
Relacionados con la naturaleza propia de la industria:
 Transacciones con compañías relacionadas no auditads o auditadas por firmas

diferentes
 Estimación de provisiones difíciles de corroborar
 Organización descentralizada sin monitoreo
 Cuentas bancarias de filiales o intercompañías no conciliadas; o en paraísos

fiscales
Relacionadas con la falta de un apropiado monitoreo sobre:
 El control interno

 Personas con demasiada autonomía

 Personal con poca experiencia o negligente en el desarrollo de sus funciones
ACTITUDES
De parte de la Junta Directiva o de la Alta Gerencia:
 Indiferencia para la comunicación de directrices al personal (falta de código de

ética, manual de políticas y procedimientos, o de adistramiento del personal)
 No se muestra interés ni se hace seguimiento a los informes de auditoría interna
 Discusiones frecuentes con los auditores externos sobre asuntos contables o de

emisión de informes
 Restricciones que limitan al auditor (interno/externo) para la obtención de la

información que éste solicite
 Rotación frecuente de asesores legales o auditores
 Infraestructura corporativa débil o inetectiva (los miembros de la gerencia forman

parte a su vez de la Junta Directiva)
 Poco personal, recursos, capacitación y apoyo a la unidad de auditoría interna
SINTOMAS DE UN FRAUDE
 Control gerencial inadecuado
 Evidencia incompleta de auditoría (documentos extraviados o destruidos

“accidentalmente”
 Estilo de vida de un empleado inconsistente con su status y sueldo
 Control de cambios informáticos inadecuado
 Procesos de conciliación con diferencias constantes
 Existencias de cuentas transitorias con saldos sin explicación

ESTIMULOS QUE PROPICIAN UN FRAUDE
 La Junta Directiva no se preocupa mayormente por el éxito de la organización
 EL comité de auditoría no muestra interés por los informes de las auditorías
 El director de auditoría puede ser despedido por la gerencia de línea (falta de

independencia)
 La unidad de auditoría interna no efectúa procedimientos impredecibles en pro de

identificar eventos sospechosos de fraude (procedimientos sorpresivos, sin
importar la materialidad de la cuenta, el tiempo de revisión, etc.).
SEÑALES PARA IDENTIFICAR PERSONAS INVOLUCRADAS EN FRUDES
 Nunca toman vacaciones y trabajan hasta tarde

 Mantienen un estilo de vida muy costoso, no acorde con sus ingresos
 Socializan en exceso con clientes o proveedores
 Asumen una actitud muy defensiva o protectora
 Sufren cambios en su personalidad
 Dan mucho valor al status y practican una falsa amabilidad
 Mienten continuamente
 Manifiestan excusas para no cumplir con las medidas de control interno
 No aceptan la responsabilidad de sus propias acciones
 No tienen remordimientos o sentimientos de culpa
 Alto nivel de autonomía en la organización
 Posee firma autorizada
 Período del desfalco, promedio 2 años y medio
 Duración del servicio, hombres 9 años, mujeres 7 años
 Todos los cargos desempeñados

EDAD DEL PERPETRADOR: Algunas estadísticas.
CONCLUSION
Ignorar los riesgos de fraude no es una opción apropiada, debido a que el costo
económico es significativo, la pérdida de la reputación y castigos penales a la que son
sometidos los responsables de la administración de la organización son altos.
El fraude tiene un efecto impactante y contagioso en otros miembros de la organización.

Por lo tanto, la gerencia debe evaluar sus riesgos de fraude y la efectividad de sus
controles, considerando el mayor uso y complejidad de los sistemas de información, el
deterioro del poder adquisitivo de la población y de los valores morales de la sociedad.

VI. Técnicas de Auditoría Forense a través de los sistemas de

información
AUDITORIA FORENSE
La Auditoría Forense la podemos definir como: La exploración o examen crítico de las

actividades, operaciones y hechos económicos, incluidos sus procesos integrantes,
mediante la utilización de procedimientos técnicos de auditoría, a través de los cuales se
busca determinar la ocurrencia de hechos ilícitos relacionados con el aprovechamiento
ilegal de los bienes y recursos de un ente público o privado. Tales procedimientos tienen
por fin obtener evidencia válida y suficiente para ser usada ante las autoridades
judiciales.
Existen tres categorías principales de irregularidades en que interviene el auditor forense:
 Apropiación indebida de activos

 Alteración de estados contables y otras declaraciones de las empresas
 Corrupción
TECNICAS Y PROCEDIMIENTOS TIPICOS DE AUDITORIA FORENSE
Orientados a la detección de sustracción de activos:
 Pruebas cuadrada de conciliaciones bancarias

 Entrevistas y confirmaciones con terceros
 Evaluación de transacciones con las condiciones de mercado
 Examen detallado de documentos (físicos o electrónicos)
Orientados a la detección de corrupción:
 Análisis de evolución patrimonial

 Análisis de redes de contactos y transacciones
EL ROL DEL AUDITOR
• Identificación del fraude y diferenciación con error o mala gestión

• Colaboración en la identificación del autor
• Cuantificación del daño para la víctima

SISTEMAS INFORMATICOS ANTE EL FRAUDE
Contribución a reducir fraude:
 Bloqueo de transacciones
 Por privilegios de acceso
 Por tipo de transacción
 Registro de transacciones (log)
 Facilidades de auditoria de sistemas
Riesgos incrementales de fraude:
 Los sistemas carecen del criterio humano

 Diluyen las responsabilidades personales
 Permiten más fácilmente intrusiones remotas
 Mayores cuidados en la conservación de la evidencia (volatilidad, encriptación,
alteración, etc.)
LOS REGISTROS DE EVIDENCIAS Y SUS HERRAMIENTAS A REVISIÓN
Para entender el modo en que deben manejarse los registros de evidencias, es necesario
definir, de forma precisa, en qué consiste una evidencia digital o registro de evidencia. La
evidencia digital es cualquier información obtenida a partir de un dispositivo electrónico
o medio digital que sirve para adquirir convencimiento de la certeza de un hecho. A partir
de esta definición, es posible describir en qué consiste la auditoria forense: es el proceso
de identificar, preservar, analizar y presentar la evidencia digital de una manera
legalmente aceptable.
Para llevar a cabo una auditoria de registros de evidencia se comienza por la obtención y
recopilación de tales registros, siguiendo las recomendaciones de buenas prácticas en
auditoria forense, que son las siguientes:
 Principios para la recolección de evidencias.

 Comprometer al personal de aplicación de la ley y manejo de incidentes apropiados.
 Capturar una imagen del sistema tan exacta como sea posible.
 Anotar todo lo que se vaya investigando.
 Recolectar las evidencias en función de la volatilidad de las mismas. Primero se
recogerán las de mayor volatilidad.

PROCEDIMIENTOS APLICABLES A LOS SISTEMAS
En relación a las herramientas, resulta fundamental su disponibilidad para el tratamiento

automatizado de todo registro/evidencia en el momento de hacer una auditoría, lo que
permitirá realizarla de forma eficaz. Existe una gran cantidad de herramientas que suelen
ser bastante sofisticadas debido principalmente, a lo siguiente:
• Gran cantidad de datos que pueden estar almacenados en un equipo informático.

• Variedad de formatos de archivos, aunque se trate de un mismo sistema operativo.
• Necesidad de recopilar la información de una manera precisa que permita
verificar que la copia de los datos recogidos es exacta.
• Limitaciones de tiempo para analizar toda la información.
• Facilidad para borrar y modificar archivos de los equipos informáticos.
• Mecanismos de cifrado, o de contraseñas.
El objetivo de un análisis forense informático es ejecutar un proceso de búsqueda

detallada y minuciosa para reconstruir a través de todos los medios el hilo de
acontecimientos que tuvieron lugar desde que el sistema se encontraba en su estado
íntegro hasta el momento de detección de un estado comprometedor.
Esa labor debe ser llevada a cabo con máxima cautela y de forma detallada, asegurándose
que se conserva intacta (en la medida de lo posible) la información contenida en el disco
de un sistema comprometido, de igual modo que los investigadores policiales intentan
mantener la escena del crimen intacta, hasta que se recogen todas las pruebas posibles.
En esta situación, los expertos forenses deben emplear una metodología específica en este
análisis que consiste básicamente, en la consecución de las siguientes premisas:
• Recopilar la evidencia sin alterar o dañar los datos originales.
• Asegurarse de que la evidencia recopilada es igual a los originales.
• Analizar la información sin modificarla.
Asimismo, en toda auditoria forense es esencial aplicar el pensamiento lógico, descubrir

y entender las causas y efectos de las operaciones realizadas por el compuador y tratar el
problema con una mente abierta. En particular, es necesario averiguar el método de
ataque, así como los daños y alteraciones causados por el mismo.
El factor humano no sólo es esencial en un análisis, sino que uno de los requisitos
actuales para validar jurídicamente una prueba electrónica o registro de evidencia, es que
los datos hayan sido recopilados y presentados por un experto informático forense.
Obviamente esta definición engloba a los expertos como los que “poseen mayor

conocimiento” sobre estas técnicas de auditoria forense, pero no es requisito poseer

ningún grado o titulación que lo avale.
Entre lo que es susceptible de ser rastreado están la manipulación de los datos y, por
supuesto, su destrucción. Una pista determinante a la hora de realizar análisis de
evidencias es conocer los hábitos de los usuarios y las actividades realizadas, ya que
ayuda a reconstruir los hechos siendo posible averiguar las acciones realizadas en un
equipo informático.
Para poder realizar cualquier tipo de análisis es imprescindible contar con un buen grupo
de herramientas que nos ayuden a realizar la investigación. Por ejemplo un buscador que
accede a la base de datos de eventos, permitiendo al administrador analizar, a posteriori y
de forma centralizada, los eventos de seguridad de todos los elementos críticos de la red.
Básicamente resuelve el problema de dónde buscar la evidencia digital. Además, esta
consola permite profundizar al máximo sobre los detalles de cada uno de los eventos
ocurridos en el sistema.
MARCO REFERENCIAL DE LA AUDITORIA FORENSE
 Planificación
 Determinación de las fuentes y clases de información para la investigación.
 Localización del hecho y verificación.
 Levantamiento de pruebas, archivos y control de documentos.
 Presentación de reportes (informe final)
CONSTRUCCION DE EVIDENCIA
1. Entrevista con el personal que detectó el hecho2.
2. Determinar el modo de operación/modus operandi (sistemas, accesos,

transacciones, documentos, etc.).
3. Entrevista con el personal que participa en el proceso de negocio que fue utilizado
para cometer el fraude.
4. Identificar a todo el personal dentro de la empresa con los mismos accesos y

privilegios utilizados para cometer el fraude.
5. Verificar las pistas de auditoría que permiten los sistemas (calidad y oportunidad).
2
Es importante recordar que aproximadamente el 30% de los fraudes son detectados inicialmente por
auditoría (interna o externa), el 70% restante es detectado por otras fuentes.

6. Con las pistas de auditoría, identificar el patrón con el cual se cometió el fraude.
7. Dimensionar el patrón del fraude hacía toda la data disponible e investigar los
resultados obtenidos contra información soporte.
8. Determinar el impacto o el monto del fraude.
9. Elaborar el informe y distribuirlo al personal correspondiente.
Evidencia No Contable:
1. Relaciones comerciales y personales (visitas recibidas)

2. Llamadas telefónicas
3. Correos electrónicos
4. Hábitos de consumo (observación)
5. Expediente del empleado
6. Información en su computador y archivos
Evidencia Contable:
1. Participaciones societarias
2. Cuentas bancarias
3. Consumos con tarjetas de crédito
4. Bienes registrables
5. Deudas
CUALIDADES DEL AUDITOR FORENSE
 Curiosidad
 Persistencia
 Creatividad
 Discreción
 Confianza
 Experiencia
 Actualización
 Analíticos

 Especializados en temas:
o Contables
o Auditoría
o Criminología
o Investigaciones
o Sistemas
“Piense como el Diablo cuando trate de identificar los Riesgos y esquemas potenciales
de Fraude”
REPORTE
La información obtenida del cómputo forense tiene valor limitado cuando no es

recolectado y reportado en la forma adecuada. Cuando un auditor de sistemas escribe el
reporte, debe incluir por qué se revisó el sistema, cómo se revisaron los datos de la
compuradora y qué conclusiones se hicieron de este análisis.
El reporte debe alcanzar las metas siguientes:
 Describir con precisión los detalles del incidente

 Ser comprensible para los que toman las decisiones
 Ser capaz de resistir una andanada de escrutinios legales
 No ser ambiguos y no ser abierto a las malas interpretaciones
 Ser fácilmente tomado como referencia
 Contener toda la información requerida para explicar sus conclusiones
 Ofrecer conclusiones válidas, opiniones o recomendaciones cuando sea necesario
 Ser creado en una forma oportuna
El reporte o informe debe también identificar a la organización, los reportes de muestra y

las restricciones (si las hubiera) e incluir cualquier reserva o calificación que tenga el
auditor con respecto a la asignación.

V. Bibliografía
GLEIM.
Manual de Preparación al Examen CISA.
COBIT.
Auditoría Informática, un enfoque práctico.
Presentación de Auditoría Forense – Emilio A. Rivas R.
Normas Internacionales de Auditoría (http://web.ifac.org/clarity-center/the-

clarified-standards).
Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna

(NIEPAI).
Estudio de Fraude 2010, realizado por la Asociación de Examinadores de Fraude

Certificados (ACFE).

VI. Anexos
ANEXO 1: Arreglo de discos.
Un arreglo redundante de discos independientes (RAID por sus siglas en inglés) es

típicamente implementado para la protección de la información o incremento del
desempeño al acceso de los discos duros. Existen varios tipos de arreglos y los más
usados en la industria son: 0, 1, 5 y el 0+1 ó 10, siendo este último el de mayor
desempeño, protección y costo.
¿Qué son los Arreglos de Discos RAID?
RAID proviene del acrónimo del inglés “Redundant Array of Independent Disks”, que
significa matriz redundante de discos independientes. RAID es un método de
combinación de varios discos duros para formar una unidad lógica única en la que se
almacenan los datos de forma redundante. Ofrece mayor tolerancia a fallos y más altos
niveles de rendimiento que un sólo disco duro o un grupo de discos duros independientes
RAID 0. Este arreglo es conocido como distribuido, porque utiliza un sistema que utiliza
a los discos como uno solo, teniendo un conjunto de cabezas independientes para su uso.
La información es dividida en bloques de datos que se distribuyen en todos los discos del
arreglo. EL RAID 0 incrementa el desempeño, la lectura y escritura de la información al
escribir un solo dato con varias cabezas de forma simultánea. Ejemplo: un dato de 8 bits
se divide en todos los discos escribiendo 2 bits en cada uno de forma simultánea. Esto es
más rápido que escribir 8 bits de forma serial con una sola cabeza. Este tipo de arreglo no
tiene nivel de protección. En caso de la falla de un disco, se perdería toda la información.
RAID1. Este tipo de arreglo se conoce como Espejeo (Mirroring), porque su conjunto de
discos los utiliza como espejos. Ofrece el nivel de protección más alto, pues uno tiene
copia idéntica de la información de cada disco. Toda la información escrita en el disco
primario se escribe en el disco secundario. RAID1 tiene un incremento en el desempeño
de la lectura de la información, pero puede llegar a degradar el desempeño de la escritura.

RAID5. Este tipo de arreglo se denomina también como distribuido con paridad. Este
tipo de arreglos distribuye la información en todo el conjunto de discos. A diferencia del
RAID 0, RAID5 elabora un bit de paridad con el cual es posible reconstruir la
información del arreglo en caso de la pérdida de alguno de los discos. La información y
los bits de paridad son distribuidos en todos los discos, garantizando que siempre se
encontrarán en discos distintos. RAID5 tiene un mejor desempeño que RAID1, pero
cuando uno de los discos falla, el desempeño de la lectura llega a degradarse.
Raid10 (0+1). Este tipo de arreglo es una mezcla del arreglo distribuido y espejeo. La
información se distribuye en un conjunto de discos como un RAID 0 y, a su vez, este
conjunto de discos es espejeado a otro conjunto de discos como un RAID1. RAID10
provee el nivel de protección y desempeño más alto para escritura y lectura que cualquier
otro arreglo, debido a que contiene los beneficios de los arreglos distribuidos y espejo. Su
único problema es el costo de implementación, al tener que usar siempre el doble discos.

ANEXO 2: Casos prácticos
CASO PRÁCTICO # 1
Con la siguiente información del entorno de sistemas del departamento de tecnología de

la empresa ABC:
a) Identifique las debilidades y asóciele el o los riesgos correspondientes.
b) Para los controles existentes (inventario de controles), diseñe la prueba de
auditoría.
CASO: MANTENIMIENTO, DESARROLLO E IMPLEMENTACIÓN
Entrevista con: Walter Jourdon – Director de Sistemas:
El Ingeniero Jourdon es el responsable de fijar las políticas de IT y de monitorear su

cumplimiento. Mantiene reuniones quincenales con los Jefes a su cargo de manera de
recibir de ellos sus comentarios acerca de los avances de los proyectos y de los problemas
que han surgido, cuales fueron solucionados y cuales están aún pendientes. Tiene la
última palabra en la toma de decisiones en su área.
Su tendencia es hacia la minimización de la existencia de papeles por lo que toda

comunicación con sus empleados y las otras áreas las canaliza a través del correo
electrónico, incluidas las minutas de sus reuniones.
Está evaluando la posibilidad, mediante el análisis de costo-beneficio, de documentar

formalmente todas las políticas y procedimientos de su dirección.
Existe una metodología de desarrollo que consiste en una serie de pasos a cumplir por los
programadores, así como el análisis de los requerimientos de los usuarios, su priorización
y asignación a los Programadores son responsabilidad de Benny T. Programo, Jefe de
Desarrollo. De igual forma existen procesos definidos para la administración del
mantenimiento a los sistemas.
Entrevista con: Benny T. Programo – Jefe de Desarrollo:
El análisis de los requerimientos de los usuarios, su priorización y asignación a los

Programadores son su responsabilidad. Adicionalmente, lleva un detalle de los proyectos

y requerimientos de cambios a los programas para poder controlar su avance. Es el

encargado de identificar en el ambiente de desarrollo los programas que tuvieron cambios,
como también de pasarlos a producción una vez que recibe el OK del programador.
Los requerimientos le llegan por correo electrónico, los imprime y es lo que le entrega al
programador como especificación del cambio a realizar.
Es el que mantiene el contacto con el proveedor del sistema SAP para hacerles llegar los
cambios o agregados (nuevos requerimientos) a dicho sistema. La comunicación con el
proveedor es telefónica o por e-mail.
Benny desarrolló los procedimientos de solicitud de cambios a programas con que cuenta
la Dirección de IT. Las actividades de mantenimientos son realizadas para el sistema
denominado C14 el cual fue desarrollado (programado) en casa (en la propia empresa).
Entrevista con: Programadores:
Una vez que el Jefe de Desarrollo asigna un requerimiento, los programadores se

encargan de confirmar la especificación recibida con el usuario que lo solicitó a través de
reuniones de trabajo. Luego de esto comienza a trabajar en el programa que le fue
asignado.
Cada programador tiene un directorio personal en el ambiente de desarrollo, al que sólo

ellos pueden acceder, de manera que una vez asignado un programador sólo éste podrá
hacer los cambios, caso contrario, el Jefe de desarrollo debe reasignar el requerimiento y
pasar el programa fuente al directorio de algún otro programador.
Cuando el cambio fue realizado y probado por el programador, éste lo copia en el

directorio (dentro del ambiente de desarrollo) que posee Benny, quien diariamente
verifica si existe algún programa y lo pone en producción.

CASO PRÁCTICO # 2

la empresa ABC:
auditoría.
CASO: POLITICAS DE SEGURIDAD
El Ingeniero Jourdon tomó la decisión de iniciar a documentar las políticas de seguridad

de la información, donde se incluyen los parámetros de seguridad de las diferentes
plataformas tecnológicas que brindan servicio a la empresa (comunicaciones, sistemas
operativos, bases de datos, etc.).
Su principal prioridad es que el personal de la empresa se entere de los diferentes

dispositivos y configuraciones que el departamento de sistema ha implementado en pro
de mejorar la seguridad de los recursos informáticos.
El da seguimiento a las políticas de seguridad reuniéndose semanalmente con la Oficial

de Seguridad de TI, quién ha sido delegada como la responsable de la documentación,
actualización y seguimiento a las políticas de seguridad de la información de la empresa.
Entrevista con: Norma Segura – Oficial de Seguridad de TI:
La ingeniera Segura, siguiendo las orientaciones del ingeniero Jourdon, ha documentado

en las políticas de seguridad informática los principales parámetros de los diferentes
equipos de comunicación, sistemas operativos y bases de datos de la empresa, entre los
que se destacan los siguientes:
Política de Seguridad del Sistema Operativo de red:
Contraseñas:
1. Para garantizar que todo el personal cuente con contraseñas robustas, el departamento
de sistemas ha implementado una herramienta de generación de contraseñas
complejas, la cual genera contraseñas que contienen números, letras mayúsculas,
minúsculas y caracteres especiales. La contraseña tendrá una longitud mínima de 10

posiciones y será cambiada cada 30 días por el administrador de la red, quién tiene la
responsabilidad de generar y distribuir dichas contraseñas al menos tres días antes de
que las contraseñas anteriores caduquen.
2. Las cuentas de los usuarios serán bloqueadas automáticamente luego de tres intentos
fallidos, en caso de las cuentas bloqueadas, estás serán desbloqueadas por el sistema
después de 86,400 segundos desde el momento que fue bloqueada.
Conexión:
3. Los usuarios del sistema operativo de red, sólo podrán conectarse desde su terminal
de trabajo, a excepción del administrador de la red quién podrá conectarse desde
cualquier equipo de la empresa.
4. Por seguridad y continuidad, se crearon 4 cuentas con privilegios de administración

del sistema operativo de red, que están a cargo de: el gerente general, el director de
sistemas, el oficial de seguridad y el administrador de la red.
5. Estas cuentas, a excepción de la cuenta del administrador de la red, no deberán ser

utilizadas sólo en caso de emergencia, y será el director de sistemas el único
autorizado para definir o no la situación de emergencia.
Política de Seguridad sobre los Virus Informáticos:
Se cuenta con un software antivirus que es actualizado diariamente por el administrador

de la red, es responsabilidad del usuario mantener el agente del antivirus ejecutándose en
su PC, para que el antivirus pueda actualizarse oportuna y adecuadamente, y poder
detectar y eliminar las posibles amenazas de virus informático que puedan poner en
riesgo los recursos informáticos de la empresa.
Política de Seguridad del Correo Electrónico:
El software antivirus está configurado para escanear todos los correos entrantes y
salientes del servidor de mensajería de la empresa, esto garantiza la no infección desde
afuera por este único posible medio de entrada de virus como es el correo electrónico.
Se cuenta también con un anti-spam, el cual bloquea eficientemente la recepción y el

envío de cadena de correos, sobre todo aquellos correos que contienen archivos
comprimidos, ejecutables, presentaciones de power point, imágenes, entre otros.

Entrevista con: Usuarios de los sistemas de información:
Un porcentaje importante de usuarios de los sistemas de la empresa conocen que existe

un documento que contiene las políticas de seguridad, sin embargo, no todos han leído
este documento. Muchos de los usuarios que lo han leído mencionan que se usa mucho
lenguaje técnico, aunque consideran que el documento les deja muy claro que la empresa
cuenta con varios dispositivos que han sido adecuadamente configurados para preservar
la seguridad de la información.
Los usuarios mencionan que este documento les fue enviado de forma masiva por correo
electrónico, y en el cuerpo del correo se mencionaba que se impartiría una charla
explicativa sobre dicho documento, la cual hasta la fecha (6 meses después) no se ha
logrado concretizar.

CASO PRÁCTICO # 3

la empresa ABC:
auditoría.
CASO: ESTRATEGIA Y ORGANIZACION
El departamento de sistemas tiene un portafolio de proyectos estratégicos, los cuales han

surgido de las necesidades que el ingeniero Jourdon ha identificado en la organización, en
conjunto con todos los miembros del departamento de sistemas.
Ellos se reúnen a inicios del año y a través de una sesión de trabajo que normalmente se
prolonga por toda una mañana, identifican las necesidades de la empresa y definen los
proyectos que estarán ejecutando durante el año.
Este portafolio de proyectos es enviado a la gerencia general de la empresa para su no

objeción, quién generalmente no hace comentario alguno al respecto.
Cada proyecto se divide por área (desarrollo, seguridad, bases de datos, redes y
comunicaciones), y el ingeniero Jourdon nombra un líder de acuerdo al tipo de proyecto.
El líder tiene la responsabilidad de elaborar un cronograma de trabajo, detallando los
recursos (técnicos y humanos) que necesitará para lograr culminar el proyecto.
Los cronogramas de cada proyecto son revisados por el ingeniero Jourdon, quién los
autoriza, y es por medio de estos cronogramas que prepara un presupuesto operativo del
área para el año en curso.
El presupuesto es presentado en la primera Junta Directiva del año, donde normalmente

se hacen los ajustes o recortes presupuestarios de rigor, en dependencia de las utilidades
del año pasado, y en dependencia de las proyecciones financieras del año en curso.
Entrevista con: Administrador de Bases de Datos:
Uno de los proyectos a ejecutarse, consiste en mejorar el desempeño de todas las bases de
datos de la empresa, donde el líder del proyecto es el administrador de base de datos

(DBA). Él junto con los programadores estarán efectuando revisiones sobre el uso
apropiado de los índices de las diferentes tablas de las bases de datos, optimizando
aquellos scripts (líneas de código fuente escritos en lenguaje de programación) que se
identifiquen que no están haciendo un adecuado uso de estos índices, y por consiguiente
hacen que los procesos de los sistemas sean más dilatados.
El tiempo estimado para este proyecto es de 4 meses, debido a que el DBA también tiene
otras tareas asignadas como es el desarrollo de un nuevo sistema de pago de incentivos a
los trabajadores, además que 3 de los 5 programadores en el área de desarrollo son
nuevos, por lo que se ha considerado este factor como un posible punto de demora, ya
que este personal nuevo tendrá que invertir mayor tiempo en el estudio e identificación
del código fuente que no esté utilizando adecuadamente los índices de las tablas de las
bases de datos.
Las correcciones que se deriven de estas revisiones, serán monitoreadas por el Jefe de
Desarrollo, ingeniero Benny T. Programo, a través de los controles definidos para la
administración del mantenimiento a los sistemas.

Diagnóstico de los SI

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Diagnóstico de los SI

Cargado por

Copyright:

Formatos disponibles

Maestría en Auditoría y Administración de Riesgos Empresariales - MARE

I. Introducción a la Auditoría de Sistemas _________________________________ 2

Diagnóstico de la infraestructura y procesos tecnológicos de los SI. 1

Introducir a los maestrantes en los conceptos relacionados con la Tecnología de la

Habilidad y Competencia (NIEPAI - 1210.A3)

I. Introducción a la Auditoría de Sistemas

Los siguientes efectos surgen de las características que distinguen el procesamiento

Diagnóstico de la infraestructura y procesos tecnológicos de los SI. 2

 Procesamiento uniforme de transacciones

¿Qué es auditoría de sistemas?

Según ISACA (Asociación de Auditoría y Control de Sistemas de Información): La

Revisión y evaluación de los Recursos Informáticos y de su ambiente. Recursos

Importancia de la auditoría de sistemas

El continuo crecimiento de la dependencia hacia los sistemas tecnológicos que soportan

Diagnóstico de la infraestructura y procesos tecnológicos de los SI. 3

mejoramiento del control interno, y a la eficacia de los procesos y la aplicación de

Normas que rigen la práctica (ISACA)

Responsabilidad y autoridad: La responsabilidad y autoridad de las funciones de

Diagnóstico de la infraestructura y procesos tecnológicos de los SI. 4

Pérfil del auditor de sistemas

Deben contemplar una mezcla de conocimientos de auditoría financiera y de informática

Organización de la función de auditoría de sistemas

Su localización puede estar ligada a la localización de la auditoría interna operativa y

Diagnóstico de la infraestructura y procesos tecnológicos de los SI. 5

¿Qué es lo que estamos protegiendo?

La información es un activo que es esencial para el negocio y consecuentemente necesita

La seguridad de la información la protege contra una amplia gama de amenazas para:

Si definimos la “Seguridad de los Sistemas de Información” como la doctrina que trata

Diagnóstico de la infraestructura y procesos tecnológicos de los SI. 6

Si identificamos distintos niveles de controles para distintas entidades de información con

Las jerarquías básicamente se definen en:

Se puede conocer como se provee de información al sistema informático, pero no lo que

Diagnóstico de la infraestructura y procesos tecnológicos de los SI. 7

II. La Tecnología y sus Riesgos

Controles Generales de Tecnología de la Información:

Controles Generales de TI:

Controles de aplicación o controles directos:

Controles de desempeño del negocio:

Diagnóstico de la infraestructura y procesos tecnológicos de los SI. 8

Al considerar la confianza de los controles de aplicación como una fuente de satisfacción

IDENTIFIQUE LOS TIPOS DE CONTROLES

4 Chequeos de validación de campos tales como: número de cuenta y

Diagnóstico de la infraestructura y procesos tecnológicos de los SI. 9

Ejercicio # 1: Identificar si los controles a continuación son generales o de aplicación,

Control G/A* A/M** Prueba de Control

2. En un ambiente cliente/servidor se usan las

3. El sistema automáticamente imprime la

4. El acceso a las terminales que puedan tener

5. Los estados de cuenta bancarios se

6. Los programadores no tienen acceso directo

7. Los cambios a los datos de proveedores son

8. El acceso a los sistemas de producción está

9. Las órdenes de compra son autorizadas por

10. El sistema no deja realizar desembolsos por

Diagnóstico de la infraestructura y procesos tecnológicos de los SI. 10

Control G/A* A/M** Prueba de Control

12. Existe una bitácora o log de transacciones

13. Existe una política de seguridad de los

14. Las herramientas de desarrollo están

15. Existen actualizaciones periódicas de las

16. Existe un plan de contingencia ante

17. Existe un procedimiento para dar de baja a