Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoría
Informática
http://creativecommonsvenezuela.org.ve
Reconocimiento:
Atribución: Permite a otros copiar, distribuir, exhibir y realizar su trabajo con Derechos de Autor y trabajos
derivados basados en ella – pero sólo si ellos dan créditos de la manera en que usted lo solicite.
Compartir igual: Permite que otros distribuyan trabajos derivados sólo bajo una licencia idéntica a la que rige el
trabajo original.
Adaptar: mezclar, transformar y crear a partir de este material.
ISBN 9789806366107
Prólogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . I
Acrónimos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IV
1. Auditoría 1
1.1. Definición . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1.2. Objetivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.3. ¿Qué es la auditoría? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.4. Tipos de auditorías según ISO 19011 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.5. Los seis principios de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.6. Otros tipos de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.6.1. Auditoría Financiera . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.6.2. Auditoría de cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.6.3. Auditoría de operacional o de gestión . . . . . . . . . . . . . . . . . . . . . . . . . 5
1.6.4. Auditoría ambiental . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.7. Normas de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1.8. Clasificación y objetivos de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.9. Resultados esperados de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.10. El Auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.11. Informe de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.11.1. La opinión del auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.11.2. Importancia de los informes auditorías . . . . . . . . . . . . . . . . . . . . . . . . . 10
2. Metodología 11
2.1. Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.2. Auditoría interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.3. Auditoría externa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.3.1. Tipos de auditorías externas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.3.2. Auditorías externas de calidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.3.3. Funciones de la auditoría externa . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
2.3.4. El papel del auditor externo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.4. Diferencias entre auditoría externa e interna . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.5. Metodología para una auditoría administrativa . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.6. Planeación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.7. Asignación de la responsabilidad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.8. Capacitación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.9. Actitud . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.10. Diagnóstico preliminar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.10.1. Instrumentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.10.2. Recopilación de información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2.10.3. Técnicas de recolección . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
2.11. Seguimiento y supervisión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
3. Auditoría en informática 31
3.1. Concepto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.2. Diferencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.3. Importancia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.4. Antecedentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.5. Áreas a auditar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
3.6. Beneficios y limitaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.7. Técnicas y Herramientas usadas por la auditoría informática . . . . . . . . . . . . . . . . . 36
3.7.1. Cuestionarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.7.2. Entrevistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.8. Auditoría de sistemas de información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
3.9. Seguridad general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
3.10. Objetivos de la Auditoria de Sistemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4. Auditoría Física 40
4.1. Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.2. Alcance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.3. Alrededor del computador . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.4. ¿Qué activos proteger? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
4.5. Seguridad física . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.6. Fuentes de información básicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.7. Técnicas y herramientas del auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
4.8. Los auditores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.9. Desastres naturales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.10. Fallas eléctricas y/o mecánicas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.11. Robo, fraude, malversación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
5. Auditoría de la ofimática 46
5.1. Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5.2. Técnicas y herramientas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
5.2.1. Observación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
5.2.2. Software de apoyo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
5.3. Software a auditar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
5.4. Controles de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
5.4.1. Los controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
5.5. Problemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
5.6. Informe auditoría ofimática . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
6. Auditoría de la dirección 56
6.1. Concepto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
6.2. Acciones de un director . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
6.3. Posibles preguntas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
7. Auditoría de la explotación 61
7.1. Concepto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
7.2. ¿Por qué? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
7.3. ¿Para qué? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
7.4. Puntos a considerar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
7.5. Objetivos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62
7.6. Componentes del sistema de información según COBIT . . . . . . . . . . . . . . . . . . . . 63
7.7. Planificación estratégica . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
7.8. Áreas de la auditoría de explotación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
7.9. Control de entrada de datos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
7.9.1. Procedimiento de control de entrada de datos . . . . . . . . . . . . . . . . . . . . . 65
7.10. Planificación y recepción de aplicaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
7.11. Centro de control y seguimiento de trabajos . . . . . . . . . . . . . . . . . . . . . . . . . . 69
7.12. Salas de servidores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
7.12.1. Equipos informáticos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
7.12.2. Centro de control de red y Centro de diagnosis . . . . . . . . . . . . . . . . . . . . 71
7.13. Procedimiento de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
VII
14.2. Diagrama sobre qué probar en una base de datos. . . . . . . . . . . . . . . . . . . . . . . . 167
14.3. Traducción del Modelo V con Migración a Base de Datos. . . . . . . . . . . . . . . . . . . 168
Índice de tablas
IX
Prólogo
La auditoría, como cambio de paradigma de fiscalización, estuvo clasificada según la actividad que realiza-
ba, por los elementos que intervenían y actualmente, por el objetivo planteado. La auditoría, a partir del año
2010 se clasifica en financiera, operativa, socio-laboral, medioambiental, ética, informática, de procesos de
calidad, entre otros. Mora Quirós [50].
Las empresas desarrollan actividades en ambientes cada vez más complejos. Por lo cual, en los últimos años,
los sistemas de información, son uno de los principales ámbitos de estudio en el área de organización de
empresas.
La globalización de la empresa, la competencia en los mercados de bienes y servicios, las tecnologías de
información, los riesgos en el entorno, la reducción de los ciclos de vida de los productos y los delitos infor-
máticos, hacen que la información sea un elemento clave para la gestión, supervivencia y crecimiento de la
organización empresarial. Moreno Cevallos [48].
En 1970 nace la auditoría informática. Ésta, constituye una plataforma que gestiona las TIC en las empresas,
detectando de forma sistemática el uso de los recursos y los flujos de información dentro de la empresa y
determinar si la información es crítica para el cumplimiento de su misión y objetivos, identificando nece-
sidades, falsedades, costos, valor y barreras, que obstaculizan los flujos de información eficientes. En este
momento, las organizaciones tienen conciencia sobre la necesidad de aumentar el nivel de control sobre la
gestión de sus sistemas de información, Moreno Cevallos, [48].
Para Castillo Pérez [49] la información depende de la confiabilidad de los datos, de los procesos que la ge-
neran y de los modelos para procesarlos. Los usuarios están conscientes que la información ayuda a ser más
productivo para cumplir con los objetivos de la empresa; por lo que esta información debe ser útil, oportuna,
fácil de interpretar, actualizada, adecuada y precisa; con estas características de la calidad de la información
se toman decisiones relevantes de una manera rápida, mejora su desempeño y efectividad en el trabajo.
Para una empresa la auditoría informática es una práctica de trascendental importancia social y económica,
establece diversas relaciones entre los diversos agentes, ya que mediante su aplicación se obtiene informa-
ción fiable para tomar decisiones que soporten el desarrollo y productividad de la empresa.
Este libro pretende ser una introducción a la auditoría informática. estimular su estudio y aplicación. Sustenta
que debe regirse por los cuatro puntos básicos:
Políticas y procedimientos.
I
Recuperación de desastres y continuidad del negocio.
Supervisión en el sitio.
Seguridad.
Delitos informáticos.
Acrónimos
ACID Atomicity, Consistency, Isolation Durability, es decir: atomicidad, consistencia, aislamiento y durabi-
lidad. Característica de los parámetros que se utilizan para clasificar transacciones en la gestión de bases de
datos.
AFI Auditoría Forense Informática.
AII Auditor Informático Interno.
AIE Auditor Informático Externo.
API Application Programming Interface, es decir, interfaz de programación de aplicaciones.
ASIAuditoría de sistemas de información.
BIOS Basic Input Output System, en español ”sistema básico de entrada y salida”.
BPR Business Process Re-engineering.
CISA Certified Information Systems Auditor.
COBIT Control Objectives for Information and Related Technologies. significa Objetivos de Control para
Tecnología de Información y Tecnologías relacionadas (Control Objectives for Information Systems and re-
lated Technology)
Bit Binary digit, dígito binario.
BOOTP Bootstrap Protocolo, es un protocolo de arranque que se utiliza para obtener una dirección IP auto-
máticamente.
CPD Centro de procesamiento de datos.
CODASYL Conference on Data Systems Languages. Es un consorcio de industrias informáticas fundado en
1959 para regular el lenguaje de programación.
CSCW Computed Supported Cooperative Work.
sitioweb Un sitio web o cibersitio es una colección de páginas web relacionadas y comunes a un dominio de
internet o subdominio en la World Wide Web en Internet.
DBA Administrador de la base de datos.
DPD Departamento de Procesamiento de Datos.
EMAS Eco Management and Audit Scheme) es una normativa de carácter voluntario a nivel de la Unión
Europea que pone el foco en facilitar a la gestión en materia ambiental a las empresas con un Sistema de
IV
Gestión Ambiental implantado.
ISACA Information Systems Audit and Control Association - Asociación de Control y Auditoría de Siste-
mas de Información. Desde su creación, ISACA es una organización global que establece las pautas para los
profesionales del gobierno, control, seguridad y auditoría de información. Sus normas de auditoría y control
de SI son seguidos por profesionales de todo el mundo y sus investigaciones abordan temas profesionales.
ISO19011 Directrices para la auditoría de los sistemas de gestión es una norma internacional desarrollada
por la Organización Internacional de Normalización, que establece las directrices para la auditoría de los
sistemas de gestión de la calidad. Última revisión de la norma fue en 2018.
RAID Redundant Array of Independent Disks, que significa ”conjunto redundante de discos independien-
tes”.
RPV / VPN en español red privada virtual y en inglés Virtual Private network.
MAN Metropolitan Area Network, es una red de área metropolitana, es decir una red de alta velocidad de
amplia cobertura.
Modem Modulator Demodulator. En español ”módem”. Dispositivo que convierte las señales digitales. En
analógicas (modulador) y las señales analógicas en digitales (demodulador).
NAGA Norma de Auditoría Generalmente Aceptadas.
OMS Organización Mundial de la Salud.
SGBD Sistemas de Gestión de Base de Datos.
SOAP single Object Access Protocol, es un protocolo estándar para que se comuniquen dos objetos en dife-
rentes procesos.
TQM Total Quality Management.
TIC Tecnología de Información y Comunicaciones.
UDS UNIDAD DE SISTEMAS - Identifica a una dirección/gerencia/unidad de desarrollo de sistema.
OSSTMM Manual de la Metodología Abierta de Testeo de Seguridad.
ISECOM Institute for Security and Open Methodologies.
WAM Wide area network, que en castellano significa red de área amplia.
WLAN Wireless local area network, o ”red de áreal local inalámbrica”.
Zeroconf Zero Configuration Networking, es decir, red de configuración cero. Es un conjunto de tecnologías
utilizadas para crear automáticamente una red informática.
Auditoría
1
Los inicios de la auditoría se remontan a la revisión y el diagnóstico que se practicaba a los registros ope-
racionales contables de las empresas; después se pasó al análisis, verificación y evaluación de sus aspectos
financieros; posteriormente se amplió al examen de algunos rubros de la administración, siguiendo con el
análisis de aquellos aspectos que intervenían en todas sus actividades y, por último, su alcance se incrementó
conforme se avanzó en la llamada revisión integral.
La actividad de auditar consiste en realizar un examen de los procesos y de la actividad propia de una orga-
nización para confirmar si se ajustan a lo fijado por normas, objetivos, tiempos, leyes o buenos criterios.
Auditar es un término que hace referencia a tres cosas diferentes pero conectadas entre sí: a) se refiere al
trabajo que realiza un auditor, b) a la tarea de estudiar la actividad de una organización, y c) a la oficina
donde se realizan estas tareas (donde trabaja el auditor).
Por lo general, el término se refiere a la auditoría contable, que consiste en examinar las cuentas de una
entidad. Puede decirse que la auditoría es un tipo de examen o evaluación que se lleva a cabo siguiendo una
cierta metodología. Lo habitual es que el auditor no pertenezca a la entidad auditada.
Una auditoría es una de las formas en las que se aplican los principios científicos de la administración, donde
la verificación de los bienes patrimoniales, laborales y beneficios alcanzados por la organización son primor-
diales, pero no son lo único importante. La auditoría intenta proveer pautas que ayuden a los miembros de
una organización a desarrollar adecuadamente sus actividades, evaluándolos, recomendándoles determina-
das cosas y revisando detenidamente la labor que cada uno cumple dentro de la organización.
La evaluación, en lo que respecta al desempeño organizacional de toda la entidad, como unidad integral, es
fundamental para discernir si se han alcanzado los objetivos deseados. Dicha labor es la correspondiente a la
auditoría.
1.1. Definición
Una auditoría examina y evalúa el funcionamiento de una empresa desde una o varias perspectivas. Puede
centrarse en sus finanzas, en sus cuentas, en la calidad o la seguridad laboral. Puede orientarse a buscar una
meta específica, como la de sostenibilidad; o limitarse a garantizar que la organización se alinea con los
requisitos normativos exigibles.
La auditoría analiza cosas como los estados financieros, libros de contabilidad, los procesos y procedimien-
tos, los espacios de trabajo o los productos que se comercializarán. Muchas empresas tienen auditorías de
1
rutina una vez al año, mientras que otras las realizan puntualmente, con motivos concretos.
Lo que está claro es que la auditoría ayuda a detectar problemas dentro de la empresa y, a largo plazo,
contribuir a encauzarla impulsar sus resultados.
1.2. Objetivo
Toda auditoría tiene como objetivo la elaboración de un documento en el que se recojan los resultados del
proceso y que, a la vez, sirva de referencia para terceros agentes, ya sean integrantes de la propia empresa o
de algún organismo o institución oficial que la haya solicitado.
La auditoría de rendimiento [26]: no está sujeta a un contrato. De hecho, gran parte del trabajo del
auditor interno es relativo a la auditoría de rendimiento. Con el fin de lograr un control interno eficaz
en una organización, las personas deben efectuar actividades específicas de control. La auditoría de
rendimiento determina el acierto de estas actividades de control.
La auditoría especial [26]: es una categoría mixta que incluye las auditorías que no son considera-
das como financieras, operativas, de cumplimiento o de rendimiento. La competencia del auditor para
hacer una revisión especial y su independencia es esencial a realizar la auditoría, siendo sus únicas
limitaciones de importancia.
Auditoría de procesos: verifica el funcionamiento óptimo de los mismos y su alcance. También, com-
prueba el cumplimiento de las instrucciones o métodos que, en su conjunto, logran la conformidad con
la norma que rige al sistema de gestión.
Auditoría del sistema: es el proceso documentado realizado para comprobar que todos los elementos
que conforman un sistema de información opera de forma correcta y en conformidad con el estándar
implementado.
A continuación, las ramas de la auditoría que se centran en función del lugar que ocupan los auditores
respecto a la entidad sometida a este proceso:
1. Auditoría independiente.
Es aquella realizada por contadores públicos externos, lo que destaca la importancia del auditor in-
dependiente. Éste, aunque contratado por una empresa, asume la responsabilidad ante un público que
confía en su opinión acerca de los estados financieros de la empresa. En otros casos, cuando se trata
de la auditoría no financiera, el auditor independiente responde, principalmente, ante su cliente.
2. Auditoría interna.
Se resume a la ”actividad considerada independiente, dentro de una organización para la revisión de
la contabilidad y otras operaciones, y como una base de servicio a la dirección. Representa un activo
de la dirección que funciona para medir y evaluar la efectividad de sus controles”. A eso, StettIer
[26] agrega un objetivo ”...a todos los miembros de la dirección en relación al cumplimiento de sus
responsabilidades, al facilitarles análisis, evaluaciones, recomendaciones y comentarios pertinentes,
relativos a las actividades que revisan...”.
3. Auditoría gubernamental.
A su vez, -que es la rama más amplia- es ejercida por las agencias gubernamentales, cuyas investiga-
ciones, por lo general, quedan limitadas al nivel del departamento en cuestión.
Destaca que, aunque la tipología presentada tiene amplia aceptación mundial, autores como Slosse, Soy y
Jiménez, denominan de forma distinta, a la auditoría independiente calificándola como externa.
1.5. Los seis principios de auditoría
El objetivo de la empresa es una auditoría realizada bajo los principios y directrices de las normas estable-
cidas y conocer los tres tipos de auditoría que dicha norma diferencia. A continuación, los seis principios de
auditoría contenidos en ISO 19011:
Integridad: aborda los aspectos relativos al equipo de auditoría. Donde la honestidad, ética, respon-
sabilidad, dedicación, imparcialidad y el equilibrio son características relevantes de todo el equipo y
también de cada uno de sus miembros.
Confidencialidad: trata de la discreción y cuidado que los auditores deben mostrar para proteger la
información obtenida durante la realización de su trabajo, de tal forma que no sea divulgada fuera de
la dirección o gerencia de la organización, ni utilizada de forma inadecuada, menos para beneficios
personales.
Independencia: trata sobre la imparcialidad y la objetividad en las conclusiones de auditoría, que sólo
se obtienen si el auditor realiza su trabajo de forma libre e independiente. Para ello, es fundamental
que el auditor mantenga la objetividad durante todo el proceso. En el caso de una auditoría interna,
cuando el auditor pertenece a la organización, es necesario que él no audite su área de trabajo.
Enfoque basado en evidencia: para obtener un proceso de auditoría sistemático, de forma que resulte
confiable y reproducible, es esencial que se sustente en un método planificado y racional. La evidencia
será repetible, cuantificable y comprobable desde el mismo momento en que se obtiene.
Sistema: es una serie de actividades relacionadas, cuyo diseño y operación conjunta tienen el propósito
de lograr uno o más objetivos preestablecidos.
En los últimos años han surgido tipos de auditoría propias del contexto del contexto actual, como la auditoría
medioambiental, la auditoría ética y la auditoría económico-social, entre otras.
Auditoría fiscal.
Auditoría interna.
Auditoría externa.
Auditoría operacional.
Auditoría administrativa.
Auditoría integral.
Auditoría gubernamental.
Auditoría informática.
Auditoría ambiental.
Auditoría forense.
1.- Generales.
Planeamiento y supervisión.
Estudio y evaluación del control interno.
Evidencia y competencia.
• El trabajo se planea adecuadamente y los asistentes, si los hay, serán supervisados rigurosa-
mente.
• Se obtiene un conocimiento suficiente del control interno, a fin de planear la auditoría y de-
terminar la naturaleza, alcance y extensión de otros procedimientos de la auditoría.
• Se obtiene evidencia suficiente y competente mediante la inspección, observación y confir-
mación, con el objetivo de tener una base razonable para emitir una opinión respecto a los
estados de los procedimientos.
Estas 10 normas AICPA incluyen términos subjetivos de medición como: planeación adecuada, suficiente
conocimiento del control interno, evidencia y competencia, y revelación adecuada.
Para decidir en cada trabajo de auditoría qué es adecuado, suficiente y competente es necesario ejercer el
juicio profesional.
La auditoría no es un ejercicio de aprendizaje memorístico o mecánico, el auditor aplicará su juicio pro-
fesional en muchos momentos de cada proyecto. La formulación y publicación de normas rigurosamente
redactadas contribuyen a elevar la calidad de la auditoría, a pesar que su aplicación exija juicio profesional.
1.8. Clasificación y objetivos de auditoría
La verificación de los procedimientos es realizada por un profesional mediante la aplicación de procedimien-
tos de auditoría, y generará un documento llamado informe de auditoría, como resultado de las operaciones,
que mostrará la situación real de la organización, según los principios aceptados.
La organización es algo más que administración, en ella se toman decisiones no documentadas, que pueden
afectar a la organización.
La clasificación de la auditoría se puede clasificar de la siguiente manera:
2. Auditoría Interna: Es realizada por miembros de la organización auditada, es una actividad de evalua-
ción establecida dentro de una entidad como un servicio a la misma. Las funciones incluyen, entre
otras, examinar, evaluar y supervisar la idoneidad y efectividad de los sistemas.
Proporcionar a la dirección los procedimientos certificados por una organización independiente y ase-
soramiento en materia de los sistemas.
Suministrar información objetiva que sirva de base a las entidades de información y clasificación
crediticia.
Servir de punto de partida en las negociaciones para la compra/venta de acciones de una organización,
pues la información auditada, garantiza confiabilidad.
1.10. El Auditor
Es el profesional encargado de realizar la evaluación y recibe el nombre de auditor. Su trabajo consiste
en analizar atentamente las acciones de la organización y los documentos donde han sido registradas y
determinar si las medidas tomadas en los diferentes casos son adecuadas y han beneficiado a la organización.
El auditor puede ser una persona física o una jurídica. En este último caso, es una organización certificada
para la auditoría.
Un auditor puede ser externo (no pertenece a la organización) o interno (pertenece a ella). Ambos realizan
informes de auditoría, pero los válidos son realizados por la auditoría externa. Los internos son un mecanismo
de control en la propia organización.
Opinión limpia o sin salvedades: Las cuentas anuales auditadas son reflejo de la organización de
acuerdo al marco normativo de referencia.
Opinión con salvedades. El auditor encontró ciertas desviaciones en las cuentas anuales con respecto
al marco normativo de referencia y éstas, salvo por esa salvedad, son reflejo de la organización.
Abstención u opinión denegada. Existe limitación del alcance del trabajo del auditor y no ha obtenido
evidencia suficiente para emitir un juicio que refleje la imagen fiel de la organización.
Obligatoriedad de elaborar informe de auditoría. En ocasiones, la ley establece que ciertas organiza-
ciones tienen la obligación de ser auditadas. Suele ocurrir con las organizaciones cotizadas. En este
caso, lógicamente el informe de auditoría alcanza relevancia, ya que es la información que tienen las
personas ajenas a la organización para comprobar si los procedimientos son fiables o no lo son.
11
Mencionar todos los hallazgos relevantes, incluso aquellos contrarios a la hipótesis.
2.1. Control
Hoy, entre las diversas definiciones de auditoría, el concepto más generalizado parece ser de Arens y Loeb-
becke, [14], quienes la consideran ”...un proceso de acumular y evaluar evidencias, realizado por una persona
independiente y competente acerca de la información cuantificable de una entidad económica específica, con
el propósito de determinar e informar sobre el grado de correspondencia existente entre la información cuan-
tificable y los criterios establecidos,...” [11].
Por tanto, una auditoría es una herramienta de control y supervisión que contribuye a la creación de una
cultura de la disciplina de la organización y descubre fallas en las estructuras y/o vulnerabilidades en la or-
ganización. A pesar de los años y el desarrollo alcanzado por la profesión de auditor, el objetivo con que fue
creada la auditoría, consistente en la detección de los fraudes, malversación, mal desempeño, desvío y/o mal
uso de recursos de todo tipo, marcó la imagen negativa del auditor, aspecto que, lamentablemente, hasta hoy
no se ha superado.
Proporcionar análisis, valoraciones y recomendaciones; aconsejar e informar en relación con las acti-
vidades realizadas.
De acuerdo con el IIA: ”...La auditoría interna es una actividad independiente y objetiva de aseguramiento
y consultoría diseñada para agregar valor y mejorar las operaciones de una organización; le ayuda a lograr
sus objetivos al presentar un enfoque sistemático y disciplinado para evaluar y mejorar la efectividad de la
gestión, el control y la gobernabilidad...”. Este enfoque sistemático y disciplinado se denomina metodología
de auditoría.
Figura 2.1: Estructura sugerida para la auditoría interna.
1. Preparación de la auditoría anual. Debe aplicarse en un enfoque basado en el riesgo. Se tiene en cuenta
el riesgo corporativo, considerando ciclos de negocios, procesos operativos, programas, proyectos o
transacciones que se realizarán. La evaluación tiene como centro de atención aquellas situaciones
que aumentan el riesgo para la empresa, de no alcanzar sus objetivos estratégicos, toda vez que hay
limitaciones de horario y presupuesto.
2. Una vez definido el plan, se aborda una segunda fase. Ésta, se divide en tres etapas:
Luego de la presentación del informe final, se debe verificar la implementación del plan de acción.
Toda la documentación obtenida durante una auditoría, en las diversas etapas, se considera un documento
de trabajo; por tal razón, debe ser revisada de manera apropiada por el auditor, para luego ser referenciada y
organizada en carpetas, bien en formato electrónico o físico.
Por supuesto, el trabajo de planeación es muy importante, ya que cuanto mejor se planifica el trabajo1 , la
ejecución es más eficiente y será de mejor calidad la opinión del auditor y en consecuencia los resultados de
la auditoría, cumpliendo su misión de agregar valor a la empresa.
No olvidar que un trabajo de auditoría finalizará cuando se implementen apropiadamente las recomendacio-
nes.
Referente a este contexto, Slosse [13], plantea que ”...Una de las funciones más comunes de la auditoría
externa es brindar una opinión sobre las manifestaciones de la administración incluidas en la información
contable emitida por el ente...”.
La auditoría externa consiste en que una empresa ajena supervise que los estados financieros de una organi-
zación cumplen con la normativa específica.
La auditoría externa realiza un análisis y control exhaustivos, a través de un auditor, el cual es totalmente
ajeno a la actividad de la empresa, con el objetivo de emitir una opinión imparcial e independiente sobre el
sistema de operación de la empresa y su control interno. Además, la auditoría externa, formula sugerencias
de mejora en la organización.
1A veces una mini auditoría sorpresa es excelente.
La auditoría externa examina los sistemas de una empresa y emite una opinión independiente e imparcial de
los mismos.
El dictamen manifestado como resultado de la auditoría externa tiene plena validez y trascendencia frente
a terceros, ya que es un documento que se da bajo la figura de la fe pública, teniendo total credibilidad y
estando verificada toda la información en él reflejada.
La finalidad de la auditoría externa es dotar de razonabilidad y autenticidad los sistemas administrativos,
contables, de proceso y de información de una empresa en concreto. De esta manera, los usuarios de dicha
información (una entidad crediticia) puedan tomar decisiones confiando en las declaraciones plasmadas en
el informe de la auditoría externa. Consulta este listado las mejores empresas de auditoría externa.
Auditorías de segunda parte. Solicitadas por un cliente de la empresa auditada, que le sirva de infor-
mación previa a la realización de una compra o contratación para corroborar que realmente la empresa
cumple con los requisitos legales.
Auditorías de tercera parte. Ejecutadas por una tercera parte independiente de la empresa auditada.
Como las auditorías de cuentas, reguladas en la Ley de Prevención de Riesgos Laborales o la de
certificación de los sistemas de gestión ISO 9001.
En la auditoría interna existe un vínculo laboral entre el auditor y la empresa; en la auditoría externa
la relación es de tipo civil.
En la auditoría interna, el resultado otorgado por el auditor es para la propia organización, para su uso
interno; en la auditoría externa, el dictamen se destina a terceros interesados en dicha información.
La auditoría interna está inhabilitada para dar fe pública, todo lo contrario con la auditoría externa.
Las auditorías externas se realizan después de que la auditoría interna de fin de año se ha llevado a cabo por
los auditores internos, como entes de control, de la propia compañía. Las diferencias entre los resultados de
la auditoría interna y externa deben ser igual a cero, a menos que se hubiesen producido cambios. Si han
ocurrido, la empresa debe revelar por qué se hicieron los cambios y por quién fueron realizados, y además
proporcionar una prueba válida del motivo de la modificación. En caso de que la empresa no pueda justificar
alguna diferencia entre los resultados de la auditoría interna y la externa, el auditor externo deberá alertar
sobre dichas diferencias.
2.5. Metodología para una auditoría administrativa
Tiene el propósito de servir como marco de actuación para que las acciones en sus diferentes fases de eje-
cución se conduzcan en forma programada y sistemática, unifiquen criterios y se delimite el alcance y pro-
fundidad con que se revisarán y aplicarán los enfoques de análisis administrativo para garantizar el manejo
oportuno y objetivo de los resultados.
La auditoría administrativa evalúa la forma en que la administración cumple sus objetivos y cómo desempeña
las funciones gerenciales de planeación, organización, dirección y control; logrando así decisiones efectivas
en el cumplimiento de los objetivos trazados por la organización.
También, facilita al auditor la identificación y ordenamiento de la información correspondiente al registro
de hechos, hallazgos, evidencias, transacciones, situaciones, argumentos y observaciones para su posterior
examen, informe y seguimiento.
Para utilizarla de manera lógica y accesible, la auditoría administrativa se ha dividido en etapas, cada una de
las cuales ofrecen criterios y lineamientos a observarse para que las iniciativas guarden correspondencia con
los planes.
Las etapas que integran esta metodología son:
1. Planeación.
2. Instrumentación.
3. Examen.
4. Informe.
5. Seguimiento.
2.6. Planeación
Se refiere a los lineamientos de carácter general que regulan la aplicación de la auditoría administrativa para
garantizar la cobertura de los factores prioritarios.
¿Qué cubre la planeación?
1. Objetivo.
Esta etapa define el propósito de la auditoría. Establece las acciones a desarrollar para instrumentarla
en forma secuencial y ordenada tomando en cuenta las variables de tiempo y forma.
2. Factores a revisar.
La primera medida es determinar los factores que se consideran fundamentales para la organización
en función de dos puntos:
El proceso administrativo.
Incorpora las etapas de su proceso y define los componentes que lo fundamentan, para realizar
un análisis lógico de la organización.
En este orden se apega a propósitos estratégicos que concentran en forma objetiva la esencia o ”
razón de ser” de cada fase.
Los elementos específicos que forman parte de su funcionamiento.
Estos complementan el proceso administrativo. Estos elementos específicos se asocian con atri-
butos fundamentales que enmarcan su fin y función.
3. Fuentes de información.
El siguiente paso es realizar un ” reconocimiento” preliminar para determinar la situación de la orga-
nización.
Esta etapa implica revisar la literatura administrativa, técnica, legal y toda clase de documentos rela-
cionados y de interés.
Este procedimiento puede reformular objetivos, estrategias, acciones o tiempos de ejecución.
Para realizar esta tarea en forma adecuada debe:
a) Propuesta Técnica:
Tipo: tipo de auditoría que se pretende realizar.
Alcance: Áreas de aplicación.
Antecedentes: Recuento de auditorías administrativas y estudios de mejoramientos previos.
Objetivos: Logros que se pretenden alcanzar con la aplicación de la auditoría administrativa.
Estrategia: Ruta fundamental para orientar el curso de acción y asignación de recursos.
Justificación: Demostración de la necesidad de instrumentarla.
Acciones: Iniciativas o actividades necesarias para su ejecución.
Recursos: Requerimientos humanos, materiales y tecnológicos.
Costo: Estimación global y específica de recursos financieros necesarios.
Resultados: Beneficios que se espera lograr.
Información complementaria: Material e investigaciones que sirven como elementos de
apoyo.
b) Programa de Trabajo:
Identificación: Nombre de la auditoría.
Responsable(s): Auditor a cargo de su implementación.
Área(s): Universo bajo estudio.
Clave: Número progresivo de las actividades estimadas.
Actividad(es): Pasos específicos para captar y examinar la información.
Fases: Definición del orden secuencial para realizar las actividades.
Calendario: Fechas asignadas para el inicio y término de cada fase.
Representación gráfica: Descripción de las acciones en cuadros e imágenes.
Formato: Presentación y resguardo de avances,
Reportes de avance: Seguimiento de las acciones.
Periodicidad: Tiempo dispuesto para informar avances.
4. Investigación preliminar.
6. Diagnóstico preliminar.
2.8. Capacitación
Un vez definida la responsabilidad, se capacitará a las personas o equipo designado, no sólo en lo que res-
pecta al manejo de los medios de levantamiento de información, sino en todo el proceso para la aplicación e
instrumentación de la auditoría.
Por lo anterior, debe dar a conocer a este personal el objetivo buscado, las áreas involucradas, la calenda-
rización de actividades, los documentos de soporte, el inventario estimado de la información a captar, la
distribución de cargas de trabajo, el registro de la información, la forma de reportar, y los mecanismo de
coordinación y de reporte establecidos.
2.9. Actitud
La labor de investigación tiene que ejecutarse sin perjuicios u opiniones preconcebidas por parte del auditor.
Es recomendable que los auditores adopten una conducta diplomática, amable y discreta, a fin de procurar
una imagen positiva; lo que facilitará su tarea y estimulará la participación activa del personal de la organi-
zación.
Con el propósito de evitar crear falsas expectativas, es importante que el equipo de auditores se abstenga de
hacer comentarios sin sustento, o de hacer promesas que no puedan cumplir, apegándose en todo momento
a las directrices de la auditoría en forma objetiva.
2.10. Diagnóstico preliminar
Esta fase se fundamenta en la percepción que el auditor tiene sobre la organización como producto de su
visión.
Si bien no existen elementos de juicio documentados, existe un acercamiento a la realidad y a la cultura
organizacional.
En base a este conocimiento se prepara un marco referencial que fundamente la razón para realizar una
auditoría.
Considere los siguientes elementos:
Origen de la organización:
• Creación.
• Cambios en su forma jurídica.
• Conversión del objeto en estrategias.
• Manejo de la delegación de facultades.
Infraestructura:
Forma de operación:
• Desempeño registrado.
• Logros alcanzados.
2.10.1. Instrumentación
Concluida la parte preparatoria se procede a la instrumentación de la auditoría, etapa en la que seleccionan
y aplican las técnicas de recolección que se estimen más viables; de acuerdo con las circunstancias propias
de la auditoría, la medición que se empleará el manejo de los papeles de trabajo y la evidencia, así como la
supervisión necesaria para mantener una coordinación efectiva.
1. Investigación documental
Consiste en la localización, selección y estudio de la documentación que puede aportar elementos de
juicio a la auditoría. A las fuentes documentales básicas a las que se pueden acudir son:
Normativa
a) Acta constitutiva.
b) Ley que ordena la creación de la organización.
c) Reglamento interno.
d) Reglamentación especifica.
e) Tratados y convenios.
f ) Decretos y acuerdos.
Administrativos
a) Organigramas.
b) Manuales de normas y procedimientos.
c) Sistemas de Información.
d) Sistemas de normalización y certificación.
e) Cuadros de distribución de trabajo.
f ) Plantillas de personal.
g) Inventarios de mobiliario y equipo.
h) Auditorías administrativas previas.
Mercado
a) Productos y servicios.
b) Áreas (población ingresos factores limitantes).
c) Comportamiento de la demanda (situación actual, situación futura proyectada, característica).
d) Comportamiento de la oferta situación actual, situación futura (previsible), análisis del régimen
de mercado.
e) Determinación de precios.
Ubicación geográfica
a) Localización.
b) Ubicación espacial interna.
c) Características.
d) Del terreno.
e) Distancias y costo de trasporte.
f ) Justificación en relación con el tamaño y los procesos.
Estudios financieros
Situación económica
a) Sistema económico.
b) Naturaleza y ritmo de la del desarrollo de le economía.
c) Aspectos sociales.
d) Variables demográficas.
e) Relaciones con el exterior.
2. Observación directa.
Es el acercamiento y revisión del área física donde se desarrolla el trabajo de la organización, para
conocer las condiciones de trabajo y el clima organizacional imperante. Es recomendable que el auditor
responsable presida la observación directa, comente y discuta su percepción con su equipo de trabajo;
de esta manera, asegurará que exista un consenso en torno a las condiciones de funcionamiento del
área y definirá los criterios a los que deberá sujetarse la auditoría en todo momento.
4. Entrevistas.
Consiste en reunirse con una o varias personas y cuestionarlas para obtener información. Este medio,
es posiblemente, el más empleado y uno de los que puede brindar información más completa y precisa,
puesto que el entrevistador, al tener contacto con el entrevistado, además de obtener respuestas, puede
percibir actitudes y recibir comentarios.
5. Cuestionarios.
Se emplean para obtener la información deseada en forma homogénea. Están constituidos por una
serie de preguntas escritas, predefinidas, secuenciales y separadas por capitulo o temáticas específicas.
La calidad de la información que obtenga, dependerá de su estructura y forma de presentación.
6. Cédulas.
Se utilizan para captar la información requerida de acuerdo con el propósito de la auditoría. Están
conformadas por formularios cuyo diseño incorpora casillas, bloques y columnas que facilitan la agru-
pación y división de su contenido para su remisión y análisis, también abren la posibilidad de ampliar
el rango de respuestas.
7. Medición.
Para consolidar la instrumentación, es necesario que los hechos se puedan evaluar relacionándolos con
una medida, la cual parte de los indicadores establecidos para el proceso administrativo y de los ele-
mentos específicos; así como del propósito estratégico y atributos fundamentales asociados con uno y
con otro. La escalas que se empleen con este fin, cumplen con la función de garantizar la confiabilidad
y validez de la información que se registra en los papeles de trabajo, y que, posteriormente, servirán
para comprobar la veracidad de las observaciones, conclusiones y recomendaciones contenidas en el
informe de la auditoría.
8. Papeles de trabajo.
Para ordenar, agilizar e dar coherencia a su trabajo, el auditor utiliza lo que se denomina papeles de
trabajo; son los registros que describen las técnicas y procedimientos aplicados, las pruebas realizadas,
la información obtenida y las conclusiones alcanzadas.
Estos papeles son el soporte principal que, en su momento, el auditor incorporará en su informe,
ya que incluyen observaciones, hechos argumentos para respaldarlos; además, apoyan la ejecución y
supervisión del trabajo. Deben de formularse con claridad y exactitud, considerando los datos referen-
tes al análisis, comprobación, opinión y conclusiones sobre los hechos, transacciones, o situaciones
detectadas. También se indicaran las desviaciones que presentan respecto de los criterios, normas o
previsiones de presupuesto, en la medida que esta información soporte la evidencia; la cual valida las
observaciones, conclusiones y recomendaciones contenidas en el informe de auditoría.
El auditor preparará y conservará los papeles de trabajo cuya forma y contenido dependen de las con-
diciones de aplicación de la auditoría, ya que son el testimonio del trabajo efectuado y el respaldo de
sus juicios y conclusiones.
Los papeles de trabajo tienen que elaborarse sin perder de vista que su contenido debe incluir:
9. Identificación de la auditoría.
a) El proyecto de auditoría
b) Índices, cuestionarios, cédulas y resúmenes del trabajo realizado.
c) Indicaciones de las observaciones recibidas durante la aplicación de la auditoría.
d) Observación acerca del desarrollo de su trabajo.
e) Anotaciones sobre información relevante.
f ) Ajustes realizados durante su ejecución.
g) Reporte de posibles Irregularidades.
h) Lineamientos recibidos por área o fase de la aplicación.
10. Evidencia.
Es la comprobación fehaciente de los hallazgos durante el ejercicio de la auditoría, por lo que consti-
tuye un elemento relevante para fundamentar los juicios y conclusiones que formula el auditor. Por tal
motivo, al reunirla se debe prever el nivel de riesgo, incertidumbre y conflicto que pueda traer consigo,
así como el grado de confiabilidad, calidad y utilidad real que debe tener; en consecuencia, es indis-
pensable que el auditor se apegue en todo momento a la línea de trabajo acordada, a las normas en la
materia y a los criterios que durante el proceso de ejecución vayan surgiendo.
La evidencia se clasifica en:
Física: Se obtiene mediante inspección u observación directa de las actividades, bienes o sucesos,
y se presenta a través de notas, fotografías, cuadros, mapas o muestras materiales.
Documental: Se obtiene por medio del análisis de documentos y está contenida en cartas, con-
tratos, actas, minutas, facturas, recibos y toda clase de comunicación producto del trabajo.
Testimonial: Se consigue de toda persona que realice declaraciones durante la aplicación de la
auditoría.
Analítica: Comprende cálculos, comparaciones, razonamientos y desagregación de la informa-
ción por áreas, apartados o componentes.
Para que la evidencia sea útil y valida debe ser:
a) Suficiente: es la necesaria para sustentar los hallazgos, conclusiones y recomendaciones del au-
ditor.
b) Competente: cumple con ser consistente, convincente, confiable, y ha sido validada.
c) Relevante: aporta elementos de juicio para demostrar o refutar un hecho de forma lógica y clara.
d) Pertinente: existe congruencia entre las observaciones, conclusiones y recomendaciones de la
auditoría.
Es fundamental que el auditor documente y reporte al responsable de la unidad de control interno, al
titular de la organización y/o al líder del proyecto las siguientes situaciones:
a) Problemas para obtener una evidencia suficiente, producto de los registros incorrectos, operacio-
nes no registradas., archivos incompletos y documentación inadecuada o alterada:
b) Transacciones realizadas fuera del curso normal
c) Limitaciones para acceder a los sistemas de información.
d) Registros incongruente con las operaciones realizadas
e) Condicionamiento de las áreas para suministrar evidencias
En todas las oportunidades, el auditor procederá con prudencia, preservando su integridad profesional
y conservando los registros de su trabajo, incluyendo los elementos comprobatorios de las inconsis-
tencias detectadas.
11. Supervisión del trabajo.
Para tener la seguridad de que se sigue y respeta el programa aprobado, es necesario ejercer una
estrecha supervisión sobre el trabajo que realizan los auditores, delegando la auditoría sobre quien
posea experiencia, conocimiento y capacidad.
De esta manera, a medida que se descienda el nivel de responsabilidad, el auditor que encabece una
tarea, tendrá siempre la certeza de dominar el campo de trabajo y los elementos de decisión para vigilar
que las acciones obedezcan a una lógica en función de los objetivos de auditoría.
La supervisión, en las diferentes fases de ejecución de la auditoría, comprende:
a) Revisión del programa de trabajo.
b) Vigilancia constante y cercana al trabajo de los auditores.
c) Aclaración oportuna de dudas.
d) Control del tiempo invertido en función del estimado.
e) Revisión oportuna y minuciosa de los papeles de trabajo.
f ) Revisión final del contenido de los papeles de trabajo para cerciorarse de que están completos y
cumplen con su propósito.
Para llevar a cabo la supervisión en forma consistente y homogénea es conveniente observar los si-
guientes criterios.
a) los reportes de hallazgos deben contar con un espacio para la firma de revisión del auditor res-
ponsable.
b) aquellos documentos que no cuenten con esta firma sean sometidos a revisión y no se aprueben
en tanto no lo autorice el auditor responsable.
c) los papeles de trabajo incluyan las anotaciones del auditor responsable para garantizar las con-
clusiones.
d) Lleve una bitácora que describa el comportamiento de los auditores.
e) Prepare un informe con los logros y obstáculos durante la auditoría.
f ) Elabore una propuesta general que destaque las contribuciones esenciales detectadas y el camino
para instrumentarlas.
En resumen, la instrumentación determina cómo recopilar la información a través de las técnicas de re-
colección como la investigación documental, la observación directa, el acceso a redes de información,
entrevistas, cuestionarios, y cédulas, y toma en cuenta los aspectos de medición como indicadores y
escalas, los papeles de trabajo del auditor, la evidencia que sustenta los hallazgos y la supervisión del
trabajo en sus diferentes modalidades.
12. Examen.
Establece el propósito, procedimiento y las variables cuantitativas seleccionadas para revisar la infor-
mación captada y la formulación del diagnóstico administrativo, en el cual se incorporan los aspectos
para evaluar los hechos, las tendencias y situaciones para consolidar un modelo analítico de la organi-
zación.
El examen de los factores de la auditoría consiste en dividir o separar sus elementos/componentes
para conocer la naturaleza, las características y el origen de su comportamiento, sin perder de vista la
relación, interdependencia e interacción de las partes entre sí y con el todo, y con su contexto.
13. Propósito.
Aplicar las técnicas de análisis procedentes para lograr los objetivos propuestos en la oportunidad,
extensión y profundidad que requiere la empresa; así como las circunstancias específicas del trabajo,
a fin de reunir los elementos de decisión óptimos.
14. Procedimiento
El examen provee de una clasificación e interpretación de hechos, diagnóstico de problemas, así como
los elementos para evaluar y racionalizar los efectos de un cambio.
El procedimiento de examen consta de los siguientes pasos:
El enfoque para consolidar el examen consiste en adoptar una actitud interrogativa y formular de
manera sistemática seis preguntas:
Después de obtener respuestas claras y precisas para esas preguntas. Se plantea un nuevo interrogatorio
con la pregunta ¿Por qué? en varias ocasiones, de manera consecutiva. Con lo que el examen se vuelve
más crítico, donde las nuevas respuestas abre una perspectiva cada vez mas profunda en cuanto a las
alternativas para respaldar las conclusiones y juicios del auditor. (Franklin 2003 pp.73).
Entre las técnicas que se utilizan para realizar el análisis están las siguientes:
a) Organizacionales:
1) Administración por objetivos
2) Análisis de sistemas
3) Análisis de costo beneficio
4) Análisis de estructura
5) Árbol de decisiones
6) Autoevaluación
7) Control total de la calidad
8) Diagrama de causa y efecto
9) Control de calidad
10) Diagrama de pareto
11) Benchmarking
12) Empowerment
13) Estudio de factibilidad
14) Estudio de viabilidad
15) Inteligencia emocional
16) Reingeniería organizacional
17) Reorganización
b) Cuantitativas:
1) Análisis de serie de tiempos
2) Cadena de eventos
3) Modelo de inventarios
4) Modelos integrados de producción
5) Muestreo
6) Programación dinámica
7) Programación lineal
8) Teoría de las colas o de líneas de espera
9) Teoría de las decisiones. .(Franklin 2003 pp.74).
17. Informe
Al finalizar el examen de la organización, el auditor preparará un informe, en el cual se consignen los
resultados de la auditoría; identificando el área, sistema, programa, proyecto, el objeto de la revisión,
la duración, alcance, recursos y métodos empleados.
Este documento señalará los hallazgos, las conclusiones y recomendaciones de la auditoría, por lo
que es indispensable que ofrezca información suficiente respecto a la magnitud y frecuencia de los
hallazgos que se presentan, dependiendo del número de casos o transacciones revisadas en función de
las operaciones que realiza la organización. Así mismo, es importante que tanto los hallazgos como las
recomendaciones estén sustentados por evidencia relevante, debidamente documentada en los papeles
de trabajo del auditor.
Los resultados, las conclusiones y recomendaciones deberán concentrar:
El informe constituye un factor invaluable porque posibilita conocer si los instrumentos y criterios con-
templados fueron acordes con los objetivos propuestos, y deja abierta la alternativa de su presentación
previa a la dirección de la organización para conocer los resultados obtenidos, particularmente cuando
se requieren elementos probatorios, o de juicio, que no fueron captados en la aplicación de la auditoría.
Así mismo, establece las condiciones necesarias para su presentación e instrumentación. En caso de
una modificación significativa, derivada de evidencia relevante, el informe tendrá que ajustarse.
La presentación del informe puede realizarse con el apoyo de equipos de computación, láminas o
material audiovisual.
En el informe se registran los resultados de la auditoría, los aspectos operativos acordados para orientar
su ejecución y los lineamientos generales para su preparación.
1. supervisión Corporativa.- Cuando las recomendaciones comprometen a los directivos para su respec-
tiva actuación.
2. supervisión Funcional.- Cuando las recomendaciones involucran a los jefes de los departamentos de
una empresa, para realizar un control de las acciones correctivas.
3.2. Diferencias
Para establecer las diferencias básicas de las auditorías según su área de aplicación revise los conceptos de
auditoría administrativa, contable, ambiental e informática. Ver tabla 3.1.
31
Tabla 3.1: Diferencias entre algunas auditoría.
auditoría administrativa ”Revisión sistemática y exhaustiva que se realiza a la actividad
administrativa de una empresa, en cuanto a su organización,
las relaciones entre sus integrantes y el cumplimiento de las
funciones y actividades que regulan sus operaciones” (Muñoz,
[18]).
Auditoría contable ”Examen de los estados financieros de una entidad, con objeto
de que el contador público independiente emita una opinión
profesional respecto a si dichos estados presentan la situación
financiera, los resultados de las operaciones, las variaciones en
el capital contable y los cambios en la situación financiera de
la empresa, de acuerdo con los principios de contabilidad ge-
neralmente aceptados” (Comisión de Normas y Procedimien-
tos, en Téllez, [19]).
La auditoría administrativa evalúa la administración en todas las etapas del proceso administrativo: planea-
ción, organización, dirección, integración y control; mientras que la auditoría contable evalúa la situación
financiera de ambas áreas (administrativa y contable); se complementan con la auditoría en informática ya
que los recursos informáticos como soporte a las funciones de la administración y la contaduría.
La siguiente tabla contrapone las tres auditorías para hacer una comparación de diferencias y similitudes
según sus propiedades. Ver tabla 3.2.
Tabla 3.2: Algunas de la auditorías actuales
PROPIEDADES Auditoría adminis- Auditoría contable Auditoría ambien- Auditoría informá-
trativa tal tica
NATURALEZA Técnica de control Técnica de control Técnica de control Técnica de control
administrativo administrativo
PROPÓSITO / OB- Evaluar y mejorar Dictamen a los es- Determinar las re- Evaluar los recur-
JETIVO la administración tados financieros gulaciones legales sos informáticos
en protección y
preservación del
medio ambiente.
ALCANCE La eficiencia y pro- El sistema contable La evaluación Todas las activida-
ductividad de los de la gestión de des informáticas
procesos adminis- protección del
trativos medio ambiente y
cumplimiento de
las disposiciones
reglamentarias en
vigencia.
FUNDAMENTO La ciencia adminis- Principios de con- Regular el uso Normatividad ins-
trativa y la normati- tabilidad y normas y tratamiento titucional y legal,
vidad de la empresa de auditoría adecuado del me- estándares interna-
dio ambiente y cionales
la protección de
la ecología del
planeta.
METODOLOGÍA Sustentado en los Sustentado en los Técnicas y proce-
métodos científicos métodos científi- dimientos predeter-
cos. minados
APLICACIÓN A la empresa y sus A los estados finan- A todas las áreas, A todas las áreas de
funciones básicas cieros internas y externas, la empresa
de la empresa
PROYECCIÓN Al futuro Al pasado Al pasado y futuro Al pasado y futuro
INFORME Amplio Preciso Amplio y preciso Amplio y preciso
Método científico1
3.3. Importancia
Siempre ha existido la preocupación en las organizaciones de optimizar todos los recursos con los que cuen-
ta; sin embargo, en lo que respecta a la tecnología de informática, es decir, software, hardware, sistemas de
información, investigación tecnológica, redes locales, bases de datos, ingeniería de software, telecomunica-
ciones, etc., como una herramienta estratégica que significa rentabilidad y ventaja competitiva frente a sus
similares en el mercado, en el ámbito de los sistemas de información y tecnología un alto porcentaje de las
1 Técnicas y procedimientos predeterminados, Investigación, la interrogación, el cálculo, la verificación, el análisis, la compara-
ción
empresas tiene problemas en el manejo y control, tanto los datos como los elementos que almacena, procesa
y distribuye son privados.
El propósito de la revisión de la auditoría en informática es verificar que los recursos, es decir, información,
aplicaciones, infraestructura, recursos humanos y presupuestos, sean adecuadamente coordinados y vigila-
dos por la gerencia o por quien ellos designen.
Durante años se ha detectado el despilfarro de los recursos o uso inadecuado de los mismos, especialmente
en informática, porque se ha mostrado interés por llegar a la meta sin importar el costo y los problemas de
productividad.
3.4. Antecedentes
La actividad de auditoría tiene sus orígenes con los intercambios comerciales que se hacían en la antigüedad,
al surgir el registro en papel de todos los movimientos comerciales, también surge la necesidad de verificar
dicha acción.
En las colonias americanas, son los ”oidores” de la corona española, que con el paso del tiempo se transfor-
marían en auditores, vigilaban el pago de quinto real a los reyes de España, ellos cumplían con verificar el
pago de este impuesto.
De manera formal la auditoría en informática tiene como antecedente más cercano a los Estados Unidos de
América. En los años cuarenta se empezaron a dar resultados relevantes en el campo de la computación, con
sistemas de apoyos para estrategias militares, sin embargo, la seguridad y el control sólo se limitaba a dar
custodia física a los equipos y a permitir el uso de los mismos sólo a personal altamente calificado.
Fue en el año de 1978 cuando la Asociación de Auditoría y Control de Sistemas de Información por sus si-
glas en ingles ISACA (Information Systems Audit and Control Association) estableció la certificación CISA
(Certified Information Systems Auditor) para Auditores en Sistemas de Información.
En 1988, el maestro José Antonio Echenique García publicó su libro Auditoría de Sistemas, donde establece
las bases para el desarrollo de una auditoría de sistemas computacionales, dando un enfoque teórico-práctico.
Cabe mencionar que en otros países también se han hecho esfuerzos académicos como el realizado por Mario
G. Piattini y Emilio Peso, [20], en España en el año de 1998 cuando publicaron su obra auditoría informática
un enfoque práctico, donde mencionan diversos enfoques y aplicaciones de la disciplina.
Estos hechos han impulsado a la Auditoría en Informática, misma que se consolida como una actividad
estratégica para las empresas.
Dictaminar sobre los resultados obtenidos por una empresa, así como sobre el desarrollo de sus fun-
ciones y el cumplimiento de sus objetivos.
Generar confianza internamente a nivel dirección y en los usuarios sobre la seguridad y control de los
servicios de TI.
Presupuesto. Tener poco presupuesto asignado para este fin, por lo que se tendrá que recurrir a una
auditoría interna.
Lugar. Dada las dimensiones de área puede sobrepasar en tamaño nuestras capacidades y superar el
uso de recursos inicialmente asignados.
Lejos de considerarse una moda entre las entidades, empresas u organizaciones la Auditoría en Informática
está justificada por la misma importancia que tiene la información como un factor de ventaja competitiva,
el tener el control adecuado sobre los recursos informáticos que sustentan la toma de decisiones, lo que
proporciona confianza y asegura el cumplimiento de nuestros objetivos.
Como resumen, la auditoría informática se divide en tres grandes áreas:
3. Con el computador.
3.7.1. Cuestionarios
La información recopilada es muy importante, y se consigue con el levantamiento de información y docu-
mentación de todo tipo. Los resultados que genere la auditoría se ven reflejados en los informes finales que
emiten y su capacidad para el análisis de situaciones de debilidades o de fortalezas que se dan en los diversos
ambientes. El denominado trabajo de campo consiste en que el auditor busca por medio de cuestionarios la
información necesaria para ser discernida y emitir finalmente un juicio global objetivo, los que deben ser
sustentados por hechos demostrables, llamados evidencias.
Esto se consigue, solicitando el cumplimiento del desarrollo de formularios o cuestionarios lo que son preim-
presos, los cuales son dirigidas a las personas que el auditor considera más indicadas, no existe la obligación
de que estas personas sean las responsables de dichas áreas a auditar. Cada cuestionario es diferente y muy
específico para cada área, además deben ser elaborados con mucho cuidado tomando en cuenta el fondo y
la forma. De la información que ha sido analizada cuidadosamente, se elaborará otro formulario el cual será
emitido por el propio auditor. Estas las respuestas serán cruzadas, lo que vine a ser uno de los pilares de la
auditoría.
Muchas veces, el auditor recopilará la información por otros medios, y que estos preimpresos podían haber
proporcionado, cuando se da este caso, se puede omitir esta primera fase de la auditoría.
3.7.2. Entrevistas
Existen tres formas para que el auditor se relacione con el personal auditado.
1.- La solicitud de la información requerida, debe ser concreta y responsabilidad exclusiva del auditado.
3.- La entrevista es un medio que el auditor usará con una metodología previamente establecida para recabar
información concreta.
La importancia que la entrevista tiene en la auditoría se debe a que, la información que recolecta es abundan-
te, concreta y mejor elaborada que la que proporcionan los medios técnicos, o los cuestionarios. La entrevista
personal entre el auditor y el auditado, es basada en una serie de preguntas específicas en las que el auditado
responde directamente.
El sistema, fecha y horario de interrogación se establece previamente y el auditor tendrá mucho cuidado con
su puntualidad, la entrevista debe ser de forma muy cordial y bajo los parámetros de lo correcto, esto se hace
con la finalidad de que sea lo menos tensa posible, y que el auditado conteste de forma natural, con sencillez.
Sólo que la sencillez con la que se elaboran las preguntas deberán tener un profundo fondo, el cual es distinto
en cada caso.
El auditor experto y con experiencia en la materia, realiza un trabajo de elaboración de sus cuestionarios de
acuerdo a la situación y al escenario auditado.
El auditor sabe que lo que busca, debido a que tiene claro lo que necesita, y por qué lo necesita. Su trabajo es
el basamento fundamental para el análisis, cruce y elaboración posterior del informe final, pero esto no indi-
ca que el auditado tenga que ser sometido a un interrogatorio automatizado o cual no ofrece ningún camino.
Por el contrario el auditor realizara la entrevista de tal forma que el auditado pueda responder a las preguntas
formuladas de manera normal, lo que servirá para llegar al cumplimiento de los cuestionarios de sus Check
Lists.
Las preocupaciones fundamentales con respecto a la tecnología siguen siendo la mismas o se han incre-
mentado con la evolución tecnológica. Estas inquietudes tanto de la Dirección de una entidad, como de sus
accionistas o de la sociedad en general, se concretan en:
La veracidad de la información, en cuanto a su totalidad y exactitud, procesada por los sistemas de
tecnología.
La utilización racional y ajustada a las necesidades reales de los recursos tecnológicos.
El ”mantenimiento” o ”sostenibilidad” de la estructura tecnológica y su crecimiento no debe ser trau-
mático en el soporte de nuevas actividades.
La confidencialidad de la información
Elementos administrativos.
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los elementos, tanto redes como
terminales.
La decisión de abordar una auditoría informática de seguridad general en una empresa, se fundamenta en el
estudio cuidadoso de los riesgos potenciales a los que está sometida. Se elaboran ”matrices de riesgo”, en
donde se consideran los factores de las ”amenazas” potenciales a la instalación y los ”impactos” que puedan
causar cuando se presentan. Las matrices de riesgo son cuadros de doble entrada, en donde se evalúan las
probabilidades de ocurrencia de los elementos de la matriz.
El cuadro muestra que si por error se codifica un parámetro que ordene el borrado de un archivo, se tendrá
la certeza que éste se borrará.
Objetivos Generales
Evaluar las políticas generales sobre la planeación, ambiente laboral, entrenamiento y capacitación,
desempeño, supervisión, motivación y remuneración del talento humano.
Evaluar políticas generales de orden técnico con respecto al software, hardware, desarrollo, implanta-
ción, operación y mantenimiento de sistemas de información.
Evaluar políticas generales sobre seguridad física con respecto a instalaciones, personal, equipos, do-
cumentación, respaldos2 , pólizas y planes de contingencias.
Evaluar los recursos informáticos de la empresa con énfasis en su nivel tecnológico, producción de
software y aplicaciones más comúnmente utilizadas.
Conocer las políticas generales y actitudes de los directivos frente a la auditoría y seguridad de los
sistemas de información y proceder a hacer las recomendaciones pertinentes.
2 back-ups
Auditoría Física
4
Los centros de procesamiento de datos son vulnerables a desastres ambientales, accidentes y sabotaje; así
como una mala gestión. La seguridad es la protección de los recursos de CDP de los riesgos naturales y/o
artificiales. Estos recursos incluyen personas, plantas físicas, equipos, programas y datos.
Las personas, programas y datos dentro de CPD pueden ser irreparables y/o irrecuperables.
La auditaría física contempla las instalaciones físicas, vigilancia, alcabalas, boyas, puertas y ventanas de
accesos a edificios, cámaras de vigilancia, sala de servidores y computadoras, instalaciones eléctricas, equi-
pos y dispositivos contra incendios, cajas fuertes, antenas, redes internas, internet, Wifi, lugar geográfico de
las plantas físicas, riesgos sísmicos, inundaciones, incendios, vandalismo, disturbios sociales; así como la
entrada de datos y la salida de información.
4.1. Objetivos
Revisión de las políticas y normas sobre seguridad física.
4.2. Alcance
Planta física.
Planes y procedimientos.
40
4.3. Alrededor del computador
La auditoría alrededor del computador se concentra en la planta física, los accesos a sala de servidores
y/o computadores, cámaras de vigilancia, instalaciones eléctricas, equipos y dispositivos contra desastres
naturales y/o artificiales, cajas fuertes. Así como la entrada de datos y salida de información.
Es la parte de la auditoría de sistemas más cómoda para los auditores, por cuanto verifica la efectividad del
sistema de control interno en el ambiente externo de la informática que es tangible.
Naturalmente, se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de
riesgo que atente contra su integridad, completitud, exactitud y legalidad.
Sin embargo, la auditoría alrededor del computador no es tan simple como aparenta, pues tiene los siguientes
objetivos:
Comprobar los controles sobre seguridades físicas y lógicas de la(s) planta(s) física(s).
Asegurar la existencia de controles dirigidos a que los accesos de personas estén autorizados.
Comprobar los controles para asegurar que todos los datos enviados sean procesados.
Examinar los controles de salida de la información evitando los riesgos entre el usuario y los sistemas.
No hacer nada.
Antes. obtener y mantener un nivel adecuado de seguridad física sobre los activos
Después: Los contratos de seguros pueden compensar en mayor o menor medida las pérdidas, gastos
o responsabilidades que se deriven una vez detectado y corregido el fallo.
1. contra incendios.
2. paredes no inflamables.
7. piso antiestático.
8. UPS.
A.- Instalaciones, edificación: El auditor informático incluirá un perito que realice la evaluación corres-
pondiente a la estructura física del edificio, de tal manera que emita sus conceptos y certifique las
condiciones generales correspondientes.
Tener en cuenta:
Ubicación geográfica del edificio.
Ubicación del CPD dentro del edificio.
Elementos de construcción.
Suministro eléctrico.
Sistemas contra incendios.
Inundaciones.
Sismos.
B.- Organigrama de la empresa: Con el objetivo de conocer las dependencias orgánicas, funcionales y
jerárquicas, los diferentes cargos. Da la primera visión de conjunto del Centro de Proceso.
C.- Auditoría interna: Deberá solicitarse los documentos de las auditorías anteriores, normas, procedimien-
tos y planes que sobre seguridad física se tengan al departamento de auditoría o en su defecto al encar-
gado de calidad.
D.- Administración de la seguridad: Vista desde una perspectiva que ampare las funciones, dependencias,
cargos y responsabilidades de los diferentes componentes:
E.- CPD (Centro de Procesamiento de Datos) e Instalaciones: Entorno en el que se encuentra incluido el
CPD como elemento físico y la función que debe realizar :
Las instalaciones son elementos que sustentan la actividad informática y proporcionan seguridad a las
personas, a la información y al software entre otras, el auditor inspeccionará:
Sala de servidores.
Sala de impresoras.
Oficinas.
Almacenes.
Sala de acondicionamiento eléctrico.
Aire Acondicionado.
Áreas de descanso, etc.
Rutas de escape.
F.- Equipo y comunicaciones: Son los elementos principales del CPD: servidores, terminales, computado-
res personales, laptops, tabletas, celulares inteligentes, equipos de almacenamiento masivo de datos,
impresoras, medios y sistemas de telecomunicaciones.
Inspeccionar su ubicación dentro del CPD y el control de acceso a los elementos restringidos.
G.- Computadores personales conectados en red: Es preciso revisar la forma en que se llevan a cabo los
respaldos, así como los permisos de acceso al equipo por parte de los usuarios y del equipo a los
datos de la red, se deben examinar los métodos y mecanismos de bloqueo al acceso de información no
autorizada, inspeccionando o verificando dichos accesos.
H.- Seguridad física del personal: accesos, salidas seguras, medios y rutas de evacuación, extinción de
incendios y sistemas de bloqueo de puertas y ventanas, zonas de descanso y servicios, etc.
Auditorías anteriores.
Observación.
Revisión analítica de la documentación.
Entrevistas con el personal.
Consultores o técnicos y/o peritos.
B.- Herramientas.
5.1. Objetivos
1. Evaluación del inventario ofimático; refleja con exactitud los equipos y aplicaciones de la oficina
existente en cada una de las áreas.
Aspectos a evaluar:
46
f) Verificar cada empleado firma su hoja de recepción y/o traslado de recursos informáticos.
Examinar el inventario de licencias de software.
Actividades:
a) Comprobar la existencia de un procedimiento de control para la adquisición y registro de
licencias.
b) Verificar que todo software instalado en la empresa cuenta con licencia actualizada.
c) verificar la caducidad de la licencia de los programas y antivirus.
2. Evaluación de la calidad de las aplicaciones ofimáticas desarrolladas por el personal de la empresa.
Aspectos a evaluar:
3. Comprobar la existencia de un departamento de desarrollo de aplicaciones de la empresa.
Actividades:
a) Verificar la existencia de procedimientos generales de solicitud, autorización, programación y en-
trega de aplicaciones.
b) Constatar la existencia de otros departamentos que desarrollen aplicaciones de uso interno, sin el
control del centro de información.
c) Verificar que las aplicaciones se desarrollan en un laboratorio, evitando operar directamente sobre
los datos reales de explotación.
d) Verificar la existencia de un registro de incidencias de las aplicaciones, así como de los reclamos
de los clientes y usuarios, para detectar aquellas aplicaciones que estarían funcionando de manera
irregular.
4. Evaluar las situaciones de integración y/o incompatibilidad entre las nuevas aplicaciones instaladas y
las existentes.
Actividades:
a) Verificar la existencia de procedimientos formales para la autorización, aprobación, adquisición de
nuevas aplicaciones y cambios de versiones dentro de la empresa.
b) Comprobar que los problemas de integración y las incompatibilidades que presenten las nuevas
aplicaciones previas a su implantación se han analizado y que constan en actas, informes, etc.
c) Comprobar que existe un plan de capacitación de usuarios, con la finalidad que los cambios im-
plementados no impacten negativamente en funcionamiento de la empresa.
d) Verificar que el personal capacitado cuenta con la documentación básica de operatividad de las
aplicaciones, con el propósito de acceder a ella en caso de una ocurrencia.
5. Evaluar si la(s) aplicación(es) existente(n) se ajusta(n) a las necesidades reales de la empresa.
Actividades:
a) Determinar aquellas tareas que necesitan ser automatizados o precisen actualizar los equipos exis-
tentes.
b) Comprobar que los puestos de trabajo, debido a su escasa actividad no se encuentre sobredimen-
sionados.
c) Elaborar una relación, con observaciones, de desincorporación de programas, equipos y dispositi-
vos obsoletos y/o de redistribución y adquisición de nuevos equipos, dispositivos y/o aplicaciones.
5.2. Técnicas y herramientas
5.2.1. Observación
La observación es importante en la auditoría, ya que proporciona argumentos sustanciales a favor de la em-
presa. A través de la observación se verificará y comprobará aspectos como: cumplimiento de las políticas y
normas en el proceso de adquisición, contrastación y fiabilidad del inventario ofimático, el software instalado
en la empresa cuente con licencia, incompatibilidades, entre otros.
Procesadores de texto,
El escritorio virtual.
Un único panel representado por la pantalla del computador, que sustituya el escritorio de trabajo tradi-
cional, y donde se encuentren disponibles las herramientas necesarias para desarrollar las actividades
del oficinista. La interfaz debe ser natural al usuario y fácil de aprender y utilizar.
El trabajo cooperativo.
Considerado como una extensión del concepto de integración de aplicaciones. Es como una multipli-
cidad de actividades coordinadas, desarrolladas por un conjunto de participantes y soportadas por un
sistema informático. Lo anterior implica permitir intercambiar la información necesaria en los diversos
procesos de la organización y/o con otras organizaciones.
Aspectos financieros.
Determinar si el inventario ofimático refleja con exactitud los equipos y aplicaciones existentes en la
organización, así como los mecanismos para garantizar que los equipos adquiridos están:
Políticas.
• Revisión de su cumplimiento.
• Consideración de otros mecanismos que optimicen el proceso actual de adquisición.
• Determinar y evaluar la política de mantenimiento definida en la organización, en cuanto a:
◦ Revisión de contratos y si incluyen a todo el inventario.
◦ Garantías.
◦ Registro de incidencias producidas.
◦ Tiempo de atención de las incidencias y mecanismos.
• Evaluar la calidad de las aplicaciones del entorno ofimático desarrollada por personal de la orga-
nización:
◦ Responsable(s) del desarrollo.
Metodologías y conjunto de pruebas.
• Ambiente adecuado de desarrollo contra explotación.
• Existe una metodología aprobada de desarrollo.
• Reporte de incidencias y seguimiento.
• Evaluar la corrección del procedimiento existente para la realización de los cambios de versiones
y aplicaciones:
◦ Procedimientos y mecanismos formales para la autorización, aprobación, adquisición de
nuevas aplicaciones y cambios de versiones.
◦ Comprobación del cumplimiento de lo instalado para los usuarios.
◦ Compatibilidad e integración en el entorno operativo.
• Determinar que los usuarios cuentan con suficiente formación y la documentación de apoyo
necesaria para ejecutar sus tareas de un modo eficaz y eficiente:
◦ Plan de formación y/o capacitación.
◦ Utilización real de las últimas versiones en los usuarios.
Determinar que el sistema existente se ajusta a las necesidades reales de la organización y:
• Obsolescencia de equipos.
• Uso de equipos y trabajo sobre éstos.
• Detección de nuevas necesidades.
• Seguridad en su cuido y almacenamiento.
• Determinar que existen garantías para proteger los acceso no autorizados a la información reser-
vada de la empresa y la integridad de la misma.
• Determinar si el procedimiento de generación de copias de respaldo es confiable y garantiza la
recuperación de la información en caso de necesidad.
• Determinar que está garantizado el funcionamiento ininterrumpido de aquellas aplicaciones cuya
caída podría suponer pérdidas de integridad de la información y aplicaciones.
• Determinar el grado de exposición ante la intrusión de virus.
• Aspectos legales:
◦ Determinar que en el entorno ofimático se producen situaciones que puedan suponer infrac-
ciones a lo dispuesto por ley de protección de datos de carácter personal.
◦ Determinar que en el entorno ofimático se producen situaciones que puedan suponer infrac-
ciones a lo dispuesto por la ley sobre propiedad intelectual.
5.5. Problemas
Adquisición poco planificada.
Auditoría de la ofimática
Elaborado por:
Fecha de elaboración y fecha de entrega:
Número de páginas:
3. Objetivos
Verificar que el hardware y software se adquieren siempre y cuando tengan la seguridad de que
los sistemas computarizados proporcionarán mayores beneficios que cualquier otra alternativa.
Verificar que la selección de equipos y sistemas de computación es adecuada.
Verificar la existencia de un plan de actividades previo a la instalación.
Verificar que los procesos de compras TIC están sustentados en políticas, procedimientos, regla-
mentos y normatividad en general, que el proceso se realiza en un marco de legalidad y cumplien-
do con las verdaderas necesidades de la organización para hoy y el futuro, sin caer en omisiones,
excesos o incumplimientos.
Verificar que existen garantías para proteger la integridad de los recursos informáticos.
Verificar que la utilización adecuada de los equipos informáticos es acorde a planes y objetivos.
Plan de contingencia.
4. Alcance de la auditoría:
5. Hallazgos potenciales:
6. Conclusiones:
Como resultado se manifestará haber evaluado cada uno de los objetivos contenidos en el pro-
grama de auditoría.
Verificar que CPD np presenta deficiencias sobre el cumplimiento de normas de seguridad.
Manifestar la cantidad de empleados debidamente capacitados.
Destacar que la sistema ofimático pudiera servir de gran apoyo a la organización, el cual no es
explotado en su totalidad por falta de personal capacitado.
7. Recomendaciones:
6.1. Concepto
El proceso de organizar estructura los recursos, flujos de información y controles para alcanzar los objetivos
marcados durante la planificación. Los recursos financieros que la empresa destina a la tecnología de la infor-
mación y su dependencia con los procesos de la organización hacen necesaria una evaluación independiente
de la función que la gestiona o dirige.
Es efectuar un seguimiento permanente de las distintas actividades de la dirección, con el propósito de co-
rregir a tiempo cualquier anomalía o desviación que valla en desacuerdo con lo planificado Siempre en una
organización.
Es un examen que se realiza con carácter objetivo, crítico, sistemático y selectivo con el propósito de evaluar
la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la gestión informática y que ofrecen
el soporte adecuado a los objetivos y metas del negocio.
Es el control de las actividades del proceso de la dirección de los sistemas de información.
Una informática eficiente y eficaz requiere del apoyo de su dirección y que los procesos de gestión sean
óptimos.
Planificar
Organizar y coordinar
Controlar
56
Figura 6.1: Vista de un organigrama.
Son aplicables a las diversas facetas de la Dirección: consumo de recursos de equipos, desarrollo, operacio-
nes, etc. La organización debe estar estructurada para lograr eficiente y eficazmente los objetivos, y que se
obtengan a través de una adecuada toma de decisiones.
Es conveniente que existan estándares de rendimiento con el cual comparar diversas tareas.
Organizar.
Controlar.
Coordinar.
Los recursos financieros que la empresa dedica a la tecnología de la información y su dependencia con
sus propios procesos como organización hacen necesaria una evaluación independiente de la función que la
gestiona o dirige.
Alcance de la auditoría.
Objetivos de la auditoría.
Realizar un informe con el objeto de exponer la adecuación de las medidas aplicadas a las amenazas
definidas, así como el cumplimiento de los requisitos exigidos.
Resultados:
Informe de auditoría detectando riesgos y deficiencias en la Dirección de informática.
Plan de recomendaciones a ser aplicadas en función de:
• Normativa a cumplir
1. Organigrama
Cuando se realiza la auditoría a la dirección informática el requisito fundamental es conocer la es-
tructura organizacional de dicha Dirección. El auditor conocerá a que otras áreas soporta, a quienes
reportan, de quien dependen y/o sirven; en este caso
El organigrama presenta la siguiente información:
3. Entrevista a directivos
El director/jefe de informática o los miembros de la empresa con cargos directivos llenarán los cues-
tionarios sobre la estructura organizacional, funciones, objetivos y políticas; el auditor realizará las
entrevistas con las siguientes consideraciones:
entrevistar al auditado con el fin de recabar información, de una manera amigable, sin tensión y
con un vocabulario adecuado.
inspirar confianza al auditado.
seleccionar diferentes directivos como: jefes de proyectos, analistas, programadores, etc.
realizar la entrevista acordando la logística (hora, fecha, lugar, etc.).
4. Evaluación
Existen diferentes formas de evaluar a la Dirección informática, entre ellas se encuentran procedimien-
tos (desempeño) y documentos (manual de organización de la empresa), y entre las formas está:
1. ¿La dirección de los servicios de información desarrollan regularmente planes a corto, medio y largo
plazo que apoyen el logro de la misión y las metas generales de la organización?
6. ¿Existen estándares de funcionamiento y procedimientos que gobiernen la actividad del área de infor-
mática por un lado y sus relaciones con los directores y/o usuarios por otro?
9. ¿Las descripciones de los puestos de trabajo reflejan las actividades realizadas en la práctica?
10. ¿La selección de personal se basa en criterios objetivos y tiene en cuenta la formación, experiencia y
niveles de responsabilidad?
11. ¿El rendimiento de cada empleado se evalúa regularmente en base a estándares establecidos?
12. ¿Existen procesos para determinar las necesidades de formación de los empleados en base a su expe-
riencia?
13. ¿Existen controles que tienden a asegurar que el cambio de puesto de trabajo y la finalización de los
contratos laborales no afectan a los controles internos y a la seguridad informática?
61
7.4. Puntos a considerar
1. La auditoría de la explotación consiste en auditar las secciones que componen la explotación infor-
mática y sus interrelaciones. Ésta se divide en tres grandes áreas: planificación, producción y soporte
técnico.
2. Control de Entrada de Datos. Este proceso analiza la captura de la información en soporte compatible
con los sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos, es decir,
la correcta transmisión de datos entre entornos diferentes.
4. Centro de Control: Seguimiento de Trabajos Aquí se analiza cómo se prepara, se lanza y se sigue la
producción diaria. Para ello, se ejecutan procesos por cadenas o lotes (batch), o en tiempo real. La
diferencia entre batch y tiempo real, es que los procesos batch recogen información durante todo el
día y luego la procesan; en tiempo real, la información se analiza y procesa inmediatamente.
6. Centro de Control de Red y Centro de Diagnosis (mesa ayuda) El centro de control de red suele
ubicarse en el área de producción de Explotación. Es utilizado en el ámbito de las Comunicaciones,
estando bastante relacionado con la organización de Software de Comunicaciones de Técnicas de
Sistemas. El Centro de Diagnosis es el ente en donde se atienden las llamadas de los usuarios o clientes
que han sufrido averías o incidencias, tanto de software como de hardware. Debe auditarse desde la
perspectiva de la sensibilidad del usuario sobre el servicio que se le dispone.
7.5. Objetivos
Controlar los manuales de instrucciones y procedimientos de explotación.
Verificar los procedimientos para incorporar nuevos programas a las librerías de producción.
Comprobar que existen normas escritas que regulan lo relativo a copias de seguridad: manejo, autori-
zación de obtención de datos, copiado, destrucción, etc.
Tecnología: software y hardware, los sistemas operativos, así como los de gestión de base de datos,
los de red, etc.
Personal: Los conocimientos específicos que éste debe tener de los sistemas de información para su
planificación, organización, administración y gestión.
Estos recursos de los sistemas de información se han de utilizar de forma que:
faciliten la eficacia y la eficiencia de la empresa; que los datos elaborados por su sistema de informa-
ción muestren una imagen fiel de la misma y que la empresa cumpla la legislación vigente.
La organización de la empresa.
Información comercial.
La instalación de un sistema informático introduce nuevos elementos de control y origina cambios en los
procedimientos tradicionales del procesamiento de datos.
Estos controles son clasificados como:
nuevos para la automatización del procesamiento.
los que sustituyen a aquellos que en los sistemas manuales están basados en el criterio humano y en la
división de tareas.
Se necesitan nuevos controles debido a la automatización. Su objeto es detectar y controlar errores derivados
del uso del equipo informático y de los métodos de procesamiento en el equipo.
Si estos controles no existen, el sistema está expuesto a altos riesgos por error.
En un sistema manual, el control interno depende de factores como la supervisión humana, el cuidado, la
aceptación de responsabilidad y la división de tareas. En vista de que la actividad de procesamiento de infor-
mación está concentrada desaparecen muchos controles basados en el criterio humano y en la mencionada
división.
Los controles en un sistema informático proporcionan una seguridad razonable que el procesamiento opera
correctamente, detecta errores e irregularidades rápidamente y asegura una acción correctiva apropiada.
Los controles necesarios en este tipo pueden dividirse en los relacionados con las actividades de procesa-
miento, en los que previenen y detectan errores, y aquellos relacionados con la organización y administración.
Con respecto a estos dos últimos puntos: la organización y administración:
Se refieren a la asignación de responsabilidad y autoridad para las diversas funciones a realizar en la
organización.
Establecen responsabilidades a través de los trabajos a efectuar por el personal que interviene en el
procesamiento de información. Incluirán los títulos de los cargos y describen claramente las funciones.
También considera a la separación de tareas como elemento de control interno que se aplica en las funciones
básicas del sistema de información.
Los controles en el ingreso de datos son preventivos, evitan la producción de errores exigiendo el ajuste de
los datos introducidos a patrones de formato y estructura (fecha valida, dato numérico y/o dentro de un rango
especifico, introducción de dígitos de verificación, etc.).
Las pantallas de captura de datos, o formularios, son diseñadas de manera similar y consistente con los
documentos fuente de los cual se ingresan datos en el sistema. El orden de los campos, en la pantalla
y el documento, deben ser iguales para evitar errores de digitación.
En el ingreso de los datos, la aplicación debe tener mensajes de ayuda adecuados, con el objetivo de
facilitar la captura de estos y advertir sobre algún error cometido, indicando la clase de error y su
posible corrección.
Restringir el acceso de los usuarios a las diferentes opciones de la aplicación, definiendo perfiles de
acceso, de acuerdo a las funciones de cada cargo, para disminuir el riesgo que personas no autorizadas
lean, modifiquen, adicionen, eliminen datos o transacciones.
Identificar en cada pantalla de captura que los campos de los datos importantes sea de obligatoria
digitación.
En toda la aplicación, cada campo debe tener el formato de datos apropiado: numérico, alfabético o
alfanumérico, de fecha y la cantidad adecuada de caracteres.
Para los campos numéricos y de fecha, implantar controles de limite o racionabilidad, para asegurar
que los datos estén dentro de un rango determinado. Como la fecha de vencimiento de un crédito debe
ser posterior a la fecha de apertura del mismo.
La captura o modificación de datos críticos debe dejar una pista de auditoría (log) donde se identifique:
nombre del usuario, fecha y hora de captura, fecha y hora de modificación, ip de la computadora donde
se realizó la transacción.
Verificar que los log de la aplicación sean revisados por los responsables para investigar accesos y
manipulaciones no autorizadas.
Según sean ingresados los datos, el sistema debe compararlos con los registros de los archivos maestros
para determinar la validez de los datos ingresados, en caso de presentarse una inconsistencia, el sistema
avisará inmediatamente al usuario la situación para ser corregida.
De acuerdo con cada aplicación, las pantallas de captura de documentos fuente críticos y que tengan
al menos una columna numérica, incluirán el ingreso de totales de control, con el fin de verificar la
correcta digitación de cantidades. Los totales de control también se aplican en el ingreso de los lotes
de documentos, ingresando para cada lote, él número de documento a ser procesados, con el fin de
detectar los documentos faltantes por ingresar o ingresados más de una vez.
La aplicación debe imprimir listados de datos ingresados para ser revisados por los usuarios, con el
propósito de verificar la correcta inclusión de los datos.
La aplicación impedirá que los datos de los archivos maestros luego de un movimiento, sean borrados
del sistema.
Los números de documentos fuente o el número del lote, sólo deben ser ingresados para el procesa-
miento una vez.
Es importante tener en cuenta que los anteriores controles se aplican no sólo cuando los datos se
ingresan por primera vez, sino también, cuando ya estos existen en el sistema y lo que se quiere es
modificarlos.
En el ingreso de los datos, puede haber rechazados por el sistema; con lo que la aplicación facilitará el
control sobre dicha transacción, manteniéndola en un archivo para ser analizadas y corregidas por los
usuarios.
En el área de control de entrada de datos se localizan los siguientes puntos de control:
1. Transacciones en línea.
Los objetivos generales de este punto de control se apoyan en el:
2. Usuario y operador.
Los objetivos generales de este punto de control se apoyan en:
Objetivos específicos:
a) Resguardar físicamente el área destinada a terminales.
b) Asegurar que el dispositivo de entrada de datos pueda ser identificado.
c) Asegurar que antes de efectuar una conexión e iniciar una sesión de transmisión de datos, se
verifique que la respectiva terminal sea autentica.
d) Asegurar la autenticidad y legitimidad del operador/usuario.
e) Verificar que los usuarios opere en una terminal que envié y reciba transacciones dentro de los
límites de su autorización.
f ) Asegurar que la terminal, por medio del software de la computadora central, tenga la capacidad
de aceptar o rechazar transacciones en conformidad con las reglas establecidas.
g) Evitar la exposición a códigos de encriptación.
h) Minimizar el riesgo y desconfianza delimitados sobre lo que cada operador hace y observa.
i) Evitar que persona extrañas quieran obtener conocimiento de información confidencial.
Técnicas de control aplicables:
a) utilizar el software establecido.
b) Separar técnicamente las terminales de uso general.
c) Delimitar las opciones de los menues.
d) Evitar personas ajenas al operador autorizado.
e) Registrar los datos a transmitir.
f) Establecer procedimientos alternativos en caso de cualquier anomalía.
g) Establecer límites de tiempo para el mantenimiento.
h) Asignar llaves funcionales especiales a los usuarios.
i) Utilizar cables blindados.
j) Sólo la una persona autorizada cambiará los códigos de encriptación.
k) Verificar que las terminales quedan fuera de servicio, apagadas, al finalizar la jornada laboral.
Las aplicaciones en Tiempo Real u Online, son las que, luego de haber ingresado la información co-
rrespondiente, inmediatamente procesan y devuelven un resultado. Sistemas que responden en Tiempo
Real.
Los equipos preparados para técnicos, pasantes y/o becarios existentes en el departamento.
Personal externo que trabaje en la empresa y requiera de un computador para desempeñar parte de sus
funciones.
Usuarios que requieran de computador debido a que el asignado se daño y espera un nuevo equipo.
En una solicitud de reposición de un equipo de los casos mencionados, el usuario hace una solicitud di-
recta al departamento/unidad de sistemas informando la falla presentada por el equipo, el personal técnico
comprueba la falla, si es necesario autoriza la adquisición y/o reposición del equipo al usuario; mientras el
usuario tiene uno ”provisional”, hasta que le sea asignado un equipo definitivo.
7.12.2. Centro de control de red y Centro de diagnosis
El Centro de Control de Red (CCR) debe ubicarse en el área de explotación.
Sus funciones se refieren exclusivamente al ámbito de las comunicaciones, internas y externas, estando muy
relacionado con la organización del software de comunicaciones y tecnología de sistemas (CTS). Debe ana-
lizarse la fluidez de esa relación y el grado de coordinación entre ambos. Se verificará la existencia de un
punto focal único, desde el cual sean perceptibles todos las líneas asociadas al Sistema.
El Centro de Diagnosis atienden las llamadas de los usuarios-clientes que han sufrido averías o incidencias,
tanto de software como hardware. El Centro de Diagnosis está especialmente indicado para empresas que
gestionan redes informáticos con usuarios y/o sucursales dispersos en un territorio. Es uno de los elementos
que más contribuyen a configurar la imagen informática de la empresa. Debe ser auditada desde esta pers-
pectiva, desde la sensibilidad del usuario sobre el servicio que se le brinda. No basta comprobar la eficiencia
técnica del Centro, es necesario analizarlo simultáneamente desde el ámbito del usuario.
72
Recursos Humanos Utilizados. Deberán fijarse las tareas de análisis, de programación y las inter-
medias para cada elemento que constituye el grupo de desarrollo. En aplicaciones complejas se
recomienda variaciones en la composición del mismo, pero previstos en la planificación inicial.
C.- Satisfacción de usuarios: Una aplicación técnicamente eficiente y bien desarrollada, cumplirá con los
intereses del usuario solicitante, cuya aprobación proporciona grandes ventajas ya que evitará reprogra-
maciones y disminuirá el mantenimiento posterior de la aplicación.
D.- Control de procesos y ejecuciones críticas: El auditor no descartará la posibilidad de que se esté ejecu-
tando un módulo que no se corresponde con el programa fuente desarrollado, codificado y probado por
el grupo de desarrollo de la aplicación. Comprobará la correspondencia biunívoca y exclusiva entre el
programa codificado y su compilación. Si los programas fuente y los módulo no coincidieran se podría
provocar, desde errores1 que producirían graves fallos y altos costos de mantenimiento, hasta fraudes,
pasando por acciones de sabotaje, espionaje industrial/informativo, etc. Por lo que existen normas espe-
cíficas en cuanto a las librerías de programas; las que hayan sido aprobadas por la unidad de desarrollo,
son entregados a explotación con el propósito de:
1.- Copiar el programa fuente en la librería de fuentes de explotación, sólo el administrador tiene
acceso.
2.- Compilar y depositarlo el programa en la librería de módulos de explotación, sólo el administrador
tiene acceso.
3.- Copiar los programas fuente solicitados para su modificación, arreglo, etc. en el lugar que se le
indique.
4.- Cualquier cambio exigirá pasar de nuevo por el punto 1.
8.3. Objetivo
La política para auditar e ingresar un nuevo desarrollo es ardua y compleja, por ello muchas empresas se
apoyan en profesionales y en la auditoría externa como método para la confirmación que el desarrollo cumple
con las expectativas y fases expuestas.
8.4. Etapas
8.4.1. Participación de la gerencia
El auditor verificará:
Justificación.
Ambiente de la aplicación.
Restricciones o limitaciones.
Verificará que el proyecto en revisión coincide con el aprobado por el comité de planeación del sistema.
Comprobará que la documentación relacionada con la definición del proyecto está conforme a los estándares
establecidos para tales efectos.
1. Metodología del ciclo de vida del desarrollo de sistemas: su empleo garantizará que se cumplirán los
objetivos definidos para el sistema. Estos son algunos controles de la metodología:
La Unidad de sistemas publicará una normativa sobre el uso de la metodología de ciclo de vida
del desarrollo de sistemas y la revisará periódicamente.
La metodología establecerá los papeles y responsabilidades de las distintas aéreas de la Unidad de
sistemas y de los usuarios, así como la composición y responsabilidades del equipo del proyecto.
Las especificaciones del nuevo sistema deberán ser definidas por los usuarios y escritas y apro-
badas antes que comience el proceso de desarrollo.
Establecer un estudio de viabilidad del proyecto, en el cual se formulen formas alternativas para
alcanzar los objetivos del proyecto acompañadas de un análisis costo-beneficio para cada alter-
nativa.
Cuando se seleccione una, realizará el plan director del proyecto. En él, existirá una metodología
de control de costos.
Habrá procedimientos para la definición y documentación de especificaciones como: diseño, de
entrada, de salida, de archivos, base de datos, procesos, programas, controles de seguridad, pistas
de auditoría, etc.
Plan de validación, verificación y pruebas.
Estándares de prueba para programas, sistemas, plan de conversión y aceptación final.
2. Explotación y mantenimiento: el establecimiento de controles asegurará que los datos se tratan de for-
ma congruente y exacta y que el contenido de un sistema sólo será modificado mediante la autorización
adecuada. Estos son algunos de los controles a implantar:
3. Falta total o parcial de seguridad lógica y física que garanticen la integridad del personal, equipos e
información.
7. Descontento general de los usuarios, debido a incumplimiento de plazos y mala calidad de resultados.
Los motivos para efectuar una auditoría son sustentados cuando existen síntomas de debilidad en la empresa,
tal que acude a la auditoría externa para determinar en donde están las falencias. Estos síntomas se agrupan
en:
1. Desorganización y descoordinación:
Los tiempos conseguidos no se ajustan con los estimados, porque los parámetros de productivi-
dad no son respetados y sufren un desvío.
Los objetivos que la empresa persigue, no coinciden con los obtenidos.
Esto puede darse por un cambio masivo de personal, o porque un área tuvo una mala reestructu-
ración, o debido a que una norma importante que haya sido modificada.
Las pequeñas imprecisiones pueden ocasionar que la información generada no refleje lo real y que la
actividad del usuario se vea afectada por este motivo.
3. Debilidades económico-financieras:
4. Existe inseguridad:
Se da una evaluación de nivel de riesgos, la que contempla los puntos siguientes:
a) Seguridad Lógica.
b) Seguridad Física.
c) Aspectos de confidencialidad.
Controlar que las actividades se realizarán cumpliendo los procedimientos y normas fijados, evaluará
su bondad y asegura el cumplimiento de las normas legales.
Colaborar y apoyar el trabajo de auditoría informática, así como de las auditorías externas al Grupo.
Definir, implantar y ejecutar mecanismos y controles para comprobar los grados de aceptación del
servicio informático, lo cual no debe considerarse que la implantación de los mecanismos de medida
y la responsabilidad del logro de esos niveles se ubique en la función de control interno, sino que cada
responsable de objetivos y recursos asuma su responsabilidad es esos grados, así como la implantación
de los medios de medida adecuados.
Los sistemas de información no escapan a la nueva economía, la cual ha obligado a las empresas a realizar
cambios. Algunos de éstos, se resumen en:
Gestión de la calidad (TQM)2 es una estrategia orientada a crear conciencia de calidad en los procesos
organizacionales. TQM ha sido ampliamente utilizada en fabricación, educación, gobierno e industrias
de servicio, en los procesos que se realicen en cualquier tipo de organización.
TQM pretende no ser responsabilidad de un departamento concreto de la empresa, sino que es respon-
sabilidad de todos sus integrantes.
Por tanto, cuando se habla de TQM, no se trata solamente de la calidad del producto o del servicio
ofrecido por la organización, sino que más allá, al referirse a la calidad integral de los procesos y sis-
temas. Es decir, para lograr un producto o servicio final de calidad, también los procesos y sistemas
empleados en la ejecución de los mismos, deben ser de calidad.
Se afirma que TQM es la implantación de la calidad en los niveles de la organización, hasta conseguir
2 La Gestión de Calidad Total
que todos los integrantes de la empresa, se empeñen en el logro colectivo y global de la máxima cali-
dad.
Además, supone un cambio profundo en la cultura de la empresa, ya que pone el énfasis en las perso-
nas, a diferencia de otras etapas del desarrollo de la calidad, en las que se ponía en otros elementos.
Se resume la filosofía de TQM, en los siguientes conceptos:
• Orientación al usuario, tanto externo como interno, ya que es la razón de ser de la empresa y sin
su presencia y fidelidad, su sostenibilidad a largo plazo es imposible.
• La Participación activa del personal. Tendrá la habilidad y posibilidad, de proponer y realizar
cambios en los procesos y aportar soluciones a los problemas que surjan. Esto se consigue a
través de la formación y mejora de sus conocimientos y competencias.
• La Toma de decisiones basada en hechos. En muchas ocasiones, las empresas toman decisiones
basadas en intuiciones que pueden llegar a ser problemáticas. En cambio, con la toma de decisio-
nes basada en hechos y las herramientas adecuadas, es posible medir los resultados de procesos
y evaluar el grado de cumplimiento de los mismos.
• La Mejora de Procesos Permanente. Éstos, son el motor de la organización y en constante cam-
bio, lo que es necesario aplicar una metodología de mejora continua de los mismos, tal que
se proporcionen respuestas eficientes, a los requerimientos de calidad de los usuarios, en cada
momento.
La Gestión de la Calidad Total, es una filosofía de estilo de dirección, orientada a la mejora continua
de los procesos y sistemas, contando con la participación activa de los integrantes de la organización.
Consultoria3 .
Descentralización.
Los cambios mencionados se deben a fuerzas externas que presionan a la empresa (ver Figura 8.1). Ante esta
situación, las empresas evaluarán sus sistemas de control interno de manera permanente.
Para gestionar estas fuerzas, es necesaria la adopción de la tecnología disponible.
Los sistemas de información constituyen un soporte fundamental para iniciar las estrategias planteadas por
la dirección. También, origina un aumento de los requerimientos de control y auditoría.
En este escenario aparecen 2 conceptos fundamentales: El control interno y la auditoría informática.
3 Outsourcing
Figura 8.1: Atributos de calidad de la información
El control interno informático y la auditoría informática, tienen similitudes en sus objetivos profesionales.
Son campos análogos que propician una transición natural entre ambas disciplinas. Sin embargo, existen
diferencias que conviene resaltar.
Diferencias
Análisis de los controles Análisis de un momento
diario. informático determinado.
Funcionalidad.
Es el conjunto de atributos que se refieren a la existencia de un conjunto de funciones y sus propieda-
des específicas. Las funciones cumplen unos requerimientos o satisfacen unas necesidades implícitas.
Cuyas características de la funcionalidad son: aptitud, precisión, interoperatividad, conformidad, se-
guridad y trazabilidad.
Confiabilidad.
Es el conjunto de atributos que se refieren a la capacidad del software de mantener su nivel de ren-
dimiento bajo unas condiciones especificadas durante un período definido. Las características de la
Confiabilidad son: Madurez, Tolerancia a fallas, Facilidad de Recuperación, Disponibilidad y Degra-
dabilidad.
Facilidad de Uso.
Es el conjunto de atributos que se refieren al esfuerzo necesario para usarlo, y sobre la valoración indi-
vidual de tal uso, por un conjunto de usuarios definidos e implícitos. Las características de la Facilidad
de Uso son: Comprensibilidad, Facilidad de aprendizaje, Operatividad, Explicitud, Adaptabilidad al
usuario, Atractivo, Claridad, Facilidad de ayudas y Amistoso al usuario.
Eficiencia.
Es el conjunto de atributos que se refieren a las relaciones entre el nivel de rendimiento del software y la
cantidad de recursos utilizados bajo unas condiciones predefinidas. Las características de la Eficiencia
son: Respecto al tiempo y Respecto a los recursos.
Facilidad de Mantenimiento.
Es el conjunto de atributos que se refieren al esfuerzo necesario para hacer modificaciones especifi-
cadas. .Las características de la Facilidad de Mantenimiento son: Facilidad de análisis, Facilidad de
cambio, Estabilidad y Facilidad de prueba.
Portabilidad. Es el conjunto de atributos que se refieren a la habilidad del software para ser transfe-
rido desde un entorno a otro. Las características de la Portabilidad son: Adaptabilidad, Facilidad de
instalación, Conformidad y Facilidad de Reemplazo.
La valoración de estas características es útil para que el usuario defina los requerimientos del producto
utilizando solamente las características que emplee en la práctica. Para algunos tipos de productos de soft-
ware, hay determinadas características que no son significativas y las restantes no garantizan que con ellas
comprendan todos los requerimientos de los productos de software, por lo que en cada caso habrá que com-
pletarlas con otras definiciones más específicas para esos productos o situaciones. No obstante el modelo
tiene el nivel de abstracción suficiente como para que sea adaptable en la mayoría de las situaciones, siendo
además, independiente de la tecnología. Los pasos para la realización de una Auditoria de la Calidad del
Software son:
3. Relevar la información necesaria para el cálculo de las métricas de los requisitos aplicables,
4. Evaluar la Calidad del Software usando las métricas respecto de los requisitos establecidos en el paso
2 y determinar su cumplimiento,
El informe de auditoría de la calidad es un medio formal para comunicar los objetivos propuestos, el cuerpo
de las normas, el alcance, y los hallazgos y conclusiones. Es un documento que refleja los objetivos, alcan-
ces, observaciones, recomendaciones y conclusiones del proceso de evaluación relacionados con las áreas de
informática. El informe debe incluir suficiente información para que sea comprendido por los destinatarios
esperados y facilitar las acciones correctivas.
Existen esquemas recomendados respecto de los informes de auditoría con los requisitos mínimos aconseja-
bles respecto a estructura y contenido. Los puntos esenciales son:
9. Informe previo,
13. Conclusiones.
Por último, se dice que la auditoría de la calidad del software trae aparejado la certificación del software, lo
cual mejora el nivel de competitividad de la empresa con sus respectivas consecuencias.
1. Comprobará que los procedimientos implementados por el área de desarrollo de sistemas son efectivos
y debidamente documentados.
2. Verificará que el personal conoce, entiende y utiliza los manuales de procedimientos operativos.
4. Verificará que cada fase del desarrollo del sistema genera un producto técnicamente valido, en materia
funcional y de control.
5. Verificará que el comité de planeación, los usuarios, el equipo del proyecto y el grupo de control de
calidad pueden tomar decisiones en cada fase ya sea para continuar, modificar o suspender el proyecto.
La gerencia general.
El comité de planeación.
El equipo del proyecto.
El grupo de control de calidad.
La auditoría interna.
El equipo del proyecto estará integrado, por lo menos, por las siguientes personas:
Analistas de sistemas.
Diseñadores de sistemas.
Programadores.
Diseñadores gráficos.
Administradores de base de datos.
Expertos en control informático.
Usuarios del sistema.
7. Verificará que las interfaces están bien definidas entre el comité de planeación, la gerencia solicitante,
el equipo del proyecto, el grupo de control de calidad y la función de auditoría interna.
8. Verificará la forma de selección y asignación de responsabilidades a los integrantes del equipo del
proyecto.
9. Verificará que la metodología utilizada para el desarrollo de sistemas pasa revisión periódicamente.
10. Verificará la metodología de desarrollo de sistemas para saber si están empleando las técnicas y los
procedimientos adecuados.
12. Verificará que las decisiones tomadas por el personal de sistemas y los usuarios establecen una meto-
dología para el desarrollo de sistemas valida.
A continuación, el auditor identificará los puntos de control a ser evaluados en cada fase del proyecto:
8.5.4. Factibilidad
El auditor evaluará las alternativas de acción sugeridas por el equipo de trabajo y la potencial factibilidad de
cada uno de ellas.
Evaluará que la acción recomendada se sustenta adecuadamente y factible.
Software.
Entrenamiento.
Operación en paralelo.
El auditor comprobará que haya consenso, entre los usuarios finales de los sistemas, diseñadores, progra-
madores y quienes implantan el sistema, acerca de los costos, beneficios y requerimientos contractuales del
sistema.
Pistas de auditoría.
El auditor verificará de que las especificaciones de salida garanticen al usuario la integridad, exactitud y
autorización de la información recibida.
Además, comprobará que las especificaciones de salida están conforme a los estándares de desarrollo de
sistemas.
8.6.2. Especificaciones de entrada
El auditor examinará la documentación de las especificaciones de entrada y que contiene:
Especificaciones de validación.
Controles de privacidad.
Verificará que la gerencia del departamento usuario ha revisado y aprobado por escrito, las especificaciones
de entrada y están documentadas con base en los estándares de desarrollo de sistemas.
las especificaciones del diseño detallado, la documentación intermedia y los listados previstos en el
diseño.
la exactitud de los documentos intermedios y, en general, de los listados validos como pistas de audi-
torías.
la descripción detallada de la lógica, con el objetivo de establecer que está escrita en forma clara y
concisa para que sea fácilmente entendida su función.
los estándares de documentación están un diagrama de flujo del programa y que la documentación lo
contempla actualizado y ajustado a la definición del programa.
las descripciones de los archivos correspondientes a los programas seleccionados con el objetivo de
establecer si se describen con precisión los registros y los campos para los datos, incluyendo las defi-
niciones de los códigos y de los registros.
que las descripciones de los archivos y base de datos y los registros del administrador de la base de
datos y del diccionario de datos están de acuerdo con los estándares de la documentación. Cuando
sean base de datos, verificará que los elementos utilizados por los programas seleccionados están
debidamente descritos y que no alteran otras definiciones del sistema.
los programadores han instruidos en los estándares de documentación para la programación y sobre
los objetivos definidos por la organización.
el grupo de control de calidad y el de sistemas de información han aprobado los códigos, la documen-
tación y controles en los programas según políticas definidas por la empresa.
los pagos por servicio de programación están aprobados y de acuerdo con el respectivo contrato.
existen.
Con las redes informáticas y el acceso a Internet se consolidó un medio de comunicación que ha impactado
sobre los modos de organización de la sociedad y, por ende, el empresarial.
Interacción que ha generado las comunidades virtuales que están integradas por personas y organizaciones,
ubicadas en diferentes lugares y momentos, que comparten intereses comunes. En la práctica, compartir,
significa información en formato digital que fluye en muchos sentidos a través de la red. Stevenson [24] se
refiere a ella como la ”sociedad de la información compartida”.
En la actualidad, los elementos que conforman una red informática adquieren diferentes responsabilidades
sobre la información y su compartición, involucrándolos en diversos procesos del negocio. Por ello, este
capítulo está enfocado al estudio de la seguridad y administración en los diferentes puntos de acceso a las
redes informáticas de las organizaciones.
Dentro del ámbito informático, las redes informáticas quizás lo que más ha cambiado son las formas, se
habla de intranet1 , internet, Wifi, Bluetooth y la nube. También, el espectro de la auditoría ha cambiado,
ahora existe para redes alámbricas, inalámbricas y, la novedosa auditoría forense.
Son casos especiales las tecnologías computacionales en el sector de e-gobierno, la salud, el bancario y
financiero; situación que han incrementado la necesidad de una gestión eficaz y eficiente en la autorización
de ingreso a los recursos de red desde dentro o fuera de la misma y la necesidad de mantener los datos seguros
y no expuestos; además de tener una red libre de amenazas ante el tráfico de estos datos, manteniendo así
una red segura, disponible y confiable [25].
1 La tipología de red ha saltado del cableado clásico a la fibra óptica, y las microondas.
90
Figura 9.1: Elementos de seguridad a considerar en instituciones financieras.
Además, se están desarrollando sistemas operativos y aplicaciones pensados para otros dispositivos de me-
nor tamaño, distintos a los supercomputadores, computadores de escritorio, como ”laptops”, ”tablets”, los
”ebooks”, o los teléfonos inteligentes.
9.1. Objetivo
Una auditoría de red informática, es un proceso de revisión de la seguridad de una aplicación web, y más en
concreto, en el área de seguridad y administración de redes y sistemas operativos y cuya finalidad es encon-
trar las vulnerabilidades de seguridad existentes, con el objetivo de solucionarlas antes de que el atacante se
aproveche de las mismas.
Un auditor informático en redes informáticas es una profesional especialista con conocimientos técnicos
profundos en el ámbito de la informática, que es capaz de analizar una aplicación desde el punto de vista de
un atacante anónimo, tanto interno como externo.
El auditor informático atenderá la seguridad como uno de los puntos más preocupantes y complejos en el
diseño de las arquitecturas de red informática y la protección del manejo de la información, como responsa-
bilidad principal de la empresa, y en aquellos sectores especiales, donde la información tiene características
de confidencialidad e integridad únicas.
Además, verificará que la empresa facilite al usuario autenticarse en el sitio Web para iniciar una sesión, y
que una vez iniciada, un tercero no pueda utilizarla o interceptarla.
También, acreditará la realización de revisiones de seguridad, para constatar que los controles aplicados a
la infraestructura de cómputo y telecomunicaciones utilizadas sean los adecuados para las operaciones y
prestación de servicios a través de medios electrónicos.
9.2. Propósito
En los últimos tiempos se han incrementado, en potencia y frecuencia, los problemas ocasionados con los
ataques vía Internet. Muchas empresas ven comprometida su seguridad por las vulnerabilidades en su infra-
estructura tecnológica, lo que obliga a comprobar el sistema interno.
Por este motivo, es necesario conocer los tipos y propósitos de la auditoría a las redes informáticas, como
recurso eficaz para mantener la seguridad informática.
El auditor listará, de manera general, el conjunto de enfoques a ser utilizados para llevar a cabo la auditoría
de una red informática corporativa, donde deberá mencionar que el objetivo es: dar información sobre el
estado de las medidas de seguridad aplicadas, para identificar fallas, evaluarlas y posteriormente corregirlas.
Por último, se resaltará que no debe aplicarse una visión parcial de la auditoría, ya que en la actualidad las
distintas amenazas obligan a tener una perspectiva general de los problemas. De esta manera, es posible con-
siderar los distintos enfoques y sobre todo los elementos involucrados, ya que ningún sistema se encuentra
aislado -desde dispositivos de red, equipos de cómputo, móviles o cualquier otro que pueda conectarse a una
red.
Y esto, sin los análisis pertinentes, podría aumentar el espectro de vulnerabilidades.
sarios para cumplir con los objetivos de la empresa. Se trata de un paso previo a la determinación de una estrategia de gestión de la
información. De manera muy simple: el objetivo de la auditoría de la información es asegurar que la información que circulará por
el sistema es la que más conviene a la organización.
3 El papel de la auditoría de información es mantener un método para identificar, evaluar y gerenciar, y recursos de información
concierne a la gente como a los documentos existentes hasta qué punto éstos contribuyen a los objetivos de una empresa.
pues no deja de ser sólo una parte del proceso que sirve en determinados casos pero cuyos resultados podrían
ser, incluso, contraproducentes.
Alcance.
Objetivos.
• Realizar un informe de auditoría con el objeto de verificar la adecuación de las medidas aplicadas
a las amenazas definidas, así como el cumplimiento de los requisitos exigidos.
Referencia Legal.-
Resultados
Para el auditor informático, el entramado conceptual que constituyen las redes, sus nodos, líneas, concentra-
dores, multiplexores, redes locales, etc. son el soporte físico-lógico de la auditoría de redes informáticas en
tiempo real.
Figura 9.2: COBIT–Objetivos de control para la información pública y tecnologías Relacionadas
El auditor enfrentará la dificultad técnica del entorno, pues analizará situaciones y hechos alejados entre sí,
y estará condicionado a la participación del servicio telefónico que presta el soporte.
Como en otros casos, la auditoría de esta área requiere un equipo de especialistas, expertos en seguridad
informática, comunicaciones y en redes locales (no olvidar que en entornos geográficos reducidos, algunas
empresas optan por el uso interno de redes Locales, diseñadas y cableadas con recursos propios).
El auditor de informático investigará sobre los índices de utilización de las líneas contratadas con informa-
ción abundante sobre tiempos de desuso. Deberá proveerse de la topología de la red informática, la cual debe
estar actualizada, de no estarlo significaría una debilidad.
La falta de identificación de puntos, conocida como tabla o listado de asignaciones, que determina núme-
ro de líneas existen, qué puntos unen, cómo son y donde están instaladas, no saberlo supondría una grave
inoperatividad informática.
Estas son algunas de las debilidades más frecuentes o importantes que se encuentran en las redes informáti-
cas. La contratación, instalación y certificación de líneas va asociada a puestos de trabajo correspondientes
(pantallas, servidores de redes locales, computadoras con tarjetas de comunicaciones, impresoras, etc.), ac-
tividades que deberán estar coordinadas y de ser posible, dependientes de una única organización.
9.6. Metodología
Entre otras metodologías para la auditoría de redes informáticas, se propone utilizar una basada en OWASP,
OSSTMM.
La fundación OWASP5 es una organización sin ánimo de lucro fundada en USA.
Su proyecto reconocido es ”OWASP Testing Project”, que es una serie de pruebas para verificar la seguridad
de las aplicaciones web. En general, se utiliza el término OWASP para el testeo de aplicaciones web, pero
5 www.owasp.org
que tiene un amplio espectro de proyectos.
Este libro sugiere utilizar la metodología de pruebas de OWASP.
El manual OSSTMM6 describe la realización de las pruebas de seguridad y las métricas a emplear por el
auditor que realiza la auditoría de seguridad.
La fundación ISECOM publica y actualiza el manual.
OSSTMM es un estándar de facto (fue el primero en aparecer). El manual describe los casos de prueba de
los elementos a probados y como medir los resultados. Es más general que la metodología OWASP, porque
describe todo tipo de auditoría, no sólo la de aplicaciones web, y se toma como referencia para este texto.
(LAN) y cuyas especificaciones técnicas siguen el estándar Ethernet (o técnicamente IEEE 802.3)
9 En la actualidad, los hubs se consideran obsoletos. Ya que los switches tienen prestaciones muy superiores, por lo que si alguna
Existen diferentes clasificaciones con las que se verificará que se cumplen los requisitos de seguridad nece-
sarios dentro de los dispositivos que estén interconectados en la empresa.
Algunos de los puntos que certificará el auditor serán:
La red interna, en cambio, considerará la revisión de la configuración de segmentos de red, protocolos utili-
zados, servicios desactualizados y/o topologías empleadas.
La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confiden-
cial para individuos, empresas o instituciones, y puede ser cambiada, mal utilizada o divulgada a personas,
organizaciones e, incluso, países que hagan mal uso de ésta.
También puede ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad
computacional. Esta información es de suma importancia, y el no tenerla en el momento, en la calidad e
integridad precisa provocaría retrasos costosos en tiempo, dinero y prestigio.
En la actualidad y principalmente en los distintos equipos informáticos, personales y/o corporativos, se ha
dado otro factor a considerar: los llamados ”virus” de las computadoras, los cuales, aunque tienen diferentes
intenciones, se encuentra principalmente en paquetes y programas en la red que son copiados sin autoriza-
ción (”piratas”), programas que sabotean toda la información que se tiene en un disco. Al auditar los sistemas
se tendrá cuidado que no se tengan copias ”no autorizadas” o bien que, al conectarse en red con otras compu-
tadoras, no exista la posibilidad de transmisión del virus.
El auditor informático gestionará herramientas como: cortafuegos (firewalls), los sistemas de detección de
intrusiones (IDSs), o los sistemas de gestión de eventos e información de seguridad (SIEM).
El uso inadecuado de la computadora comienza desde la utilización de tiempo de máquina para usos ajenos
de la organización, el acceso a sitios web prohibidos, la copia de programas para fines de comercialización
sin reportar los derechos de autor hasta el acceso por vía telefónica a bases de datos a fin de modificar la
información con propósitos fraudulentos.
La seguridad informática abarca los conceptos de seguridad física y lógica.
Inicialmente, el auditor evaluará la parte física de la red, las condiciones del cableado estructurado, la sala
de servidores, el centros de datos, etiquetado de los cables, orden, limpieza y fichas técnicas; así como la
bitácora de mantenimiento de los equipos de red. Luego, realizará el levantamiento de información, análisis y
diagnóstico de la configuración lógica de la red: plan-ip, tabla y diagrama de vlan y topológico, ver figura 9.6,
situación del spaning-tree, configuración de los equipos de red, etc. Con la información obtenida realizará el
informe pertinente según situaciones y hallazgos registrados.
a) Movilidad.
c) Flexibilidad en la instalación.
e) Escalabilidad.
Detección de intrusiones.
2. Mapeado.
La información recolectada en la etapa anterior se utiliza para entender su funcionamiento, determinar
si la web es dinámica o estática, el flujo de navegación entre páginas, cómo se mantiene el estado de las
sesiones, si tiene parte autenticada o no, etc. Identifica las partes que componen la aplicación objetivo,
descubre cómo se relacionan estas partes entre sí, y cuál es el comportamiento lógico esperado del
usuario, para empezar a pensar, finalmente, dónde y cómo se puede evitar el flujo lógico, debido a un
comportamiento inesperado, que los desarrolladores del software no hayan considerado.
Actividades frecuentes:
Escaneo de puertos.
Versión del sistema operativo y otras aplicaciones.
Análisis SSL.
Análisis de balanceo de carga y firewalls de aplicaciones web.
Análisis de la configuración del software.
Spidering. Análisis de los resultados.
3. Descubrimiento.
De lo recolectado anteriormente, pretende descubrir las incidencias. Si el atacante tiene que crear algún
script, ver la pág. 108, lo hace en esta etapa y/o en la de explotación. Explora la aplicación con tráfico
malicioso dirigido a los puntos que cree vulnerables y planea los ataques contra la aplicación o contra
la configuración específica que presenta. En ocasiones, realiza algo de mapeo.
Entran en juego las herramientas propias de ataque y los diccionarios de fuzzing11 para el testeo de
parámetros.
Actividades frecuentes:
4. Explotación.
En la última etapa, el atacante tiene todo preparado para los ataques. Un único defecto encontrado en
la aplicación puede dar acceso a otras partes de la misma, o incluso a otras máquinas, que previamente
no eran vulnerables. Es una etapa cíclica, ya que en cada intento, pueden descubrirse más puntos donde
repetir el ataque con éxito. Un hacker o auditor inexperto suele saltarse las etapas anteriores y empezar
por esta directamente.
Figura 9.8: Pérdidas medias causadas por los incidentes de seguridad más comunes en las pymes.
La mejor manera de evitar estos tipos de ataque es conocerlos y entender cómo funcionan.
11 Técnica de pruebas de software, automatizado o semiautomatizado, que implica proporcionar datos no válidos, inesperados o
aleatorios a las entradas de un programa de computador.
9.15.1. Tipos de ataques informáticos
Existen numerosos tipos de ciberataques, cada uno con unas características u objetivos diferentes.
Debido a la complejidad de sus nombres, la mayoría de ellos en inglés, es complicado saber de qué se tratan.
Por ello, se describen los principales ataques informáticos para el auditor:
9.15.1.1. Malware
También llamado software malicioso, por su traducción del inglés (malicious software). Su función principal
es introducirse en un equipo y dañarlo de diversas formas.
Las más comunes son las siguientes:
1.- Virus. Permanece inactivo hasta que un usuario lo ejecuta. En ese momento, el virus comienza a infectar
los archivos extendiéndose por todo el equipo o red informática.
2.- Worms (gusanos). Infectan los archivos del equipo para difundirlos. Tienen la capacidad de extenderse
a otros equipos sin necesidad de que un usuario los ejecute.
3.- Troyanos. Muestran la apariencia de un programa fiable, pero esconden otro tipo de malware que es
instalado automáticamente para tomar el control del equipo.
4.- Keyloggers. Registran las pulsaciones del teclado. Esta información es utilizada para conseguir contra-
señas y datos del equipos y/o usuario.
6.- Adware. Se encarga de mostrar publicidad al usuario a través de banners, pop-ups, nuevas ventanas en
el explorador. El objetivo secundario es obtener información sobre la actividad del usuario en la red.
7.- Ransomware. Es el tipo de ataque más común en la actualidad. Se basa en el cifrado de los datos,
restringiendo el acceso a los archivos del equipo para solicitar el rescate de los mismos. En la mayoría
de los casos, pagos en bitcoins.
3. La gerencia de redes tiene un plan que permite modificar en forma oportuna el plan a largo plazo de
tecnología de redes , teniendo en cuenta los posibles cambios tecnológicos o en la organización?
6. ¿El plan de compras de hardware y software para el sector redes está de acuerdo con el plan de
infraestructura de redes?
7. ¿La responsabilidad operativa de las redes esta separada de las de operaciones del computador?
8. ¿Están establecidos controles especiales para salvaguardar la confidencialidad e integridad del proce-
samiento de los datos que pasan a través de redes públicas, y para proteger los sistemas conectados
9. ¿Existen controles especiales para mantener la disponibilidad de los servicios de red y computadoras
conectadas?
10. ¿Existen controles y procedimientos de gestión para proteger el acceso a las conexiones y servicios de
red.?
13. ¿Existen normas que detallan que estándares que deben cumplir el hardware y el software de tecnología
de redes?
111
10.1. Objetivo
”Verificar la responsabilidad para la planificación de planillas y control de los activos de datos de la empresa”
(administrador de datos).
”Verificar la responsabilidad de la administración del entorno de la base de datos” (administrador de la base
de datos).
Proporcionar servicios de apoyo en aspectos de empresa y métodos, mediante la definición, implantación y
actualización de base de datos y/o procedimientos administrativos con la finalidad de contribuir a la eficien-
cia.
Disponer de mecanismos para obtener trazas de auditoría completas y automáticas relacionadas con el acceso
a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de:
8. Recopilar estadísticas sobre qué tablas se están actualizando, cuántas E/S lógicas se realizan y cuántos
usuarios se conectan de forma simultánea en las horas de máxima actividad
10.2. Propósito
El propósito de los controles de las bases de datos es minimizar el riesgo inherente que tiene este valioso
recurso. Los datos contenidos en las bases de datos pueden considerarse uno de los activos más importantes
que tiene la organización, ellos finalmente producirán la información que necesita la empresa para su fun-
cionamiento día a día o para su planificación estratégica.
Se debe definir lo que se desea auditar:
Aspectos Claves:
2. Segregación de funciones:
La auditoría de base de datos no debe ser aplicada por los DBA del área de TIC.
Las bases de datos son componentes esenciales en los sistemas computacionales. Al final, las empresas
confían en ellas para conservar sus datos de forma segura y consistente. Para que estas cualidades sean
garantizadas, es importante que la auditoría en base de datos sea una política de la empresa.
La auditoría detecta y previene fallas en el sistema. En la base de datos, este proceso pasa a controlar y
registrar los eventos que se producen en el sistema. Para ello, define ciertas tablas para almacenar registros
con información sobre el uso de las bases de datos.
Con la auditoría, es posible:
4. La necesidad de auditoría aumenta según se utiliza la base de datos. Las metodologías usadas en este
proceso pueden ser desarrolladas por la propia empresa. La idea es establecer qué partes deben ser
revisadas, de acuerdo con las necesidades de la compañía, para garantizar la seguridad del sistema.
Condiciones relativas a los subsidios, los premios, la contratación o adhesión de las empresas.
Algunos organismos capturan y almacenan materiales disponibles pública y libremente, como los
sitios Web y las redes sociales, sin solicitar previamente autorización. Algunas de ellas aseguran que
harán un ”uso correcto” del material de dominio público; otros invocan la ”cláusula de exclusión” en
virtud de la cual se invita en general a los titulares de derechos a expresar sus objeciones.
10.8.2. De transacciones
1. Políticas y normas del negocio en relación con las actividades apoyadas con el SGBD
3. Diagrama de sistema y de red del servidor de bases de datos, servidores de replicación y/o de aplica-
ciones. Todas las conexiones clientes a la base de datos incluyendo interfaces de red, direcciones IP,
conexiones LAN y WAN.
6. Organigrama y descripción de funciones y procedimientos del personal que soporta las bases de datos.
13. Listados a través del sistema operativo de los directorios de la BD mostrando propietarios y permisos
hasta el nivel de archivos.
14. Listados a través del sistema operativo de los directorios de programas de aplicación que accedan las
BD, mostrando propietarios y permisos hasta el nivel de archivos.
nentes.
10.13. Diagramas y contenido de la base de datos
El auditor analizará la base de datos para determinar que cumple las definiciones de datos, estructuras,
relaciones, restricciones y el almacenamiento. Verificará que todo es tratado y almacenado de la forma espe-
cificada y que los usuarios han actuado en el mantenimiento de la consistencia y la integridad de los datos.
10.14. Mantenimiento
Es aquí donde se confirmará que el diseño de la base de datos es correcto, que el equipo está listo para
construirlo y que los usuarios están preparados para usarlo manera adecuada. Se definen los comportamientos
que cada uno debe tener para mantenerlo íntegro y seguro.
10.15. Revisiones
Después de la implantación de la base de datos, es esencial su revisión para comprobar que se han obtenido
los resultados esperados. Además, se debe evaluar que las necesidades de los usuarios se han cumplido y que
el costo-beneficio coincide con las previsiones.
La auditoría es esencial para determinar cómo mantener la integridad, la seguridad y el control de los datos.
Para ello, se recomienda utilizar software que extrae la información de la base de datos, muestra el camino
de las transacciones, supervisa y optimiza los procesos.
Para que la auditoría en la base de datos sea exitosa, el auditor deberá tener el apoyo de una empresa es-
pecializada, con profesionales experimentados, como soporte a que el proceso ocurra sin contratiempos ni
riesgos.
4. Se verificará que los controles y relaciones de datos se realizan de acuerdo a Normalización libre de
error
14. ¿Se verifican con frecuencia la validez de los inventarios de los archivos magnéticos?
16. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?
17. ¿Se registran como parte del inventario las nuevas cintas magnéticas que recibe el centro de computo?
20. ¿Se tiene relación del personal autorizado para manipular la BD?
21. ¿Se lleva control sobre los archivos trasmitidos por el sistema?
24. De acuerdo con los tiempos de utilización de cada dispositivo del sistema de cómputo, ¿existe equipo
capaces que soportar el trabajo?
27. ¿La capacidad de almacenamiento máximo de la BD es suficiente para atender el proceso por lotes y
el proceso remoto?
28. ¿Qué versión o versiones de SQL Server está o están siendo utilizadas actualmente? ¿Tienen todas ellas
licencia de uso activa? ¿Hay alguna versión no actualizada que aún se esté utilizando o soportando?
29. ¿Cuáles son los nombres de los servidores de base de datos SQL actualmente productivos y donde
están ubicados?
30. ¿Qué servidores de desarrollo están utilizando SQL Server y dónde están localizados?
31. ¿Qué dependencia o impacto tienen las aplicaciones que utilizan bases de datos respecto del funciona-
miento de la unidad?
32. ¿Quién es / son el/los administradores de las bases de datos (DBA)? ¿Quién es el backup del DBA?
34. ¿Está disponible la documentación para crear bases de datos estructurales y objetos de bases de datos,
y existe asistencia o ayuda para el diseño eficiente de aplicaciones?
35. ¿Ha existido recientemente algún problema?
Preguntar y revisar la documentación sobre el desarrollo realizado para un incidente recientemente
reportado.
36. ¿Cómo se monitorizan habitualmente las bases de datos? ¿Quién recibe las alertas y en qué formato o
de qué manera?
37. ¿Qué procesos se usan para el chequeo y gestión de base de datos a desarrollar y/o mantener? Copias
de seguridad de las bases de datos y restauración de las mismas.
38. ¿Cuál es el proceso y frecuencia con la que están programados los backups de los datos almacenados
en las bases de datos?
39. ¿Conoce y tiene experiencia el DBA o las personas apropiadas cómo recuperar datos perdidos o co-
rruptos?
40. ¿Qué método usa o usaría para recuperar y reconstruir datos perdidos o corruptos?
41. ¿Cuándo fue la última vez en la que fue necesario hacer una restauración de datos?
Revisar la documentación asociada a dicho problema y el proceso utilizado para su restauración y
solución.
42. ¿Existe un proceso formal de backup y restauración para los datos guardados en los servidores?
Asegurarse de que la reconstrucción de la sección asignada a la parte de datos del SQL Server está
bien documentada,
43. ¿Están los backups almacenados en un lugar apartado? ¿Se puede verificar?
44. ¿Pueden ser conseguidos los backups desde su emplazamiento externo habitual en menos de 24 horas?
¿Están realizados en modalidad 365*24*7?
45. ¿Están los datos salvados en modo de backup normal o son incrementales?
Si los datos están archivados, ¿cuál es la política y el proceso para realizar su archivado? Explicarlo y
verificarlo.
46. ¿Cuándo fue la última vez que se recuperaron datos perdidos o corruptos reales? ¿Qué proceso se
siguió? ¿Cuánto tiempo se invirtió en dicho proceso?
Si no ha habido algún proceso reciente de reconstrucción de datos desde archivos de respaldo o de
backup, ¿cuándo fue la última vez que se desarrolló un proceso de restauración en modo test y cómo
se verificó su correcto funcionamiento? Preguntar para ver la documentación histórica del comentado
proceso de restauración, sea real o en modo test.
48. ¿Existe un procedimiento adecuado Business Continuation Plan (BCP) y computer Disaster Recovery
Plan (cDRP) en el que esté incluido todo lo relativo a las bases de datos SQL?
49. ¿Ha habido allí alguna caída súbita de aplicaciones o alguna falta de disponibilidad de algún aspecto
relativo a SQL? Preguntar para revisar los tickets o peticiones de resolución asociados con dicho
problema para su correcta documentación, escalación, y sobre todo la documentación de las "lessons
learned-lecciones aprendidas".
50. ¿Sigue la adquisición del software SQL la normativa de la Empresa, división o los estándares de la
industria o negocio al que se dedica la Empresa?
Si la versión de SQL no fue adquirida por la vía legal de compra de software marcada por la Empresa,
¿quién fue el vendedor o la fuente a través de la cual fue comprada? ¿Quién y cómo da soporte sobre
ella?
51. ¿A quién se le reportan y quien hace un seguimiento de los problemas derivados de SQL?
52. ¿Existe un nivel identificado para el escalado para el Soporte de problemas (Tier 1, 2, y 3)? ¿Cuáles
son los criterios o pautas que regulan este escalado?
53. ¿Los permisos a las bases de datos para administradores / usuarios están regulados por grupos de
Directorio Activo?
54. ¿Quién administra la entrada y salida de trabajadores de la Empresa (incluyendo consultores o traba-
jadores externos)? ¿Está centralizado este proceso?
Si los permisos de usuario se dan a user id (user identification), ¿está el DBA (data base administrator)
incluido en el proceso de notificaciones de entrada y salida de la empresa? ¿Se desarrolla una revisión
periódica de los usuarios con permisos? Verificar que los “business owner” deben aprobar el acceso y
el correspondiente nivel de acceso o de permiso cuando las peticiones se hagan para solicitar accesos
a tablas o a bases de datos, bien sea directamente a través del SQL server o bien a través de algún apli-
cativo de desarrollo propio. Revisar las normativas o roles para acceso a las carpetas de los Servidores
de SQL para asegurar que los grupos de Directorio Activo se están usando, y verificar que las personas
que lo necesitan sólo tienen los accesos que realmente requieren para su trabajo.
55. ¿Cuál es el proceso de manejo de cambios para los cambios relativos al SQL Server y a las posibles
localizaciones de las bases de datos?
56. ¿Son todos los cambios manejados siguiendo el proceso marcado en el punto anterior? Preguntar
para ver un número representativo de cambios realizados documentando las respuestas y los procesos
realizados en cada caso.
57. ¿Cómo se manejan los requerimientos de cambios? Describir la inicialización de los cambios y el
seguimiento que se hace de ellos.
58. ¿Cómo se priorizan los cambios? ¿Cómo se manejan los cambios de alta prioridad o que tengan ca-
rácter de urgencia?
59. ¿Cómo se notifica al solicitante de cambios en las tablas del SQL Server, del estado de los mismos?
60. ¿Hay procedimientos para notificar al personal de Soporte de los cambios realizados en los sistemas?
¿Y a los usuarios finales a los efectos que cada uno necesite?
61. ¿Hay procedimientos para notificar a los usuarios finales de los cambios realizados en el sistema?
62. ¿Los cambios requeridos son revisados por un personal funcional con el conocimiento suficiente y
aprobados por el correspondiente “business owner”?
63. ¿Son los cambios registrados y seguidos a través de un sistema de manejo de cambios? Preguntar por
la documentación existente al respecto.
64. ¿Hay una aceptación del proceso de test junto con el departamento funcional que las utiliza? ¿Hay test
de resultados que muestren especialmente las diferencias encontradas, que estén grabados y que hayan
sido revisados?
65. ¿Cuál es el proceso documentado a seguir para instalar una nueva versión del software de base de
datos?
66. ¿Se aplicaron los cambios durante periodos relativamente tranquilos cuando el desastre pudo ser así
debidamente minimizado?
67. ¿Hay un proceso de manejo de los cambios específicos que provea un plan de vuelta atrás?
Preguntar por un ejemplo del mismo para verificación.
68. ¿Quién es el encargado de mover los cambios en las bases de datos, del servidor de test al productivo?
70. ¿Quiénes son los administradores principales de estas bases de datos y de sus back- ups?
72. ¿Qué formación inicial y complementaria tienen para las bases de datos (DBA)? Si el soporte no es
para un DBA local, explicar cómo se realiza el acceso a la red y el mantenimiento de las mismas.
73. ¿Cuáles son los procedimientos documentados de la unidad y las normas para hacer frente a la mani-
pulación y al mantenimiento de programas de aplicaciones financieras y a sus datos?
74. ¿Cómo se comunica a los trabajadores del equipo de informática y analistas funcionales los eventos
realizados o a realizar sobre estas bases de datos?
75. ¿Quién es el responsable de la recuperación de una base de datos perdida o dañada (es decir Mdb, Dbf
y el espacio dedicado a ellas)? Revisar la política, procedimiento, y los registros de datos usados dia-
riamente y la restauración de los mismos (es decir, la recuperación de datos en un momento específico
del tiempo).
78. ¿Dónde está localizado y cuál es el proceso documentado para adquirir y actualizar las bases de datos?
79. ¿Cuál es el procedimiento con el que se reacciona a los eventos / acontecimientos reportados (es decir,
informe, seguimiento, resolución o escalado de los problemas)?
82. ¿Cuál es y dónde está guardado el proceso para la concesión / revisión de acceso de base de datos para
los usuarios (es decir, grupo de acceso, ficheros Mdb o las funciones de base de datos de Oracle)? Si
se utilizan grupos RACF o grupos de AD, obtener una lista de ellos y verificar quien tiene acceso a los
mismos.
83. ¿Dónde se guardan y cuáles son los procedimientos para la administración de usuarios, acceso, trans-
ferencia de archivos, etc.? Si no está hecho, pedir al Coordinador de Recursos Humanos una lista de los
usuarios nuevos, de usuarios antiguos y también de los becarios o de los consultores. Asegúrese que
no hay fallos secundarios de seguridad para las bases de datos y que estén todas controladas, sean del
tipo que sea (Access, Oracle, Dbase II, etc.). Asegúrese de que los servidores de bases de datos están
ubicados en una zona de seguridad protegida. Pregunte al administrador del DBA o al Network Admi-
nistrator para que nos muestre las ubicaciones físicas de los servidores . CHECKLIST AUDITORIA
DE BASE DE DATOS:
84. Existe algún archivo de tipo Log donde guarde información referida a las operaciones que realiza la
Base de datos?
86. Existe algún usuario que no sea el DBA pero que tenga asignado el rol DBA del servidor?
87. Se encuentra un administrador de sistemas en la empresa que lleve un control de los usuario?
93. Se encuentran listados de todos aquellos intentos de accesos no satisfactorios o denegados a estructu-
ras, tablas físicas y lógicas del repositorio?
96. Existe una instancia con copia del Repositorio para el entorno de desarrollo?
102. Se ha probado restaurar alguna vez una copia de seguridad, para probar que las mismas se encuentren
bien hechas?
103. Los dispositivos que tienen las copias de seguridad, son almacenados fuera del edificio de la empresa?
104. En caso que el equipo principal sufra una avería, ¿existen equipos auxiliares?
108. Se lleva a cabo una comprobación, para verificar que los cambios efectuados son los solicitados por el
interesado?
114. Existe algún tipo de documentación referida a la estructura y contenidos de la Base de Datos?
116. Se encuentra la Base de Datos actualizada con el último Set de Parches de Seguridad?
117. Existe algún plan de contingencia ante alguna situación no deseada en la Base de Datos?
118. Existen logs que permitan tener pistas sobre las acciones realizadas sobre los objetos de las base de
datos?
121. Se han configurado estos logs para que sólo almacenan la información relevante?
123. Las instalaciones del centro de cómputo son resistentes a potenciales daños causados por agua?
124. Las instalaciones del centro de cómputo son resistentes a potenciales daños causados por el fuego?
125. La ubicación del centro de cómputo es acorde con las mínimas condiciones de seguridad?
126. Existe y es conocido un plan de actuación para el personal del centro de cómputo, en caso de incidentes
naturales u otros que involucren gravemente la instalación?
127. Existe un control de las entradas y las salidas de la base de datos (A nivel datos)?
2. Los recursos materiales, tales como equipos y sus características, el software instalado, así como los
objetivos a los que están destinados.
Luego de realizada la auditoría y teniendo en cuenta que el sistema informático tiene continuos cambios, el
”mantenimiento de sistema” pretende cubrir tres objetivos:
1. Mantener actualizada la documentación relacionada con dicho sistema informático, recopilada e iden-
tificada en auditorías internas periódicas, simulación de situaciones, revisión documentación, diagnós-
ticos de rendimientos, revisiones de seguridad, etc.
2. Ayudar al responsable de la empresa a resolver aquellas incidencias complejas del día a día, es decir,
ser el soporte de segundo nivel del responsable informático de la empresa.
126
3. Asesorar sobre nuevas soluciones a desarrollar en el sistema informático o mejoras a implementar.
1. Alcance.
2. Objetivos.
3. Referencia Legal:
Estándares.
ISO/IEC 12207.
IEEE 1074.
IEEE 1219.
ISO/IEC 14764.
El directorio telefónico: para notificar al personal clave del problema y asignarles tareas enfocadas
hacia el plan de recuperación.
Reservas de memoria: las cintas, cd, dvd, discos duros externos, unidades sd de reserva que son con-
servadas fuera de la empresa es necesario grabarlas por triplicado. Si usan servicios remotos de reserva
requerirá una conexión de red a la posición remota de reserva (o Internet).
Clientes: tener una notificación preparada para informales sobre el problema, podría reducir al mínimo
el pánico.
Trabajadores con conocimiento. Durante un desastre, a los empleados se les requiere trabajar más
horas. Deberá haber un sistema de apoyo para aliviar la tensión.
Ser profesionales que conocen bien el entorno de mantenimiento, y preferiblemente ingenieros con
años de experiencia.
Personal y organigrama.
Gestión de repuestos.
Junto con el índice de conformidad global, es conveniente medir al menos otros cuatro índices, referi-
dos a cómo se ve afectada la disponibilidad de los sistemas, la fiabilidad, como se afecta la posibilidad
de sufrir una avería de gran alcance, a incrementar los costos, a aumentar la posibilidad de accidentes
y/o a disminuir la vida útil de la planta.
Para calcular cada uno de ellos, basta con tomar únicamente los aspectos que influyen en cada una de esas
consecuencias, y aplicar la fórmula anterior por separado para cada conjunto de aspectos.
2. ¿Hay personal considerado ”imprescindible” cuya ausencia afecta a la actividad normal del área de
mantenimiento?
3. ¿El organigrama garantiza que habrá personal disponible para realizar un mantenimiento programado,
incluso en el caso de un aumento del mantenimiento correctivo?
5. ¿La cualificación previa que se exige al personal del área de mantenimiento es la adecuada?
6. ¿Se realiza una formación inicial efectiva cuando se incorpora un nuevo trabajador al área de mante-
nimiento?
8. ¿Este plan de formación hace que los conocimientos en el mantenimiento de la planta mejoren?
9. ¿El plan de formación hace que los conocimientos en otras áreas de la planta (operaciones, seguridad,
medio-ambiente, administración, etc.) mejoren?
10. ¿El personal de mantenimiento mecánico realiza tareas eléctricas o de instrumentación sencillas?
11. ¿El personal de mantenimiento mecánico realiza tareas eléctricas o de instrumentación especializadas?
14. ¿El personal de mantenimiento está capacitado para trabajar en otras áreas (operaciones, seguridad,
control químico, etc.)?
18. ¿Los tiempos de intervención se ajustan a la duración teórica estimable en que podrían realizarse los
trabajos?
20. ¿El personal de mantenimiento percibe que la empresa se preocupa de sus necesidades para realizar
un buen trabajo?
21. ¿El personal de mantenimiento considera que tiene proyección profesional dentro de la empresa?
24. ¿El personal de mantenimiento está comprometido con los objetivos de la empresa?
26. ¿El personal de mantenimiento considera que el ambiente del departamento de mantenimiento es agra-
dable?
30. ¿El plan de mantenimiento afecta a todas las áreas y equipos significativos de la planta?
31. ¿La estructura del plan de mantenimiento facilita su actualización y control de la ejecución? Para
elaborar el plan, ¿se han tenido en cuenta la importancia de los equipos? Para elaborar el plan, ¿se han
tenido en cuenta la importancia de los fallos?
32. ¿El plan tiene como objetivo principal evitar los fallos críticos de la planta?
36. ¿Hay una programación de las tareas que incluye el plan de mantenimiento?
41. ¿Los responsables de mantenimiento y de la instalación conocen las obligaciones legales de manteni-
miento?
44. ¿Se han suscrito los contratos obligatorios que contemplan las diversas normativas?
50. ¿Los procedimientos contienen la información que se necesita para realizar cada tarea?
51. ¿El personal de mantenimiento recibe formación en estos procedimientos, especialmente cuando se
producen cambios?
53. ¿Cuándo el personal de mantenimiento realiza una tarea utiliza el procedimiento aprobado?
55. ¿El departamento de mantenimiento dispone de los medios de comunicación interna que se necesitan?
56. ¿El departamento de mantenimiento dispone de los medios de comunicación con el exterior que se
necesitan?
58. ¿Se dispone de los medios de elevación que se necesitan (carretillas elevadoras, carretillas manuales,
polipastos, puentes grúa, diferenciales, etc.)
61. ¿Las herramientas para el mantenimiento de la instrumentación se corresponden con lo que se necesi-
ta?
62. ¿Las herramientas para el mantenimiento predictivo se corresponden con lo que se necesita?
69. ¿La proporción entre horas/hombre dedicadas a mantenimiento programado y correctivo no progra-
mado es la adecuada?
75. ¿La razón por la que las averías pendientes están pendientes está justificada?
76. ¿Se realiza un análisis de los fallos que afectan a los resultados de la planta?
79. ¿Se ha elaborado una lista de repuesto mínimo que debe permanecer en inventario?
80. ¿Los criterios empleados para elaborar esa lista son válidos?
85. ¿Coincide el inventario físico con el teórico (según los inventarios y el sistema informático)?
91. ¿Todos los trabajos que se realizan se reflejan en una orden de trabajo?
101. ¿Se emite un informe periódico que analiza la evolución del departamento de mantenimiento?
118. ¿Existe un programa de mantenimiento preventivo para cada dispositivo del sistema de cómputo?
121. Si los tiempos de reparación son superiores a los estipulados en el contrato, ¿Qué acciones correctivas
se toman para ajustarlos a lo convenido?
128. ¿Las variaciones en el diseño son supervisadas durante el desarrollo para establecer su impacto sobre
la mantenibilidad?
129. ¿Se realizan varios tipos de medidas para poder estimar la calidad del software?
131. ¿El desarrollador prepara un Plan de Mantenibilidad que establece prácticas específicas de mantenibi-
lidad, así como recursos y secuencias relevantes de actividades?
132. ¿Durante el análisis de requerimientos, los siguientes aspectos que afectan a la mantenibilidad, son
tomados en cuenta?
Auditoría de la seguridad
12
Una auditoría de seguridad informática se define como la evaluación del nivel de madurez en seguridad de
una empresa, donde se analizan las políticas y procedimientos de seguridad definidos por la misma y se
revisa su grado de cumplimiento. También, las medidas técnicas y organizativas implantadas para garantizar
la seguridad. En este capítulo se presenta en qué consiste una auditoría de seguridad informática y sus
tipologías.
136
Forense: pretende recopilar la información para determinar qué ha desencadenado el evento in-
formático, las causas que lo han producido, el alcance del mismo (sistemas y/o información
afectada), así como las evidencias digitales del mismo.
Aplicaciones Web: pretende identificar las potenciales vulnerabilidades en este tipo de aplicacio-
nes las que podrían ser explotadas por atacantes. Este tipo de auditoría se diferencia en el análisis
dinámico de la aplicación (DAST – Dynamic Application Security Testing), de una revisión en
tiempo de ejecución de la aplicación sobre la propia web y el análisis estático de la aplicación
(SAST – Static Application Security Testing), buscando posibles vulnerabilidades en el código.
Hacking ético o test de intrusión: auditoría que prueba las medidas de seguridad técnicas de una
empresa (como firewalls, IDS/IPS, etc.) de la misma manera que lo haría un potencial atacante
para identificar debilidades o vulnerabilidades explotables a ser corregidas.
Control de acceso físico: audita las plataformas y medidas de seguridad que componen el sistema
de seguridad perimetral físico de una empresa (cámaras, mecanismos de apertura de puertas,
software de control de acceso, etc.) para verificar su funcionamiento.
Red: revisa todos los dispositivos conectados a la red y verifica la seguridad de los mismos
(actualización de su firmware, firmas de antivirus, reglas de Firewall, control de acceso a la red,
segmentación de la red en VLAN, seguridad de las redes Wifi, etc.)
La auditoría de seguridad elabora un informe detallado conteniendo los siguientes aspectos: alcance de la
auditoría, metodología seguida, resultados de la evaluación de los objetivos de control, hallazgos detectados,
riesgos asociados a los hallazgos y recomendaciones para la definición e implementación de un plan de
acción correctivo.
1. Alcance.
empresa y calificación del personal:
Planes y procedimientos.
Sistemas técnicos de detección y comunicación.
Análisis de puestos.
Mantenimiento.
Normativa.
2. Objetivos:
Realizar un informe de auditoría con el objeto de verificar la adecuación de las medidas aplicadas
a las amenazas definidas, así como el cumplimiento de los requisitos exigidos.
3. Referencia Legal:
Manual de auto protección aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96),
Normativa de las Comunidades Autónomas y Ordenanzas Municipales, CEPREVEN.
4. Resultados:
Informe de auditoría detectando riesgos y deficiencias en el sistema de seguridad.
Plan de recomendaciones a aplicar en función de:
• Riesgos.
• Normativa a cumplir.
• Costos estimados de las recomendaciones.
12.3. Lógica
PREGUNTAS
2. ¿Existe un documento donde este especificado la relación de las funciones y obligaciones del personal?
5. ¿Existe una relación del personal autorizado a conceder, alterar o anular el acceso sobre datos y recur-
sos?
6. ¿Existe una relación de controles periódicos a realizar para verificar el cumplimiento del documento?
8. ¿Existe una relación del personal autorizado a acceder a los locales donde se encuentren ubicados los
sistemas que tratan datos personales?
11. ¿Existe una relación de usuarios autorizados a acceder a los sistemas y que incluye los tipos de acceso
permitidos?
12. ¿Los derechos de acceso concedidos a los usuarios son los necesarios y suficientes para el ejercicio de
las funciones que tienen encomendadas, las cuales a su vez se encuentran o deben estar- documentadas
en el Documento de Seguridad?
13. ¿Hay dadas de alta en el sistema cuentas de usuario genéricas, es decir, utilizadas por más de una
persona, no permitiendo por tanto la identificación de la persona física que las ha utilizado?
14. ¿En la práctica las personas que tienen atribuciones y privilegios dentro del sistema para conceder
derechos de acceso son las autorizadas e incluidas en el Documento de Seguridad?
16. ¿En el sistema están habilitadas para todas las cuentas de usuario las opciones que permiten establecer:
2. ¿Existen procedimientos que aseguran que, de todos los archivos con datos de carácter personal, se
realiza copia al menos una vez cada semana?
3. ¿Hay procedimientos que aseguran la realización de copias de todos aquellos archivos que han expe-
rimentado algún cambio en su contenido?
6. ¿Sólo las personas con acceso autorizado en el documento de seguridad tienen acceso a los soportes
que contienen las copias de seguridad?
7. ¿Las copias de seguridad de archivos de nivel alto incluyen los archivos cifrados, si estas copias se
transportan fuera de las instalaciones?
8. ¿Las copias de seguridad de los archivos de nivel alto se almacenan en lugar diferente al de los equipos
que las procesan?
11. ¿Las copias de seguridad, o cualquier otro soporte, se almacenan fuera de la instalación?
2. Auditorías de código:
Se trata de pruebas de calidad del código fuente para identificar vulnerabilidades no sólo ante ataques
informáticos sino también ante el propio crecimiento de la demanda que la actividad realizada por el
software.
3. La auditoría web:
Este tipo de análisis está orientado a conocer las propiedades de las aplicaciones digitales y servicios
web utilizados a diario según la estrategia de negocio para prevenir posibles riesgos y optimizar la
seguridad.
4. Actualización de dispositivos:
Se trata de la verificación de la actualización del software y antivirus. Se comprueba el cumplimiento
de las reglas del firewall.
5. Hacking Ético:
Este tipo de auditoría es de la más interesante ya que consiste en probar las medidas de seguridad con
un test de intrusión con técnicas de hacking.
6. Auditoría de redes:
Esta herramienta provee a los directivos de un mapeo de todos los equipos conectados a la red interna,
el estado de las conexiones y la actividad de los dispositivos que articula.
7. Auditoría física:
Es un servicio que se encarga de proteger perimetralmente a una entidad a partir de sistemas como
controles físicos de entrada, alarmas contra incendios, sistemas de videovigilancia, el estado de las
instalaciones de servicios de luz, agua y gas, etc.
12.7. ¿Qué beneficios tiene la auditoría informática?
A través de ella, la empresa accede a un informe detallado sobre cada uno de los aspectos importantes
relacionados con su actividad automatizada.
De esta forma, se mencionan las oportunidades para optimizar el trabajo, tal que con las ventajas inmediatas
de la implementación de mejoras basadas en una auditoría informática la empresa logrará:
Prevención de delitos
Para que una auditoría informática sea realmente productiva para una empresa, lo fundamental es que sea
parte de una política general de resguardo de la seguridad informática y la optimización de las inversiones y
esfuerzos a través de constantes mejoras en los sistemas informáticos.
Las empresas que han tomado consciencia de la importancia de la seguridad informática, saben que los
beneficios también se presentan en la imagen que la institución ofrece a los clientes y la sustentabilidad del
negocio.
12.10. Phishing
El phishing y los piratas informáticos de los medios sociales y el correo electrónico son los delitos ciberné-
ticos que se denuncian con más frecuencia en varios países.
El auditor debe considerar que, aunque una de cada tres empresas de aplicaciones Web está preocupada por
las estafas de phishing. El software de rescate es una preocupación para un tercio de ellas, mientras que una
quinta parte de las empresas se preocupan por el robo de sus datos financieros.
Una de cada cinco empresas encuestadas ha sido víctima de un cibercrimen.
Las personas que han sido víctimas de los ciberdelitos tienen una tasa de estrés (reportada por el 75 %) y an-
siedad (reportada por el 70 %) como los impactos psicológicos más comunes. Otras repercusiones mentales
incluyen miedo (52 %), vergüenza (51 %), ira (48 %) y aislamiento (43 %).
Más de la mitad (57 %) de esas personas no considera útil denunciar el delito cibernético, y sólo el 21 % dice
que el sistema legal hace un buen trabajo al protegerlos del fraude en línea.
Si bien un 55 % de la población siente que su sistema legal hace un buen trabajo al protegerlos del fraude en
línea; sin embargo, el 37 % dice que denunciar el crimen cibernético no es útil.
Los investigadores notaron ciertas diferencias en la actitud hacia la seguridad entre los grupos de edad.
Una falsa sensación de seguridad fue más evidente entre los Gen Z, (18 a 25 años), con el 50 % sintiendo que
no son lo suficientemente importantes o vulnerables como para ser blanco de los piratas informáticos.
NOTA: Es común que los servicios de correo electrónico, estén habilitados por defecto. Si
no lo utiliza es importante que lo anule y/o elimine.
En términos de cifrado hay varios algoritmos hash usados para de cifrado seguro.
Este es un resumen de los más conocidos, dependiendo del primer número entre símbolos $ será una
codificación u otra.
Al poner una contraseña a un usuario, la función hash la cifra con el algoritmo determinado según sea
el cifrado. Toma un bloque arbitrario de datos y devuelve una cadena con una determinada longitud
(valor hash). Los datos para ser codificados son denominados ”el mensaje” y el valor hash se le deno-
mina ”message digest” o simplemente ”digest”.
1 $6$OrqRmooe$2XSkIJNgd3Te/xPUd6S1wdysNgPhFrT7UFHkbhvjECkt/
L9Z3rmqBUbRDBcfLf4sz/Z775X.WgJTaijVG7mhn1
El número destacado 6 indica en qué tipo de hash está la contraseña cifrada, en este caso se trata de
SHA-512, (Secure Hash Algorithm) y por lo tanto tiene 86 caracteres en total.
7. Detectar malware.
También se recomienda escanear al servidor en busca de software malicioso. Si localiza algo extraño,
debe eliminarlo inmediatamente. Si bien el malware no es común en Linux, si existe.
Los consejos de seguridad están incompletos sin ClamAV; una de las mejores herramientas de escaneo
para los sistemas basados en Linux. El auditor analizará el servidor en busca de software o archivos
maliciosos y los elimina automáticamente (si lo indicas).
Los consejos de seguridad presentados, son básicos y de sentido común si no quiere tener intrusiones ajenas
en su servidor.
Auditoría forense
13
Este capítulo es una introducción a la auditoría informática, no pretende ser una presentación exhaustiva del
tema, lo que queda fuera del contexto del capítulo y de este texto.
La ciencia forense es sistemática y se basa en hechos premeditados para recabar pruebas y luego analizarlas.
La tecnología, en caso de análisis forense en sistemas informáticos, son aplicaciones que hacen un papel de
suma importancia en recaudar la información y pruebas necesarias. La escena del crimen es el computador
y la red a la cual éste está conectado. Gran cantidad de documentos son elaborados digitalmente en compu-
tadores para ser a continuación impresos.
Ya se han producido algunas experiencias en algunos países de habla hispana, siendo los más destacados
España, México, Venezuela y Colombia; los cuales han solicitado la determinación de la autenticidad e in-
tegridad por ejemplo de mensajes de e-mail pudiéndose relacionar con un remitente, dirección de correo,
computador y hasta con una persona determinada e inclusive la relación entre estos elementos y los datos
anexos (attachments) que se encontraban en el email almacenado previamente en el equipo incurso.
Hay que tener en cuenta que ”Forense” es un proceso legal, así como mecanismos y herramientas técnico-
legales. Según la investigación que sea, el auditor forense informático debe entender y aplicar una amplia
gama de conceptos jurídicos, y tomar en cuenta los precedentes, como la cadena de custodia, el deterioro
de las pruebas, y contar con las pruebas suficientes que sean aceptadas ente los tribunales, esto puede ser
desalentador.
Por esto, la mayoría de las técnicas de análisis forense se centran en la recuperación de la información en
discos duros, para lo cual existen herramientas que realizan duplicaciones exactas del contenido de un disco
duro.
La figura del auditor forense informático se ha creado para conocer los ataques informáticos y realizar inves-
tigaciones informáticas y análisis digitales, recabar datos para ser utilizados como pruebas judiciales y sobre
todo para documentar la comisión de ciberataques en una empresa.
146
y México, la UNAM a través de la DGSCA y el UNAM-CERT y la organización pública Red.es a través
del Grupo de Seguridad de RedIRIS, con el apoyo de organizaciones y organismos de seguridad informática
iberoamericanos y mundiales.
El Centro de INTERPOL contra la Delincuencia digital, indica ”que los delincuentes se aprovechan de las
nuevas tecnologías, de la facilidad de los desplazamientos internacionales y del anonimato de las actividades
en el mundo virtual..” adiciona ”..en el mundo virtual, casi cualquier persona puede participar en un delito y
borrar el rastro de su actividad de una manera que es prácticamente imposible en el mundo real..” [45]
El autor pretende estimular a los interesados en conocer con alguna profundidad la problemática que acom-
paña a la auditoría forense informática.
Otro concepto importante es el Incidente de Seguridad Informática, que ha evolucionado en los últimos años.
En principio, un incidente de este tipo se entendía como cualquier evento anómalo que pudiese afectar a la
seguridad de la información, como podría ser una pérdida de disponibilidad, su integridad o confidencialidad,
etc.
Pero la aparición de nuevos tipos de incidentes ha hecho que este concepto haya ampliado su definición.
Actualmente un Incidente de Seguridad Informática puede considerarse como una violación o intento de
violación de la política de seguridad, del uso adecuado o de las buenas prácticas de utilización de los sistemas
informáticos.
En USA, la informática forense tuvo su punto de quiebre cuando los policías e investigadores militares se
dieron cuenta que los criminales utilizaban cada vez más y más recursos tecnológicos.
Incidentes de Denegación de Servicios (DoS): cuya finalidad es obstaculizar, dañar o impedir el acceso
a redes, sistemas o aplicaciones mediante el agotamiento de sus recursos.
Incidentes de código malicioso: Cualquier tipo de código ya sea, virus, gusano, ”caballo de Troya”,
que pueda ejecutarse en un sistema e infectarlo.
Incidentes de acceso no autorizado: Se produce cuando un usuario o aplicación accede, por medio de
hardware o software, sin los permisos adecuados a un sistema, a una red, a una aplicación o los datos.
Incidentes por uso inapropiado: Se dan cuando los usuarios se ”saltan” la política de uso apropiado de
las sistemas (como ejecutando aplicaciones P2P en la red interna de la empresa para la descarga de
música).
Incidente múltiple: Se produce cuando el incidente implica varios de los tipos anteriores.
Los objetos maliciosos más usados detectados en los distintos dispositivos informáticos pueden divi-
dirse en tres grupos principales:
• Módulos de publicidad.
• Exploits (aprovechar vulnerabilidades) para acceder de raíz a los dispositivos.
Ausencia de controles:
13.5. Procedimientos
Los capítulos previos1 describen algunas medidas, y quizás alguna más, y aunque no es agradable preparar
actuaciones ante desastres en sus sistemas informáticos, siendo realista, no estaría de más incluir dentro de su
política de seguridad un ”Plan de Respuesta ante Incidentes”. Éste plan dependerá de las características de su
organización, y de su política, pero en base y sin extendernos en ello pues no es objetivo de este documento,
debería contener los siguientes puntos:
Índices para la valoración de los daños, tanto desde el punto de vista económico como de imagen
corporativa.
Determinar en qué casos se tratará el incidente internamente y en qué casos se dará aviso a las Auto-
ridades.
Elaboración de informes y formularios tipo para comunicación del incidente tanto dentro como fuera
de la organización si fuese necesario.
Conocer y supervisar los parámetros de funcionamiento normal de los sistemas, tales como tráfico IP
usual, carga de transacciones, ancho de banda consumido, usuarios conectados, etc.
1 Diseño e implementación previo de la red informática, Auditoría de seguridad.
Utilizar un servidor de registros central y establecer una política de mantenimiento y retención de esos
registros que permitan su estudio pasado el tiempo.
Activar al máximo de detalle la información que contendrán los archivos de registro, lo que facilita el
proceso de reconstrucción de lo sucedido.
Sincronizar todos los relojes de los servidores mediante, como el protocolo NTP (Network Time Pro-
tocol), tal que todos los registros tengan la misma hora.
Disponer de una base de conocimientos sobre incidentes, enlaces páginas de software antivirus, o
empresas y organizaciones especializadas en seguridad informática, así como suscribirse a sus listas
e-mail de notificaciones de alertas y vulnerabilidades.
La compensación de los daños causados por los criminales informáticos. La creación y aplicación de
medidas para prevenir casos similares
En toda investigación forense se deben obtener evidencias suficientes y apropiadas y conocer las condiciones
bajo las cuales dicha evidencia puede ser considerada como:
Admisible.
Autentica.
Completa.
Confiable.
Creíble.
Existe un procedimiento para realizar el análisis para la informática forense, estos sirven de base para las
personas que realizan esta práctica de manera adecuadamente.
Después de ocurridos los hechos se puede realizar el análisis en los laboratorios especializados con equipos
dedicados a fines forenses, estos tienen la capacidad de examinar completamente la tecnología contenida
dentro del sistema que haya surgido el incidente este análisis se le conoce como Post-mortem.
En el momento en que se presume que se está sufriendo un incidente de seguridad en un dispositivo se
pueden emplear herramientas de respuesta ante incidentes y realizar el análisis forense en el momento sin
modificar el sistema analizado, a este proceso se le llama análisis en caliente y luego de este se realiza el
análisis post-mortem.
Se tienen un conjunto de procedimientos donde su objetivo primordial es preservar la evidencia digital per-
mitiendo convertirse en la prueba en un proceso judicial; a este conjunto de pasos se conoce como cadena de
custodia.
La cual debe:
Mantener la idempresa de las personas implicadas desde la obtención hasta la presentación de las
evidencias.
Registros de tiempos, firmados por los agentes, en los intercambios entre estos de las evidencias. Cada
uno de ellos se hará responsable de las evidencias en cada momento.
Asegurar la firmeza de las evidencias cuando las evidencias están almacenadas asegurando su protec-
ción.
Análisis.
Almacenamiento.
Preservación.
Transporte.
Presentación en el juzgado.
Retorno a su dueño.
Investigación de Seguros: cualquier tipo de evidencia encontrada que ayude a disminuir los costos de
reclamos por accidentes y compensaciones.
Temas corporativos: acoso sexual, robo, mal uso o apropiación de información, alteraciones de estados
financieros, corrupción.
Mantenimiento de la ley: La informática forense puede ser usada en la búsqueda inicial de órdenes
judiciales.
Encuestas.
Inspección.
Comparaciones.
Observaciones.
En cuanto a las fases de la AFI existen varios planteamientos que coinciden en lo importante su planeación
y ejecución debe ser flexible pues, según el caso, se presentan particularidades.
En el siguiente cuadro se detallan las fases de una AFI:
1. Fase 1:
Adquirir un buen antivirus con licencia, que pueda garantizar la protección de la información de la em-
presa. Los antivirus piratas no ofrecen ninguna garantía de protección. En el mercado existen muchos
antivirus confiables, entre ellos están Kaspersky, Norton, Avast, Panda, y NOD32, etc.
2. Fase 2:
En cuanto al sistema operativo, es recomendable Enterprise Agreement, que es un programa completo
de licencias por volumen de Microsoft dirigido a grandes corporaciones que manejan más de 250 PC
y tienen un departamento de compras centralizado. Ellos normalmente, están siempre interesados en
una adecuada protección de su información, y están dispuestos a pagar un alto precio por su seguridad
informática.
3. Fase 3:
Adquisición de las licencias de información geográfica que se utiliza en la empresa (GIS).
En los actuales momentos, una plataforma tecnológica muy utilizada por las empresas es servidores con
sistema operativo Linux o derivados y clientes, Windows.
Otros:
Es necesario establecer:
• Políticas de seguridad
• Acuerdos de confidencialidad
Gestión de las comunicaciones y operaciones: Protección contra malware, respaldo, seguridad de re-
des, intercambio de información.
ISACA: COBIT
COSO Report
Es una norma, con carácter de estándar en la seguridad informática, y basada en la norma BS 7799, la
cual propone 10 áreas de dominio de control consideradas ”exitosas” que toda empresa debería establecer y
cumplir:
Política de Seguridad de la Información
empresa de la Seguridad
Control de Accesos
Descripción de la evidencia.
Análisis de la evidencia .
Aplicaciones.
Servicios.
Vulnerabilidades.
Metodología.
Huellas de la intrusión.
Alcance de la intrusión.
El origen del ataque,
Cronología de la intrusión.
Conclusiones.
Recomendaciones específicas.
Referencias.
Motivos de la intrusión.
Desarrollo de la intrusión.
Recomendaciones.
Auditoría y los delitos informáticos
14
Unido al avance en los últimos tiempos de la tecnología informática y su influencia en casi todas las áreas de
la vida social, ha surgido una serie de comportamientos ilícitos denominados, de manera genérica, ”delitos
informáticos”.
El amplio uso de la tecnología, como producto de la globalización, no sólo ha traído beneficios, sino también
ha contribuido a la masificación de los delitos informáticos.
Este capítulo presenta la conceptualización y características de los delitos informáticos y el papel del auditor
informático con ellos.
El objetivo principal de este capítulo es la identificación de las pruebas de Bases de Datos para la Migración
y Validación de Datos en el entorno de las tecnologías de información en la actualidad.
Se inicia identificando los orígenes o razones por las cuales se llevan a cabo las migraciones de datos y los
problemas a los cuales se enfrentan y las razones por las que se presentan dichos problemas.
El propósito es identificar de qué manera las pruebas para las migraciones y validaciones de datos reducen
las probabilidades de ocurrencia de dichos problemas, para el beneficio no sólo de proyecto como tal, sino
de la empresa también.
Este capítulo no está orientado simplemente a la identificación de procesos y pruebas, sino también al reco-
nocimiento de la importancia que los datos tienen para las decisiones en las organizaciones y el impacto que
una buena calidad de los mismos tiene. Por ello, también es importante identificar aspectos que rodean el
tema, tales como los datos en primera instancia, las bases de datos, la migración y la validación, la calidad
de datos, las pruebas y una metodología.
La migración de datos es por lo general un proceso programático que puede ser automático o manual.
14.1. Motivos
Como consecuencia directa del rápido crecimiento de la sociedad, sus organizaciones y las tecnologías que
los apoyan, la velocidad con la cual crecen los volúmenes de datos e información dentro de las organizacio-
nes, un crecimiento que va desde un 25 % hasta posiblemente un 50 % anual, porcentaje que aumenta cada
año a medida que crecen las organizaciones, en las cuales la mayoría de esta información se encuentra en
formato digital.
Dichos proyectos de migración de datos se están volviendo más frecuentes cada año y va adquiriendo mayor
importancia la necesidad de reducir los riesgos o problemas, que proyectos de este tipo implican.
159
Hoy en día, las aplicaciones críticas del negocio deben estar disponibles 24/7/365 (24 horas al día, 7 días
a la semana, 365 días al año), dejando así pocas opciones por tiempos de inactividad para llevar a cabo las
migraciones de datos.
Dentro de las metodologías requeridas, una buena fase de planeación es uno de los aspectos más importantes;
otro aspecto de mucha importancia son las pruebas a las bases de datos a emplear y pruebas a los datos a ser
migrados, que pueden ayudar a reducir en un alto nivel los problemas con los cuales se enfrentan en etapas
de validación y post-migración.
Las necesidades tecnológicas cada vez se inclinan más hacia los lados de migraciones online, sin interferir
con los procesos diarios del negocio.
La última parte del trabajo estará compuesta por la descripción de algunas herramientas para la migración
y validación de datos, se analizará cuáles son las ventajas y desventajas para los proyectos de migración de
datos, los tipos de migración soportados, los diversos tipos de pruebas que les permiten a sus usuarios, etc.
Además, se analizarán algunos aspectos que deben tener en cuenta al momento de elegir herramientas para
facilitar las migraciones de datos.
14.2. Justificación
Las necesidades de almacenamiento de datos de las organizaciones han ido cambiando a medida que evolu-
cionan los sistemas de información y sus necesidades de organización y utilización de dichos datos.
14.3. Objetivo
Identificar, analizar y documentar las técnicas y metodologías actuales en la realización de pruebas de bases
de datos para la migración y validación de datos, incluyendo herramientas adicionales empleadas, para pro-
porcionar así elementos que sirvan como componentes para el desarrollo de una metodología unificada para
las pruebas de bases de datos.
14.4. Migración
Las razones para migrar datos contenidos en uno o más sistemas dependen de las necesidades del negocio
o de los cambios y avances tecnológicos en el entorno, pero aparte de estas, hay otras razones para llevar a
cabo una migración. Entre las que se encuentran:
Unificación de sistemas.
La principal razón por la cual se presentan las migraciones es el refrescamiento de las tecnologías,
como la actualización de las versiones de software de aplicaciones y de las bases de datos.
Cambios de hardware.
Cambio de software.
En un estudio realizado por Softek [58] se identifican los principales problemas de un proceso de migración
de datos. Inicialmente habían encuestado 280 compañías, de las cuales 75 % admitieron tener problemas
con el proceso de migración de datos. Mientras que 54 % identificaron que sus problemas eran de carácter
técnico por incompatibilidades entre origen y destino de los datos, 58 % de ellos dijeron que el tiempo de
inactividad extendido o inesperado era un resultado muy común entre los problemas que se presentan du-
rante la migración. Algo interesante que ese estudio preliminar encontró, es que 31 % de los encuestados
están demorando la adquisición de nuevos equipos o sistemas, simplemente por los problemas resultantes
del proceso de migración.
Durante este primer análisis del estudio de Softek, encontraron que la mayoría de los encuestados coincidían
con el hecho de que una migración de datos exitosa requiere una planeación efectiva y mucho personal,
identificando así dos suministros muy escasos o muy ocupados en los departamentos de tecnología de las
empresas; esos dos suministros son Tiempo y Personal Técnico.
El 75 % de los encuestados sostiene que el tiempo mínimo requerido para planear el proceso de migración
es de dos semanas, mientras que el otro 25 % sostiene que dicho tiempo debería ser de cuatro semanas, para
estar del lado seguro. Casi un 50 % afirma que un proyecto de migración de mediano tamaño1 requiere como
mínimo cuatro personas trabajando en el equipo de migración de tiempo completo.
En este punto hay que recordar cuáles son los tres factores más importantes en un proceso de migración
de datos: tiempo de inactividad, horas de trabajo del personal y costos. El estudio muestra que todos estos
factores son excedidos más del 50 % de las veces, todos estos excesos se traducen en costos para la organiza-
ción, distintos costos a los originalmente planeados para la migración, colocando en perspectiva si el costo
de emplear una herramienta de migración online es superior a los costos de no tenerla.
También encontraron que el mayor costo de una migración es la falta de procedimientos y pruebas para la
validación de los datos, 55 % de los encuestados dependen de las ”pruebas” de los usuarios en el sistema
de producción para determinar si la migración fue exitosa. Podrían pasar días o semanas antes de descubrir
algún problema con la migración, y eso en sí es un costo, el arreglo de dicho problema y el tiempo de inac-
tividad de las aplicaciones mientras se realiza el arreglo. ESG sostiene que la mayoría de las aplicaciones
para migraciones online realizan pruebas propias sobre los datos, para verificar lo mínimo, como integridad,
y permiten realizar verificaciones programáticas a los datos, para así tratar de reducir las probabilidades de
problemas después de la migración.
14.5. Riesgos
Algunos de los riesgos más importantes que corren las organizaciones cuando inician un proceso de migra-
ción son los siguientes:
Problemas que se originan durante el tiempo en el cual el sistema permanece fuera de servicio, ya sea
el sistema de origen o el sistema destino de los datos.
El problema es básicamente de coordinación, estimación de los tiempos de migración y administración
de los mismos.
Y el problema más importante y de mayor peso es la pérdida y corrupción de los datos. Este es el problema
que genera las mayores pérdidas para las organizaciones en lo que respecta a tiempo y dinero.
1 Definiendo como migración de mediano tamaño, una con más de 2 y menos de 4 sistemas de origen de datos.
14.6. Datos
La calidad de los datos está obteniendo cada vez mayor importancia y atención dentro de las organizaciones.
Se están dando cuenta que los problemas con la calidad de los datos están derivando en problemas con
la información presentada y en consecuencia, afectando las decisiones tomadas con base en las mismas,
provocando pérdida de ingresos, tiempo y oportunidades. El costo de una mala calidad de los datos está
oculto y no es tan obvio si no se le está buscando.
”La calidad es la suma de todos aquellos aspectos o características de un producto o servicio que
influyen en su capacidad para satisfacer las necesidades, expresadas o implícitas” (ISO 8402).
Ün dato tiene calidad si satisface los requerimientos de uso propuestos. Le falta calidad hasta
el punto en el que no satisfaga los requerimientos. En otras palabras, la calidad de los datos
depende tanto del uso propuesto como del dato mismo. Para satisfacer el uso propuesto, el dato
debe ser exacto, puntual o a tiempo, relevante, completo, entendible y confiable"2 .
Los datos se vuelven más valiosos todo el tiempo, a medida que se encuentran nuevas formas de uso de la
información para hacer a la organización más exitosa.
La calidad de los datos es medida con respecto a número de dimensiones: exactitud, relevancia, puntualidad,
completitud, entendible y confiabilidad. La dimensión de la exactitud o la precisión es la medida base de la
calidad de los datos. Si los datos no están bien, las otras dimensiones tienen poca importancia3 .
La culpa por la baja calidad de los datos por lo general recae sobre el área de TI.
Sin embargo, los datos son creados por personas fuera de TI y son utilizados por personas fuera de TI. El
área de TI es responsable por la calidad de los sistemas que almacenan y mueven los datos. La mayoría de
los problemas se encuentran fuera de TI. Algunos de problemas son:
Hay otros dos factores de gran importancia que afectan la calidad de los datos, que no se encuentran dentro
de las organizaciones, pero que forman parte de la evolución natural de la tecnología:
1. Las rápidas implementaciones y cambios de sistemas hace muy difícil controlar la calidad.
14.7. Pruebas
Estas pruebas son conocidas como Pruebas de Bases de Datos para la Migración y la Validación de los Datos.
En la actualidad, las técnicas y/o metodologías para realizar estas pruebas no son muy conocidas, y para su
efecto son poco usadas. Las pruebas que se realizan en la actualidad en este tipo de implementaciones son
en su mayoría pruebas de desarrollo, tales como:
¿Se está trasladando la información completa? ¿Se crearon la misma cantidad de registros en el sistema
nuevo que en el actual?
¿Se está almacenando correctamente?
Entre otras, pero aparte de eso, las pruebas son mínimas.
la falta de metodologías estándares o procedimientos de prueba estándares para la migración y validación de
datos, aunque están presentes, su estructuración y diseño, aún no están al nivel de las demás metodologías
de pruebas de software.
Algunos de esos problemas son los siguientes4 :
Pérdida de datos.
Corrupción de datos.
Pobre calidad de datos.
Periodos extendidos de tiempos de inactividad de los sistemas involucrados.
Pérdida de negocio y clientes por la inactividad de los sistemas.
Sobrecosto para arreglar problemas post-migración.
4 ”The Hidden Cost of Data Migration” by Softek – 2006.
14.7.1. ¿Qué son pruebas de software?
”Una actividad en la cual un sistema o uno de sus componentes se ejecuta en circunstancias previamente
especificadas, los resultados se observan y registran, y se realiza una evaluación de algún aspecto”.
(Software testing, prueba de software). Es el proceso empleado para identificar la correctitud, completitud,
seguridad y calidad en el desarrollo de un software para computadoras.
El proceso de testing es una investigación técnica que intenta revelar información de calidad acerca del
producto de software con respecto al contexto en donde operará.
Aleatorias (random testing): Estas se aplican porque muchos autores consideran que la probabilidad de
encontrar un error es igual que si se realizan pruebas aleatorias. Por esta razón comienzan las pruebas
con una serie de casos elegidos al azar. Esto mostrará los errores más evidentes. Pero esta prueba no
es suficiente.
Solidez (Robustness testing): En esta se prueba la capacidad del sistema para salir de situaciones pro-
vocadas por errores en el suministro de datos. Estas pruebas son importantes en sistemas con interfaz
al exterior.
Stress (Stress testing): En ciertos sistemas es muy conveniente realizar esta prueba para saber hasta
dónde son resistentes, es decir cuántos datos podría procesar, cuánta carga procesa la cpu.
Desempeño (Performance testing): Esta prueba sirve para saber el tiempo de respuesta, para saber
cuánto tiempo tarda el sistema en procesar un determinado número de datos, cuánta memoria necesita
para esto, cuánto disco duro.
2. Verificaciones del tipo de dato: Verifica el tipo de dato ingresado con respecto al esperado y presenta
mensajes de error cuando no se cumple.
3. Verificaciones de rango: Verifica que el dato se encuentre entre un rango especificado de datos.
4. Verificaciones de límites: A diferencia de la verificación de rango, este solo compara con respecto a
un límite, superior o inferior.
5. Verificaciones de presencia (o de datos nulos): Verifica que datos de importancia no tengan valores en
blanco (o nulos).
6. Verificaciones de consistencia: Verifica los campos dentro de la base de datos para asegurar que los
datos estén en sus campos correspondientes.
Comparar los datos migrados con la fuente para verificar que se migró el número correcto de datos.
Verificar que cualquier transformación de los datos migrados haya ocurrido como fue planeado.
Verificar que las tablas/columnas hayan sido migradas a las tablas/columnas correctas en la base de
datos destino.
Verificar que el software en el sistema destino sea capaz de funcionar con los datos migrados.
Pero de forma general, se identifican dos tipos de migración, dependiendo de su tiempo (de uso o ejecución):
1. Migración única: Es un proceso que se lleva a cabo una sola vez, sin importar la razón por la cual se
esté realizando como cambio de aplicación, de bases de datos, de hardware, etc.
Es un proceso que se realizará una vez dentro de la organización, sin incluir las pruebas del proceso
que se realizaron, previo a la migración del sistema de producción5 .
En la clasificación de los tipos de migración, siempre existirán migraciones de un tipo de base de datos
a otro, es decir, puede ser una migración de una base de datos relacional a una base de datos orientado a
objetos, o a una base de datos geoespacial. Sin importar el tipo de base de datos del cual se está migrando al
cual se va a migrar, los principios para la migración y validación de los datos son los mismos, y las pruebas
siguen los mismos fundamentos y principios, pero durante el desarrollo del plan de migración como tal, la
implementación de cada uno de esos pasos varía, según las necesidades y características de la base de datos
respectiva.
5 ”Data migration. Database Programming & Design” - Moriarty, T. y Hellwege, S. 1998.
14.9. Metodología
Dentro de la comunidad de las metodologías ágiles, están proponiendo una metodología para la prueba de
bases de datos, alguno de los aspectos de importancia que se pueden resaltar de allí, son el uso de:
1. Database Sandboxes: Es una de las mejores prácticas, en esta prueba se realizan varias copias de
la base de datos y se realizan experimentos con dichas bases de datos, como implementar nuevas
funcionalidades, agregar un nuevo factor a una funcionalidad existente, valida los cambios para probar
el test. La ventaja de esta prueba es que ayuda a reducir el riesgo de errores técnicos.
Setup de la prueba: Se debe poner la base de datos en un estado conocido antes de realizar la
prueba.
Correr la prueba: Usando la herramienta de regresión de bases de datos, se corre la prueba de
base de datos como se correría con una aplicación.
Verificar los resultados: Se necesitará hacer ”table dumps” para obtener los valores actuales en
la base de datos para que se puedan comparar contra los resultados esperados.
En la comunidad ágil, dentro de la propuesta para pruebas de bases de datos hacen la sugerencia de qué
probar dentro de una base de datos. La Figura 14.2, ver [54], ilustra la estructura y los niveles en los cuales
sugieren realizar las pruebas a la base de datos y algunas posibles pruebas que se podrían realizar.
2. Análisis.
3. Diseño.
4. Migración.
5. Transición.
6. Producción.
Cada una de esas fases puede o no presentar algunas de las siguientes actividades:
Entrenamiento.
Arquitectura técnica.
Migración de la Aplicación.
Pruebas.
Transición.
Durante la fase de pruebas, se llevan a cabo pruebas sobre la base de datos Oracle y la aplicación (si es
necesario) para asegurarse, que:
La base de datos está produciendo los mismos resultados que la base de datos anterior.
La base de datos Oracle y la aplicación cumplen con los requerimientos operacionales y de desempeño.
Ver figura 14.3, [55].
14.10. Implementación
Debido a que estas dos fases son casi inseparables y se pueden trabajar en conjunto, fueron combinados en
una sola fase. Las pruebas se dividen en dos áreas centrales:
1. Errores Físicos: son sintácticos de naturaleza y pueden ser fácilmente identificados y resueltos. Los
errores físicos no guardan relación con la calidad del mapeo de los datos. Este nivel de pruebas está
tratando con las semánticas del lenguaje empleado para la transformación.
2. Errores Lógicos: Durante la implementación es cuando se identifican los errores lógicos. El primer
paso es ejecutar el mapeo. Aunque el mapeo se complete exitosamente, aún se deberían realizar las
siguientes preguntas.
La verdadera prueba a los datos mapeados o migrados es darle acceso a los datos a los usuarios que
participaron en el análisis y diseño del sistema principal. Comenzarán a identificar elementos que
debieron ser migrados pero que no fueron identificados durante las sesiones de análisis y diseño.
La fase de Pruebas/Implementación debe ser alcanzada lo antes posible para garantizar que se lleve
a cabo antes de las fases de diseño y construcción del proyecto principal, para evitar sobrecosto por
cambios en el diseño del proyecto principal, debido a que los requerimientos para la migración de los
datos han seguido cambiando.
Por tanto, un delito es una acción ilegal realizada por una persona; el cual es tipificado y, si resulta culpable,
es sancionada por una pena.
El delito informático se define como toda acción (u omisión) culpable realizada por un ser humano, que
cause un perjuicio a personas sin que necesariamente se beneficie el autor o que, por el contrario, produzca
un beneficio ilícito a su autor aunque no perjudique de forma directa o indirecta a la víctima, tipificado por
La Ley, que se realiza en el entorno informático y que está sancionado con una pena.
De esta manera, los delitos informáticos son ”actitudes ilícitas que tienen a las computadoras como instru-
mento o fin (concepto atípico) o las conductas típicas, ilegales y culpables que tienen a las computadoras co-
mo instrumento o fin (concepto típico)”. Otros autores sostienen que los delitos informáticos son ”cualquier
comportamiento criminal en que la computadora está involucrada como material, objeto o mero símbolo”.
En este sentido, la informática es el objeto del ataque o el medio para cometer delitos.
La informática tiene características que la convierten en un medio idóneo para la comisión de distintas moda-
lidades delictivas, en especial de carácter patrimonial (estafas, apropiaciones indebidas, etc.). La idoneidad
proviene, básicamente, de la gran cantidad de datos que se acumulan, con la consiguiente facilidad de acceso
a ellos y la relativamente fácil manipulación de esos datos.
Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto se halla traba-
jando.
Son acciones de oportunidad, se aprovecha una ocasión creada o intensificada en el mundo de funcio-
nes y organizaciones del sistema tecnológico y económico.
Provocan serias pérdidas económicas, que casi siempre producen ”beneficios” económicos a aquellos
que las realizan.
Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria pre-
sencia física llegan a consumarse.
Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por
parte del Derecho.
Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico.
Tienden a proliferar cada vez más, por lo que requieren una urgente regulación. Por el momento siguen
siendo ilícitos impunes de manera manifiesta ante la ley.
Sabotaje informático.
Este término comprende aquellas conductas dirigidas a causar daños en el hardware o en el software
de un sistema. Los métodos utilizados para ello son de índole muy variada y han evolucionando ha-
cia técnicas cada vez más sofisticadas y de difícil detección. Básicamente, se diferencian dos grupos
de casos: por un lado, las conductas dirigidas a causar destrozos físicos y, por el otro, los métodos
dirigidos a causar daños lógicos.
Si realizaban pruebas, se les preguntaba que tipos de pruebas y las razones por las cuales eran realiza-
das. ¿Hay un plan de Calidad de Datos para verificar los datos migrados? ¿Qué tipo de herramientas
son utilizadas para los procesos de Migración y Validación de Datos? ¿Las herramientas realizan o
permiten realizar pruebas?
Bibliografía
175
[12] S OY AUMATELL , C RISTINA ., Auditoría de la Información. Barcelona, Editorial UOC, 2003. p. 20..
[13] S LOSSE , C ARLOS ET AL ., Auditoría un nuevo enfoque empresarial. 2da ed. Buenos Aires:Ed. Machi.
1999. 790 p..
[14] A RENS , A LVIN A. & ; L OEBBECKE , JAMES K., Auditoría: Un enfoque integral. México: Prentice-
Hall, 1996.
[16] E CHENIQUE G ARCÍA , J OSÉ A NTONIO . (2001), Auditoría en informática. (2a ed.) México: McGraw
Hill.
[17] H ERNÁNDEZ H ERNÁNDEZ , E NRIQUE . (2002), Auditoría en informática. (2a ed.) México: CECSA.
Instituto Mexicano de Contadores Públicos. (2008), Normas y procedimientos de auditoría y Normas
para atestiguar versión estudiantil. (28a ed.) México: IMCP..
[18] M UÑOZ R AZO , C ARLOS . (2002), Auditoría en sistemas computacionales, México, Pearson Educa-
ción..
[19] T ÉLLEZ T REJO , B ENJAMÍN ROLANDO . (2004), Auditoría: un enfoque práctico. México: Cengange..
[20] P IATTINI V ELTHUIS , M ARIO G., P ESO NAVARRO , E MILIO DEL . (1997), Auditoría Informática: un
enfoque práctico. Madrid: Ra-Ma..
[24] S TEVENSON , N ICK . 2003. , Cultural citizenship. Cultural citizenship y Cosmopolitan and multicul-
tural citizenship: world, nation, city and self. Maidenhead: Open University.
[27] G ÓMEZ M ORALES , Á, S. , Auditoría operativa: una auditoría con valor agregado o para la calidad
total . [en línea].Chile. Facultad de Economía UCN Disponible en: <www.sanpedro.ucn.cl>.
[28] C ORNELLA , A., ”La información alimenta y ahoga. Información si, pero, ¿en qué condiciones?”
<http://www.infonomia.com/extranet/index.asp?idm=1&idrev=1&num=445>.
[32] ISACF. (1998), Objetivos de Control para la Información y Tecnología Relacionada. COBIT-ISACF.
[35] PATTINI M . Y NAVARRO E. DEL P ESO . (2001), Auditoría informática. Un enfoque práctico (2a
Edición). RA-MA, México
[36] W EBER R. (1999), Information systems control and audit. New Jersey: Prentice Hall, USA.
[37] A LONSO TAMAYO Á LZATE , (1999), ”Auditoría de Sistemas – Una visión práctica”
[40] UNESCO, (2012), Directrices para la preservación del Patrimonio digital | Or-
ganización de las Naciones Unidas para la Educación, la Ciencia y la Cultura,
http://www.unesco.org/new/es/communication-and- information/resources/publications- and-
communication-materials/publications/full-list/guidelines-for-the-preservation-of-digital- heritage/.
[41] K ATA YOSHI (2013), Auditoría Forense Informática, Recuperado de: https://prezi.com/sb1iqve-
gece/auditoria-forense-informatica/
[42] C ANO , J EIMY, Introducción a la Informática Forense. Una disciplina técnico-legal, Retrieved from:
http://52.0.140.184/typo43/fileadmin/Revista_96/dos.pdf
[43] V ILLACIS RUIZ , V IVIANA M ARCELA (2006), Auditoria Forense.. Retrieved from:
https://es.scribd.com/doc/80973125/TESIS-Auditoria-Forense
[44] B RUNGS , A Y JAMIESON , R. (2003), Legal issues for computer forensics Proceedings for 14th
Australian Conference on Information Systems. Perth, Western Australia. November. Retrieved from:
http://52.0.140.184/typo43/fileadmin/Revista_96/dos.pdf
[48] M ORENO C EVALLOS , J. R., & D UEÑAS H OLGUÍN , B. L. (2018), Sistemas de información
empresarial: la información como recurso estratégico. Dominio de las Ciencias, IV(1), 141-154.
https://dialnet.unirioja.es/servlet/articulo?codigo=6255073
[49] C ASTILLO P ÉREZ , A. A. (2015), Importancia de la calidad de la información de los sistemas infor-
máticos contables en las empresas del Perú, 2011-2013. In Crescendo. Ciencias Contables y Adminis-
trativas., II(2), 123-141. https://es.scribd.com/document/310295004/SISTEMAS-INFORMATICOS-
CONTABLES
[50] M ORA Q UIRÓS , E. (2017), Auditoría Informática. Instituto de Auditores Internos Costa Rica, 2215-
3004. https://www.iaicr.com/boletin/2017/articulos/26_ensayo_edna_mora.pdf
[51] LUQUE RUIZ, IRENE; GÓMEZ, MIGUEL ÁNGEL; LÓPEZ ESPINOSA, ENRIQUE; CE-
RRUELA GARCÍA, GONZALO (2002), ”Bases de datos desde Chen hasta Codd con ORACLE”.
Alfaomega Grupo Editor, Primera Edición. México
[52] J IM U TSLER (2006), .Avoiding Data-Migration Pitfalls"por . IBM systems Magazine, Julio/Agosto
[53] JACK E. O LSON (2006), "Data Quality. The Accuracy Dimension". Morgan Kaufmann Publishers.
Página 43.
[58] J ON W ILLIAM T OIGO . (2005), "Data Migration Headaches Underscored by Softek Survey". –
http://www.esj.com/news/article.aspx?EditorialsID=1266.
Cuestionario Auditoría TI
El cuestionario comprende cuatro bloques temáticos, uno por cada área objeto de estudio. El primer bloque
corresponde al área de planificación y tiene como objetivo sondear la planeación que se realizó para formar
el área de sistemas. El segundo bloque es el correspondiente a los dispositivos de almacenamiento y tiene
como objetivo evaluar la administración, la aplicación y el uso de dispositivos hardware de almacenamien-
to de información electrónico de la organización. El tercer bloque es el correspondiente al funcionamiento
del centro de cómputo y tiene como objetivo evaluar el correcto funcionamiento y la organización del cen-
tro de cómputo. El cuarto bloque es el correspondiente a la seguridad física y su objetivo es verificar las
instalaciones que utiliza el área de sistemas.
a) ¿La dirección general y ejecutiva ha considerado la importancia que tiene el estudio del sistema
de información?
Si: No:
b) ¿Se establecen los requisitos de información a largo plazo?
Si: No:
c) ¿Se ha realizado una planificación estratégica del sistema de información para la Empresa?
Si: No:
d) ¿Existe una metodología para llevar a cabo tal planificación?
Si: No:
e) ¿Está definida la función del director del sistema de información?
Si: No:
f ) ¿Existe un plan estratégico del departamento de sistema de información?
Si: No:
2. Recursos humanos
179
a) ¿Se estudia la evolución del mercado y la adaptación del personal a dicha evolución?
Si: No:
b) ¿Los informáticos reciben noticias del momento tecnológico por revistas, notas técnicas, etc.?
Si: No:
c) ¿Se recibe formación y se planifica ésta mediante asistencia a cursos, seminarios, etc.?
Si: No:
3. Otros aspectos
a) ¿Los cambios en los sistemas informáticos son consecuencia de la planificación más que de la
presión por necesidades operativas?
Si: No:
b) ¿Se solicitan demostraciones sobre los nuevos artículos a los proveedores?
Si: No:
c) ¿Existe algún estudio de planificación del posible efecto de las cargas normales de trabajo y los
picos sobre los requerimientos tanto de equipos como de software?
Si: No:
d) ¿La entidad dispone de un plan informático?
Si: No:
e) ¿Se están siguiendo las directrices marcadas por el plan?
Si: No:
f ) ¿El plan recoge todos los diferentes aspectos relacionados con la función informática?
Si: No:
g) ¿Cuál es la inversión requerida en servicios, desarrollo y consulta a los usuarios?
B.S.
14.17. Almacenamiento
El segundo cuestionario corresponde a los dispositivos de almacenamiento y tiene como objetivo evaluar la
administración, la aplicación y el uso de dispositivos, hardware, de almacenamiento de información electró-
nico de la organización.
Cuestionario de Auditoría correspondiente a los dispositivos de almacenamiento:
5. ¿En caso de existir discrepancia entre las cintas o discos y su contenido, se resuelven y explican
satisfactoriamente las discrepancias?
Si: No:
6. ¿Se tienen procedimientos que permitan la reconstrucción de un archivo en cinta a disco, el cual fue
inadvertidamente destruido?
Si: No:
7. ¿Se tienen identificados los archivos con información confidencial y se cuenta con claves de acceso?
Si: No:
13. ¿Se borran los archivos de los dispositivos de almacenamiento, cuando se desechan estos?
Si: No:
14. ¿Se certifica la destrucción o baja de los archivos defectuosos?
Si: No:
15. ¿Se registran como parte del inventario las nuevas cintas que recibe la biblioteca?
Si: No:
19. ¿Se restringe el acceso a los lugares asignados para guardar los dispositivos de almacenamiento, al
personal autorizado?
Si: No:
20. ¿Se tiene relación del personal autorizado para firmar la salida de archivos confidenciales?
Si: No:
21. ¿Existe un procedimiento para registrar los archivos que se prestan y la fecha en que se devolverán?
Si: No:
22. ¿Se lleva control sobre los archivos prestados por la instalación?
Si: No:
24. Indique qué procedimiento se sigue en el reemplazo de las cintas que contienen los archivos maestros:
25. ¿Se conserva la cinta maestra anterior hasta después de la nueva cinta?
Si: No:
28. ¿Estos procedimientos para recuperar los archivos los conocen los operadores?
Si: No:
32. ¿El procedimiento para el manejo de la información del cuarto frío lo conoce y aplica el operador?
Si: No:
33. ¿Se distribuyen en forma periódica entre los jefes de sistemas y programación informes de archivos
para que liberen los dispositivos de almacenamiento?
Si: No: ¿Con qué frecuencia?:
1. ¿El lugar donde se ubica el centro de cómputo está seguro de inundaciones, robo o cualquier otra
situación que ponga en peligro los equipos?
Si: No:
4. ¿Dentro del centro de cómputo existen materiales inflamables o que causen daño a los equipos?
Si: No: ¿Cuál?:
5. ¿Existe lugar suficiente para los equipos?
Si: No:
6. ¿Aparte del centro de cómputo se cuenta con algún lugar para almacenar otros equipos de cómputo,
muebles, suministros, etc.?
Si: No: ¿Dónde?:
10. ¿La temperatura a la que trabajan los equipos es la adecuada de acuerdo a las normas bajo las cuales
se rige?
Si: No:
13. ¿Existe algún otro medio de ventilación aparte del aire acondicionado?
Si: No: ¿Cuál?:
17. ¿La instalación eléctrica del equipo de cómputo es independiente de otras instalaciones?
Si: No:
20. ¿Se tiene switch de apagado en caso de emergencia en algún lugar visible?
Si: No:
21. ¿Los cables están dentro de paneles y canales eléctricos?
Si: No:
22. ¿Los interruptores de energía están debidamente protegidos y sin obstáculos para alcanzarlos?
Si: No:
32. ¿El personal conoce el contenido de estos manuales para cada programa?
Si: No:
39. ¿Los usuarios tienen la suficiente confianza como para presentar su queja si fallan los equipos?
Si: No:
40. ¿Se efectúan controles o revisiones del buen estado de los equipos de cómputo?
Si: No:
41. ¿Las inspecciones son realizadas por personal especializado como técnicos o mecánicos electrónicos?
Si: No:
42. ¿Los datos de clientes y proveedores se salvaguardan por parte del sistema?
Si: No:
43. ¿Se implementan medidas de seguridad en los computadores de los empleados para evitar que estos
ejecuten programas peligrosos?
Si: No:
44. ¿Existe un programa de protección de la información contra virus, spyware y diferentes ataques ciber-
néticos?
Si: No:
8. ¿Se registran las acciones de los operadores para evitar que realicen algunas pruebas que puedan dañar
los sistemas?
Si: No:
11. ¿Se permite el acceso a los archivos y programas a los programadores, analistas y operadores?
Si: No:
12. ¿Se ha instruido a estas personas sobre qué medidas tomar en caso de que alguien pretenda entrar sin
autorización?
Si: No:
14. Describa brevemente la construcción del centro de cómputo, de preferencia proporcionando planos y
material con que construirlo y equipo (muebles,sillas, etc.) dentro del centro.
17. ¿Se registra el acceso al departamento de cómputo de personas ajenas a la dirección de informática?
Si: No:
28. Si los extintores automáticos son a base de agua, ¿se han tomado medidas para evitar que el agua cause
más daño que el fuego?
Si: No:
29. ¿Si los extintores automáticos son a base de gas?, ¿se ha tomado medidas para evitar que el gas cause
más daño que el fuego?
Si: No:
30. Existe un lapso de tiempo suficiente, antes de que funcionen los extintores automáticos para que el
personal:
¿Corte la acción de los extintores por tratarse de falsas alarmas?
Si: No:
¿corte la energía eléctrica?
Si: No:
¿abandone el local sin peligro de intoxicación?
Si: No:
¿Es inmediata su acción?
Si: No:
31. ¿Los interruptores de energía están debidamente protegidos, etiquetados y sin obstáculos para alcan-
zarlos?
Si: No:
32. ¿Existe salida de emergencia?
Si: No:
34. ¿Se revisa frecuentemente que no esté abierta o descompuesta la cerradura de esta puerta y de las
ventanas, si es que existen?
Si: No:
35. ¿Se ha adiestrado al personal en la forma en que se deben desalojar las instalaciones en caso de
emergencia?
Si: No:
37. ¿Se ha prohibido a los operadores el consumo de alimentos y bebidas en el interior del departamento
de cómputo para evitar daños al equipo?
Si: No:
38. ¿Se cuenta con copias de los archivos en lugar distinto al de la computadora?
Si: No:
41. Una vez efectuadas las modificaciones, ¿se presentan las pruebas a los interesados?
Si: No:
45. ¿Se ha establecido un número máximo de violaciones en sucesión para que la computadora cierre esta
terminal y se de aviso al responsable de ella?
Si: No:
46. ¿Existen controles y medidas de seguridad sobre las siguientes operaciones? ¿Cuáles son?
Recepción de documentos ( )
Información confidencial ( )
Captación de documentos ( )
Cómputo electrónico ( )
Programas ( )
Documentos de salida ( )
Archivos magnéticos ( )
Operación del equipo de computación ( )
En cuanto al acceso de personal ( )
Identificación del personal ( )
Policía ( )
Seguros contra robo e incendio ( )
Cajas de seguridad ( )
Otras (especifique) ( )
¿Se han documentado las áreas de responsabilidad del director de TI (CIO, en inglés)?
¿Se han considerado todas las áreas en el enfoque de auditoría de TI al evaluar el riesgo y definir el
universo de auditoría de TI?
¿Anualmente, la función de la auditoría interna realiza una evaluación efectiva del riesgo de TI?
¿La evaluación de los riesgos tiene en cuenta la arquitectura tecnológica específica y la configuración
empleada por la organización?
¿Cómo se cuantifican los riesgos de TI?
¿Qué referencias del sector y ”mejores prácticas” se utilizan para respaldar esas estimaciones?
¿En el universo de auditoría de TI, se planifican auditorías para cada nivel del entorno de TI?
¿Se han recopilado suficientes datos para respaldar una estimación correcta? ¿Se ha tenido en cuenta
la configuración específica de la tecnología?
¿En caso contrario, se han establecido internamente líneas de base para la seguridad y el control?
¿Se emplean herramientas para acelerar las auditorías de TI (por ejemplo, aceleradores o facilitadores
para la realización de pruebas)?
¿Si la respuesta es positiva, estas han sido probadas y aprobadas por la gestión de TI?
¿Se emplean especialistas para las diversas tecnologías (por ejemplo, aplicaciones versus tecnologías
de infraestructura)?
¿Se evalúan anualmente los temas emergentes y los riesgos para determinar su relevancia dentro de la
organización?
¿Se ha empleado la encuesta GAIN u otro repositorio de datos para facilitar el proceso?
¿Todas las auditorías de proceso contienen procedimientos que evalúan los parámetros de configura-
ción de las aplicaciones que automatizan los procesos?
¿Cómo se coordinan estos procesos entre los recursos de auditoría (procesos versus TI )?
¿Se borra la información que se encuentra en los dispositivos de almacenamiento como discos duros,
pendrives, cintas magnéticos y/o micro sd antes de que el hardware obsoleto o preparado para destruir,
salga o abandone la Empresa? ¿Cuáles son las aplicaciones utilizadas para tal efecto?
¿Los equipos robados o desaparecidos son registrados y reportados por la empresa ante los cuerpos
de seguridad del estado, a la vigilancia privada de la empresa y al grupo de seguridad informática
corporativa usando el formulario adecuado, bien con un informe físico en papel o bien a través de la
correspondiente página web corporativa?
¿Cuántos portátiles y computadores de sobremesa han sido robados de la unidad en el último año?
¿Cuáles son los procedimientos de seguridad establecidos por la unidad para las laptop, tabletas y
teléfonos inteligentes corporativos? ¿Cómo se procede para informar a los usuarios las políticas de la
empresa sobre la seguridad informática?
¿Los portátiles no asegurados y con información visible salen de la Empresa fuera del horario habitual
de trabajo?
¿Se identifican las laptop, tabletas y teléfonos inteligentes personales para su entrada en la empre-
sa?¿Se revisa su contendido a su salida?
¿Todos los servidores, computadores sobremesa y minitorres, laptop, tabletas y teléfonos inteligentes
corporativos tienen algún programa de cifrado de datos? Revisar si todos estos equipos portátiles,
incluidos los de backup, tienen instalados el PGP (Pretty Good Privacy) o algún sistema equivalente.
¿Qué herramienta se emplea para gestionar los recursos del software para la unidad?
¿La unidad tiene un inventario de licencias de software? Verificar si se dispone de un archivo Excel
donde se encuentran todas las licencias actualizadas
¿La unidad está utilizando acuerdos de empresa relativos al precio para comprar software?
¿Esta política se comunica a los usuarios con cierta periodicidad? Si es así, ¿cómo?
¿Cómo verifica que el usuario no instale programas no autorizados en el equipo que le ha sido asig-
nado? ¿Se llevan a cabo auditorías periódicas de los computadores asignados a los usuarios? Si se
encuentra software no aprobado o no relacionado con el negocio, ¿se elimina del computador?
Documentos y pruebas de que los antivirus están instalados y de que su ejecución es correcta y se
están utilizando versiones actualizadas respecto a la fecha de Auditoría.
¿Está la presente unidad utilizando algún software antivirus diferente del estándar de la compañía (por
ejemplo Symantec/McAfee)?
¿Se ha establecido una función de atención al usuario? Si es así, ¿cuál es el proceso y cómo está
sustentado?
¿Hay establecida una estructura basada en tipología de incidencias? ¿Existe documentación que iden-
tifica claramente quién es responsable de cada tipo de incidencia y de la resolución de cada problema?
¿Qué software se está utilizando para gestionar, almacenar y mantener los datos de los problemas?
Si la unidad externaliza el soporte de problemas relativos al software y/o hardware, ¿cuál es el nombre
del proveedor que externaliza?
• ¿Tiene la unidad un contacto con el proveedor de manera que le pueda comunicar/plantear cues-
tiones?
• ¿Se han realizado comparaciones entre proveedores?
¿Cómo se ha logrado que el cliente tome conciencia y haya sido formado respecto a la función de
soporte del problema (cuando era realizada por el departamento de sistemas de la unidad)?
¿Son adecuados los procedimientos para la gestión de problemas relativos a los sistemas de informa-
ción?
Cuando se incorpora un nuevo empleado en nuestra empresa, el jefe del departamento al que pertenece,
tiene que solicitar a Alemania la creación de un nuevo usuario.
¿Las solicitudes de cambio son revisadas por personal funcional experto, que comprenda la necesidad
de dicho cambio? Están los cambios aprobados por el correspondiente Business Owner?
¿Hay notificaciones de los usuarios con un riesgo alto de cambio, que podría causar un apagado o
colapso de los sistemas?
¿Se manejan de una manera diferente los trabajos o proyectos identificados como breakfixes (proyectos
pequeños que requieren menos de 3 días de trabajo), alta prioridad o proyectos urgentes, grandes,
medios, pequeños cambios diferentemente?
¿Cuáles son los procesos para probar los cambios realizados antes de pasarlos a productivos? ¿Se
aplican cambios a un entorno o sistema de pruebas antes de pasarlos a productivo?
¿Hay algún plan documentado de implementación y de retorno realizado a propósito para cambios
significativos?
¿Hay personal de negocio apropiado y usuarios de sistemas adecuados e informados que estén presen-
tes cuando los cambios se vayan a mover a producción?
¿Existe algún plan para proveer del entrenamiento apropiado al equipo de miembros de los diferentes
departamentos afectados?
¿Han seguido los pasos correctos los proyectos elegidos para documentar la gestión de cambios?
¿Tuvieron los ejemplos de cambios que fueron elegidos, las correspondientes y apropiadas aprobacio-
nes?
¿Qué versión o versiones de SQL Server está o están siendo utilizadas actualmente? ¿Tienen todas
ellas licencia de uso activa?
¿Cuáles son los nombres de los servidores de base de datos SQL actualmente productivos y donde
están ubicados?
¿Qué servidores de desarrollo están utilizando SQL Server y dónde están localizados?
¿Cuáles son las funcionalidades de negocio de las bases de datos existentes y quien o quienes son sus
”business owners”?
¿Qué dependencia o impacto tienen las aplicaciones que utilizan bases de datos respecto del funciona-
miento de la unidad?
¿Quién es / son el/los administradores de las bases de datos (DBA)? ¿Quién es el backup del DBA?
¿Está disponible la documentación para crear bases de datos estructurales y objetos de bases de datos,
y existe asistencia o ayuda para el diseño eficiente de aplicaciones?
¿Ha existido recientemente algún problema? Preguntar y revisar la documentación sobre el desarrollo
realizado para un incidente recientemente reportado.
¿Cómo se supervisan habitualmente las bases de datos? ¿Quién recibe las alertas y en qué formato o
de qué manera?
¿Qué procesos se usan para el chequeo y gestión de base de datos a desarrollar y/o mantener? Copias
de seguridad de las bases de datos y restauración de las mismas.
¿Cuál es el proceso y frecuencia con la que están programados los backups de los datos almacenados
en las bases de datos?
¿Sabe el DBA o las personas apropiadas cómo recuperar datos perdidos o corruptos?
¿Qué método se usa o se usaría para recuperar y reconstruir datos perdidos o corruptos?
¿Cuándo fue la última vez en la que fue necesario hacer una restauración de datos? Revisar la docu-
mentación asociada a dicho problema y el proceso utilizado para su restauración y solución.
¿Existe un proceso formal de backup y restauración para los datos guardados en los servidores? Ase-
gurarse de que la reconstrucción de la sección asignada a la parte de datos del SQL Server está bien
documentada,
¿Pueden ser conseguidos los backups desde su emplazamiento externo habitual en menos de 24 horas?
¿Están realizados en modalidad 24x7?
¿Están los datos salvados en modo de backup normal o son backups incrementales?
Si los datos están archivados, ¿cuál es la política y el proceso para realizar su archivado? Explicarlo y
verificarlo.
¿Cuándo fue la última vez que se recuperaron datos perdidos o corruptos reales? ¿Qué proceso se
siguió? ¿Cuánto tiempo se invirtió en dicho proceso? Si no ha habido ningún proceso reciente de
reconstrucción de datos desde archivos de respaldo o de backup, ¿cuándo fue la última vez que se
desarrolló un proceso de restauración en modo test y cómo se verificó su correcto funcionamiento?
Preguntar para ver la documentación histórica del comentado proceso de restauración, sea real o en
modo test.
Para bases de datos críticas, ¿cuánto tiempo puede la unidad o empresa continuar su negocio sin ellas?
¿Existe un procedimiento adecuado Business Continuation Plan (BCP) y computer Disaster Recovery
Plan (cDRP) en el que esté incluido todo lo relativo a las bases de datos SQL?
¿Ha habido allí alguna caída súbita de aplicaciones o alguna falta de disponibilidad de algún aspecto
relativo a SQL? Preguntar para revisar los tickets o peticiones de resolución asociados con dicho
problema para su correcta documentación, escalación, y sobre todo la documentación de las "lessons
learned-lecciones aprendidas".
¿Sigue la adquisición del software SQL la normativa de la Empresa, división o los estándares de la
industria o negocio al que se dedica la Empresa?
¿A quién se le reportan y quien hace un seguimiento de los problemas derivados de SQL? Respuesta
del Auditado
¿Existe un nivel identificado para el escalado para el Soporte de problemas (Tier 1, 2, y 3)? ¿Cuáles
son los criterios o pautas que regulan este escalado?
¿Los permisos a las bases de datos para administradores / usuarios están regulados por grupos de
Directorio Activo?
Verificar que los ”business owner” deben aprobar el acceso y el correspondiente nivel de acceso o de
permiso cuando las peticiones se hagan para solicitar accesos a tablas o a bases de datos, bien sea
directamente a través del SQL server o bien a través de algún aplicativo de desarrollo propio.
Revisar las normativas o roles para acceso a las carpetas de los Servidores de SQL para asegurar que
los grupos de Directorio Activo se están usando, y verificar que las personas que lo necesitan sólo
tienen los accesos que realmente requieren para su trabajo.
¿Cuál es el proceso de manejo de cambios para los cambios relativos al SQL Server y a las posibles
localizaciones de las bases de datos?
¿Son todos los cambios manejados siguiendo el proceso marcado en el punto anterior? Preguntar
para ver un número representativo de cambios realizados documentando las respuestas y los procesos
realizados en cada caso.
¿Cómo se priorizan los cambios? ¿Cómo se manejan los cambios de alta prioridad o que tengan ca-
rácter de urgencia?
¿Cómo se notifica al solicitante de cambios en las tablas del SQL Server, del estado de los mismos?
¿Hay procedimientos para notificar al personal de Soporte de los cambios realizados en los sistemas?
¿Y a los usuarios finales a los efectos que cada uno necesite?
¿Hay procedimientos para notificar a los usuarios finales de los cambios realizados en el sistema?
¿Los cambios requeridos son revisados por un personal funcional con el conocimiento suficiente y
aprobados por el correspondiente ”business owner”?
¿Son los cambios registrados y seguidos a través de un sistema de manejo de cambios? Preguntar por
la documentación existente al respecto.
¿Hay una aceptación del proceso de test junto con el departamento funcional que las utiliza? ¿Hay test
de resultados que muestren especialmente las diferencias encontradas, que estén grabados y que hayan
sido revisados?
¿Cuál es el proceso documentado a seguir para instalar una nueva versión del software de base de
datos?
¿Se aplicaron los cambios durante periodos relativamente tranquilos cuando el desastre pudo ser así
debidamente minimizado?
¿Hay un proceso de manejo de los cambios específicos que provea un plan de vuelta atrás? Preguntar
por un ejemplo del mismo para verificación.
¿Quién es el encargado de mover los cambios en las bases de datos, del servidor de test al productivo?
¿Hay un entorno de desarrollo diferente, separado del de producción?
¿Quiénes son los administradores principales de estas bases de datos y de sus back- ups? ¿Cuánto
tiempo llevan cumpliendo esta función? ¿Qué formación inicial y complementaria tienen para las
bases de datos (DBA)? Si el soporte no es para un DBA local, explicar cómo se realiza el acceso a la
red y el mantenimiento de las mismas.
¿Cuáles son los procedimientos documentados de la unidad y las normas para hacer frente a la manipu-
lación y al mantenimiento de programas de aplicaciones financieras y a sus datos? ¿Cómo se comunica
a los trabajadores del equipo de informática y analistas funcionales los sucesos realizados o a realizar
sobre estas bases de datos?
¿Quién es el responsable de la recuperación de una base de datos perdida o dañada (es decir Mdb, Dbf
y el espacio dedicado a ellas)?
¿Cuál es y dónde está guardado el proceso para la concesión / revisión de acceso de base de datos para
los usuarios (es decir, grupo de acceso, ficheros Mdb o las funciones de base de datos de Oracle)? Si
se utilizan grupos RACF o grupos de AD, obtener una lista de ellos y verificar quien tiene acceso a los
mismos.
¿Dónde se guardan y cuáles son los procedimientos para la administración de usuarios, acceso, trans-
ferencia de archivos, etc.? Si no está hecho, pedir al Coordinador de Recursos Humanos una lista de
los usuarios nuevos, de usuarios antiguos y también de los becarios o de los outsiders.
¿Se han encontrado cuentas inactivas? - ¿Se han encontrado cuentas con contraseñas que no caducan?
- ¿Alguna de estas cuentas son cuentas compartidas? (las cuentas de aplicación están bien, pero otras
cuentas deben tener un motivo para haber sido creadas de esta manera, es decir, con contraseñas que
nunca caducan) - ¿Hay un proceso de revisión de ambos periódico?
¿La configuración de seguridad local cumple o excede las políticas de seguridad informática global
del negocio?
¿Los servicios que se ejecutan en cada servidor son los adecuados? - ¿Hay un proceso de revisión de
servicios para garantizar que los servicios innecesarios dejen de funcionar? - Utilice la herramienta/la
aplicación SVCAudit para verificar los servicios que se ejecutan en el entorno Windows. - Estos ser-
vicios no deben funcionar o estar configurados para iniciarse automáticamente en un servidor sin un
motivo pertinente (verificar que se cumple)
¿Además de los Administradores de red mencionados arriba, qué otras personas conocen las claves
administrativas?
¿Cómo se define y se controlan las conexiones a la red? (switches, routers, Access points). Procedi-
mientos documentados a estos efectos.
¿Están documentados a través de procedimiento las operaciones estándares (SOP) existentes para la
red física y para la red wireless?
¿Tiene la unidad alguna responsabilidad sobre el control remoto de las operaciones de otros lugares o
emplazamientos? ¿Han sido identificados estos lugares en el BCP (Business Continuation Plan)?
¿Qué diagramas/esquemas existen (del entorno de red, routers, Access points, y entorno wifi)? ¿Se
actualiza a menudo de acuerdo con los cambios introducidos en el entorno? Ver si el tiempo lo permite,
ejemplos de ello. Las actualizaciones y los esquemas de diseños actualizados deben estar disponibles,
así como diagramas de las coberturas wifi.
¿Qué servicios relacionados con la red están contratados a terceras empresas o a vendedores (ejemplos:
monitores, instalaciones, servicios de servidores, routers, Access points)? ¿Cada cuánto tiempo se
revisan estos contratos?
¿Qué tiempo de respuesta del servicio tiene marcado el vendedor en el contrato de nivel de acuerdo
(SLA) para reemplazo de hardware y/o soluciones de software? ¿Cada cuánto se revisa el acuerdo
SLA?
¿Proveen en tiempo y forma para la solución de problemas, para minimizar los posibles problemas
producidos en la unidad de negocio?
¿Se utilizan redes privadas virtuales (VPN)? Si es que sí, ¿qué nivel de control de seguridad se utiliza
para el acceso a las mismas?
¿Tienen conexión a otros proveedores o socios de negocio que no tengan infraestructura de red propia?
¿Hay usuarios de la Empresa u outsiders (externos) a la empresa, a los que se les permita el acceso
remoto en modo telefónico a la red (cualquier sistema de ”Rave” o accesos vía telefónica por web)?
¿Se está utilizando el entorno de red wifi? Si es que sí, responder a las siguientes preguntas. En otro
caso, se debe se saltar la sección de Wireless completa.
¿Qué seguridad o sistema de cifrado de datos Wireless estándar se está utilizando ((WEP, LEAP, EAP-
TLS, PEAP w/MSCHAPv2, u otro)?
¿Quién administra la infraestructura de red wireles (servidores, Access points, supervisión)?
¿Cuál es la topología de red LAN utilizada en la Empresa (Ethernet, Fast-Ethernet, token ring, Fiber
distributed data interface (FDDI)?
¿Qué tecnología Wireless se está utilizando actualmente en la Compañía? Note - Cat5, Cat5E, Cat6,
Wireless, y cable de fibra óptica son tecnologías actuales admitidas. ThinNet, ThickNet y cables
Coaxiales son sistemas wireless desactualizados.
¿Cómo recibe el administrador de red los eventos reportados por la propia red?
¿Quién revisa los sucesos de eventos (event logs) y la frecuencia con la que suceden los mismos?
¿Ha habido algún corte de señal significativo –y no documentado o informado- en el pasado último
año? ¿Cuánto duró dicho corte de señal? ¿Cuáles fueron las causas? ¿Qué se hizo para solucionar el
problema?
Mostrar un ejemplo cómo recibe el administrador de red los eventos reportados por la propia red
¿Cómo se utilizan los sistema de alertas/monitorización para revisar y mantener los Access point,
routers, y switches?
¿Dónde están configurados los recursos de la red (por ejemplo, los servidores, los routers, y los Access
point)? ¿Dónde están copiadas y almacenadas dichas configuraciones? Si lo están remotamente, ¿quién
es la persona de contacto?
¿Qué herramienta de alertas en la red se utiliza? ¿Qué eventos y autenticaciones (logins) activos,
fallidos, pendientes, etc., se verifican?
¿Cómo está haciendo actualmente la unidad las copias de backup de las configuraciones? Verificar la
documentación relativa a procedimientos de backup de la red de área local (LAN).
¿Cómo recibe el administrador de red los eventos reportados por la propia red?
¿Cómo está controlado físicamente el acceso de los equipos a la red? ¿Quién tiene acceso a estos
entornos y equipos conectados? ¿Todos los recursos vitales están debidamente asegurados? ¿Hay re-
cursos localizados en áreas no seguras? Muchos equipos críticos de la red local/corporativa/wireless
suelen estar conectados a una UPS (equipo de alimentación ininterrumpida). Esta es la mejor práctica
pero no es un requerimiento mandatorio para la Auditoría.
Revisar toda la red/entorno wireless para proponer o chequear una apropiada disciplina de etiquetado.
Las conexiones de la red wireless deben ser chequeadas y etiquetadas para identificarlas correctamente
desde terminales específicos para esta funcionalidad, pero no es un requisito indispensable. correo
¿Hay aplicaciones activas para ayudar a mantener los procesos en caso de producirse un cambio de
personal en un puesto específico (es decir, los procedimientos y los estándares están documentados)?
¿Sabe la unidad que existen cuotas de espacio para los servidores de email y se han revisado los ajustes
de correo electrónico para eliminar gastos de espacio innecesarios?
Se ha considerado tener o se han colocado ya limitaciones de espacio a los buzones y/o cuotas de
tamaño para envío y recepción de mail?
¿Cuál es el procedimiento de la Unidad para la retención de datos de buzones y el calendario para las
investigaciones judiciales en caso de utilizaciones ilícitas o fraudulentas de los mismos?
¿Cuál es el procedimiento de la Unidad para permitir el acceso a los recursos humanos o a la dirección,
en caso de necesidad de supervisión de las actividades de correo de un usuario si éste se encuentra bajo
investigación?
¿Cuál es la política de retención para las cintas de copia de seguridad (si acaso fuese diferente, por
cuestiones legales, de la política de retención de las copias de seguridad normales de Windows)?
¿Hay aplicaciones activas para reducir o mitigar el riesgo de interrupción del sistema por ataques de
virus? ¿Se trata de un servicio local o centralizado desde la Corporación?
¿Está el software SAV (Symantec Antivirus) o ScanMail instalado en el servidor Exchange (de correo)
para escanear en busca de virus dentro de los correos electrónicos y archivos adjuntos? ¿Es alguno de
los mencionados el software de protección antivirus actual y hay un proceso de control de versiones
confiable? ¿Está licenciado a nivel corporativo o local? Arquitecturas de Firewall y conexiones con
redes públicas
En cuanto a las capacidades de acceso remoto, OWA o RPC sobre HTTP, ¿cuáles son las reglas confi-
guradas en el firewall o cortafuegos de acceso a internet para proteger estos servicios?